IFV onderzoekt inventarisatie en voorbereiding cyberrisico’s door veiligheidsregio’s : ‘Moeite om landelijke risico’s te vertalen naar regionale risico’s’

Onze samenleving wordt geconfronteerd met nieuwe crisistypen. De nieuwe crises zijn moeilijk kenbaar, beperken zich niet tot één bepaalde sector en kunnen razendsnel escaleren. Ook veiligheidsregio’s krijgen vroeg of laat te maken met nieuwe crisistypen, waaronder digitale ontwrichting. In opdracht van de Raad van Directeuren Veiligheidsregio onderzocht het IFV hoe veiligheidsregio’s cyberrisico’s inventariseren en hoe zij zich op digitale risico’s voorbereiden.

Voor het beoordelen van cyberrisico’s gebruiken de veiligheidsregio’s de Handreiking Regionaal Risicoprofiel (83%), het Cybersecuritybeeld Nederland (57%) en het Nationaal Veiligheidsprofiel (29%). Het Cybersecuritybeeld wordt door bijna alle gebruikers als belangrijke informatiebron beschouwd.

Veiligheidsregio’s hebben moeite om landelijke risico’s te vertalen naar regionale risico’s. Bij de inventarisatie van cyberrisico’s werkt minder dan de helft van de regio’s samen met partners. Uit de analyse van de regionale risicoprofielen blijkt dat de beoordelingen van waarschijnlijkheid en impact uiteenlopen. Als belangrijkste risico’s zien veiligheidsregio’s:

  • uitval van vitale voorzieningen, zoals drinkwater, energie, ICT en telecom
  • verstoring van de eigen crisisorganisatie of hulpverlening
  • verstoring van Brzo-bedrijven met veiligheids- en gezondheidsrisico’s als gevolg.

Huidige voorbereiding op digitale verstoringen

Veiligheidsregio’s ondernemen al diverse activiteiten om zich voor te bereiden op digitale verstoringen, zoals:

  • regionale/landelijke netwerken opbouwen en onderhouden (86%)
  • cyberkennis en -expertise opbouwen (81%)
  • oefenen met cyberscenario’s (67%).

Voor veel veiligheidsregio’s is het nog zoeken hoe zich adequaat te prepareren op digitale verstoringen.

Aanvullende activiteiten in de voorbereiding

De onderzoekers geven enkele aanbevelingen die bijdragen aan een verdere preparatie op cyberwaakzaamheid en -gevolgbestrijding:

  • expertise opbouwen op het vlak van digitale verstoringen en cyberrisico’s
  • vitale sectoren, maatschappelijke organisaties en Brzo-bedrijven betrekken bij de beoordeling van cyberrisico’s
  • afspraken maken met partners over alarmering, opschaling en onderlinge coördinatie bij digitale verstoringen en wat partijen van elkaar kunnen verwachten
  • basisscenario’s digitale verstoring gebruiken voor planvorming en oefenen
  • deelnemen aan (boven)regionale cyberoefeningen.

Kennis en kunde ontwikkelen

Landelijk portefeuillehouder Digitale ontwrichting en cyber, Steven van de Looij, heeft het rapport met interesse gelezen: “Het rapport laat onomstotelijk zien dat cyberrisico’s een erg relevant en actueel thema zijn voor de veiligheidsregio’s. De regio’s geven zichzelf slechts een magere voldoende voor de voorbereiding op digitale risico’s. Het rapport geeft ook aan dat er op het gebied van kennis en kunde op dit thema nog veel te ontwikkelen valt.”

Laurens van der Varst, senior onderzoeker bij het IFV, vult aan: “Vanzelfsprekend leven er bij veiligheidsregio’s vragen over cyberrisico’s: over alarmering, benodigde expertise, over de rol van het NCSC (Nationaal Cyber Security Centrum). Niet gek: het is een nieuw risico waarmee veiligheidsregio’s nog beperkt ervaring hebben. De opgave is, wat ons betreft, om met crisispartners te verkennen waar bestaande werkwijzen toepasbaar zijn. En wat veiligheidsregio’s aanvullend kunnen doen in de preparatie op cybergevolgbestrijding.”

Download rapport Cyberrisico’s en veiligheidsregio’s. Hoe beoordelen veiligheidsregio’s cyberrisico’s? Rapport Cyberrisico’s en veiligheidsregio’s. Hoe beoordelen veiligheidsregio’s cyberrisico’s?

Download factsheet Cyberrisico’s en veiligheidsregio’s. Hoe beoordelen veiligheidsregio’s cyberrisico’s? Factsheet Cyberrisico’s en veiligheidsregio’s. Hoe beoordelen veiligheidsregio’s cyberrisico’s?