#cybercrisis — Public Fediverse posts

Overheidsbrede Cyberoefening wint Computable Award

Op dinsdag 18 november heeft de Overheidsbrede Cyberoefening een Computable Award gewonnen in de categorie Cyber Resilience. De samenwerking aan digitale weerbaarheid vanuit het project was voor de jury een doorslaggevende factor. “Niemand kan het alleen”, aldus het uitreikende jurylid.

De Computable Awards worden jaarlijks uitgereikt aan ‘de mooiste prestaties in de Nederlandse ICT sector’. Tijdens een feestelijke avond kregen Chantal Bennink en Marit Bakker (beiden BZK, DGDOO) de prijs uitgereikt door jurylid Fred Streefland.

Het team is trots op de prijs en op het project: “Elk jaar bereiken we meer organisaties om zich voor te bereiden op crisissen en incidenten, om uiteindelijk samen weerbaarder te worden bij incidenten en crisissen.”

De winnaars worden voor de helft door een vakjury en voor de helft door het publiek bepaald. Meer over de uitreiking van de Computable Awards.

Van elkaar leren

De Overheidsbrede Cyberoefening is een initiatief van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en wordt uitgevoerd samen met ICTU, KPMG en SPITZ. Zij werken nauw samen met partners van verschillende overheden. Dit jaar vond de 7e editie van de oefening plaats en een speciale editie in Caribisch Nederland. Doel is ervaring op te doen met het handelen tijdens een cybercrisissituatie, de crisisaanpakken te verbeteren en als overheden van elkaar te leren. Hoe de cyberoefening in zijn werk gaat, zie je bijvoorbeeld in deze aftermovie.

Het Overheidsbrede Cyberprogramma bestaat naast de oefening uit een uitgebreid aanbod aan cyberwebinars en een online Masterclass.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#Computable #crisisaanpak #cyber #cyberResilience #Cybercrisis #nieuwsbrief202025 #overheidsbredeSamenwerking

“Versterk je digitale voor- en achterdeur, én het zolderraam”

Foto: Roeland van Schaik

UPDATE: Ester Weststeijn is sinds september 2025 burgemeester van de gemeente IJsselstein.

“Als je van een afstandje naar het werk van gemeenten kijkt, dan zijn we eigenlijk grote dataverwerkingsfabrieken geworden.” Aan het woord is Ester Weststeijn, burgemeester van de gemeente Rozendaal, lid van de VNG-commissie Informatiesamenleving en een van de Cyberburgemeesters in Nederland. In dit interview stellen we Weststeijn 5 vragen rondom de digitale veiligheid van gemeenten en de aanstaande Cyberbeveiligingswet (Cbw, vertaling NIS2-richtlijn). Ze benadrukt de waarde van de Cbw én geeft tips. Want wat kan juist deze wet voor die ‘dataverwerkingsfabrieken’ – gemeenten – en hun inwoners betekenen?

Gemeenten zijn grote dataverwerkingsfabrieken, beschrijft u. Waar denkt u dan aan?

Weststeijn: “Onze aandacht is altijd gericht op het oplossen van maatschappelijke vraagstukken en de dienstverlening aan onze inwoners. We realiseren ons niet altijd dat de rol van digitale data, registraties en koppelingen daarbij onmisbaar is geworden. Onze organisaties zitten er vol mee. Denk bijvoorbeeld aan de Basisregistratie Personen en gegevens over wie er recht heeft op bijstand. Of geodata die we gebruiken bij de behandeling van omgevingsvergunningen en tools waarin we meldingen van inwoners over de openbare ruimte afhandelen. Maar ook data uit parkeersystemen, verkeerslichten, sensoren, systemen voor de bediening van sluizen of bruggen. De voorbeelden zijn legio. De mogelijkheden om hier slimmer mee te werken trouwens ook. Digitalisering biedt kansen, zeker als we als gemeenten toegroeien naar meer standaardisering en collectivisering van onze digitale diensten. Het maakt de gemiddelde inwoner immers weinig uit of de vergunningen in systeem A of B geregistreerd worden, als het maar goed en veilig gebeurt.”

U benoemt het belang van digitale veiligheid. Waar zit wat dat betreft de kwetsbaarheid binnen gemeenten?

“Als om wat voor reden dan ook onze systemen stokken, wordt het vuilnis niet meer opgehaald en uitkeringen niet meer verstrekt. Het klinkt dreigend, maar dan gaan alle schermen op zwart. Als bestuurder zou dit schrikbeeld alleen al genoeg moeten zijn om je bezig te houden met informatiebeveiliging. Straks is dat wettelijk verplicht (vertaling NIS2-richtlijn in de Cbw, red.), maar los daarvan voel ik de morele verplichting aan onze inwoners, ondernemers en organisaties. Je gebruikt hún gegevens, over hún leven. Ze ontlenen er rechten en plichten aan. Daar moet je zorgvuldig en veilig mee omgaan. Het is geen zaak van automatiseerders alleen, of van techneuten. Als het misgaat, is dat heel voelbaar in de echte wereld.”

Wat zijn voorbeelden waarbij dit duidelijk voelbaar was, waarvan we kunnen én moeten leren?

“De gemeente Lochem is een veelgenoemd voorbeeld. Daar kregen ze in 2019 al te maken met een cybergijzelaanval. Maandenlang was een indringer bezig geweest om op intelligente wijze het gemeentelijke systeem te saboteren. Gericht op het versleutelen van bestanden met ransomware, waarbij losgeld zou worden geëist om de toegang tot de systemen te herstellen. Dat werd gelukkig op tijd ontdekt en had veel erger kunnen zijn, maar het veroorzaakte wel flinke verstoringen in de gemeentelijke dienstverlening.”

Weststeijn vervolgt: “De aanval legde belangrijke gemeentelijke diensten plat, waaronder het doorgeven van verhuizingen, het aanvragen van paspoorten en de telefonische bereikbaarheid van de gemeente. Back-ups waren niet meer betrouwbaar. Dan sta je als organisatie – en als bestuurder – voor een grote opgave. Waren bijstandsuitkeringen wel correct verstrekt, vergunningen rechtmatig afgegeven? Konden geplande huwelijken doorgaan? En dan heb ik het niet eens over de enorme gevolgkosten om de boel weer op orde te krijgen. Ik neem Lochem als voorbeeld, maar ik had ook de gemeente Hof van Twente kunnen noemen. Of de gemeente Buren. Of de DDoS-aanvallen op Nederlandse ziekenhuizen 2 jaar geleden. Het is niet de vraag óf je gehackt wordt, maar wanneer, hoor ik vaak. In de huidige geopolitieke tijd waarin ook cyberdreigingen toenemen, lijkt me dat nog steeds een juiste stelling.”

Voor Weststeijn is voormalig burgemeester Sebastiaan van ’t Erve van Lochem een held: “Want deze cybercrisis droeg eraan bij dat hij op de barricade ging voor digitale weerbaarheid. Hij hield de ervaringen in zijn gemeente niet onder de pet, maar deelde ze juist breed om anderen bewust te maken van het gevaar van cyberaanvallen. Hij is niet voor niets IT-politicus van het jaar 2024 geworden.”

