De Inspectie Leefomgeving en Transport (ILT) houdt toezicht op cybersecurity van onder meer transportsectoren, drink- en afvalwaterbedrijven, ondernemingen in chemie en afvalstoffenbeheer en organisaties voor waterkering (keren en beheren). Lees wat het toezicht inhoudt en welke bedrijven hieronder vallen.
Bedrijven die onder toezicht staan
De ILT houdt toezicht op zo’n 1.800 organisaties die gelden als ‘essentieel’ of ‘belangrijk’ in de volgende sectoren:
- Vervoer (weg, water, spoor, luchtvaart, openbaar vervoer)
- Drinkwater
- Afvalwater
- Afvalstoffenbeheer
- Meteorologie
- Chemie
- Overheden in de sectoren van het ministerie van Infrastructuur en Waterstaat (onder andere Rijkswaterstaat en waterschappen)
- Kennisinstituten in de sectoren vervoer, drinkwater, afvalwater, afvalstoffenbeheer en chemie.
Wilt u weten of uw organisatie onder cybertoezicht valt? Op de website van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) vindt u meer informatie over welke sectoren en welke organisaties onder de cyberwetgeving vallen.
Waarop controleert de ILT?
Valt uw organisatie onder toezicht van de ILT? Tijdens een inspectie controleert de ILT u bijvoorbeeld op het volgende:
- Houdt u zich aan de registratieplicht? De ILT controleert of u gegevens aanlevert voor het entiteitenregister. Dit register biedt inzicht in de digitale veiligheid van organisaties en diensten in Europa.
- Houdt u zich aan de zorgplicht? De ILT controleert of u uw netwerk- en informatiesystemen beschermt tegen incidenten. En of u de omgeving waarin de systemen zich bevinden beschermt.
- Houdt u zich aan de meldplicht? De ILT controleert of u significante cyberincidenten snel bij het NCSC meldt. En of u ook bijna-incidenten meldt, die de continuïteit van de dienst ernstig kunnen verstoren.
Hoe controleert de ILT?
De ILT inspecteert daar waar het risico het grootst is en het toezicht het meest effectief. Ook inspecteert ze naar aanleiding van incidenten en van dreigingen in de maatschappij. Het toezicht gaat meestal volgens de volgende 5 stappen:
Uw organisatie ontvangt een brief met de aankondiging van een inspectie. Daarin staat ook hoe lang het inspectieproces ongeveer gaat duren. Ook vragen we daarin aan u om een vaste contactpersoon aan te stellen.
U ontvangt een verzoek om documentatie te sturen waarmee de inspectie zich kan voorbereiden. Vertrouwelijke informatie zoals technische tekeningen en IP-adressen hoeft u niet op te sturen, die bekijkt de inspectie op locatie. Met de informatie die u stuurt krijgt de inspectie alvast wat inzicht in uw situatie.
U krijgt inspecteurs van de ILT op bezoek. Zij bekijken op locatie documenten en systemen en voeren daarover een gesprek met u of uw collega's.
U ontvangt na enkele weken het concept-inspectierapport. In het rapport leest u onze observaties en bevindingen. U checkt of de informatie in het rapport feitelijk juist is en informeert de inspectie als dat niet het geval is. Wanneer de ILT zelf aanvullende informatie nodig heeft, levert u deze alsnog aan.
Na de terugkoppeling ontvangt de contactpersoon van uw organisatie het definitieve inspectierapport. Daarnaast ontvangt uw directie een brief van de ILT waarin staat dat de inspectie is afgerond. Ook staan daarin eventueel vervolgstappen. Zo'n vervolgstap kan bijvoorbeeld zijn dat u een verbeterplan moet opstellen.
Andere toezichthouders
Behalve de ILT houden ook andere inspecties en autoriteiten zich bezig met cybersecurity. Een overzicht van sectoren en toezichthouders vindt u op de website van de NCTV.
Wetgeving
De ILT houdt toezicht op de naleving van de Cyberbeveiligingswet (Cbw), het Cyberbeveiligingsbesluit en het Cyberbeveiligingsregelement IenW (Cbr-IenW). Organisaties die onder het toezicht van de ILT vallen moeten er voor zorgen dat zij voldoen aan alle verplichtingen in de Cbw, het Cbb en het Cbr-IenW.