Onderzoek Cyberveiligheid Oost krijgt vervolg

Nieuws van het LEC Industriële Veiligheid, oktober 2022

Het gezamenlijke onderzoek naar cyberveiligheid in de Brzo-industrie in de oostelijke veiligheidsregio’s (Oost-5) krijgt een vervolg. Het onderzoek werd afgelopen voorjaar uitgevoerd en inmiddels zijn de resultaten geanalyseerd. De eindconclusie van het onderzoek is dat het risicobewustzijn bij bedrijven beter kan. Het Oost-5 samenwerkingsverband werkt aan plannen voor vervolgonderzoek, waarbij onder andere wordt bekeken voor wie toezicht op de beveiliging van kritieke ICT-systemen een taak is. De onderzoekers vinden een wettelijk landelijk toezichtkader voor cyberveiligheid in de industrie gewenst.

Volgens Fleur Smelt, medewerker risicobeheersing van Veiligheidsregio Twente, moet het onderzoek van afgelopen voorjaar worden gezien als een nulmeting, een eerste aanzet om cyberveiligheid nadrukkelijker op de agenda te zetten bij het toezicht op Brzo-inrichtingen. “De respons van bedrijven was met 12 reacties op 50 uitgevraagde bedrijven beperkt. En hoewel cyberveiligheid landelijk steeds meer aandacht krijgt, stellen we vast dat sommige Brzo-bedrijven zich nog onvoldoende bewust zijn van de effecten en reikwijdte van aanvallen op hun vitale ICT-systemen. Zij hebbenonvoldoende scherp op het netvlies dat een ICT-inbreuk niet alleen economische schade door productie-uitval kan veroorzaken, maar ook daadwerkelijk fysieke externe veiligheidsrisico’s kan opleveren voor de omgeving.”

Het oostelijk samenwerkingsverband wil vervolgacties opstarten, om het bewustzijn rond cyberveiligheid in de industrie verder te vergroten en een meer verdiepend vervolgonderzoek te doen. Dat onderzoek richt zich ook op de rol van de veiligheidsregio’s op dit thema, want cybersecurity is niet hun specialisme. Dus hoe ver strekt de rol en verantwoordelijkheid van de veiligheidsregio’s, in het bijzonder die van de Brzo-inspecteurs?

Coördinator risicobeheersing Myrte Sival vult aan dat gestructureerd toezicht op cyberveiligheid in de risico-industrie in feite landelijk via een wettelijk kader zou moeten worden geregeld. “Voor andere sectoren zoals bijvoorbeeld nucleaire installaties, bestaat zo’n kader. De Autoriteit Nucleaire Veiligheid en Straling, ANVS, is verantwoordelijk voor het volledige veiligheidstoezicht op nucleaire inrichtingen, inclusief de cyberveiligheid. Voor de Brzo-industrie zo’n centrale toezichthouder op cyberveiligheid er niet. De Brzo-inspecteurs kunnen het thema wel bespreken met bedrijven die zij tijdens inspecties bezoeken, maar inhoudelijke expertise op cybergebied hebben ze niet. Dus als het toezicht bij de veiligheidsregio’s zou worden belegd, hoe organiseren we die kennis dan? Moeten we inspecteurs gaan bijscholen of externe expertise inhuren tijdens inspecties? Onze voorkeur is om dit specialistisch toezicht bij een centrale autoriteit landelijk te beleggen.”

Bij het Veiligheidsberaad, als bestuurlijke koepel voor de veiligheidsregio’s, staat het thema cyberveiligheid en Brzo-industrie inmiddels op de agenda. Net als bij het LEC Industriële Veiligheid en haar onderliggend netwerk. Volgens Jan Meinster van het LEC staat het thema voor 2023 geagendeerd. Ook het LEC is van mening dat risicobewustzijn en toezicht een flinke upgrade verdienen. Jan Meinster: “Het toezicht op cyberveiligheid in de industrie is nu veel te versnipperd en zou inderdaad bij een landelijke autoriteit moeten worden belegd. De urgentie is er, want met de huidige grote internationale geopolitieke spanningen nemen ook de cyberrisico’s in de vitale sectoren en de industrie toe. Voorbeelden van bedrijven en vitale infrastructuren die zijn getroffen zijn er internationaal al. In Nederland bleek bij een eerdere analyse van cyberspecialisten onder andere de kwetsbaarheid van waterstaatkundige objecten, zoals sluizen en waterkeringen. We werken aan een voorstel voor een brede analyse van de cyberveiligheid in de Nederlandse industrie, die we als monoproject willen uitvoeren in het kader van het Meerjarenprogramma Versterking Omgevingsveiligheid.”

