De digitale voorsprong die het land decennialang koesterde, wordt steeds meer een tweesnijdend zwaard. Waar we ooit trots waren op onze digitale infrastructuur, maken diezelfde voordelen ons nu kwetsbaar voor cybercriminelen en statelijke actoren. Dimitri van Zantvliet, CISO bij NS en voorzitter van CISO Platform Nederland, schetst een beeld dat om verbetering vraagt.

“Het dreigingslandschap is de afgelopen twintig jaar enorm verslechterd”, constateert Van Zantvliet. “Waar we vroeger pestkoppen hadden die een beetje rommelden aan de voordeur, zien we nu statelijke actoren gedreven door geopolitieke agenda's.” De oorlog in Oekraïne toont dit aan: Nederlandse betrokkenheid bij F-16-leveringen resulteert direct in meer cyberaanvallen op vitale infrastructuur.

Nederlandse organisaties hebben vooral te maken met vier landen met een offensieve cyberstrategie: Rusland, China, Noord-Korea en Iran. Noord-Korea gebruikt cybercriminaliteit als inkomstenbron, Rusland voert wraakacties uit en China richt zich op economische spionage.

Tegelijkertijd loopt cybercriminaliteit uit de hand. Ransomware-aanvallen, DDoS-verstoringen en AI-gestuurde phishing maken het plaatje compleet. Het probleem wordt verergerd door de kwetsbare just-in-time supply chains van Nederland.

CISO's werken samen via hun sectorale Information Sharing and Analysis Centers (ISACs). “We zijn elkaars concurrenten, maar op cyber gaan we niet concurreren”, is het devies. Het NCSC en gelegenheidssamenwerkingen zoals tijdens de NAVO-top spelen een cruciale rol.

Personeelstekort en regeldruk Het grootste knelpunt is het tekort aan gekwalificeerd personeel. “Het is een werkveld dat heel snel gegroeid is, en het is af en toe moeilijk om aan goede mensen te komen. We vissen allemaal een beetje in dezelfde vijver”, erkent Van Zantvliet. Commerciële bedrijven kunnen hogere salarissen bieden dan overheden, terwijl juist bijvoorbeeld gemeenten en waterschappen extra kwetsbaar zijn door beperkte budgetten.

De regeldruk neemt toe met NIS2-wetgeving, de AI Act, Data Act, Cyber Security Act en Cyber Resilience Act die allemaal tegelijk geïmplementeerd moeten worden. “Heel veel bedrijven zitten aan een soort maximaal absorptievermogen om dat allemaal voor elkaar te krijgen in een heel korte tijd.”

Drie snelheden, één uitdaging Voor kritieke infrastructuur zoals spoorwegen geldt een extra uitdaging. Van Zantvliet wijst op een problematisch fenomeen: “OT-systemen gaan soms wel zestig jaar mee, IT-kracht vernieuwt iedere twee jaar, maar AI verdubbelt iedere drie maanden qua capaciteit. Hoe orkestreer je die drie tempi?” Van Zantvliet pleit voor meer overheidsaandacht. “Cybersecurity heeft nog geen prominente rol in verkiezingsprogramma's. In landen om ons heen is een ministerie van digitale zaken al gestart.” Nederland loopt achter op digitale soevereiniteit en AI vormt zowel kans als bedreiging: het helpt bij automatisering, maar maakt phishing overtuigender. Via het CISO Platform en evenementen zoals de Cyber Security & Cloud Expo Europe worden best practices gedeeld. De focus ligt op veerkracht: snel herstel wanneer incidenten zich voordoen.