De Nederlandse digitale infrastructuur is van internationale allure. Daarmee loopt ons land al jarenlang voorop. Daar mogen we ons gelukkig mee prijzen. Want digitalisering is het fundament onder de economische, maatschappelijk en sociale vooruitgang. En is de basis voor tal van kansen, ontwikkelingen en uitdagingen die onlosmakelijk verbonden zijn met ons dagelijks leven. Digitalisering is alomvattend. Digitalisering is landbouw, zeewaterkering, onderwijs. Digitalisering is medische zorg, mobiliteit, betalingsverkeer. Digitalisering is alles. Daarmee verdient digitalisering ons aller aandacht en een hoge plek op de politieke agenda. Zodat we ook in de toekomst kunnen blijven beschikken over een hoogwaardige en veilige digitale infrastructuur die zo voorwaardelijk is voor onze toekomst. Adequaat en effectief toezicht is daarbij een essentiële factor. Maar hoe houd je toezicht op zoiets omvangrijks als de digitale infrastructuur? We praten erover met Angeline van Dijk, inspecteur-generaal bij toezichthouder RDI, de Rijksinspectie Digitale Infrastructuur.
“Digitalisering is meer dan digitalisering. En daarom is de RDI ook meer dan een toezichthouder”. Het is klare taal waarmee Angeline van Dijk, inspecteur-generaal van de Rijksinspectie Digitale Infrastructuur, het gesprek aftrapt. En het tekent haar passie en ambitie. De RDI heeft de vaart erin en lijkt zich net zo snel te ontwikkelen als de digitalisering zelf. En misschien moet dat ook wel in deze sector. “Want”, stelt Angeline, “de snelle ontwikkelingen op het gebied van cybersecurity, telecomsecurity, AI en quantumtechnologie brengen voor onze organisatie tal van uitdagingen met zich mee. Daar moeten we tijdig op anticiperen, of in ieder geval razendsnel op reageren.
Ze vervolgt: “Velen kennen ons misschien nog als Agentschap Telecom. Maar die naam dekte eigenlijk al een paar jaar de lading niet meer. Als toezichthouder paste het agentschap-jasje ons steeds minder goed. Het werd te klein, en raakte wat uit de tijd. De benaming Telecom deed al jarenlang onvoldoende recht aan de ware inhoud van ons werk.”
De organisatie schudde daarom de sectorale aanpak van zich af, en evolueerde Van agentschap naar rijksinspectie en van telecom naar digitale infrastructuur. En werkt sindsdien als Rijksinspectie Digitale Infrastructuur aan de digitale veiligheid van Nederland. Een horizontaal georiënteerde toezichthouder voor alle sectoren. Niet een die vanuit een ivoren toren voorschrijft wat mag en niet mag. En slechts boetes uitdeelt om bij te sturen.
“Veel meer wil ik werken vanuit samenwerking”. In ons toezicht beleid is samenwerken key. Digitalisering raakt alles en iedereen. Het is niet een ontwikkeling als zodanig. Het is alomvattend. Daar kun je niet als separate organisatie toezicht op houden. Dat is onbegonnen werk. We zijn daarom met z’n allen een trust-coalition aan het bouwen, een netwerk, een digitaal ecosysteem. Daar zijn wij onderdeel van. Tussen en samen met andere partijen, maar met een eigen rol en verantwoordelijkheid die ons in staat stelt om boven de partijen te staan als dat nodig is.”
De RDI richt zich op drie hoofdpijlers: digitale weerbaarheid, apparatuur en infrastructuur, en doet dat met zo’n 500 medewerkers, vanuit drie locaties. Het hoofdkantoor staat in Groningen, en daarnaast zijn er nog vestigingen in Amersfoort en Den Haag.
Met de naamsverandering kwam er ook een andere werkwijze en een andere aanpak. Was het agentschap voorheen vooral gericht op naleving en handhaving, tegenwoordig kiest de RDI meer de functie van maatschappelijk regisseur. Angeline hierover: “We komen graag bij marktpartijen over de vloer en proberen bovenop de ontwikkelingen te zitten. Hierdoor kunnen we in een vroegtijdig stadium al guidance geven, zodat alle betrokkenen weten wat er van ze wordt verlangd.
De RDI controleert, signaleert en handhaaft en waarborgt zo de beschikbaarheid, continuïteit en kwaliteit van de digitale infrastructuur in Nederland. En dat is een behoorlijke klus. Want het raakt heel veel onderdelen van de maatschappij. Denk aan telecom, cloud-computing, online-marktplaatsen, vertrouwensdiensten, IoT, industriële processen en de cyberweerbaarheid van dat alles.
De RDI besteedt heel veel tijd aan het proactief volgen van al de ontwikkelingen. Alleen zó kan de organisatie op de hoogte blijven van huidige en potentiële risico’s. De RDI doet dit door nauwe samenwerking met andere toezichthouders. Maar zeker ook met marktpartijen, brancheorganisaties als de BTG, universiteiten. “Kennis delen met elkaar is essentieel om vooruitgang te boeken”, stelt Angeline. “In die zin zie ik ons wel als een soort van oliemannetje.”
Angeline vervolgt: “Een mooi voorbeeld vind ik ons IoT-lab. Hier testen we nieuwe producten en bepalen we of ze voldoen aan huidige en aanstaande wetten en regels. We organiseren er pilots, samen met fabrikanten van IoT-apparatuur. Daarmee zijn we echt uniek. We hebben de technische expertise om diepgravend technisch onderzoek naar de veiligheid van apparatuur te doen. Bijvoorbeeld om te onderzoeken of een apparaat niet stoort op een ander apparaat. Of om te kijken of het al voldoet aan de (aanstaande) eisen op gebied van cyberveiligheid. Daarmee is ons IoT-lab echt uniek. Het is het enige federale lab in Europa. Andere Europese Toezichthouders hebben wel eens aangegeven hier jaloers op te zijn.”