De Cyberbeveiligingswet (Cbw) komt eraan. Wat adviseert u lokale bestuurders rondom de digitale veiligheid van hun organisatie?

“Mijn advies aan bestuurders: voel je verantwoordelijk en pak die verantwoordelijkheid. Informatieveiligheid is te belangrijk om alleen aan de IT’ers over te laten. Ik wil er best enige druk op leggen: je moet je als lokaal bestuurder intrinsiek verantwoordelijk voelen voor de totale gemeentelijke organisatie, en voor de data die je met ketenpartners deelt. Dat is de essentie van de Cbw.”

“Die Cbw kun je zien als vervelende stok achter de deur, maar ik zie dat anders.”

“Die Cbw kun je zien als vervelende stok achter de deur, met een toezichthouder, dreiging van boetes en de verplichting van opleiding, maar ik zie dat anders. Namelijk als een hulpmiddel voor bestuurders om in hun organisatie en gemeenteraad de juiste aandacht en structurele financiering geregeld te krijgen. Daarbij is de CISO de rechterhand van de bestuurder in het voortdurende gesprek over informatieveiligheid. Voer dus regelmatig het gesprek over de risico’s met de CISO en in de gemeenteraad. Dat gaat niet vanzelf. Om de Cbw als hulpmiddel te kunnen inzetten, moeten gemeenten wel beschikken over kennis en expertise, een goede informatiepositie én voldoende structurele middelen. Daar vragen we aandacht voor bij het Rijk. Samen moeten de VNG en het Rijk zich blijven inzetten om de wetgeving goed te laten landen in Nederland.”

En hoe zit het met risicomanagement?

“Goede vraag, want risicomanagement staat aan de basis van de Cbw. We kennen dat vanuit het financiële of juridische deel van ons werk. Risicogericht werken vraagt dat we met elkaar cyclisch het gesprek voeren over waar onze zwakheden zitten in digitale veiligheid. En dat we met elkaar verkennen welke risicobeperkende maatregelen prioriteit hebben. Daar moet je dus ook in investeren en het effect meten via bijvoorbeeld audits of pentests. Zo werk je voortdurend aan het versterken van je digitale voor- en achterdeur. En denk dan ook aan het zolderraampje, zodat onze inwoners erop kunnen blijven vertrouwen dat wij veilig ons werk kunnen doen, voor hen.”

Lees meer over de vertaling van de NIS2-richtlijn in de Cbw en ga direct aan de slag.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#burgemeester #Cbw #crisismanagement #cyberaanvallen #Cyberbeveiligingswet #Cybercrisis #nieuwsbrief122025 #NIS2 #NIS2Richtlijn #VNG

“Versterk je digitale voor- en achterdeur, én het zolderraam”

Foto: Roeland van Schaik

UPDATE: Ester Weststeijn is sinds september 2025 burgemeester van de gemeente IJsselstein.

“Als je van een afstandje naar het werk van gemeenten kijkt, dan zijn we eigenlijk grote dataverwerkingsfabrieken geworden.” Aan het woord is Ester Weststeijn, burgemeester van de gemeente Rozendaal, lid van de VNG-commissie Informatiesamenleving en een van de Cyberburgemeesters in Nederland. In dit interview stellen we Weststeijn 5 vragen rondom de digitale veiligheid van gemeenten en de aanstaande Cyberbeveiligingswet (Cbw, vertaling NIS2-richtlijn). Ze benadrukt de waarde van de Cbw én geeft tips. Want wat kan juist deze wet voor die ‘dataverwerkingsfabrieken’ – gemeenten – en hun inwoners betekenen?

Gemeenten zijn grote dataverwerkingsfabrieken, beschrijft u. Waar denkt u dan aan?

Weststeijn: “Onze aandacht is altijd gericht op het oplossen van maatschappelijke vraagstukken en de dienstverlening aan onze inwoners. We realiseren ons niet altijd dat de rol van digitale data, registraties en koppelingen daarbij onmisbaar is geworden. Onze organisaties zitten er vol mee. Denk bijvoorbeeld aan de Basisregistratie Personen en gegevens over wie er recht heeft op bijstand. Of geodata die we gebruiken bij de behandeling van omgevingsvergunningen en tools waarin we meldingen van inwoners over de openbare ruimte afhandelen. Maar ook data uit parkeersystemen, verkeerslichten, sensoren, systemen voor de bediening van sluizen of bruggen. De voorbeelden zijn legio. De mogelijkheden om hier slimmer mee te werken trouwens ook. Digitalisering biedt kansen, zeker als we als gemeenten toegroeien naar meer standaardisering en collectivisering van onze digitale diensten. Het maakt de gemiddelde inwoner immers weinig uit of de vergunningen in systeem A of B geregistreerd worden, als het maar goed en veilig gebeurt.”

U benoemt het belang van digitale veiligheid. Waar zit wat dat betreft de kwetsbaarheid binnen gemeenten?

“Als om wat voor reden dan ook onze systemen stokken, wordt het vuilnis niet meer opgehaald en uitkeringen niet meer verstrekt. Het klinkt dreigend, maar dan gaan alle schermen op zwart. Als bestuurder zou dit schrikbeeld alleen al genoeg moeten zijn om je bezig te houden met informatiebeveiliging. Straks is dat wettelijk verplicht (vertaling NIS2-richtlijn in de Cbw, red.), maar los daarvan voel ik de morele verplichting aan onze inwoners, ondernemers en organisaties. Je gebruikt hún gegevens, over hún leven. Ze ontlenen er rechten en plichten aan. Daar moet je zorgvuldig en veilig mee omgaan. Het is geen zaak van automatiseerders alleen, of van techneuten. Als het misgaat, is dat heel voelbaar in de echte wereld.”

Wat zijn voorbeelden waarbij dit duidelijk voelbaar was, waarvan we kunnen én moeten leren?

“De gemeente Lochem is een veelgenoemd voorbeeld. Daar kregen ze in 2019 al te maken met een cybergijzelaanval. Maandenlang was een indringer bezig geweest om op intelligente wijze het gemeentelijke systeem te saboteren. Gericht op het versleutelen van bestanden met ransomware, waarbij losgeld zou worden geëist om de toegang tot de systemen te herstellen. Dat werd gelukkig op tijd ontdekt en had veel erger kunnen zijn, maar het veroorzaakte wel flinke verstoringen in de gemeentelijke dienstverlening.”

Weststeijn vervolgt: “De aanval legde belangrijke gemeentelijke diensten plat, waaronder het doorgeven van verhuizingen, het aanvragen van paspoorten en de telefonische bereikbaarheid van de gemeente. Back-ups waren niet meer betrouwbaar. Dan sta je als organisatie – en als bestuurder – voor een grote opgave. Waren bijstandsuitkeringen wel correct verstrekt, vergunningen rechtmatig afgegeven? Konden geplande huwelijken doorgaan? En dan heb ik het niet eens over de enorme gevolgkosten om de boel weer op orde te krijgen. Ik neem Lochem als voorbeeld, maar ik had ook de gemeente Hof van Twente kunnen noemen. Of de gemeente Buren. Of de DDoS-aanvallen op Nederlandse ziekenhuizen 2 jaar geleden. Het is niet de vraag óf je gehackt wordt, maar wanneer, hoor ik vaak. In de huidige geopolitieke tijd waarin ook cyberdreigingen toenemen, lijkt me dat nog steeds een juiste stelling.”

