Een gewaarschuwd bestuur telt voor twee – NOREA over digitale weerbaarheid
NOREA pleit de afgelopen jaren consistent voor het vergroten van de digitale weerbaarheid van onze maatschappij. We herkennen de digitale dreigingen die het Adviescollege voor ICT-toetsing schetst in haar rapport “Een gewaarschuwd mens telt voor twee” in alle sectoren. Ook zijn we positief dat dit rapport tal van concrete handvatten bevat voor de publieke sector.
“Dit rapport benoemt de urgentie glashelder; nu zijn concrete stappen noodzakelijk. NOREA en haar leden staan klaar om bij te dragen aan implementatie en samenwerking,” benadrukt Marc Welters, voorzitter NOREA.
In de praktijk
BIO-2 biedt een waardevol fundament, maar digitale weerbaarheid staat of valt met implementatie. Veel organisaties hebben moeite de beoogde maatregelen daadwerkelijk uit te voeren. Een plan is pas nuttig als het in de praktijk wordt waargemaakt. In de praktijk vraagt dit om bewustzijn in alle lagen van de organisatie, van werkvloer tot topmanagement, en nauwe samenwerking over afdelingen heen.
Iedereen moet zijn rol pakken, en naast goede technische basismaatregelen moet er ook voldoende geoefend worden. Realistische aanvalsscenario’s (red teaming) en regelmatige crisisoefeningen leren medewerkers om aanvallen te detecteren en effectief te reageren. Want zo wordt digitale veiligheid routine.
Aanbevolen mogelijkheden
Verschillende aanbevelingen uit het rapport sluiten naadloos aan bij het NOREA-manifest “Op naar een digitaal weerbare samenleving” en de focusgebieden van NOREA. Zo benadrukken zowel het rapport als NOREA dat digitale weerbaarheid thuishoort op bestuursniveau. Het is een echte chefsache. Bestuurders kunnen die verantwoordelijkheid niet langer afschuiven op de IT-afdeling.
Daarnaast is versterking van IT-vakmanschap cruciaal: stel hogere eisen aan professionals en stimuleer hun ontwikkeling. Zonder kundige mensen blijven plannen vaak theorie. Verder bepleit NOREA meer transparantie. Bijvoorbeeld via een jaarlijks IT-verslag (IDRS) waarin organisaties verantwoording afleggen over digitale veiligheid en waar een IT-auditor onafhankelijk assurance op geeft. Zulke stappen geven cyberweerbaarheid een structurele plek op de agenda. NOREA en haar leden staan klaar om te helpen bij de uitvoering van de aanbevelingen. Enkele mogelijkheden:
- Onafhankelijke toetsing van de implementatie van beveiligingsmaatregelen (zoals BIO-2) door IT-auditors, zodat bestuurders weten waar ze staan.
- Red teaming en pentesten om zwakke plekken op te sporen, in samenwerking met gespecialiseerde experts.
- IT-governanceverslagen (bijv. een jaarlijks IT-jaarverslag) met onafhankelijke assurance, als formele verantwoording over digitale risico’s.
- Bewustwordingssessies voor bestuurders (zoals NOREA’s boardroom-bijeenkomsten) om auditbevindingen en dreigingen te vertalen naar concrete actiepunten.
- Keten-audits en gezamenlijke cyberoefeningen, want een keten is zo sterk als de zwakste schakel.
Uitnodiging tot samenwerking
NOREA roept op tot gezamenlijke actie en kennisdeling. Overheidsorganisaties kunnen veel van elkaar leren op het gebied van digitale veiligheid. NOREA biedt de kennis, capaciteit en tools om hierbij te ondersteunen. Laten we de urgentie aangrijpen om Nederland digitaal weerbaarder te maken en zo samen zorgen dat een gewaarschuwd bestuur daadwerkelijk voor twee telt.
