Ga direct naar inhoud

Toezicht op cybersecurity

De Inspectie Leefomgeving en Transport (ILT) houdt toezicht op de cybersecurity van bepaalde bedrijven die essentiële diensten leveren. Zoals drinkwater-, luchtvaart-, rail- en havenbedrijven. Omdat de dienstverlening niet in gevaar mag komen, moeten zij hun digitale systemen en informatie goed beveiligen. 

Bij welke bedrijven houdt de ILT toezicht op cybersecurity?

De ILT houdt toezicht op aanbieders van essentiële diensten (AED’s) die vallen onder de verantwoordelijkheid van het ministerie van Infrastructuur en Waterstaat. Dit zijn drinkwater-, luchtvaart-, en haven- en railbedrijven en de Koninklijke Marechaussee.

NIS2-richtlijn

De komst van de nieuwe Cyberbeveiligingswet gebaseerd op de NIS2-richtlijn zorgt ervoor dat er vanaf 2025 meer bedrijven onder het toezicht van de ILT vallen. Meer informatie over deze wetgeving vindt u op de website van het ministerie van IenW.

Om te bepalen of de NIS2 ook voor uw organisatie van toepassing is, kunt u de NIS2-zelfevaluatie doen.

Ook kunt u de NIS2-Quickscan doen. Zo controleert u hoe de cyberbeveiliging van uw organisatie ervoor staat en wat u kunt doen om dit te verbeteren. Let wel, net zoals onder de Wbni (NIS1) gaat voor sectoren die vallen onder het ministerie van Infrastructuur en Waterstaat (IenW) waarschijnlijk een Ministeriële Regeling gelden. In die regeling staan specifiekere regels als verduidelijking van de NIS2. Deze regels worden na invoering van de nieuwe richtlijn met u gedeeld.

Waarom houdt de ILT toezicht op cybersecurity?

Aanbieders van essentiële diensten in vitale sectoren zoals drinkwater en luchtvervoer zijn afhankelijk van digitale systemen en informatie. Dat maakt hen gevoelig voor mensen met kwade bedoelingen. Omdat de dienstverlening niet in gevaar mag komen, moeten deze bedrijven hun systemen en informatie goed beveiligen. De ILT houdt hier toezicht op. 

Hoe houdt de ILT toezicht op cybersecurity?

De ILT houdt toezicht op basis van de Wet beveiliging netwerk- en informatiesystemen (Wbni). De ILT controleert of bedrijven zich aan de Wbni houden door inspecties uit te voeren. Ze kijkt daarbij naar het risicomanagement en of organisaties passende beheersmaatregelen nemen. 

De ILT krijgt een beeld door gesprekken te voeren, bijvoorbeeld met de directie van bedrijven. De inspectie heeft diverse bevoegdheden, zoals het (laten) uitvoeren van een beveiligingsaudit. Ook kan de ILT handhavend optreden, bijvoorbeeld door een organisatie onder verscherpt toezicht te stellen.

Wanneer meldt u een cybersecurity incident?

Aanbieders van essentiële diensten zijn verplicht om altijd alle incidenten te melden die aanzienlijke gevolgen hebben voor het blijven doorgaan van hun dienstverlening en/of de drempelwaarde(n) overschrijden. Dit melden zij bij de ILT en het Nationaal Cyber Security Centrum (NCSC). Het ministerie van IenW heeft de drempelwaarde(n) aan de organisaties waar het om gaat bekend gemaakt.

Hoe meldt u een cybersecurity incident?

U meldt een incident met grote gevolgen voor de dienstverlening bij:

  1. NCSC. Dit is het Nationaal Cyber Security Centrum van het ministerie van Justitie en Veiligheid. 
  2. DCC. Dit is het Departementaal Coördinatiecentrum Crisisbeheersing van het ministerie van Infrastructuur en Waterstaat. Het DCC stuurt uw melding door naar de ILT. De ILT neemt vervolgens contact met u op.