Voor Weststeijn is voormalig burgemeester Sebastiaan van ’t Erve van Lochem een held: “Want deze cybercrisis droeg eraan bij dat hij op de barricade ging voor digitale weerbaarheid. Hij hield de ervaringen in zijn gemeente niet onder de pet, maar deelde ze juist breed om anderen bewust te maken van het gevaar van cyberaanvallen. Hij is niet voor niets IT-politicus van het jaar 2024 geworden.”

De Cyberbeveiligingswet (Cbw) komt eraan. Wat adviseert u lokale bestuurders rondom de digitale veiligheid van hun organisatie?

“Mijn advies aan bestuurders: voel je verantwoordelijk en pak die verantwoordelijkheid. Informatieveiligheid is te belangrijk om alleen aan de IT’ers over te laten. Ik wil er best enige druk op leggen: je moet je als lokaal bestuurder intrinsiek verantwoordelijk voelen voor de totale gemeentelijke organisatie, en voor de data die je met ketenpartners deelt. Dat is de essentie van de Cbw.”

“Die Cbw kun je zien als vervelende stok achter de deur, maar ik zie dat anders.”

“Die Cbw kun je zien als vervelende stok achter de deur, met een toezichthouder, dreiging van boetes en de verplichting van opleiding, maar ik zie dat anders. Namelijk als een hulpmiddel voor bestuurders om in hun organisatie en gemeenteraad de juiste aandacht en structurele financiering geregeld te krijgen. Daarbij is de CISO de rechterhand van de bestuurder in het voortdurende gesprek over informatieveiligheid. Voer dus regelmatig het gesprek over de risico’s met de CISO en in de gemeenteraad. Dat gaat niet vanzelf. Om de Cbw als hulpmiddel te kunnen inzetten, moeten gemeenten wel beschikken over kennis en expertise, een goede informatiepositie én voldoende structurele middelen. Daar vragen we aandacht voor bij het Rijk. Samen moeten de VNG en het Rijk zich blijven inzetten om de wetgeving goed te laten landen in Nederland.”

En hoe zit het met risicomanagement?

“Goede vraag, want risicomanagement staat aan de basis van de Cbw. We kennen dat vanuit het financiële of juridische deel van ons werk. Risicogericht werken vraagt dat we met elkaar cyclisch het gesprek voeren over waar onze zwakheden zitten in digitale veiligheid. En dat we met elkaar verkennen welke risicobeperkende maatregelen prioriteit hebben. Daar moet je dus ook in investeren en het effect meten via bijvoorbeeld audits of pentests. Zo werk je voortdurend aan het versterken van je digitale voor- en achterdeur. En denk dan ook aan het zolderraampje, zodat onze inwoners erop kunnen blijven vertrouwen dat wij veilig ons werk kunnen doen, voor hen.”

Lees meer over de vertaling van de NIS2-richtlijn in de Cbw en ga direct aan de slag.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#burgemeester #Cbw #crisismanagement #cyberaanvallen #Cyberbeveiligingswet #Cybercrisis #nieuwsbrief122025 #NIS2 #NIS2Richtlijn #VNG

“Versterk je digitale voor- en achterdeur, én het zolderraam”

Foto: Roeland van Schaik

UPDATE: Ester Weststeijn is sinds september 2025 burgemeester van de gemeente IJsselstein.

“Als je van een afstandje naar het werk van gemeenten kijkt, dan zijn we eigenlijk grote dataverwerkingsfabrieken geworden.” Aan het woord is Ester Weststeijn, burgemeester van de gemeente Rozendaal, lid van de VNG-commissie Informatiesamenleving en een van de Cyberburgemeesters in Nederland. In dit interview stellen we Weststeijn 5 vragen rondom de digitale veiligheid van gemeenten en de aanstaande Cyberbeveiligingswet (Cbw, vertaling NIS2-richtlijn). Ze benadrukt de waarde van de Cbw én geeft tips. Want wat kan juist deze wet voor die ‘dataverwerkingsfabrieken’ – gemeenten – en hun inwoners betekenen?

Gemeenten zijn grote dataverwerkingsfabrieken, beschrijft u. Waar denkt u dan aan?

Weststeijn: “Onze aandacht is altijd gericht op het oplossen van maatschappelijke vraagstukken en de dienstverlening aan onze inwoners. We realiseren ons niet altijd dat de rol van digitale data, registraties en koppelingen daarbij onmisbaar is geworden. Onze organisaties zitten er vol mee. Denk bijvoorbeeld aan de Basisregistratie Personen en gegevens over wie er recht heeft op bijstand. Of geodata die we gebruiken bij de behandeling van omgevingsvergunningen en tools waarin we meldingen van inwoners over de openbare ruimte afhandelen. Maar ook data uit parkeersystemen, verkeerslichten, sensoren, systemen voor de bediening van sluizen of bruggen. De voorbeelden zijn legio. De mogelijkheden om hier slimmer mee te werken trouwens ook. Digitalisering biedt kansen, zeker als we als gemeenten toegroeien naar meer standaardisering en collectivisering van onze digitale diensten. Het maakt de gemiddelde inwoner immers weinig uit of de vergunningen in systeem A of B geregistreerd worden, als het maar goed en veilig gebeurt.”

U benoemt het belang van digitale veiligheid. Waar zit wat dat betreft de kwetsbaarheid binnen gemeenten?

“Als om wat voor reden dan ook onze systemen stokken, wordt het vuilnis niet meer opgehaald en uitkeringen niet meer verstrekt. Het klinkt dreigend, maar dan gaan alle schermen op zwart. Als bestuurder zou dit schrikbeeld alleen al genoeg moeten zijn om je bezig te houden met informatiebeveiliging. Straks is dat wettelijk verplicht (vertaling NIS2-richtlijn in de Cbw, red.), maar los daarvan voel ik de morele verplichting aan onze inwoners, ondernemers en organisaties. Je gebruikt hún gegevens, over hún leven. Ze ontlenen er rechten en plichten aan. Daar moet je zorgvuldig en veilig mee omgaan. Het is geen zaak van automatiseerders alleen, of van techneuten. Als het misgaat, is dat heel voelbaar in de echte wereld.”

Wat zijn voorbeelden waarbij dit duidelijk voelbaar was, waarvan we kunnen én moeten leren?

“De gemeente Lochem is een veelgenoemd voorbeeld. Daar kregen ze in 2019 al te maken met een cybergijzelaanval. Maandenlang was een indringer bezig geweest om op intelligente wijze het gemeentelijke systeem te saboteren. Gericht op het versleutelen van bestanden met ransomware, waarbij losgeld zou worden geëist om de toegang tot de systemen te herstellen. Dat werd gelukkig op tijd ontdekt en had veel erger kunnen zijn, maar het veroorzaakte wel flinke verstoringen in de gemeentelijke dienstverlening.”

