Op dinsdag 18 juni was het zover: de derde editie van ‘Let’s Get Digital’, het evenement georganiseerd door Kenniscentrum Europa Decentraal dat zich richt op digitalisering binnen de overheid. Deze keer stond cyberveiligheid centraal. In congrescentrum La Vie in Utrecht kwamen experts bijeen om kennis en inzichten te delen. Hieronder het verslag van deze inspirerende dag.
Presentatie
Na het welkomstwoord van dagvoorzitter Barend Tensen (Kenniscentrum Europa Decentraal) gaf Frank Heijligers, werkzaam bij de Directie Digitale Samenleving binnen het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), een boeiende presentatie over digitalisering en cyberveiligheid. Met een achtergrond in ICT en rechten, en als nauw betrokkene bij de implementatie van NIS2 in de Cyberbeveiligingswet, deelde hij zijn zorgen en inzichten over verschillende misverstanden op dit gebied aan de hand van een pakkende parabel.
Parabel: de horlogeverzamelaar
Heijligers begon met een illustratief verhaal over Simon, een fervent horlogeverzamelaar. Simon was bekend in de horlogewereld en bezocht vaak beurzen. Op een dag was er een poging tot inbraak in zijn huis, wat hem deed nadenken over de veiligheid van zijn kostbare horloges. Na advies van zijn verzekeringsmaatschappij liet hij zijn horloges taxeren en trof beveiligingsmaatregelen thuis.
Toen Simon op vakantie ging, verdeelde hij zijn horloges over de buurt. Zijn dure Rolex gaf hij aan zijn buurman Klaas. Helaas werd er bij zowel Simon als Klaas ingebroken en de Rolex werd gestolen, ondanks dat Klaas een kluis had. Dit voorval benadrukt dat maatregelen passend en evenredig moeten zijn aan de dreiging en dat de gesprekken collectief gevoerd moeten worden om de veiligheid van de buurt te verhogen. Heijligers vatte het mooi samen met de woorden:
“Om een vergiet te dichten moet je alle gaatjes afplakken en niet 80%; water vindt de weg er namelijk doorheen.” – Frank Heijligers
De moraal: risicomanagement en gezond verstand
Het verhaal van Simon en Klaas illustreert dat risicomanagement belangrijk is, maar ook zijn beperkingen heeft. Iedereen kijkt naar zijn eigen risico’s, wat niet altijd voldoende is. “Beveiligen is eigenlijk gewoon gezond verstand, je moet er alleen even de ruimte voor nemen,” benadrukte Heijligers. Hij sprak de overheidsmedewerkers in de zaal aan, die verplicht zijn om gegevens van burgers goed te beveiligen, omdat burgers geen keuze hebben in welke overheid hun paspoort uitgeeft.
Cyberveiligheid bij bestuurders
Hoe krijgen we bestuurders echt betrokken bij cyberveiligheid? Heijligers gaf aan dat dit begint met een goed verhaal dat de bestuurder raakt. Het is essentieel om de taal van de bestuurder te spreken en duidelijk te maken wat de gevolgen zijn van een datalek. De NIS2-richtlijn (gericht op verbetering van de digitale en economische weerbaarheid van Europese lidstaten) wordt gezien als zowel een zegen als een risico, omdat het verplichtingen oplegt, maar ook kan afleiden van intrinsieke motivatie.
Zijn oproep was duidelijk: “Vindt elkaar.” Samenwerking, ook met buurgemeenten, is cruciaal. Iedereen moet begrijpen dat beveiliging een collectieve verantwoordelijkheid is.
Panelgesprek
Panelleden
- Gemma Jansen, CISO (Chief Information Security Officer) provincie Noord-Holland
- Vincent Lokin, lid van het dagelijks bestuur waterschap De Dommel
- Patrick Spigt, directeur dienstverlening gemeente Katwijk
Investeringen van de overheid
Dagvoorzitter Barend Tensen opende het panel met de vraag of de overheid genoeg investeert in cyberveiligheid. Gemma Jansen benadrukte dat investeringen niet alleen in geld, maar ook in het overbrengen van de juiste boodschap moeten plaatsvinden. “Het is belangrijk dat die boodschap op het juiste niveau gehoord wordt en gevoeld wordt. Als CISO ben je soms de enige die staat te roepen.” Volgens haar kan er meer gedaan worden om duidelijk te maken waarom cyberveiligheid cruciaal is.
Patrick Spigt vond het lastig om te bepalen wat voldoende investering is. Hij wees erop dat bedrijfsvoering vaak een ondergeschoven kind is en dat overheden hier vaak weinig expertise hebben. “Wat is te veel of te weinig? Er is de afgelopen periode wel meer in geïnvesteerd, maar is dat genoeg? Het is nooit genoeg, maar je moet wel schaarse middelen verdelen.” Hij benadrukte de noodzaak van meer samenwerking tussen verschillende overheidslagen.