In het verlengde van het IoT-lab werkt de RDI inmiddels ook aan een AI-lab. Het doel van het AI-lab is specifiek om inzicht te krijgen in de risico’s die generatieve AI kunnen opleveren. De inzichten hierin helpen te bepalen waar de RDI toezicht op moet houden, welke risico’s er zijn en waar prioriteit aan gegeven moet worden in het toezicht. “Zo kunnen we zelf de impact van AI beoordelen en daar uiteindelijk op acteren. Zo bouwt de RDI al in een vroeg stadium kennis en expertise op over AI. En kan ze samen met marktpartijen en collega-toezichthouders de werking van algoritmes onder de loep nemen en bekijken hoe we veiligheidsniveaus kunnen inbouwen.”
Er gebeurt veel binnen en buiten de RDI. En dat lijkt alleen nog maar toe te nemen. Want technologie staat niet stil. En de nieuwe wet- en regelgeving die mee samenhangt ook niet. Veel ervan raakt de RDI. Het vraagt veel om op de juiste wijze uitvoering te kunnen geven aan (het toezicht op) nieuwe Europese wetten als CRA, NIS2, AI-Act, CSA, RED …
Angeline daarover: “We investeren daarom volop in kennis en expertise bij onze medewerkers (zie kader). Want we willen de hoge kwaliteit van ons werk behouden. Daar slagen we tot dusver goed in, als ik zou vrij mag zijn. Om dat ook in de toekomst te waarborgen trekken we ook nieuwe medewerkers aan die vol overgave bij ons willen instappen. En ja: de lezer kan dat beslist als een uitdaging zien!”
Machteld Vrieze is clustermanager VIP, wat staat voor Vertrouwensdiensten, Identificatie en e-Procurement. Het toezicht door deze afdeling wordt gedaan door inspecteurs, die securityspecialist of IT-auditor zijn en andere adviseurs zoals experts in toezicht beleid, gedragskunde en juristen.
RDI is de toezichthouder op de Europese verordening eIDAS met regels voor de aanbieders van vertrouwensdiensten en elektronische identiteiten. We hebben te maken met grote veranderingen in de toepasselijke wetgeving. Door de inwerkingtreding van de gewijzigde eIDAS verordening volgende maand 2024, moeten we rekening houden met meer en andere categorieën vertouwensdiensten en met de Europese digitale Wallet. De nieuwe verordening komt gelijktijdig en hangt samen met andere kaders waar RDI toezicht op gaat houden, zoals de nieuwe NIS2 Richtlijn (Richtlijn Beveiliging Netwerk- en informatiesystemen). Ook gaat RDI toezicht houden op de aanbieders van inlogmiddelen in het kader van de Wet Digitale overheid. “Het is een boeiende tijd, niet alleen door de vraagstukken die de nieuwe regels oproepen, maar ook door het toenemende gebruik van inlogmiddelen en het grote belang van betrouwbare en beschikbare inlogmiddelen voor bedrijven en burgers. De toezichthouder moet het vertrouwen waarborgen”.
“Wat ik ontzettend leuk vind aan de opgave van RDI is dat de digitale infrastructuur zich naar zijn aard niets aantrekt van landsgrenzen, en wij dus ook niet! We nemen deel aan internationale en Europese netwerken om samen te werken, zodat we gezamenlijk verder komen en in het toezicht de handen ineen kunnen slaan.”
Isabel van der Leij is clustermanager Wbni, dat gaat over het toezicht op de Wet beveiliging netwerk en informatiesystemen.
De RDI is sinds 2018 de toezichthouder op de Wbni, die gebaseerd is op de Europese NIS richtlijn en bereidt zich nu voor op de komst van NIS2. NIS2 zorgt op veel vlakken voor verandering. Voor de organisaties in scope van deze richtlijn zijn er belangrijke wijzigingen waaronder naast de bestuurdersaansprakelijkheid ook supply chain management. Om het gesprek aan te gaan over het belang van digitale continuïteit en weerbaarheid met de directie in uw organisatie, heeft de RDI een handreiking opgesteld. Voor supply chain management is het belangrijk om inzicht te krijgen in de risico’s in de gehele keten en afhankelijkheden van je leveranciers. Daarbij moet je het ecosysteem in zijn geheel meenemen. RDI helpt ook bedrijven die onderzoeken of ze in scope van de wetgeving vallen door het beschikbaar stellen van de NIS zelf-evaluatie tool. Ook kun je hierin toetsen hoever je nu staat en wat je handelingsperspectief is. “Bedrijven moeten nu al het gesprek voeren op de bestuurstafel en de besluiten nemen over risico’s en investeringen in de digitale continuïteit en weerbaarheid, om op tijd klaar te zijn voor de NIS2”.
“Waar ik energie van krijg in het werk is het vormgeven van een veiliger Nederland: elke dag concreet bezig zijn met het maatschappelijke doel. En het mooie: dat doen we samen, zowel binnen de RDI als ook daarbuiten. Hierdoor kom je op veel verschillende plekken: Van de Rotterdamse haven en het politieke speelveld in Den Haag tot onze locatie in Groningen. Afwisselend en uitdagend!