Er zit een grote, langwerpige sticker over het naambord in de hal bij de ingang. Rijksinspectie Digitale Infrastructuur staat erop, maar de oude naam Agentschap Telecom schijnt erdoorheen. We zijn in de Amersfoortse vestiging van de organisatie die Nederland veilige verbondenheid belooft. Noem de RDI meer dan toezichthouder, en zeker niet alleen voor de telecom- en energiesector. Het is een sector-overstijgende netwerkorganisatie, een maatschappelijk regisseur met cybersecurity als belangrijke pijler, vertelt Angeline van Dijk, inspecteur-generaal bij de Rijksinspectie Digitale Infrastructuur (RDI).
We worden onthaald in een discreet kantoorpand pal naast treinstation Amersfoort Centraal. In de ruimte waar we de inspecteur-generaal spreken, klinkt luide muziek van festivalband Prins S. en de Geit. Eventjes ontspannen tussen twee gesprekken door, is het idee. Als we luisteren naar de dancebeats, staan we niet bij stil bij de wonderlijke weg die de muziek aflegt: vanuit de cloud through allerlei bekabelde en onbekabelde infrastructuur uiteindelijk gestreamd op de smartphone op tafel. Het lijkt vanzelfsprekend, maar is dat niet.
Andere naam
De missie van uw organisatie is Nederland veilig te verbinden is door beschikbare en betrouwbare it- en communicatienetwerken. Hoe zorgen jullie ervoor dat ik met een gerust hart muziek stream op mijn mobieltje?
Angeline van Dijk: ‘Als toezichthouder zien we erop toe dat marktpartijen en apparatuur werken zoals ze behoren te doen. We brengen risico’s in kaart en zorgen ervoor dat deze zo klein mogelijk zijn. Bijvoorbeeld door bedrijven te informeren en burgers te adviseren. We richten ons daarbij op drie hoofdpijlers: digitale weerbaarheid, apparatuur en infrastructuur.
Door te certificeren, controleren, signaleren en handhaven waarborgen we de beschikbaarheid, continuïteit en kwaliteit van de digitale infrastructuur in Nederland. Dat raakt veel onderdelen van de maatschappij. Denk aan telecom, energie, cloud computing, online-marktplaatsen, vertrouwensdiensten, iot, industriële processen en de cyberweerbaarheid van dat alles.’
Wat was de aanleiding van jullie naamsverandering, start dit jaar?
‘Het werk beperkt zich niet tot onze traditionele aandachtsgebieden telecom en energie. Start 2023 schudden we de sectorale aanpak van ons af. Agentschap Telecom heet sindsdien Rijksinspectie Digitale Infrastructuur, een horizontaal georiënteerde toezichthouder door alle sectoren heen. We werken veel samen met andere toezichthoudende instanties, zoals de Inspectie Leefomgeving en Transport en de Inspectie Justitie en Veiligheid. Ik zie onszelf als het oliemannetje van de toezichthouders. Onze thema’s raken iedereen.
Een ander verschil is onze aanpak. Het agentschap was traditioneel vooral gericht op naleving en handhaving. De RDI heeft meer de functie van maatschappelijk regisseur. We komen graag bij marktpartijen over de vloer en proberen bovenop de ontwikkelingen te zitten. Hierdoor kunnen we steerage geven, zodat alle betrokkenen weten wat er van ze wordt verlangd.
Aan ons de taak om technologische en maatschappelijke ontwikkelingen vroegtijdig te herkennen en er op in te spelen. Ook vanuit andere Europese landen kijken ze naar wat wij doen. Nederland loopt voorop in digitalisering, qua continuïteit, bereikbaarheid en betrouwbaarheid. Denk aan de uitrol van 5G, de koppeling tussen it en operationele technologie, en de aandacht die de enterprise heeft voor veiligheid en innovatie.’
Boardroom
Technologische ontwikkelingen gaan razendsnel. Loopt een toezichthouder niet per definitie achter de feiten aan?