Weststeijn vervolgt: “De aanval legde belangrijke gemeentelijke diensten plat, waaronder het doorgeven van verhuizingen, het aanvragen van paspoorten en de telefonische bereikbaarheid van de gemeente. Back-ups waren niet meer betrouwbaar. Dan sta je als organisatie – en als bestuurder – voor een grote opgave. Waren bijstandsuitkeringen wel correct verstrekt, vergunningen rechtmatig afgegeven? Konden geplande huwelijken doorgaan? En dan heb ik het niet eens over de enorme gevolgkosten om de boel weer op orde te krijgen. Ik neem Lochem als voorbeeld, maar ik had ook de gemeente Hof van Twente kunnen noemen. Of de gemeente Buren. Of de DDoS-aanvallen op Nederlandse ziekenhuizen 2 jaar geleden. Het is niet de vraag óf je gehackt wordt, maar wanneer, hoor ik vaak. In de huidige geopolitieke tijd waarin ook cyberdreigingen toenemen, lijkt me dat nog steeds een juiste stelling.”

Voor Weststeijn is voormalig burgemeester Sebastiaan van ’t Erve van Lochem een held: “Want deze cybercrisis droeg eraan bij dat hij op de barricade ging voor digitale weerbaarheid. Hij hield de ervaringen in zijn gemeente niet onder de pet, maar deelde ze juist breed om anderen bewust te maken van het gevaar van cyberaanvallen. Hij is niet voor niets IT-politicus van het jaar 2024 geworden.”

De Cyberbeveiligingswet (Cbw) komt eraan. Wat adviseert u lokale bestuurders rondom de digitale veiligheid van hun organisatie?

“Mijn advies aan bestuurders: voel je verantwoordelijk en pak die verantwoordelijkheid. Informatieveiligheid is te belangrijk om alleen aan de IT’ers over te laten. Ik wil er best enige druk op leggen: je moet je als lokaal bestuurder intrinsiek verantwoordelijk voelen voor de totale gemeentelijke organisatie, en voor de data die je met ketenpartners deelt. Dat is de essentie van de Cbw.”

“Die Cbw kun je zien als vervelende stok achter de deur, maar ik zie dat anders.”

“Die Cbw kun je zien als vervelende stok achter de deur, met een toezichthouder, dreiging van boetes en de verplichting van opleiding, maar ik zie dat anders. Namelijk als een hulpmiddel voor bestuurders om in hun organisatie en gemeenteraad de juiste aandacht en structurele financiering geregeld te krijgen. Daarbij is de CISO de rechterhand van de bestuurder in het voortdurende gesprek over informatieveiligheid. Voer dus regelmatig het gesprek over de risico’s met de CISO en in de gemeenteraad. Dat gaat niet vanzelf. Om de Cbw als hulpmiddel te kunnen inzetten, moeten gemeenten wel beschikken over kennis en expertise, een goede informatiepositie én voldoende structurele middelen. Daar vragen we aandacht voor bij het Rijk. Samen moeten de VNG en het Rijk zich blijven inzetten om de wetgeving goed te laten landen in Nederland.”

En hoe zit het met risicomanagement?

“Goede vraag, want risicomanagement staat aan de basis van de Cbw. We kennen dat vanuit het financiële of juridische deel van ons werk. Risicogericht werken vraagt dat we met elkaar cyclisch het gesprek voeren over waar onze zwakheden zitten in digitale veiligheid. En dat we met elkaar verkennen welke risicobeperkende maatregelen prioriteit hebben. Daar moet je dus ook in investeren en het effect meten via bijvoorbeeld audits of pentests. Zo werk je voortdurend aan het versterken van je digitale voor- en achterdeur. En denk dan ook aan het zolderraampje, zodat onze inwoners erop kunnen blijven vertrouwen dat wij veilig ons werk kunnen doen, voor hen.”

Lees meer over de vertaling van de NIS2-richtlijn in de Cbw en ga direct aan de slag.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#burgemeester #Cbw #crisismanagement #cyberaanvallen #Cyberbeveiligingswet #Cybercrisis #nieuwsbrief122025 #NIS2 #NIS2Richtlijn #VNG

“Versterk je digitale voor- en achterdeur, én het zolderraam”

Foto: Roeland van Schaik

UPDATE: Ester Weststeijn is sinds september 2025 burgemeester van de gemeente IJsselstein.

“Als je van een afstandje naar het werk van gemeenten kijkt, dan zijn we eigenlijk grote dataverwerkingsfabrieken geworden.” Aan het woord is Ester Weststeijn, burgemeester van de gemeente Rozendaal, lid van de VNG-commissie Informatiesamenleving en een van de Cyberburgemeesters in Nederland. In dit interview stellen we Weststeijn 5 vragen rondom de digitale veiligheid van gemeenten en de aanstaande Cyberbeveiligingswet (Cbw, vertaling NIS2-richtlijn). Ze benadrukt de waarde van de Cbw én geeft tips. Want wat kan juist deze wet voor die ‘dataverwerkingsfabrieken’ – gemeenten – en hun inwoners betekenen?

Gemeenten zijn grote dataverwerkingsfabrieken, beschrijft u. Waar denkt u dan aan?

Weststeijn: “Onze aandacht is altijd gericht op het oplossen van maatschappelijke vraagstukken en de dienstverlening aan onze inwoners. We realiseren ons niet altijd dat de rol van digitale data, registraties en koppelingen daarbij onmisbaar is geworden. Onze organisaties zitten er vol mee. Denk bijvoorbeeld aan de Basisregistratie Personen en gegevens over wie er recht heeft op bijstand. Of geodata die we gebruiken bij de behandeling van omgevingsvergunningen en tools waarin we meldingen van inwoners over de openbare ruimte afhandelen. Maar ook data uit parkeersystemen, verkeerslichten, sensoren, systemen voor de bediening van sluizen of bruggen. De voorbeelden zijn legio. De mogelijkheden om hier slimmer mee te werken trouwens ook. Digitalisering biedt kansen, zeker als we als gemeenten toegroeien naar meer standaardisering en collectivisering van onze digitale diensten. Het maakt de gemiddelde inwoner immers weinig uit of de vergunningen in systeem A of B geregistreerd worden, als het maar goed en veilig gebeurt.”

U benoemt het belang van digitale veiligheid. Waar zit wat dat betreft de kwetsbaarheid binnen gemeenten?

“Als om wat voor reden dan ook onze systemen stokken, wordt het vuilnis niet meer opgehaald en uitkeringen niet meer verstrekt. Het klinkt dreigend, maar dan gaan alle schermen op zwart. Als bestuurder zou dit schrikbeeld alleen al genoeg moeten zijn om je bezig te houden met informatiebeveiliging. Straks is dat wettelijk verplicht (vertaling NIS2-richtlijn in de Cbw, red.), maar los daarvan voel ik de morele verplichting aan onze inwoners, ondernemers en organisaties. Je gebruikt hún gegevens, over hún leven. Ze ontlenen er rechten en plichten aan. Daar moet je zorgvuldig en veilig mee omgaan. Het is geen zaak van automatiseerders alleen, of van techneuten. Als het misgaat, is dat heel voelbaar in de echte wereld.”

