Cyberrisico’s risicorelevante bedrijven: gericht toezicht nodig

Nieuws van het LEC Industriële Veiligheid, april 2025

In maart verscheen het eindrapport van het onderzoek naar cyberrisico’s bij risicorelevante bedrijven. De verkennende studie werd in opdracht van het LEC Industriële Veiligheid (LEC IV) uitgevoerd door bureau Oostkracht10. De publicatie van het rapport vond plaats tegen de achtergrond van de nieuwe Cyberbeveiligingswet, die dit jaar van kracht wordt. Als gevolg van die wet zal de inspectiedruk op het thema cyberveiligheid door de Inspectie Leefomgeving en Transport en de Rijksinspectie Digitale Infrastructuur aanzienlijk toenemen. De veiligheidsregio’s zijn niet deskundig op cybergebied, maar kunnen bij hun toezichttaken in het kader van industriële veiligheid wellicht wel een signalerende functie op cyberveiligheid vervullen.

De conclusies van de studie naar cyberrisico’s liegen er niet om: de industrie is een geliefd doelwit voor cybercriminelen. Hacking kan een criminele achtergrond hebben (geldelijk gewin/losgeld/bedrijfsspionage) maar kan ook sabotage tot doel hebben (terrorisme/statelijke actoren). In 2023 is maar liefst 95 procent van de industriële bedrijven in Nederland minimaal één keer doelwit geweest van een cyberaanval.

Wettelijk kader

De urgentie voor het structureel en robuust borgen van de cyberveiligheid wordt echter nog lang niet overal in de industrie voldoende gevoeld en sluitende landelijke wetgeving voor toezicht op dit thema was er tot voor kort niet. Daar komt verandering in met de komst van de Cyberbeveiligingswet die dit jaar van kracht wordt. De wet vervangt de Wet beveiliging netwerk- en informatiesystemen, op grond waarvan uitsluitend toezicht werd gehouden op de digitale infrastructuur van de energiesector en vitale digitale dienstverleningsprocessen. De Cyberbeveiligingswet regelt ook het toezicht op de sectoren chemie, afvalstoffenbeheer en afvalwater. Veel meer bedrijven vallen dan onder de inspectieplicht voor cyberveiligheid, die is belegd bij de Inspectie Leefomgeving & Transport (IL&T) en de Rijksinspectie Digitale Infrastructuur (RDI). Aan de stuurgroep van het project namen een specialist van IL&T en een collega van Veiligheidsregio IJsselland deel.

Signalerings-, bestrijdings- en beheerssystemen

Het onderzoek in opdracht van het LEC IV richtte zich niet op de digitale kant van de procestechniek, maar op de ‘rechterkant van de vlinderdas’, de systemen voor het signaleren, bestrijden en beheersen van incidenten bij risicorelevante industriële bedrijven. Dat is immers het primaire aandachtsgebied van de veiligheidsregio’s bij de uitvoering van hun IV advies- en toezichttaken. De vragen die de input vormden van het verkennend onderzoek waren: in hoeverre zijn detectie- en brandbestrijdingssystemen en andere digitaal aangestuurde veiligheidsvoorzieningen kwetsbaar voor cyberaanvallen? Welke scenario’s kunnen zich voordoen? Met welke maatregelen kunnen die cyberrisico’s worden verminderd? En hebben veiligheidsregio’s in hun IV-inspectietaken ook een rol te spelen in het toezicht op de cyberbeveiliging van de genoemde systemen?

Conclusies

De samenvattende conclusie van het onderzoek, in een notendop samengevat, is dat informatie- en besturingssystemen voor detectie-, brandbestrijdings- en beheerssystemen voor veiligheidstechniek in de moderne bedrijfsomgeving kwetsbaarder worden voor cyberaanvallen. Steeds vaker worden deze systemen gecombineerd met kunstmatige intelligentie en, bekabeld of draadloos, op afstand beheerd en bestuurd via de digitale snelweg. Daardoor zijn ze bij onvoldoende bescherming ook toegankelijk voor hackers met kwaadwillende bedoelingen. De genoemde systemen zijn over het algemeen ook gemakkelijker toegankelijk en te beïnvloeden dan de operationele technologie van bedrijven.

Het is niet heel waarschijnlijk dat detectie- en bestrijdingssystemen het eerste doel zijn bij een cyberaanval. Maar het is ook niet uit te sluiten; kwaadwillenden die in staat zijn operationele technologie te ontregelen, kunnen in het verlengde daarvan ook proberen de stationaire ‘lines of defense’ uit te schakelen, om zo hun beschermende werking teniet te doen. De onderzoekers hebben in het kader van de studie verschillende scenario’s beschreven om mogelijke effecten van ontregeling van BBS-systemen in beeld te krijgen.

Mogelijke maatregelen om de kwetsbaarheid van veiligheidstechniek te verminderen zijn onder andere: brandmeldsystemen uitvoeren als ‘stand-alone installaties’, netwerksegmentatie en robuuste firewalls, het niet toestaan van automatische (firmware)-updates en het beperken en streng controleren van fysieke toegang tot informatie- en netwerkcomponenten.

Toezicht

In het onderzoek werd ook verkend hoe het toezicht op de cyberveiligheid van de genoemde veiligheidstechniek kan worden ingericht en wat de rol van de veiligheidsregio’s hierin kan zijn. Het LEC IV stelt vast dat het cyberdomein dermate specialistisch is, dat toezichthouders van de veiligheidsregio’s onvoldoende inhoudelijke kennis hebben om toezicht te houden op de beschermingsgraad van de digitale bedrijfsomgeving. Bovendien zijn andere toezichthouders op grond van de Cyberbeveiligingswet aangewezen om via inspecties toezicht te houden op dit belangrijke thema.

Wel kunnen de toezichthouders van de veiligheidsregio een signaleringsfunctie vervullen. Bijvoorbeeld door tijdens een Seveso-inspectie aan de hand van een vragenlijst over cyberveiligheidsthema’s een indruk te krijgen van hoe actief een bedrijf is in het waarborgen van de digitale veiligheid. Die informatie kan dan vervolgens worden gedeeld met de IL&T.
Er wordt vanuit de veiligheidsregio’s niet actief gestuurd op dergelijke thema-inspecties.
Het rapport is aangeboden aan de cyberspecialisten van IL&T, zodat zij kennis kunnen nemen van een aantal cyberrisico’s in ons vakgebied; systemen voor het signaleren, bestrijden en beheersen van incidenten bij risicorelevante bedrijven.

Download het onderzoeksrapport