‘We besteden veel tijd aan het proactief volgen van de ontwikkelingen. Alleen zó blijven we op de hoogte van huidige en potentiële risico’s. We doen dit door nauwe samenwerking met andere toezichthouders en met marktpartijen. Zo organiseren we in ons eigen iot-lab pilots samen met fabrikanten van iot-apparatuur. Hier testen we nieuwe producten en bepalen we of ze voldoen aan aanstaande wetten en regels. Europese collega’s zeggen weleens jaloers dat wij het enige federale lab in Europa zijn.
Iot-producten met een hoog risico, zoals zonnepanelen en laadpalen, checken we proactief op hun cybersecurity. Het gaat daarbij ook om buitenlandse fabrikanten die hun producten in Nederland willen verkopen en daarvoor moeten aangeven dat hun product aan de eisen voldoet. Vooral in de beginfase vindt niet iedereen het leuk dat we er zo dicht op zitten. Maar uiteindelijk ziet ook de branche de voordelen van samenwerking in. Ik noem dat ook wel co-creatie.’
U heeft het weleens gehad over het meekijken in de boardroom van bedrijven. Hoe zit dat?
‘Voor alle nieuwe technologie geldt dat zowel de aanbieder als de gebruiker de impression moet doorzien. Heb ik inzicht in de risico’s die de technologie met zich meebrengt, hoe bepaal ik de impression van deze risico’s, wat vind ik daarbij nog aanvaardbaar? Ze moeten een plan maken, dit testen en bijstellen.
Als toezichthouder hebben we een belangrijk distinctive promoting level ten opzichte van bijvoorbeeld certificerende instanties: we kunnen bij elke marktpartij afdwingen om mee te kijken onder de motorkap. Dat is veel meer waard dan een bedrijf op papier beoordelen, bijvoorbeeld op foundation van een iso-certificaat.
Zo’n fabrikant moet laten zien dat hij de hele samenhang van it, ot en toeleveranciers snapt en begrijpt wat daarvan de gevolgen voor de cybersecurity zijn. Als het moet, kunnen wij de systemen van de leverancier inzien. Ondertoezichtgestelden zijn in principe verplicht om daaraan mee te werken. Zulke bedrijven hebben bovendien een zorg- en meldplicht. Als ze niets van zich laten horen of juist heel vaak, dan weten we dat we er maar eens moeten langsgaan.’
Regelgeving
Angeline van Dijk: ‘We willen bedrijven niet
onnodig schaden. Da’s wel zo professioneel.’
[Foto’s: Daan Muller]
Welke pressiemiddelen hebben jullie voor marktpartijen die hun zaakjes niet op orde hebben?
‘We hebben de beschikking over een palet aan handhavingsmaatregelen. Dat loopt van agendering, signalering, verplichte audits en bindende aanwijzingen, tot boetes en final onder dwangsom als zwaarste maatregelen. Maar zo’n zware maatregel willen we natuurlijk voorkomen.
Ik zie het als onze taak om vroegtijdig bij elkaar over de vloer te komen, zodat we weten wat er speelt en wat er aankomt. We worden ook uitgenodigd door bedrijven, doen samen pilots en bouwen zo een vertrouwensrelatie met hen op. Maar we nemen wel onze verantwoordelijkheid. Als mensen wegkijken, doen wij de stap naar voren. We leggen dus wel degelijk soms een maatregel op. Dat je daarvan niet altijd iets terugleest, komt doordat we dit liever niet aan de grote klok hangen. We willen bedrijven niet onnodig schaden. Da’s wel zo professioneel.’
Het lijkt me een omvangrijke taak om van alles op de hoogte te blijven.
‘Er is inderdaad genoeg te doen, need er komt veel nieuwe regelgeving op ons af. Zoals de Radio Gear Directive 3.3 en de Cyber Resilience Act, Europese verordeningen over de cyberveiligheid van apparatuur. Die regels zijn nog niet officieel ingevoerd, maar fabrikanten proberen er wel aan te voldoen. Of wat dacht je van de gloednieuwe AI Act? We moeten snappen wat er op dit thema speelt en waar we aan toe zijn. De ontwikkelingen op ai-gebied gaan razendsnel, bijvoorbeeld met de hype rond giant language fashions zoals ChatGPT. In de VS zijn ze veel verder met de {hardware}, de kennis en non-public investeringen. In de EU lopen we dan weer voorop qua restrictief ai-beleid.