Wat zijn voorbeelden waarbij dit duidelijk voelbaar was, waarvan we kunnen én moeten leren?

“De gemeente Lochem is een veelgenoemd voorbeeld. Daar kregen ze in 2019 al te maken met een cybergijzelaanval. Maandenlang was een indringer bezig geweest om op intelligente wijze het gemeentelijke systeem te saboteren. Gericht op het versleutelen van bestanden met ransomware, waarbij losgeld zou worden geëist om de toegang tot de systemen te herstellen. Dat werd gelukkig op tijd ontdekt en had veel erger kunnen zijn, maar het veroorzaakte wel flinke verstoringen in de gemeentelijke dienstverlening.”

Weststeijn vervolgt: “De aanval legde belangrijke gemeentelijke diensten plat, waaronder het doorgeven van verhuizingen, het aanvragen van paspoorten en de telefonische bereikbaarheid van de gemeente. Back-ups waren niet meer betrouwbaar. Dan sta je als organisatie – en als bestuurder – voor een grote opgave. Waren bijstandsuitkeringen wel correct verstrekt, vergunningen rechtmatig afgegeven? Konden geplande huwelijken doorgaan? En dan heb ik het niet eens over de enorme gevolgkosten om de boel weer op orde te krijgen. Ik neem Lochem als voorbeeld, maar ik had ook de gemeente Hof van Twente kunnen noemen. Of de gemeente Buren. Of de DDoS-aanvallen op Nederlandse ziekenhuizen 2 jaar geleden. Het is niet de vraag óf je gehackt wordt, maar wanneer, hoor ik vaak. In de huidige geopolitieke tijd waarin ook cyberdreigingen toenemen, lijkt me dat nog steeds een juiste stelling.”

Voor Weststeijn is voormalig burgemeester Sebastiaan van ’t Erve van Lochem een held: “Want deze cybercrisis droeg eraan bij dat hij op de barricade ging voor digitale weerbaarheid. Hij hield de ervaringen in zijn gemeente niet onder de pet, maar deelde ze juist breed om anderen bewust te maken van het gevaar van cyberaanvallen. Hij is niet voor niets IT-politicus van het jaar 2024 geworden.”

De Cyberbeveiligingswet (Cbw) komt eraan. Wat adviseert u lokale bestuurders rondom de digitale veiligheid van hun organisatie?

“Mijn advies aan bestuurders: voel je verantwoordelijk en pak die verantwoordelijkheid. Informatieveiligheid is te belangrijk om alleen aan de IT’ers over te laten. Ik wil er best enige druk op leggen: je moet je als lokaal bestuurder intrinsiek verantwoordelijk voelen voor de totale gemeentelijke organisatie, en voor de data die je met ketenpartners deelt. Dat is de essentie van de Cbw.”

“Die Cbw kun je zien als vervelende stok achter de deur, maar ik zie dat anders.”

“Die Cbw kun je zien als vervelende stok achter de deur, met een toezichthouder, dreiging van boetes en de verplichting van opleiding, maar ik zie dat anders. Namelijk als een hulpmiddel voor bestuurders om in hun organisatie en gemeenteraad de juiste aandacht en structurele financiering geregeld te krijgen. Daarbij is de CISO de rechterhand van de bestuurder in het voortdurende gesprek over informatieveiligheid. Voer dus regelmatig het gesprek over de risico’s met de CISO en in de gemeenteraad. Dat gaat niet vanzelf. Om de Cbw als hulpmiddel te kunnen inzetten, moeten gemeenten wel beschikken over kennis en expertise, een goede informatiepositie én voldoende structurele middelen. Daar vragen we aandacht voor bij het Rijk. Samen moeten de VNG en het Rijk zich blijven inzetten om de wetgeving goed te laten landen in Nederland.”

En hoe zit het met risicomanagement?

“Goede vraag, want risicomanagement staat aan de basis van de Cbw. We kennen dat vanuit het financiële of juridische deel van ons werk. Risicogericht werken vraagt dat we met elkaar cyclisch het gesprek voeren over waar onze zwakheden zitten in digitale veiligheid. En dat we met elkaar verkennen welke risicobeperkende maatregelen prioriteit hebben. Daar moet je dus ook in investeren en het effect meten via bijvoorbeeld audits of pentests. Zo werk je voortdurend aan het versterken van je digitale voor- en achterdeur. En denk dan ook aan het zolderraampje, zodat onze inwoners erop kunnen blijven vertrouwen dat wij veilig ons werk kunnen doen, voor hen.”

Lees meer over de vertaling van de NIS2-richtlijn in de Cbw en ga direct aan de slag.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#burgemeester #Cbw #crisismanagement #cyberaanvallen #Cyberbeveiligingswet #Cybercrisis #nieuwsbrief122025 #NIS2 #NIS2Richtlijn #VNG

“Versterk je digitale voor- en achterdeur, én het zolderraam”

Foto: Roeland van Schaik

UPDATE: Ester Weststeijn is sinds september 2025 burgemeester van de gemeente IJsselstein.

“Als je van een afstandje naar het werk van gemeenten kijkt, dan zijn we eigenlijk grote dataverwerkingsfabrieken geworden.” Aan het woord is Ester Weststeijn, burgemeester van de gemeente Rozendaal, lid van de VNG-commissie Informatiesamenleving en een van de Cyberburgemeesters in Nederland. In dit interview stellen we Weststeijn 5 vragen rondom de digitale veiligheid van gemeenten en de aanstaande Cyberbeveiligingswet (Cbw, vertaling NIS2-richtlijn). Ze benadrukt de waarde van de Cbw én geeft tips. Want wat kan juist deze wet voor die ‘dataverwerkingsfabrieken’ – gemeenten – en hun inwoners betekenen?

Gemeenten zijn grote dataverwerkingsfabrieken, beschrijft u. Waar denkt u dan aan?

Weststeijn: “Onze aandacht is altijd gericht op het oplossen van maatschappelijke vraagstukken en de dienstverlening aan onze inwoners. We realiseren ons niet altijd dat de rol van digitale data, registraties en koppelingen daarbij onmisbaar is geworden. Onze organisaties zitten er vol mee. Denk bijvoorbeeld aan de Basisregistratie Personen en gegevens over wie er recht heeft op bijstand. Of geodata die we gebruiken bij de behandeling van omgevingsvergunningen en tools waarin we meldingen van inwoners over de openbare ruimte afhandelen. Maar ook data uit parkeersystemen, verkeerslichten, sensoren, systemen voor de bediening van sluizen of bruggen. De voorbeelden zijn legio. De mogelijkheden om hier slimmer mee te werken trouwens ook. Digitalisering biedt kansen, zeker als we als gemeenten toegroeien naar meer standaardisering en collectivisering van onze digitale diensten. Het maakt de gemiddelde inwoner immers weinig uit of de vergunningen in systeem A of B geregistreerd worden, als het maar goed en veilig gebeurt.”

