Europa is klaar met de lakse houding van de Nederlandse regering en accepteert niet langer de vrijblijvende weerbaarheid. Aantoonbare voorbereiding wordt de norm. Adequate beveiliging hierbij is van groot belang. Dit is de rode draad van een omvangrijk besluit van de Europese Commissie die begin mei heeft laten weten dat Nederland te traag is met de invoering van de WWKE en daarom een procedure tegen ons land is gestart bij het Europees Hof van Justitie.
Door Frank van der Linden
Op maandag 23 maart vond de parlementaire behandeling plaats van de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Met ruim 230 Kamervragen werd duidelijk dat de politieke ambitie groot is, maar dat de uitvoerbaarheid nog aandacht vraagt. In die uitvoerbaarheid wordt voorzien door de Masterclass CeSeMa georganiseerd door de grondleggers van De Haagsche Methodiek. Maar eerst iets over die wetgeving.
> LEES OOK: Wetsvoorstellen Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten aangenomen
Zijn bedrijven in control?
Amendementen, moties en toezeggingen van het kabinet laten een duidelijke beweging zien: meer rechtszekerheid voor organisaties, minder regeldruk en een poging om versnipperd toezicht te beperken. Dat is winst. Tegelijkertijd ligt de echte uitdaging niet in Den Haag, maar in de praktijk. De vraag is namelijk niet óf organisaties moeten voldoen. De vraag is: kunnen zij aantonen dat zij in control zijn?
Een belangrijk amendement regelt dat de interventiebevoegdheid van vakministers rechtstreeks in de wet wordt verankerd. Inclusief waarborgen zoals het last resort-principe en hoor en wederhoor. Daarnaast wordt vastgelegd dat wijzigingen in de zorgplicht eerst langs beide Kamers moeten. Dit is een verschuiving van bestuurlijke ruimte naar juridische borging en toetsbaarheid.
Minder versnippering? De intentie is er
De WWKE en CBW zetten in op één centraal meldloket en één aanspreekpunt bij toezicht. Tegelijkertijd blijven meerdere toezichthouders bestaan en moet de samenwerking zich nog bewijzen. De intentie is eenvoud, de praktijk is voorlopig nog complex. De minister heeft onder meer een evaluatie binnen twee jaar toegezegd en meer transparantie over samenwerking tussen toezichthouders.
We bouwen terwijl we rijden
De praktijk laat zien dat enkele organisaties de uitvoering van die regelgeving al zeer voortvarend oppakken maar dat een groot gedeelte van de vitale infrastructuur een passieve en afwachtende houding aanneemt. Dat laatste kan je niet zeggen van de heren Ackx en Duijndam die als grondleggers van De Haagse Methodiek (DHM) in security management de handschoen hebben opgepakt. Ondergebracht in het Nationaal Physical Security Centrum NPSC hebben zij een fundament ontwikkeld waarmee bedrijven die de WWKE gaan implementeren meteen uit de voeten kunnen om aantoonbaar te maken dat ze in control zijn. Dit fundament is uitgebreid aan de orde gekomen tijdens – alweer de tweede editie van- de Masterclass PHBO CeSeMa. De afkorting voor Critical Entity Security Management.
De centrale vraag: wanneer ben je aantoonbaar in control en hoe toon je dit aan? Uiteraard begon de dag met een terugblik op het wetgevingstraject, de inhoud hiervan en waarom deze wetgeving zo belangrijk is voor de vitale organisaties.
Bestuurder verantwoordelijk
Er werd lang stilgestaan bij de kern van deze wetgeving dat de bestuurder verantwoordelijk is voor de goede implementatie van de maatregelen en – heel bijzonder tot nu toe – ook nog eens persoonlijk aansprakelijk is wanneer de organisatie nalaat om de juiste maatregelen ter treffen of niet in staat is om overtuigend aan te tonen dat ze in control zijn. Dat maakt het voor security professionals en stuk eenvoudiger om je bazen me te krijgen. Aan de hand van praktijkvoorbeelden en checklisten die naadloos aansluiten op de praktijk van DHM Security Management wordt ingezoomed op de aantoonbaarheid van de maatregelen en de werkelijke weerbaarheid van de kritieke entiteit.
Gedurende de pauzes en de uitstekende lunch werkten de deelnemers aan hun eigen netwerk en werden veel verhalen en praktijkvoorbeelden uitgewisseld.
Een gemiste kans
De Masterclass is door de bedenkers bewust voorbehouden aan security professionals die de DHM methodiek al kennen. Hierdoor zijn zij in staat om direct op deze methodiek verder te bouwen aan CeSeMa. Op zich een hele verstandige keuze maar het sluit wel een grote doelgroep uit die zonder deze achtergrond wel met de WWKE aan de slag moeten. Juist zij zouden bij deze Masterclas het meeste baat hebben. Wellicht volgt er nog een uitgebreidere module. Aan de energie van de docenten zal het niet liggen.
Van compliance naar aantoonbaar vakmanschap dus
We bewegen van compliance naar aantoonbare beheersing. Dat vraagt om integrale sturing en expliciete keuzes. Artikel 10 van de WWKE wordt in de Masterclass verder uitgewerkt met richtsnoeren en interne voorschriften die zijn samengebundeld in de CeSeMa Toolbox. Op 30 september organiseren zij een volgende Masterclass.
Conclusie
De wetgeving beweegt in de goede richting. Maar de echte uitdaging zit in de praktijk. Ben je aantoonbaar in control — of denk je dat alleen?
Frank van der Linden MSec is sinds september 2021 de voorzitter van Stichting SERN.
Meer info:
Volg Security Management op LinkedIn