Om de impression van artificiële intelligentie te beoordelen en er op te kunnen acteren, openen we een ai-lab, een beetje vergelijkbaar met ons bestaande iot-lab. Met zo’n ai-lab bouwen we al vroeg kennis en experience op. We nemen samen met marktpartijen en collega-toezichthouders de werking van algoritmes onder de loep en bekijken hoe we veiligheidsniveaus kunnen inbouwen.’
Inspectiebeeld
Wat is uw indruk van de cybersecurity in Nederland?
‘Kortgeleden publiceerden wij samen met zes andere toezichthouders het ‘Samenhangend Inspectiebeeld Cybersecurity Vitale Processen 2023’. Het geeft een beeld van de inspectieresultaten van vorig jaar en toont aandachtspunten op het gebied van cybersecurity, zoals risicomanagement. We zien de afgelopen tijd meer betrokkenheid op bestuursniveau. Er is groeiende aandacht voor zaken als de digitale dreiging in de leveranciersketen. Maar er blijft ruimte om de cyberhygiëne en het risicomanagementproces te verbeteren. Zoals bij toegangsbeveiliging. Die is vaak gericht op het buitenhouden van onbevoegden in informatiesystemen, maar zou zich ook moeten richten op de logische toegang voor eigen medewerkers, leveranciers en klanten.
Marktpartijen staan onder aanzienlijke druk door de dynamiek van de cybersecurityregelgeving. Naast de eerdergenoemde Cyber Resilience Act en de Radio Gear Directive verschijnt volgend jaar de opvolger van de Moist beveiliging netwerk- en informatiesystemen. Dit is de Nederlandse implementatie van de geüpdatete EU-richtlijn Netwerk & Informatiebescherming. Hierbij krijgen aanbieders van essentiële diensten en die van digitale diensten een zorgplicht en een meldplicht. Zij moeten dan proactief voldoen aan bepaalde verplichtingen.’
Politiek
We staan voor de Tweede Kamerverkiezingen. Wat is uw advies aan de politiek?
‘Er moet een debat komen over de voor- en nadelen van ai. Laten we state of affairs’s maken van hoe we omgaan met veiligheidseisen, wat de gevolgen voor de arbeidsmarkt zijn, hoe we welke modellen inzetten en hoe we zorgen dat ons land de boot niet mist. We moeten geld vrijmaken om dit te onderzoeken, bijvoorbeeld through ons toekomstige ai-lab. We moeten geld sowieso nog slimmer inzetten. Er is veel price range voor awareness-campagnes, maar ik zou liever meer investeren in het voorkomen van cyberdreigingen. Dus niet alleen waarschuwen, maar ook echt met bedrijven aan de slag om incidenten te voorkomen.’
Samen met marktpartijen aan de slag, het is de rode draad van ons gesprek met inspecteur-generaal Van Dijk. Door nauwe samenwerking met leveranciers en medetoezichthouders hoopt de ‘maatschappelijk regisseur’ RDI boven op de technologische ontwikkelingen te zitten en Nederland ook in de toekomst veilig verbonden te houden. Zodat wij onbezorgd Prins S. en de Geit kunnen streamen, zonder stil te staan bij de wonderlijke weg die de dancebeats daarvoor afleggen.
(Dit artikel staat ook Computable-magazine #05-06/23)
Rijksinspectie Digitale Infrastructuur (RDI)
De RDI ontstond in januari 2023 uit het Agentschap Telecom (AT). Aan het eind van dit jaar werken er ongeveer 430 fte’s, doorgroeiend naar 470. Het zijn vooral techneuten en ict-auditors. Volgens inspecteur-generaal Angeline van Dijk is er veel belangstelling van it’ers en personen met technische knowhow. Aangezien de RDI ‘zeer kennisrijk’ wil blijven, is kortgeleden een opleiding Radiotechniek gestart. RDI is de Nationale Cybersecurity Certificeringsautoriteit (NCCA) en houdt toezicht op de certificering van ict-producten, -diensten en -processen. De organisatie ziet ook toe op het gebruik van radiofrequenties en op de uitrol van glasvezelnetwerken. De organisatie is gevestigd in Groningen en Amersfoort en valt onder het ministerie van Economische Zaken & Klimaat (EZK).