Voor de kortere termijn staat in 2023 een onderzoek op stapel naar cyberveiligheid in de industrie in relatie tot incidentbestrijding en stationaire brandbeveiligingssystemen. In hoeverre zijn bijvoorbeeld automatische detectie- en blussystemen te hacken? Of op afstand bediend incidentbestrijdingsmaterieel? Jan Meinster: “Ook bij incidentbestrijding wordt steeds meer draadloze op afstand bestuurbare techniek gebruikt. Daar richten we ons in eerste instantie op. Cyber is voor de komende jaren voor het Netwerk IV een belangrijk thema. Overigens moet niet alleen de industrie de focus op dit thema verscherpen, hetzelfde geldt voor landelijke overheden. Zo valt op dat het Agentschap Telecom onlangs ook onderzoek heeft gedaan naar cyberrisico’s in vitale sectoren, maar dat de Brzo-industrie in dat rapport niet voorkwam. Ook in de Cyberveiligheid strategie 2022-20228 van de NCTV wordt de industrie niet of nauwelijks genoemd. Er is dus nog veel werk aan de winkel voordat met een landelijk samenhangend beleid voor risicobeheersing en respons bij cyberincidenten alle vitale sectoren, inclusief de industrie, goed worden afgedekt.

Lees ook

09-07-2024
Bedrijfsbrandweeraanwijzingen en Omgevingswet: koppeling met ARIE-regeling bestaat niet meer

Met de inwerkingtreding van de Omgevingswet is de koppeling met de ARIE-regeling helemaal losgelaten.

25-06-2024
Meerjarenplan 2024-2027 LEC Industriële Veiligheid verder uitgewerkt

Het Meerjarenplan 2024-2027 van het LEC Industriële Veiligheid is voltooid en de eerste thema’s staan al op de agenda voor uitvoering.

25-06-2024
NFPA-cursus biedt waardevolle kennisupgrade

De eerste ervaringen met het leerblok over de NFPA-standaarden (NFPA = National Fire Protection Associaton) zijn positief.

25-06-2024
LBR-boekje deel 2 klaar voor distributie

Deze maand verschijnt het tweede deel van het LBR-boekje: een handreiking voor toepassing van de techniek- en systeemroute LBR (Landelijke Benadering Risicobedrijven) voor de Seveso-inspecteurs van de veiligheidsregio’s.

25-06-2024
Handreiking Advisering milieubelastende activiteiten online

De nieuwe handreiking leidt specialisten stap voor stap door het adviesproces bij vergunningtrajecten rond milieubelastende activiteiten. Met de komst van de Omgevingswet is dat adviesproces op een nieuwe leest geschoeid.

25-06-2024
Nederlandse rampbestrijdingsplannen in Europees perspectief

Tijdens een Europees seminar over rampbestrijdingsplannen trad Jan Meinster namens het LEC Industriële Veiligheid op als gastspreker.

25-06-2024
Livetest toont gebreken in de betrouwbaarheid van stationaire brandblussystemen aan

Het ‘live’ testen van stationaire brandblussystemen in hun bedrijfsomgeving is belangrijk om aan te tonen dat die systemen effectief en betrouwbaar zijn voor het bestrijden van de brandscenario’s waarvoor ze zijn bedoeld.

09-04-2024
Netwerkdag LEC Industriële Veiligheid 14 maart: leren van de industrie

De netwerkdag van het LEC IV op 14 maart jl. was ‘anders dan anders’. In plaats van de Brauerszaal van het NIPV was het voormalige klooster Mariënhof aan de rand van de historische binnenstad van Amersfoort de plaats van samenkomst voor de halfjaarlijkse bijeenkomst van de specialisten industriële veiligheid.

09-04-2024
Digitale PGS: interactief van risico’s en scenario’s naar doelen en maatregelen

Met de omzetting van de PGS-reeks naar PGS’en ‘Nieuwe Stijl’, die enkele jaren geleden is gestart, is voor deze serie richtlijnen ook het digitale tijdperk begonnen. De nieuwe risico- en scenariogestuurde werkwijze met ‘doorklikfuncties’ werkt immers alleen in een digitale omgeving.