Spring naar content

Energiesector nog niet volledig klaar voor Cyberbeveiligingswet

De energiesector in Nederland zet duidelijke stappen richting naleving van de aankomende Cyberbeveiligingswet (Cbw), maar uit recente cijfers blijkt dat veel organisaties zichzelf nog niet volledig voorbereid achten. Vooral op het gebied van ketenbeveiliging, bestuurstraining en cryptografiebeleid liggen nog belangrijke uitdagingen.

In Nederland gaat binnenkort de Cyberbeveiligingswet in werking . De Rijksinspectie Digitale Infrastructuur (RDI) zal toezicht houden op de naleving binnen de energiesector.

Grote impact voor energiesector

De energiesector behoort tot de kritieke sectoren die onder de nieuwe wetgeving vallen.

Organisaties zien vooral tekortkomingen in drie gebieden

Uit de Quickscan blijkt dat organisaties in de energiesector zichzelf met name lager beoordelen op drie onderdelen:

  1. het verminderen van risico’s in de toeleveringsketen;
  2. het trainen van alle bestuursleden;
  3. beleid en procedures rondom cryptografie en encryptie.

Dat betekent niet dat organisaties volledig achterlopen, maar wel dat zij deze onderwerpen zien als prioritaire verbeterpunten voordat de wet van kracht wordt.

Toeleveringsketen blijft grootste uitdaging

De grootste zorg lijkt te liggen bij de beveiliging van leveranciers en ketenpartners. Onder de Cyberbeveiligingswet zijn organisaties niet alleen verantwoordelijk voor hun eigen systemen, maar ook voor risico’s die ontstaan via leveranciers.

Dat vraagt om uitgebreide risicoanalyses:

  • welke leveranciers zijn kritisch voor de continuïteit;
  • welke processen zijn afhankelijk van externe partijen;
  • welke data delen organisaties met leveranciers;
  • welke gevolgen heeft een cyberincident bij een leverancier.

De wet verlangt dat organisaties met kritieke leveranciers concrete afspraken maken over cybersecuritymaatregelen. Dat maakt ketenbeveiliging complex, zeker in een sector waar veel organisaties afhankelijk zijn van gespecialiseerde technologiepartners en internationale leveranciers.

Bestuurders moeten aantoonbaar worden getraind

Een tweede opvallend aandachtspunt is governance. Volgens de Cyberbeveiligingswet moeten uitvoerende bestuurders verplicht cybersecuritytrainingen volgen. Organisaties moeten bovendien kunnen aantonen dat die kennis actueel blijft, bijvoorbeeld via certificering.

Voor veel organisaties betekent dit een cultuurverandering. Cybersecurity verschuift daarmee van een puur IT-thema naar een verantwoordelijkheid op bestuursniveau.

Toezichthoudende commissarissen en niet-uitvoerende bestuurders vallen overigens buiten deze verplichte trainingsplicht.

Cryptografiebeleid vaak nog onvoldoende uitgewerkt

Ook beleid rondom cryptografie en encryptie blijkt nog niet overal voldoende ontwikkeld. De wet verplicht organisaties passende technische en organisatorische maatregelen te nemen om data en systemen te beschermen.

Cryptografie speelt daarin een centrale rol, bijvoorbeeld voor:

  • het versleutelen van gegevens;
  • veilige communicatie;
  • verificatie van afzenders;
  • bescherming van data-integriteit.

Hoewel encryptie in veel organisaties technisch al wordt toegepast, ontbreekt volgens de Quickscan vaak nog formeel beleid of zijn procedures onvoldoende vastgelegd.

Waar de energiesector juist sterk op scoort

Tegelijkertijd laat de Quickscan zien dat de energiesector op verschillende onderdelen al relatief volwassen is.

Incidentbehandeling goed ingericht

Veel organisaties beschikken al over duidelijke processen voor:

  • registratie van incidenten;
  • beoordeling van impact;
  • afhandeling;
  • rapportage aan management.

Dat is niet verrassend, aangezien veel energiebedrijven al jarenlang onder verhoogd toezicht vallen vanwege hun vitale rol.

Sterke inzet op authenticatie en communicatie

Ook op het gebied van multifactor-authenticatie en beveiligde communicatie scoort de sector relatief goed. Organisaties maken steeds vaker gebruik van:

  • MFA-oplossingen;
  • continue authenticatie;
  • beveiligde spraak- en tekstcommunicatie;
  • noodcommunicatiesystemen.

Rapportageverplichtingen serieus genomen

Daarnaast geven respondenten aan dat zij al snel informatie delen over cyberdreigingen en mogelijke beheersmaatregelen. Dat sluit aan bij de nadruk die NIS2 legt op snelle meldingen en samenwerking binnen vitale sectoren.

Conclusie

De energiesector lijkt op veel operationele onderdelen al behoorlijk volwassen op het gebied van cybersecurity. Vooral incidentrespons, authenticatie en rapportageprocessen zijn vaak goed ingericht.

Toch tonen de resultaten aan dat veel organisaties zichzelf nog niet volledig klaar achten voor de Cyberbeveiligingswet. Met name ketenbeveiliging, bestuurlijke verantwoordelijkheid en formeel cryptografiebeleid vragen nog aanzienlijke aandacht.

De komende periode zal voor veel energieorganisaties daarom in het teken staan van professionalisering, governance en het versterken van samenwerking binnen de gehele digitale toeleveringsketen.

Bron: https://www.linkedin.com/posts/cyberbeveiliging-quickscan-rdi-share-7460272615530860545-Qwo9?utm_source=share&utm_medium=member_ios&rcm=ACoAAABTY54BbcjGaIzbGMVL1PUvlsTTuk5O4aQ

 

Gerelateerde artikelen

ISO-certificering voor NIS2? Voor de meeste bedrijven veel te zwaar

77,6% van de organisaties kwetsbaar voor e-mailspoofing volgens nieuw DMARC-rapport

Elke betaling aan hackers maakt de volgende hack waarschijnlijker

Echt Niet Vandaag actiedag op 3 juni: meld je aan

500 directies gingen je al voor
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht