Rijksinspectie houdt toezicht op digitale veiligheid

Nederland is per 1 januari 2023 een instantie rijker die zorgdraagt voor de veiligheid van digitale producten en diensten: de Rijksinspectie Digitale Infrastructuur. Een gesprek met degene die de dienst gaat leiden: Angeline van Dijk. “Wij zorgen voor een veilig verbonden Nederland.”

Agentschap Telecom gaat verder onder de naam Rijksinspectie Digitale Infrastructuur. Deze naam sluit beter aan op de huidige maatschappelijke opgave waar de organisatie zich voor gesteld ziet. Daarbij gaat het steeds meer om zaken als de cyberweerbaarheid van vitale infrastructuren, telecom-security, AI en de veiligheid van online apparatuur.
De sterkere nadruk op apparatuur, producten en diensten die deel uitmaken van de digitale infrastructuur vindt Van Dijk volkomen logisch. In ons land is immers al een paar jaar een digitale transitie gaande. “Bovendien sluiten we dan aan op de strategie van Europa.”
In april 2021 heeft de Europese Commissie nieuwe regels en maatregelen voorgesteld om van Europa het mondiale centrum voor betrouwbare kunstmatige intelligentie (AI) te maken. De combinatie van het allereerste rechtskader voor AI en een nieuw gecoördineerd plan met de lidstaten zal de veiligheid en fundamentele rechten van mensen en bedrijven waarborgen en tegelijkertijd de invoering van AI, investeringen en innovatie in de hele EU versterken.
“Hoewel veel informatietechnologie wordt geïmporteerd, wil Europa toch dat de standaarden voldoen aan Europese wetgeving. Europa is bezig met een enorme inhaalslag. Uitgangspunt is Europese soevereiniteit op het vlak van informatietechnologie”, verklaart Van Dijk. “Wij gaan toezicht houden op de naleving van de vele regels die veilig digitaal verkeer mogelijk moeten maken.” Met ‘wij’ bedoelt Van Dijk de organisatie van vierhonderd medewerkers.

Stappenplan
Van Dijk schudt de ene na de andere letterafkorting uit de mouw. Om er meteen aan toe te voegen dat het niet belangrijk is om ze allemaal te onthouden. “De wet- en regelgeving verandert zo snel dat zij alweer gewijzigd zijn tegen de tijd dat ze in de praktijk massaal worden opgevolgd. Neem de NIS Directive; NIS 2 is in de maak. De verwachting is dat deze in de tweede helft van 2023 in werking treedt. Maar intussen spreekt men al van de Wbni: Wet Beveiliging Netwerk- en Informatiesystemen. De wet heeft al een andere naam voordat hij in werking is getreden. Zo snel gaat het. De wet regelt overigens een meldplicht van incidenten en een zorgplicht (treffen van beveiligingsmaatregelen) door digitale dienstverleners. Wij hebben een tool ontwikkeld waarmee de dienstverleners kunnen nagaan of ze al dan niet aan die wet moeten voldoen. Het is een heel dynamisch werkveld en er komt veel af op de fabrikanten, leveranciers en gebruikers. Aan ons de taak om mede ervoor te zorgen dat iedereen op de hoogte is van de regels. Aan de voorkant heb je immers het grootste effect.”
Tevens voelt de RDI de plicht om organisaties – de gebruikers van digitale producten en diensten – te helpen veilig om te gaan met die producten en diensten. “Het Agentschap Telecom heeft een 5-stappenplan ontwikkeld waarmee bedrijven zich goed kunnen voorbereiden op uitval van telecom en IT. En natuurlijk in toenemende mate ook OT, want die twee infrastructuren raken steeds meer met elkaar vervlochten. Het spreekt voor zich dat wij dit stappenplan actualiseren wanneer dat nodig is. Hiermee kunnen organisaties in elk geval in kaart brengen welke digitale risico’s zij lopen.”
Aanvullend biedt de inspectiedienst een quick scan aan die duidelijk maakt wat de gevolgen zijn van een uitval. En hoe je dat moet oppakken. “Dat gaat inderdaad richting disaster recovery.”
Regelmatig houdt de Rijksinspectie een conferentie met een bepaalde sector. Onlangs nog met de glastuinbouwsector. En op 10 november hebben we het gratis symposium ‘Opstap naar weerbaarheid’. Deskundigen van binnen en buiten Agentschap Telecom gaan dan in op het herstelvermogen na een digitaal incident.”

Eigen lab
Velen zijn bekend met de CE-certificering van producten die op de Europese markt worden gebracht. “Daar komt de CSA-certificering bij”, gaat Van Dijk verder. “De Europese Cybersecurity Act is een Europees certificeringstelsel voor producten, -diensten, en processen op het gebied van cybersecurity. Het is nu nog vrijwillig, maar alles wijst erop dat er een verplichting aan komt. Het doel is om zowel het beveiligingsniveau tegen cyberdreigingen te verhogen, als ervoor te zorgen dat fabrikanten en dienstverleners niet in elke lidstaat afzonderlijk een certificaat hoeven te behalen. De Europese regeling vervangt daarmee vergelijkbare nationale certificeringen. Ik vind het een heel mooie ontwikkeling die helpt om als samenleving cyberweerbaar te zijn. Er zijn instanties die een deel van de CSA-certificaten mogen afgeven. Wij waken ervoor dat dit goed gebeurt; wij bekijken of die instanties aan de eisen voldoen.”
In 2023 gaat de RDI apparatuur (denk aan routers, componenten voor de 5G-kern en dergelijke) en software op de pijnbank leggen. Daarna volgen de cloud-dienstverleners, componenten voor de kern van het 5G mobiele netwerk, en IoT-apparatuur. Later in het traject volgt het toezicht op software en diensten voor kunstmatige intelligentie.
“Wij hebben een eigen lab om de IoT-apparatuur te testen; om na te gaan of de veiligheid is gewaarborgd. Dat is hard nodig, want het aantal apparaten neemt enorm toe. Je moet ervoor zorgen dat ze niet storend werken en dat het dataverkeer dat ze genereren veilig verloopt.”

Samenwerken
Om zich goed van zijn taken te kwijten, werkt Agentschap Telecom samen met brancheorganisaties als de BTG, ECP, universiteiten en natuurlijk met fabrikanten en cloud-dienstverleners. “En wij zijn vanaf het begin betrokken bij nieuwe regelgeving als het over digitale veiligheid gaat. In de praktijk blijkt dat het echt nodig is om met fabrikanten in gesprek te zijn over hun producten voor de Europese markt. Wij kunnen dan aangeven welke aanpassingen eventueel nodig zijn.”
De wording van de nieuwe Rijksinspectie noemt Van Dijk ‘een hele grote stap voor ons inspectiewerk’. En voor een veilig verbonden Nederland.

Auteur: Teus Molenaar