Bestuurlijke aandacht voor cybersecurity cruciaal voor operationele technologie

Blog door Theo Henrar, voorzitter FME

Een belangrijke conclusie die we deze avond trokken is dat operationele technologie een vaste plek verdient op de bestuursagenda. Het inzichtelijk maken en doorgronden van OT-systemen, inclusief de leveranciersketen, vormt de essentiële basis om ze effectief te beschermen tegen digitale dreigingen.

Inspiratie en dialoog

Auke Huistra (DNV Cyber) en Maarten Abbenhuis (TenneT) boden ons concrete inzichten en praktische voorbeelden. Dit zorgde voor interessante discussies aan tafel. Huistra ging uitgebreid in op dreigingen, risico’s en de te nemen maatregelen binnen OT-systemen. Abbenhuis belichtte hoe TenneT invulling geeft aan de digitale transitie en cybersecurity, met bijzondere aandacht voor het belang van analoge fallback-opties, een onderwerp dat vaak bestuurlijk te weinig aandacht krijgt. 

Medewerkers actief betrekken

Naast het vergroten van bestuurlijke betrokkenheid, werd onderkend dat medewerkers actief in de besluitvorming betrokken moeten worden. Dit zorgt ervoor dat de uitvoering van cybersecuritybeleid daadwerkelijk aansluit op het strategisch beleid. Structureel testen van systemen, gecombineerd met het opleiden en trainen van personeel en regelmatig oefenen van uiteenlopende scenario’s – óók met ketenpartners – zijn onmisbare elementen om het herstelvermogen van organisaties te vergroten. Het gaat immers niet alleen om preventie, maar vooral ook om een snelle en effectieve reactie wanneer zich toch een incident voordoet.

Vijf strategische lessen 

Uit deze avond heb ik vijf strategische lessen meegenomen:

1. Weet wat je hebt: Zorg voor helder inzicht in systemen, netwerken en koppelingen, zeker bij overnames en in complexe OT-landschappen met legacy-systemen. Breng je volledige landschap, inclusief leveranciersketens in kaart. Dit is de basis.
2. Betrek medewerkers actief: Stimuleer betrokkenheid van medewerkers en voer de juiste discussies op bestuursniveau. Alleen gezamenlijk kan de kloof tussen beleid en praktijk worden overbrugd. Awareness begint bij gedrag, maar veiligheid vraagt om een cultuurverandering waarin security en privacy net zo geïntegreerd zijn als safety.
3. Test continu: Maak testen en oefenen (in scenario’s) onderdeel van elke fase: van ontwerp tot onderhoud., en weet wat werkt. Continu OTO (opleiden, trainen, oefenen) is cruciaal om effectief te reageren en te herstellen. 
4. Integreer security, privacy en safety: Doorbreek silo’s, omarm een holistische aanpak en zoek de samenwerking op. Zorg voor structurele kennisuitwisseling, leven lang leren en borging.
5. Zorg voor herstelvermogen: Incidenten zijn onvermijdelijk, maar schade is te beperken door goede voorbereiding. Richt je organisatie zo in dat je snel kunt reageren en herstellen. Zorg voor heldere rollen en onderling vertrouwen, zowel intern als in de keten.

Samenwerking cruciaal om veiligheid van de industrie te waarborgen

Alle deelnemers wil ik bedanken voor de open dialoog en de waardevolle inzichten. FME wil graag de organisatie van het volgende bestuurlijk evenement rond dit thema verzorgen. Samenwerking blijft immers cruciaal om de digitale veiligheid en continuïteit van onze industrie te waarborgen.