Nieuws
Artikel - 26 juni 2025
Scherpe eisen aan cyberveiligheid
Gevolgen Cyberbeveiligingswet voor de afvalsector
De Cyberbeveiligingswet schroeft de eisen op. Steeds meer sectoren moeten zich wapenen tegen de toenemende cyberdreigingen en hun digitale beveiliging op orde hebben, ook de afvalsector. ‘Denk niet dat jou zoiets niet kan overkomen, elk bedrijf is interessant voor cybercriminelen.’
De aangescherpte eisen staan in de Cyberbeveiligingswet (Cbw), de Nederlandse vertaling van de Europese NIS2-richtlijn, waarbij NIS staat voor Network and Information Security directive. NIS2 en Cbw zetten cybersecurity nadrukkelijk op de agenda van de afvalsector, stelt Nick Birjmohun. De Corporate Information Security Officer (CISO) van Renewi is voorzitter van de Commissie Cybersecurity bij de Vereniging Afvalbedrijven, die haar leden ondersteuning biedt bij de invoering van de komende cybersecurity-wetgeving.
Nick Birjmohun (Renewi):
‘Digitale dreigingen kun je alleen effectief het hoofd bieden door samen te werken en kennis en ervaringen te delen.’
Automatisering maakt toenemend kwetsbaar
Gijzelsoftware, datadiefstal en phishing worden een steeds grotere bron van zorg. Birjmohun: “Onze sector kent een grote mate van automatisering. Neem de sorteerlijnen, die ook van kunstmatige intelligentie (AI) gebruikmaken, slimme weegbruggen en track & trace-systemen voor de inzamelcontainers. Alles hangt tegenwoordig aan het internet. Dat maakt ons toenemend kwetsbaar.”
Volop aandacht voor cybersecurity
Birjmohun ziet dat er in de sector al volop aandacht is voor cybersecurity. “Sommige bedrijven zijn al ver op dit gebied en anticiperen op de komst van de wet. Voor hen is NIS2 niet echt een drijfveer. Maar er zijn veel bedrijven die nog niet weten wat de nieuwe regels voor hen inhouden en wat er concreet van hen wordt verwacht. Er leven nog veel vragen.”
Niet afwachten
Wanneer de Cyberbeveiligingswet van kracht wordt is nog niet bekend. Een Kamerbrief van medio juni stelt dat de rijksoverheid streeft naar de inwerkingtreding in het tweede kwartaal van 2026. Birjmohun adviseert bedrijven om beslist niet wachten tot de wetgeving definitief is. “Denk nu al na over risico’s en scenario’s. Wat gebeurt er als je wordt gehackt? Hoe kun je de schade beperken en hoe kun je snel herstellen? In korte tijd moet je een crisisorganisatie aan de gang kunnen hebben. Grote bedrijven hebben daar speciale afdelingen voor, kleinere bedrijven zijn daar minder op ingesteld.”
Basishygiëne in cyberveiligheid
Ook zonder NIS2 moet elk bedrijf er een ‘basishygiëne’ in cyberveiligheid op nahouden. Cyberhygiëne omvat de basisprincipes, zoals multifactorauthenticatie, goede back-ups en monitoring, die individuen en organisaties moeten toepassen om hun digitale omgeving te beschermen tegen cyberaanvallen. Birjmohun: “In je bedrijfscultuur moet een intrinsieke motivatie zitten om de organisatie digitaal veilig te houden, of je nu een groot of klein bedrijf bent.” De bedrijven in de commissie zijn in de praktijk misschien elkaars concurrenten, maar op dit punt eensgezind, stelt Birjmohun. “Cyberveiligheid overstijgt de individuele belangen. Digitale dreigingen kun je alleen effectief het hoofd bieden door samen te werken en kennis en ervaringen te delen.”
Is de wet van toepassing op uw afvalbedrijf?
In de Cyberbeveiligingsswet (Cbw), gebaseerd op de Europese NIS2-richtlijn, valt het afvalstoffenbeheer onder de ‘kritieke’ sectoren. Dat betekent dat de afvalsector van vitaal belang is voor het functioneren van de samenleving. Een afvalbedrijf dat energie opwekt, kan eveneens vallen onder de categorie ‘zeer kritieke sectoren’. De overheid heeft een zelfevaluatie-tool ontwikkeld om na te gaan in hoeverre NIS2 op bedrijven van toepassing is. Een bedrijf dat onder de Cbw valt, moet zich verplicht registreren. De Inspectie Leefomgeving en Transport (ILT) is voor de afvalsector de toezichthouder op het naleven van de wet. Het ministerie van Infrastructuur en Waterstaat biedt onder meer ondersteuning met trainingen in OT cybersecurity en Ransomware Preparedness-dagen.
