Op 17 juni organiseerde Thematisch Netwerk EZI (Economische Zaken, Energietransitie, MKB en Innovatie) weer een online bijeenkomst op het gebied van digitale veiligheid. Het netwerk stelde eerder het onderwerp cybersecurity centraal nav het incident in de Rotterdamse haven, toen voor het eerst goed duidelijk werd hoe de fysieke wereld onderuit kan gaan bij een digitale aanval. Later organiseerde het netwerk een mini-symposium, aan de hand van bijdragen uit de technische en juridische praktijk, hoe om te gaan met de uitdaging dat de overheid de verantwoordelijkheid heeft voor onze veiligheid, terwijl de digitale infrastructuur grotendeels in private handen is. Dit keer was operational technology (OT) aan de beurt.
Bij operational technology (OT) gaat het over meet- en regelsystemen die steeds vaker gedigitaliseerd zijn, of in een digitale omgeving worden opgenomen voor bijvoorbeeld energienetwerken, waterbeheer, bruggen en sluizen en in de industrie. De aard van die systemen is wezenlijk anders dan die van reguliere IT-systemen, waar de aandacht voor veiligheid de laatste jaren goede vooruitgang heeft geboekt. OT staat minder op de radar, ook omdat wij nog niet dagelijks met kwetsbaarheden zijn geconfronteerd. Toch zijn er nationaal als ook internationaal voorbeelden van maatschappelijke ontwrichting als OT-systemen onderuit gaan, ook omdat die systemen in toenemende mate verbonden raken. Initiatiefnemer voor dit onderwerp was Jeroen Gaiser, gastdocent cyber physical systems bij de Rijksuniversiteit Leiden en werkzaam bij Rijkswaterstaat. Hij schetste de context van het onderwerp. Luisella ten Pierik, Chief Information Security Officer (CISO) van Stedin vervolgde met de uitdagingen en dilemma’s in de wereld van energienetwerken, en Piet Sennema, secretaris-directeur van Waterschap Aa en Maas belichtte de risico’s in het waterbeheer, waar het gaat om zowel fysieke veiligheid (waterkeringen), maar ook de gezondheid (waterzuivering). Aansluitend hield VVD-Europarlementariër Bart Groothuis een gloedvol betoog over Europese wetgeving die in voorbereiding is, mede vanuit zijn rol als speciaal rapporteur voor het Europees Parlement voor de implementatie van de Europese Richtlijn op het gebied van netwerk- en informatiebeveiliging (NIS). Op de zeer hete zomeravond was een vijftigtal professionals en geïnteresseerden aanwezig met waardevolle vragen en suggesties. Om stipt negen uur werd de sessie beëindigd ivm de EK-wedstrijd Nederland-Oostenrijk, maar in de app-groep Digitalisering van het Thematisch Netwerk EZI ging de discussie vrolijk voort.
VVD-Tweede Kamerlid Queeny Rajkowski, die nog maar net het woordvoerderschap cybersecurity van Dilan Yeşilgöz had overgenomen, maakte zich zorgen over het MKB, dat niet altijd over de middelen beschikt om digitale veiligheid voldoende aandacht te geven. Het is de vraag of het Digital Trust Center van EZK ook dit onderwerp in voldoende mate in beeld heeft. Bart Groothuis wees op de enorme groei in incidenten en dat het vooral statelijke actoren zijn die de digitale veiligheid bedreigen, maar bood ook een inkijkje in het grote aantal EU-initiatieven om de weerbaarheid te verhogen. Als voormalig hoofd van het bureau cybersecurity van het ministerie van Defensie was het voor Bart een thuiswedstrijd, zij het vanuit Brussel. Piet Sennema benadrukte het belang externe partijen te betrekken bij het testen van de veiligheid. Luisella ten Pierik van Stedin weesp op tegenstrijdige wetgeving voor de gereguleerde energiesector. Dat maakt het niet altijd gemakkelijk voor netwerkbedrijven. Bovendien staan Europese aanbestedingsregels een veilige keuze wel eens in de weg. Bij de aanschaf van defensiematerieel kan een beroep op de nationale veiligheid de Europese aanbestedingsregels opzij zetten. Die behoefte blijkt ook te bestaan in vitale sectoren. Bart kon de aanwezigen geruststellen met de mededeling dat die verruiming aanstaande is. Gelet op het feit dat Rusland tot de meest offensieve landen behoort op digitaal vlak, kwam ook de ontmoeting Biden-Putin in Geneve ter sprake. Biden zou Putin een lijstje hebben overhandigd van sectoren waar Rusland beslist niet aan moet komen om daarmee een duidelijke, rode lijn te markeren. Op de vraag of Europa ook al een dergelijk lijstje heeft opgesteld moest Bart bekennen dat het goed zou zijn als daaraan gewerkt zou worden.
De belangrijkste aanbevelingen uit de sessie zijn als volgt samen te vatten:
- Beleid op het gebied van cyberveiligheid in het OT domein moet nadrukkelijk onderscheiden worden van beleid in het IT domein. Die werelden zijn wezenlijk anders, terwijl het beleid nu te vaak op één hoop wordt gegooid.
- Het toestaan van uitzonderingen op de aanbestedingsregels wanneer de (nationale) veiligheid in het geding is
- De definitie van vitale sectoren is te beperkt, maar als die wordt uitgebreid moet aan die uitbreiding wel reëel invulling kunnen worden gegeven
- Publiek-private samenwerking om de weerbaarheid te verhogen moet worden versterkt
- Behoefte aan dwingende regelgeving voor onafhankelijke, externe assessment van de veiligheid van vitale en bepaalde niet-vitale sectoren
- Inventarisatie van tegenstrijdige regelgeving waar vooral gereguleerde sectoren (energie, telecom) aan onderhevig zijn
De sessie krijgt nog een vervolg in de vorm van een serie aanbevelingen vanuit de praktijk. Daarmee was deze ‘uitzending’ over cybersecurity niet alleen een boeiende aflevering, maar leverde die ook concrete aanwijzingen op voor de politiek.