“Als CISO ben je soms de enige die staat te roepen.” – Gemma Jansen
Vincent Lokin was van mening dat waterschappen goed hebben geïnvesteerd in cyberveiligheid en kennis. “ICT wordt echt gezien als onderdeel van de kerntaken. We begrijpen het belang en doen ons best om mogelijke zwakheden te pareren.” Hij gaf invulling aan risicobeheer, namelijk door alert te blijven scannen op potentiële zwakheden en deze proactief aan te pakken.
Publiek-private partnerschappen
Bij de vraag of publiek-private partnerschappen een goede manier zijn om cyberveiligheid te verbeteren, gaf Jansen aan dat dit zeker kan helpen, maar niet vanzelfsprekend is. “Er is nog best een weg te gaan tussen publieke en private samenwerking hier.” Spigt stelde dat, gezien het gebrek aan kennis binnen de overheid, samenwerking met de private sector onvermijdelijk is. “We moeten kennis naar binnen halen uit de private sector en afwegen wat we zelf doen en wat we kunnen uitbesteden.” Lokin benadrukte dat cyberveiligheid een bestuurlijk onderwerp is dat samenwerking met private partijen vereist.
“Bedrijfsvoering als geheel is een ondergeschoven kind en hier valt de digitale wereld en de bescherming hiervan ook onder.” – Patrick Spigt
De Europese NIS2-richtlijn
Vincent Lokin vond dat Europa het belang van goede organisatie inziet. Patrick Spigt merkte op dat de NIS2-richtlijn voor 90% bestaande praktijk is. “VNG is daar nog zoekende in: hoe gaan we daar mee om? Er mist een duidelijke richting van de centrale overheid. We moeten elkaar veel meer gaan helpen, en die helpende hand moet echt veel meer uit het Rijk komen.” Gemma Jansen vond het een goede zaak dat de NIS2-richtlijn er is. “De uitdaging zit meer in hoe we integraal kunnen samenwerken.”
Certificering en risicomanagement
Op de vraag of certificering voldoende is, benadrukte Lokin het belang ervan. Spigt vond risicomanagement de sleutel. “Het zal nooit 100% worden, welke certificering we ook hebben. Het blijft altijd risicomanagement.” Hij wees op de snelle ontwikkelingen in AI en het belang om daar actief mee aan de slag te gaan.
Lokin wierp een vraag op aan het publiek: “We zijn allemaal radertjes in het groot geheel. Soms denk je dat er een radertje is dat alles weet, maar dat is niet altijd het geval. Hoe zorg jij ervoor dat jouw organisatie bewust wordt en dat bestuurders actie ondernemen?” Hij daagde het publiek uit na te denken over hun rol in het vergroten van bewustzijn binnen hun organisaties en hoe ze bestuurders kunnen motiveren om cybersecurity serieus te nemen.
Voorbeelden vanuit de provincie en gemeente
Gemma Jansen vertelde dat er regelmatig overleg is tussen CISO’s van verschillende provincies, waarbij ze actief samenwerken en van elkaar leren. Spigt gaf aan dat gemeenten stappen zetten in samenwerking, bijvoorbeeld bij de overgang naar cloudomgevingen. “Maar er moet meer geïnvesteerd worden en dat vraagt om duidelijke kaders. De mentaliteit in Europa is anders, meer top-down. Het Rijk moet daar een rol in pakken.”
“Get organized, zorg dat je de zaken op orde hebt.” – Vincent Lokin
Conclusies
De panelleden benadrukten het belang van samenwerking tussen overheidslagen en met de private sector. Ze riepen op tot meer investeringen in kennis en duidelijkheid vanuit de centrale overheid. De discussie maakte duidelijk dat het onderwerp cyberveiligheid veel aandacht vraagt en dat er gezamenlijke inspanningen nodig zijn om een robuuste beveiliging te waarborgen.
RVO: financiering cyberveiligheid
Er is werk aan de winkel als het gaat om cyberveiligheid, maar geld blijft realistischerwijs de uitdaging. Gelukkig zijn er fondsen en subsidies om dit werk te ondersteunen. Folkwin Poelman van NEXIS, het Nationaal Coördinatiecentrum voor Cybersecurity-Innovatie, presenteerde de verschillende financieringsmogelijkheden op het gebied van cyberveiligheid. NEXIS biedt ondersteuning bij het identificeren van nationale en Europese kansen en helpt bij het perfectioneren van subsidieaanvragen.
Europese programma’s: Horizon Europe en Digital Europe
Twee belangrijke Europese programma’s voor overheden die internationale projecten op het gebied van cyberveiligheid willen opzetten, zijn Horizon Europe en Digital Europe. Horizon Europe richt zich op de eerste fasen van onderzoek en ontwikkeling, terwijl Digital Europe meer gericht is op het opschalen en op de markt brengen van producten en diensten. Verschillende oproepen voor het indienen van voorstellen staan al open of zijn aangekondigd.
“Horizon Europe en Digital Europe zijn bij uitstek relevant voor overheden die een internationaal project op het gebied van cyberveiligheid willen opzetten. – Folkwin Poelman
ENSOC-project
Claudia van den Beld van het Nationaal Cyber Security Center (NCSC) gaf vervolgens een toelichting op het ENSOC-project (Nationale Samenwerking tegen Ondermijnende Criminaliteit), een goed voorbeeld van een Europees project in de praktijk. Het NCSC werkt samen met zes andere landen aan het opzetten van een Europees netwerk van Security Operation Centres (SOCs), gefinancierd door Digital Europe. Dit netwerk maakt het mogelijk om dreigingsinformatie, zoals informatie over kwetsbaarheden of kwaadwillende actoren, beter te delen met andere landen. Hierdoor kunnen cyberdreigingen eerder opgespoord en voorkomen worden.
Van den Beld deelde ook de uitdagingen die bij het project kwamen kijken en gaf tips en tricks vanuit de ervaring van NCSC. Een belangrijke tip was het gebruik van PM², de projectmanagementmethodologie van de Europese Commissie. Die kan helpen bij het schrijven van een goed projectvoorstel en zorgt ervoor dat internationale partners dezelfde taal spreken.
“Het is essentieel om dezelfde taal te spreken met internationale partners bij het opzetten van Europese projecten.” – Claudia van den Beld
Conclusie
De gecombineerde NEXIS-NCSC sessie benadrukte dat er volop financieringsmogelijkheden zijn voor cyberveiligheidsprojecten, zowel nationaal als Europees. Door gebruik te maken van programma’s zoals Horizon Europe en Digital Europe kunnen overheden en organisaties innovatieve projecten opzetten en opschalen. Het ENSOC-project illustreert hoe die samenwerking in de praktijk kan werken en welke voordelen het kan bieden voor de gezamenlijke bestrijding van cyberdreigingen.
IBD: implementatie NIS2
De Informatiebeveiligingsdienst voor gemeenten (IBD) bestaat sinds 2013 en ontvangt financiering uit het Gemeentefonds. De IBD ondersteunt gemeenten bij incidenten en biedt kennisproducten aan via hun website. De huidige norm voor informatiebeveiliging is de BIO (Baseline Informatiebeveiliging Overheid), met een update naar BIO 2.0 op komst. Kees Hintzbergen, adviseur CERT (Computer Emergency Response Team) nam de aanwezigen mee in het werk van de IBD.
Ondersteuning bij NIS2
Hintzbergen ging in op de vraag hoe gemeenten ondersteund kunnen worden bij de implementatie van de NIS2-richtlijn. Deze richtlijn vereist dat de hele keten, van toeleveranciers tot samenwerkingsverbanden, weerbaar wordt. Transparantie is hierbij essentieel, net als het naleven van de BIO 2.0-normen die voldoen aan ISO27001.
Verplichte zelfregulering en meldplicht
De afgelopen tien jaar moesten gemeenten zelf aan risicomanagement doen, vaak zonder consequenties. De NIS2-richtlijn brengt hier verandering in met een zorgplicht, meldplicht, en toezicht vooraf en achteraf. Gemeenten zijn nu aangewezen als kritieke sectoren, wat betekent dat de keten weerbaar moet zijn en dat samenwerking essentieel is.
“Meer maatregelen is niet per se veiliger.” – Kees Hintzbergen
De rol van de IBD
De IBD fungeert als CSIRT (Computer Security Incident Response Team) voor gemeenten. Nederland heeft een gelaagde CSIRT-structuur, waarbij ook waterschappen een eigen CSIRT hebben. De IBD ziet de NIS2-richtlijn als een kans om informatiebeveiliging te verbeteren en gemeenten beter te ondersteunen.
Implementatie en certificering
Hintzbergen benadrukte dat informatiebeveiliging niet alleen een kwestie is van IT, maar een breed gedragen verantwoordelijkheid moet zijn binnen de hele organisatie. Management commitment is cruciaal, ook financieel. De BIO 2.0 biedt een normenkader voor risicomanagement, dat gemeenten helpt bij het opzetten van een effectief informatiebeveiligingssysteem.
Knelpunten
Enkele bekende knelpunten zijn het gebrek aan sturing en interesse van bestuur en directie in informatiebeveiliging, de onvolwassenheid van leveranciers en contractmanagement, en het gebrek aan security awareness bij personeel. Het is belangrijk dat informatiebeveiliging als een collectieve verantwoordelijkheid wordt gezien en niet alleen als een IT-kwestie.
Conclusie
Hintzbergen concludeerde dat meer maatregelen niet per se meer veiligheid betekenen, maar wel altijd meer werk. Hij benadrukte dat certificering geen doel op zich is, maar een nuttig middel om risicomanagement van de grond te krijgen.
Afsluiting
Dagvoorzitter Barend Tensen rondde de bijeenkomst af met een korte terugblik op de levendige discussies en waardevolle inzichten van de dag. Met een hartelijk bedankje aan zowel de sprekers als het publiek, sprak hij zijn waardering uit voor hun bijdrage aan een geslaagde derde editie van Let’s Get Digital.
Meer weten?
Digitermen – Europa decentraal
Tijdlijn Digitalisering – Europa decentraal
Moeten decentrale overheden zelfstandig en rechtstreeks aan de NIS2 verplichtingen voldoen? – Europa decentraal