Na een welkom van Eddy Esselink (MVO) trapte moderator Richard van Buuren (NVWA) het webinar af met voorbeelden van cyberaanvallen die productieprocessen en logistieke ketens verstoorden. Volgens hem laten deze incidenten zien dat cyberveiligheid niet langer uitsluitend een IT-vraagstuk is. Zeker in de voedselketen kunnen verstoringen grote gevolgen hebben voor productie, leveringszekerheid en uiteindelijk de beschikbaarheid van voedsel.

Van Buuren wees erop dat cyberincidenten niet alleen ontstaan door geavanceerde hackers. Ook phishingmails, gestolen wachtwoorden, onbeveiligde externe toegang of verouderde systemen kunnen een ingang vormen. Juist omdat veel productiebedrijven afhankelijk zijn van geautomatiseerde processen en operationele technologie (OT), kan een relatief klein incident grote gevolgen hebben voor de dagelijkse bedrijfsvoering.

NCSC biedt ondersteuning

Mart Marconi van het NCSC lichtte toe welke ondersteuning beschikbaar is voor bedrijven. Via het MijnNCSC-portaal kunnen organisaties zich registreren, kwetsbaarheden monitoren, incidenten melden en gebruikmaken van kennisproducten zoals dreigingsrapportages en security advisories. Daarnaast ondersteunt het NCSC organisaties bij incidenten met analyses, informatie-uitwisseling en coördinatie. Volgens Marconi is het belangrijk dat bedrijven niet wachten tot zich een incident voordoet, maar nu al gebruikmaken van de beschikbare hulpmiddelen en informatie. Ook organisaties die niet onder de Cyberbeveiligingswet vallen kunnen profiteren van veel van de beschikbare kennisproducten. Het regelmatig volgen van 'security advisories' en kwetsbaarheidsmeldingen kan helpen om risico's vroegtijdig te signaleren en maatregelen te nemen voordat problemen ontstaan.

Toezicht met focus op volwassenheid

Namens de NVWA ging Jacqueline van der Wielen in op het toekomstige toezicht. De NVWA ziet cyberveiligheid als een belangrijk onderdeel van voedselzekerheid en wil bedrijven helpen om hun volwassenheidsniveau te verhogen. De focus ligt in eerste instantie op inzicht en verbetering. Daarbij wordt onder meer gekeken naar governance, risicobeheersing en incidentrespons. Ook wees Van der Wielen op de pilot waarmee bedrijven zichzelf kunnen toetsen op hun voorbereiding op de nieuwe wetgeving.

Daarnaast wordt gewerkt aan intensieve samenwerking tussen de verschillende Nederlandse toezichthouders die verantwoordelijk zijn voor de uitvoering van de Cyberbeveiligingswet. Ook op Europees niveau vindt overleg plaats om kennis en ervaringen uit te wisselen en zoveel mogelijk tot een consistente aanpak te komen.

Van compliance naar weerbaarheid

Diederik van Batenburg van FrieslandCampina gaf een inkijkje in de praktijk. Zijn belangrijkste boodschap was dat organisaties niet moeten streven naar een eenmalige compliance-oefening, maar naar structurele weerbaarheid.

FrieslandCampina koos voor een aanpak in drie stappen: eerst governance organiseren, vervolgens de belangrijkste bedrijfsprocessen en systemen in kaart brengen en daarna gerichte verbetermaatregelen doorvoeren. Daarbij bleek dat cyberveiligheid alleen succesvol kan worden ingebed wanneer bestuurders, business units en IT gezamenlijk verantwoordelijkheid nemen.

Een belangrijke les uit de praktijk is dat organisaties vaak direct naar technische maatregelen kijken, terwijl het identificeren van kritieke bedrijfsprocessen juist een logische eerste stap is. Welke processen moeten absoluut blijven draaien? Welke systemen ondersteunen deze processen? En welke gevolgen heeft uitval voor klanten, leveranciers of productie? Het beantwoorden van die vragen helpt om prioriteiten te stellen en investeringen gericht in te zetten.

Van Batenburg benadrukte bovendien dat cyberveiligheid alleen succesvol kan worden ingebed wanneer ook bestuurders en business units actief betrokken zijn. Zonder duidelijke eigenaarschap en bestuurlijke aandacht blijft cyberveiligheid te vaak beperkt tot de IT-afdeling, terwijl de gevolgen van incidenten de gehele organisatie raken.

Oefenen blijft achter

Een opvallende uitkomst van de polls tijdens het webinar was dat bijna twee derde van de deelnemers nog nooit een cyberoefening heeft uitgevoerd. Juist dat werd door de sprekers gezien als een belangrijk aandachtspunt.

Een cyberincidentoefening hoeft niet ingewikkeld te zijn. Het doorlopen van een fictief scenario levert vaak direct inzichten op over verantwoordelijkheden, communicatie en de beschikbaarheid van procedures wanneer systemen uitvallen. Tijdens het webinar werd een voorbeeld genoemd van een organisatie die tijdens een oefening ontdekte dat alle noodprocedures uitsluitend digitaal beschikbaar waren. Op het moment dat systemen zouden uitvallen, bleek niemand daar nog toegang toe te hebben.

Van verplichting naar actie

De Cyberbeveiligingswet draait uiteindelijk niet alleen om naleving van regelgeving. Het doel is het vergroten van de weerbaarheid van individuele bedrijven én van de ketens waarvan zij deel uitmaken. De boodschap van alle sprekers was dan ook eensluidend: begin vandaag. Organisaties die nu investeren in governance, risicobeheersing en incidentrespons zijn niet alleen beter voorbereid op toezicht, maar vooral beter bestand tegen de cyberdreigingen van vandaag.

Belangrijkste takeaways

• Cyberveiligheid is geen IT-project, maar een verantwoordelijkheid van de hele organisatie.
• Begin met het identificeren van kritieke bedrijfsprocessen en systemen.
• Leg verantwoordelijkheden en eigenaarschap expliciet vast.
• Kijk niet alleen naar de eigen organisatie, maar ook naar leveranciers en ketenpartners.
• Zorg voor een actueel incident response plan en test dit regelmatig.
• Oefen cyberincidenten; veel organisaties doen dit nog onvoldoende.
• Maak gebruik van de beschikbare ondersteuning van het NCSC en de NVWA.
• Streef niet alleen naar compliance, maar naar structurele cyberweerbaarheid.

Meer informatie

• NCSC / MijnNCSC-portaal
• NCTV-webinars over NIS2 en de Cyberbeveiligingswet
• Q&A Cyberbeveiligingswet