U benoemt het belang van digitale veiligheid. Waar zit wat dat betreft de kwetsbaarheid binnen gemeenten?

“Als om wat voor reden dan ook onze systemen stokken, wordt het vuilnis niet meer opgehaald en uitkeringen niet meer verstrekt. Het klinkt dreigend, maar dan gaan alle schermen op zwart. Als bestuurder zou dit schrikbeeld alleen al genoeg moeten zijn om je bezig te houden met informatiebeveiliging. Straks is dat wettelijk verplicht (vertaling NIS2-richtlijn in de Cbw, red.), maar los daarvan voel ik de morele verplichting aan onze inwoners, ondernemers en organisaties. Je gebruikt hún gegevens, over hún leven. Ze ontlenen er rechten en plichten aan. Daar moet je zorgvuldig en veilig mee omgaan. Het is geen zaak van automatiseerders alleen, of van techneuten. Als het misgaat, is dat heel voelbaar in de echte wereld.”

Wat zijn voorbeelden waarbij dit duidelijk voelbaar was, waarvan we kunnen én moeten leren?

“De gemeente Lochem is een veelgenoemd voorbeeld. Daar kregen ze in 2019 al te maken met een cybergijzelaanval. Maandenlang was een indringer bezig geweest om op intelligente wijze het gemeentelijke systeem te saboteren. Gericht op het versleutelen van bestanden met ransomware, waarbij losgeld zou worden geëist om de toegang tot de systemen te herstellen. Dat werd gelukkig op tijd ontdekt en had veel erger kunnen zijn, maar het veroorzaakte wel flinke verstoringen in de gemeentelijke dienstverlening.”

Weststeijn vervolgt: “De aanval legde belangrijke gemeentelijke diensten plat, waaronder het doorgeven van verhuizingen, het aanvragen van paspoorten en de telefonische bereikbaarheid van de gemeente. Back-ups waren niet meer betrouwbaar. Dan sta je als organisatie – en als bestuurder – voor een grote opgave. Waren bijstandsuitkeringen wel correct verstrekt, vergunningen rechtmatig afgegeven? Konden geplande huwelijken doorgaan? En dan heb ik het niet eens over de enorme gevolgkosten om de boel weer op orde te krijgen. Ik neem Lochem als voorbeeld, maar ik had ook de gemeente Hof van Twente kunnen noemen. Of de gemeente Buren. Of de DDoS-aanvallen op Nederlandse ziekenhuizen 2 jaar geleden. Het is niet de vraag óf je gehackt wordt, maar wanneer, hoor ik vaak. In de huidige geopolitieke tijd waarin ook cyberdreigingen toenemen, lijkt me dat nog steeds een juiste stelling.”

Voor Weststeijn is voormalig burgemeester Sebastiaan van ’t Erve van Lochem een held: “Want deze cybercrisis droeg eraan bij dat hij op de barricade ging voor digitale weerbaarheid. Hij hield de ervaringen in zijn gemeente niet onder de pet, maar deelde ze juist breed om anderen bewust te maken van het gevaar van cyberaanvallen. Hij is niet voor niets IT-politicus van het jaar 2024 geworden.”

De Cyberbeveiligingswet (Cbw) komt eraan. Wat adviseert u lokale bestuurders rondom de digitale veiligheid van hun organisatie?

“Mijn advies aan bestuurders: voel je verantwoordelijk en pak die verantwoordelijkheid. Informatieveiligheid is te belangrijk om alleen aan de IT’ers over te laten. Ik wil er best enige druk op leggen: je moet je als lokaal bestuurder intrinsiek verantwoordelijk voelen voor de totale gemeentelijke organisatie, en voor de data die je met ketenpartners deelt. Dat is de essentie van de Cbw.”

“Die Cbw kun je zien als vervelende stok achter de deur, maar ik zie dat anders.”

“Die Cbw kun je zien als vervelende stok achter de deur, met een toezichthouder, dreiging van boetes en de verplichting van opleiding, maar ik zie dat anders. Namelijk als een hulpmiddel voor bestuurders om in hun organisatie en gemeenteraad de juiste aandacht en structurele financiering geregeld te krijgen. Daarbij is de CISO de rechterhand van de bestuurder in het voortdurende gesprek over informatieveiligheid. Voer dus regelmatig het gesprek over de risico’s met de CISO en in de gemeenteraad. Dat gaat niet vanzelf. Om de Cbw als hulpmiddel te kunnen inzetten, moeten gemeenten wel beschikken over kennis en expertise, een goede informatiepositie én voldoende structurele middelen. Daar vragen we aandacht voor bij het Rijk. Samen moeten de VNG en het Rijk zich blijven inzetten om de wetgeving goed te laten landen in Nederland.”

En hoe zit het met risicomanagement?

“Goede vraag, want risicomanagement staat aan de basis van de Cbw. We kennen dat vanuit het financiële of juridische deel van ons werk. Risicogericht werken vraagt dat we met elkaar cyclisch het gesprek voeren over waar onze zwakheden zitten in digitale veiligheid. En dat we met elkaar verkennen welke risicobeperkende maatregelen prioriteit hebben. Daar moet je dus ook in investeren en het effect meten via bijvoorbeeld audits of pentests. Zo werk je voortdurend aan het versterken van je digitale voor- en achterdeur. En denk dan ook aan het zolderraampje, zodat onze inwoners erop kunnen blijven vertrouwen dat wij veilig ons werk kunnen doen, voor hen.”

Lees meer over de vertaling van de NIS2-richtlijn in de Cbw en ga direct aan de slag.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#burgemeester #Cbw #crisismanagement #cyberaanvallen #Cyberbeveiligingswet #Cybercrisis #nieuwsbrief122025 #NIS2 #NIS2Richtlijn #VNG

Tools voor gesprek over informatiebeveiliging

Team ENSIA (onderdeel van de VNG) en de Informatiebeveiligingsdienst (IBD) hebben tools ontwikkeld om een goed gesprek te voeren over informatiebeveiliging. ENSIA ontwikkelde een gespreksgids voor ENSIA-coördinatoren of CISO’s. De IBD ontwikkelde ‘Gesprekskaartjes voor de Gemeentesecretaris’ om informatiebeveiliging bij het management op de kaart te zetten.

Gespreksgids

De gespreksgids helpt ENSIA-coördinatoren en CISO’s om de juiste vragen te stellen aan het college van burgemeester en wethouders over informatiebeveiliging en datakwaliteit. De sheets en notitiepagina’s helpen hen om belangrijke bestuurlijke thema’s onder de aandacht te brengen. Denk aan bespreekpunten zoals:

• Wat moet er bij ons altijd blijven werken? Welke dienstverlening mag nooit uitvallen?
• Wat zijn de belangrijkste risico’s en dreigingen? Hoe managen we die?
• Wat doen we als diensten die niet mogen uitvallen tóch verstoord worden of uitvallen?
• Hoe kan de raad haar controlerende rol goed kan oppakken?

