Maak kennis met Stefan Brandt
“Mijn belangrijkste boodschap aan de sector is: doe het niet voor ons, en ook niet alleen vanwege wet- en regelgeving. Doe het voor jezelf. Cybersecurity is cruciaal voor je eigen bedrijfsvoering, je continuïteit en je voortbestaan. Wacht dus niet af, maar kom in actie.”
Wie ben je?
Ik ben Stefan Brandt, beleidsmedewerker bij de directie Omgevingsveiligheid en Milieurisico’s van het ministerie van Infrastructuur en Waterstaat. Inmiddels werk ik hier drie jaar en houd ik mij vooral bezig met de nationale veiligheidsaspecten rondom de chemische sector.
Welke ervaring heb je met jouw sector?
Mijn achtergrond ligt in de chemische wetenschappen. Ik heb Life Science and Technology gestudeerd aan de TU Delft. Daarna werkte ik als beleidsmedewerker chemie bij de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO). Vanuit de wetenschap ben ik uiteindelijk doorgestroomd naar de chemische industrie. Cybersecurity is voor mij relatief nieuw, maar na drie jaar ben ik er inmiddels goed in thuis.
Toen ik begon in deze functie, bestond het programma Versterken Cyberweerbaarheid Milieu en Internationaal nog niet. Samen met anderen heb ik het programma zo’n twee jaar geleden opgezet. We zagen dat er in de chemische sector nog veel werk te verzetten was op het gebied van digitale veiligheid. De sector was nauwelijks met cybersecurity bezig. Uit verschillende onderzoeken die we hebben uitgevoerd bleek dat de digitale weerbaarheid flink achterliep. We realiseerden ons al snel: dit kunnen we niet alleen. Daarom hebben we gekozen voor een gezamenlijke aanpak met meerdere sectoren binnen ons directoraat, zodat we van elkaar kunnen leren en samen vooruitgang boeken.
Waarom zet je je in voor het cyberweerbaarheidsprogramma van DGMI?
Wat ik merkte in de sector, is dat veel mensen het potentiële effect van een cyberincident onderschatten. De focus ligt van oudsher op fysieke procesveiligheid – de installaties en opslagtanks zijn goed beveiligd. Maar de digitale kant van deze processen bleef lange tijd onderbelicht. Het is ook niet altijd makkelijk om bestuurders hierin mee te krijgen. Cyberdreiging wordt vaak als abstract of ‘ver van het bed’ gezien. Terwijl een cyberaanval juist voor het mkb enorme gevolgen kan hebben – wekenlange uitval of zelfs faillissement is geen uitzondering.
Bij grote bedrijven, zoals multinationals, is cybersecurity meestal goed geregeld. Zij zijn gebonden aan internationale standaarden en hebben hun systemen op orde. Maar bij kleinere bedrijven zie ik nog grote achterstanden. Soms weten organisaties niet eens welke digitale assets ze hebben. En als je niet weet wat je hebt, kun je het ook niet goed beveiligen.
De chemische sector in Nederland is groot – er zijn wel duizenden bedrijven actief. Met de invoering van de NIS2-richtlijn zullen naar verwachting zo’n 400 tot 600 bedrijven onder nieuwe wetgeving gaan vallen. Dat maakt het bereiken van deze doelgroep een flinke uitdaging. In kleinere sectoren is het vaak eenvoudiger – daar spreek je met een handjevol partijen. In mijn geval ligt het aantal veel hoger, wat vraagt om een andere aanpak. Gelukkig zijn er binnen het programma ook andere sectoren betrokken die veel werken met operationele technologie. De beveiliging daarvan is in de basis vaak vergelijkbaar, waardoor we lessen uit de ene sector kunnen toepassen op een andere. Dat helpt enorm.
Hoe zet je je in voor het programma?
Binnen het programma ben ik het aanspreekpunt voor de chemische sector. Ik onderhoud het contact met bedrijven, zorg dat zij goed geïnformeerd zijn over wat er binnen het programma gebeurt, en inventariseer waar hun behoeften liggen. Waar kan het beter? Hoe kunnen we hen beter ondersteunen? Dat doe ik vooral via brancheorganisaties – die vormen een efficiënte schakel met de achterban.
Daarnaast bewaak ik de belangen van de chemische sector binnen de ontwikkeling van wet- en regelgeving. Ik probeer ervoor te zorgen dat er geen bepalingen worden ingevoerd waar de sector uiteindelijk niets mee kan – dat zou contraproductief zijn.
Wat wil je de chemiesector meegeven en wat hoop je te bereiken?
Mijn belangrijkste boodschap aan de sector is: doe het niet voor ons, en ook niet alleen vanwege wet- en regelgeving. Doe het voor jezelf. Cyberweerbaarheid is cruciaal voor je eigen bedrijfsvoering, je continuïteit en je voortbestaan. Wacht dus niet af, maar kom in actie.
Het ultieme doel is om binnen de branche een sterk gevoel van onderlinge verbondenheid te creëren. Idealiter ontstaat er een cultuur waarin grote bedrijven de kleinere ondersteunen en waarin cyberweerbaarheid breed gedragen wordt. Het zou een vanzelfsprekend gespreksonderwerp moeten zijn, waarin kennis en ervaringen worden gedeeld, tips worden uitgewisseld en organisaties samen werken aan een hogere weerbaarheid van de gehele sector. Zo’n open en coöperatieve houding zou van grote waarde zijn, en het zou prachtig zijn als we dat met elkaar weten te realiseren.