Cyberweerbaar worden
Vanuit de Vereniging Afvalbedrijven is in september 2024 samen met het ministerie van Infrastructuur en Waterstaat, de Inspectie Leefomgeving en Transport (ILT) en het Nationaal Cyber Security Centrum (NCSC) een eerste informatiebijeenkomst gehouden over de wetgeving. “We zijn er om bedrijven te helpen cyberweerbaar te worden”, vertelt relatiemanager Jana Schreurs van het NCSC. “Onze eerste indruk van de afvalsector is goed. Veel bedrijven zijn met cyberveiligheid bezig.”
Jana Schreurs (Nationaal Cyber Security Centrum):
‘Uitval van systemen door een cyberaanval kan een forse impact hebben.’
Kwetsbaarheden in kaart
Net als Birjmohun adviseert Schreurs bedrijven om nu al aan de slag te gaan met de voorbereidingen op de nieuwe wetgeving. “Breng je kwetsbaarheden in kaart, ook in de keten waarin je opereert. Uitval van systemen door een cyberaanval kan een forse impact hebben. Wat bij een ander gebeurt, kan het volgende moment bij jou gebeuren. Het gaat om de juiste veiligheidscultuur. Heb je een plan klaarliggen en oefen je daarmee? Zijn er back-ups van systemen en is getest hoe je ze terugzet? Zorg bij je medewerkers voor veilig gedrag, zodat ze niet op dat foute linkje klikken en direct melden als ze dat toch hebben gedaan. Laat weten waar ze in zo’n geval terecht kunnen.”
Geen enkel systeem waterdicht
Schelte van Deventer, beleidsmedewerker Cyber en Vitaal op het ministerie van Infrastructuur en Waterstaat, is betrokken bij een cyberweerbaarheidsprogramma, dat is ingericht op het Directoraat-Generaal voor Milieu en Internationaal (DGMI). Het programma wil ook de afvalsector faciliteren. “We zien volwassen bedrijven, maar ook bedrijven die achterlopen. Sommige bedrijven hebben al met een incident te maken gehad en zijn wakker geschud. Het is belangrijk om nu al goed naar je risico’s te kijken, niet pas als je geraakt bent.”
Schelte van Deventer (ministerie van Infrastructuur en Waterstaat):
‘Het is belangrijk om nu al goed naar je risico’s te kijken, niet pas als je geraakt bent.’
Geen enkel systeem waterdicht
De meeste hacks zijn gericht op het stelen van data. Veel bedrijven hebben personeelsgegevens opgeslagen, zoals kopieën van paspoorten. Ga niet met cyberweerbaarheid aan de slag puur omdat dit vanuit de wetgeving wordt vereist, zegt Van Deventer. “Vanuit het oogpunt van je eigen bedrijfscontinuïteit moet je veilig en weerbaar zijn. Bij goed werkgeverschap hoort dat je voorkomt dat medewerkers slachtoffer worden van identiteitsfraude. Ga er nooit vanuit dat je voldoende veilig bent. Voor cyberaanvallen is geen enkel systeem waterdicht.”
Leren van fouten
Als er toch een incident of cyberaanval plaatsvindt en de cyberweerbaarheid is niet op orde, dan komt de overheid volgens Van Deventer niet meteen langs met de stok. “Als je uiteindelijk niets aan de Cbw doet, zul je in de toekomst te maken krijgen met handhaving. Maar eerst komt de overheid om te helpen. We onderzoeken waar het fout ging, zodat we ervan leren en er allemaal weerbaarder van worden. Het is van belang om een goed dreigingsbeeld te hebben en dat te delen met anderen. Vaak is wat er bij jouw bedrijf fout gaat, ook een risico voor andere bedrijven. Ons doel is een cyberweerbaar Nederland.”
10 zorgplichtmaatregelen
Bedrijven die onder de Cyberbeveiligingsswet (Cbw) vallen, moeten systemen en netwerken beschermen en significante ICT-incidenten melden. De Cbw beschrijft tien zorgplichtmaatregelen waar bedrijven minimaal aan moeten voldoen. De bedrijven moeten de beveiliging van hun toeleveringsketen in kaart brengen en andere bedrijven in hun keten erop aanspreken als hun cyberweerbaarheid niet op orde is. Ook afvalbedrijven die niet onder NIS2 vallen, krijgen zo met de regelgeving te maken.