Gesprekskaartjes

Met deze gesprekskaartjes van de IBD kan een gemeentesecretaris snel basiskennis over informatiebeveiliging opdoen en weet hij of zij welke vragen te stellen aan adviseurs en aan proceseigenaren. Dit helpt de secretaris ook het belang van informatiebeveiliging & privacy uit te leggen in de organisatie en aan het bestuur. Daarnaast staan er in het document algemene tips benoemd zoals:

• Zorg dat de basisbeveiligingsprocessen goed ingericht zijn.
• Zorg voor een continu bewustwordingsprogramma en betrek alle gemeentemedewerkers daarbij.
• Stimuleer samenwerking met andere gemeenten op het gebied van cybersecurity en privacy.
• Zet cybersecurity en privacy op de agenda bij alle overleggen.
• Blijf regelmatig oefenen.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#Cybercrisis #cybersecurity #cyberveiligheid #nieuwsbrief52025

Cyberoefening, van elkaar leren en weerbaarheid verhogen

Op maandag 4 november 2024 vond de 6e Overheidsbrede Cyberoefening plaats. De fictieve gemeente Zilverstede kreeg te maken met een cyberaanval waarin deepfakes en desinformatie een hoofdrol speelden. Er ontstond veel onrust onder inwoners. De dienstverlening werd afgeschaald en de burgemeester kreeg te maken met dreigementen. 

Van elkaar leren

Honderden deelnemers oefenden online mee met het crisisteam in de studio. Daarnaast oefenden vele organisaties voorafgaand aan de Overheidsbrede Cyberoefening binnen hun eigen organisatie met hetzelfde scenario.

Staatssecretaris Digitalisering en Koninkrijksrelaties Zsolt Szabó opende de oefening. “Door deze oefening leren we niet alleen van elkaar, maar versterken we ook onze digitale weerbaarheid”, aldus de staatssecretaris. “Weerbaarheid is gewoon een heel belangrijk onderwerp geworden. Als je het vroeger had over digitalisering dan had je het vooral over besparen. Maar tegenwoordig moet er juist extra geïnvesteerd worden om alle threats het hoofd te kunnen bieden”, gaf Szabó aan. Hij kondigde ook aan dat er begin 2025 een Nederlandse Digitaliseringsstrategie wordt gepresenteerd waarin cyberveiligheid een belangrijk onderdeel vormt.

Feit of fictie

Na de opening ging het crisisteam in 3 rondes onder leiding van Marco Zannoni aan de slag. Allereerst moest men bepalen wat fictie is en wat feiten zijn. Want welke informatie is nu betrouwbaar? En wanneer is er sprake van fake news? Het crisisteam ging aan de slag volgens het BOB-model (Beeld, Oordeel, Besluit). Wat weten we, hoe oordelen we daar over en welke prioriteiten en acties volgen daaruit? Kunnen we de dienstverlening continueren en op welke manier communiceren we met de inwoners? Uiteindelijk bleek dat de gemeente te maken had met een aantal vloggers die het gemeentehuis zijn binnengedrongen om daar chaos te creëren.

In de oefening kwamen diverse oplossingen naar voren. Gelukkig hebben bestuurders niet wekelijks met een crisis te maken. Maar het kan iedere overheidsdienst overkomen. Daarom is oefenen zo belangrijk.

Terugkijken oefening en webinars

Kon je niet aanwezig zijn bij de Overheidsbrede Cyberoefening? Kijk deze dan terug via de website van het Overheidsbreed Cyberprogramma (eerst inloggen). Ook de webinars die werden uitgezonden in oktober zijn terug te kijken. In november en december vinden er nog een aantal webinars en een masterclass plaats. Daarnaast kun je het scenario downloaden, inclusief de video’s en rolinformatie (injects). Zo kunnen organisaties op een zelf gekozen moment de oefening (nog eens) uitvoeren.

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#Cybercrisis #cyberincident #cyberoefening #nieuwsbrief192024

#CrisisManagement is everyone's business.

For #CyberSecMonth, Maria Edblom Tauson (@sunet) explains why it's fundamental for all of us to be prepared for a crisis and to know exactly what to do when a crisis strikes.

Crisis management is a collective responsibility, and during a crisis, collaboration is the key. Being prepared is always better than being caught off guard.

🔗 https://connect.geant.org/csm24

@nordunet #CSM24 #Cybersecurity #SecurityAwareness #ECSM #IncidentResponse #CyberCrisis

“Grote impact op mensen die crisissen moeten oplossen”

Crisiswetenschapper Jori Kalkman (Nederlandse Defensie Academie) analyseerde honderden crisisaanpakken om te zien hoe operationele crisisteams met dilemma’s omgingen. Hoewel hij zich niet specifiek richt op cyber, zijn er veel paralellen met de crisissen waar Defensie en hulpdiensten mee te maken krijgen. “Door tegenstijdige adviezen krijgen professionals steeds met dilemma’s te maken tijdens crisissituaties.”

Karakteristieken

“Of het nou een grootschalig ongeval is op de snelweg, een oorlogssituatie of een cybercrisis: een paar karakteristieken komen steeds weer terug”, vertelt Kalkman. “Allereerst is er enorm veel onzekerheid: de situatie is onvoorspelbaar; je weet niet precies wat er aan de hand is en hoe het straks eruit gaat zien. De urgentie is hoog; wanneer je niet snel genoeg handelt, escaleert de situatie of raakt het buiten je controle. Dat brengt stress met zich mee. Voor alle crisissituaties geldt: je hebt heel weinig of beperkte informatie, moet heel snel lastige keuzes maken en de bestaande plannen, routines en protocollen voldoen niet of niet helemaal.”

Opvallend

Tijdens zijn onderzoek naar crisissen vielen een aantal zaken hem op. “Allereerst dat de kennis en aanpak van crisissen in kolommen zijn opgedeeld. Het zijn gescheiden paden: er is onderzoek dat specifiek gaat over de krijgsmacht, over hulpdiensten of over humanitaire hulpverlening en nu dus ook over cybercrisissituaties. Die verschillende kolommen praten bijna niet met elkaar. Ook de verschillende crisisprofessionals niet, terwijl ze wel vergelijkbare ervaringen hebben. Dat vind ik een gemiste kans, ze kunnen veel van elkaar leren.”

“De verschillende crisisprofessionals praten niet met elkaar. Dat vind ik een gemiste kans, ze kunnen veel van elkaar leren.”Jori Kalkman

Tegenstrijdige adviezen

Ook de tegenstrijdigheid van adviezen viel hem op. “Sommige experts adviseren bijvoorbeeld stellig: je moet de aanpak top-down organiseren, een sterke leider met het overzicht en die instructies geeft. Een andere stroming adviseert het tegenoverstelde: ‘Geef veel invloed aan de mensen in de operatie, zodat zij flexibel kunnen reageren’. Ook rondom de waarde van plannen lopen de adviezen uiteen. ‘Leg van tevoren in een plan vast wat iedereen gaat doen in een crisis’, is een opvatting. Anderen zeggen weer: ‘Maak summiere plannen en bouw veel ruimte voor improvisatie en flexibiliteit in’. Die tegenstijdige adviezen zorgen er in de praktijk voor dat crisisprofessionals steeds met dilemma’s te maken krijgen tijdens crisissituaties.”

Het 3e punt wat hem opviel is dat veel onderzoek zich richt op crisismanagement, maar nog weinig op de mensen die het werk uitvoeren. “Het is natuurlijk aantrekkelijk om een soort technische focus te hebben: hoe lossen we crisissituaties goed op? Maar we weten dat crisissen grote impact hebben op de mensen die ze moeten oplossen.”

Beslissingen bij de uitvoering leggen

Organisaties hebben voorkeuren in hoe ze opereren in crisissen. “Publieke organisaties en zeker Defensie houden van een zekere mate van bureaucratie en hiërarchie. Dat heeft voordelen voor de verantwoording achteraf, om verantwoordelijkheid te nemen en het gevoel van overzicht te houden. Tegelijkertijd weten we dat dat niet goed werkt in complexe crisissen. Als je strikt aan het top-down-model blijft vasthouden, kan dat de effectiviteit van de aanpak in de weg staan.” Vaak werkt het beter om meer beslissingen bij de operatie te leggen, stelt hij.

“Als je strikt aan het top-down-model blijft vasthouden, kan dat de effectiviteit van de aanpak in de weg staan.”

De meerwaarde van plannen

In hoeverre is de aanpak van crisissen te plannen? ”Sommige organisaties hebben crisisplannen van 300 pagina’s, met een aanpak voor elk mogelijk scenario. Is er eenmaal een crisis dan staat dat scenario er vaak niet in of heeft niemand die plannen ooit gelezen.” Plannen hebben zeker waarde, ziet Kalkman. “Het brengt mensen bij elkaar en ze dwingen na te denken over wat er moet gebeuren als het misgaat.” Belangrijk is voldoende ruimte voor flexibiliteit en improvisatie in te bouwen. Plannen zijn volgens Kalkman vooral nuttig wanneer ze als basis dienen voor training en oefening. “Mensen lezen meestal geen plannen, maar ze kunnen wel oefenen met protocollen of werkwijzen. Mijn visie op plannen is: het schrijven is 1 stap, de volgende stap is ze door te vertalen naar wat het betekent voor de mensen die ze moeten uitvoeren. Daar zit de grootste meerwaarde.”

(On)mogelijkheid van samenwerking

Bij cyberaanpakken ligt vaak sterk de nadruk op samenwerking: meestal op informatiedeling tussen organisaties en afstemming van de acties. “Als wetenschapper vind ik dat interessant: als we hier allemaal vóór zijn, waarom lukt het dan vaak niet?” Organisaties hebben natuurlijk redenen om samenwerking te vermijden, ook in crisissituaties. “Samenwerking betekent afhankelijkheid van anderen: heb je de wil en durf om op ze te rekenen? Daarnaast willen velen coördineren, maar weinigen willen gecoördineerd worden.”

Vertrouwen creëren

Om de samenwerking te verbeteren, worden meestal informatie- of communicatiesystemen opgetuigd. Kalkman zet vraagtekens bij de effectiviteit daarvan: “Een technologische oplossing voor een sociaal probleem werkt zelden goed. Het is zinvoller te kijken naar waarom mensen samenwerking vermijden; de barrières die ze ervaren.” Verbeteren van samenwerking vraagt doorgaans om een combinatie van formele afspraken en het creëren van (meer) wederzijds vertrouwen. “Vertrouwen creëer je door elkaar beter te kennen.” Daarom is het aan te bevelen medewerkers tijdens crisis uit te wisselen, of om tijdens een crisis bij elkaar in dezelfde ruimte te zitten. “Zo kun je elkaar ook informeel zien, al is het 5 minuten bij het koffiezetapparaat. Bij grote langdurige crisissen – zoals Covid – kun je tijdelijk een nieuwe crisisorganisatie opzetten met mensen van verschillende organisaties. Zo voelen ze zich onderdeel van een collectief, met een gedeelde identiteit, visie en gevoel van verantwoordelijkheid.”

Weerbaarheid en veerkracht

De focus van de crisisaanpakken verschuift, ziet Kalkman. “Het gaat steeds meer over resilience, binnen organisaties, maar ook in de maatschappij. Dat is een lastige term, want het betekent in het Nederlands zowel veerkracht als weerbaarheid; 2 verschillende zaken. Bij cyberbedreigingen gaat het vaak over veerkracht. Stel, we krijgen te maken met een cyberaanval vanuit een andere staat, hebben we dan voldoende systemen om terug te vallen? Anders gezegd: als er een disruptie is, kunnen we dan snel weer terug naar het oude normaal? Die mate van veerkracht: hoe organiseer je dat dan op een zo effectief mogelijke manier?”

Samenredzaam

Weerbaarheid komt erop neer dat mensen meer zelfredzaam of samenredzaam zijn in een crisissituatie. “We doen zoveel mogelijk om onze vitale infrastructuren veilig te houden. Maar het kan gebeuren dat we een keer geen energie, internet, water of telecom hebben. Als je wil dat mensen weerbaarder worden, zouden ze actief deel moeten nemen aan een oefening. Dat je bij wijze van tegen een school zegt: nu heb je een hele ochtend geen elektriciteit, wat doe je dan? Dat ze ervaren wat het betekent wanneer ze geen toegang te hebben tot internet, elektriciteit of DigiD. Dat soort oefeningen dragen bij aan bewustzijn en mensen gaan zich meer verantwoordelijk voelen voor hun eigen rol.” Dat gebeurt nog te weinig, ziet hij.

Overheidsbrede Cyberoefening 2025

Dit is een automatisch geplaatst bericht. Vragen of opmerkingen kun je richten aan @[email protected]

#Cybercrisis #cyberincident #cyberoefening #nieuwsbrief182024

Tijdens de ONE Conference hebben Eric-Jan de Roode en Kelvin Rorive het nieuwe handboek “CYBER CRISIS? GÉÉN PANIEK" overhandigd aan DTC-manager Michel Verhagen.

Wil je ook aan de slag met #oefenen voor een #cybercrisis Bekijk het handboek, handige links, sjablonen en de crisiskaart van CCRC.

Meer informatie ⤵️

https://ccrc.nl/geenpaniek/

Deze munt echt wel verdiend! #cybercrisis #oefening #OZON

[#Ransomware] [#CyberCrisis] Software maker #Blackbaud Inc. agreed to pay the SEC $3,000,000 to settle charges it made misleading statements about the extent of a 2020 #ransomware attack. Per the SEC, Blackbaud didn't admit or deny the charges. https://www.sec.gov/news/press-release/2023-48 | #cybersecurity #infosec

#Rackspace customers rage as email outage continues and migrations create migraines. The
Hosting company has nothing to say on data loss, restore times, or root cause, warns of a lengthy outage, and advised migration to Microsoft 365 for mail services: https://www.theregister.com/2022/12/05/rackspace_hosted_exchange_security_update | #infosec #crisismanagement #cybercrisis #crisiscommunications