Maak kennis met Schelte van Deventer
“De impact van een cyberincident kan groot zijn. Het is niet de vraag óf, maar wanneer je ermee te maken krijgt. En als je dan niet goed voorbereid bent, is de schade groot. Daarom proberen we de sector mee te nemen vanuit het eigen belang: liever motiveren vanuit overtuiging dan via regelgeving en handhaving.”
Wie ben je?
Mijn naam is Schelte van Deventer. Ik ben beleidsmedewerker op het gebied van cybersecurity en vitale infrastructuur bij het ministerie van Infrastructuur en Waterstaat. Net als veel van mijn collega’s houd ik mij voornamelijk bezig met de inhoudelijke kant van cybersecurity in beleid. Dat doe ik samen met Verena. Daarnaast werk ik samen met Steffen en Verena aan het thema cybersecurity in relatie tot afvalstoffenbeheer. Cybersecurity wetgeving is voor een groot deel van deze sector nieuw, wat het extra interessant maakt om hiermee aan de slag te zijn. Sinds augustus 2024 werk ik op dit onderwerp, dus inmiddels alweer enige tijd. Dit is of de inhoudelijk kant van beleid of de inhoudelijk kant van cybersecurity in beleid (dat is alleen samen met Verena).
Welke ervaring heb je met jouw sector?
In het verleden heb ik bij Deloitte gewerkt aan cybersecurity. Mijn expertise ligt echter vooral op het gebied van risicomanagement en crisisbeheersing. Goede risicobeheersing is een essentieel onderdeel van een degelijke cybersecurityaanpak. Het is belangrijk om dit zodanig in te richten dat het aansluit bij wat werkt voor de betreffende sectorpartij. Je kunt niet alles volledig dichttimmeren; daarom is het cruciaal om goed te bepalen waar je je prioriteiten legt. Een goede risicoanalyse vormt daarbij echt de basis.
Waarom zet je je in voor het cyberweerbaarheidsprogramma van DGMI?
Vanuit mijn achtergrond in crisis- en risicobeheersing ben ik vrij nauw betrokken bij het bredere veiligheidsdomein. Nederland behoort tot de meest gedigitaliseerde landen van Europa, maar is daarmee helaas ook kwetsbaar voor cyberdreigingen. Dat is een risicovolle combinatie — zeker in de huidige samenleving en geopolitieke context. Zelfs zonder de huidige spanningen zouden we nog steeds kwetsbaar zijn voor cybercriminaliteit.
Wat opvalt, is dat veel organisaties—niet alleen binnen onze eigen sector, maar in heel Nederland—cybersecurity nog niet voldoende op het netvlies hebben. Fysieke veiligheid krijgt doorgaans meer aandacht; mensen maken zich bijvoorbeeld snel zorgen na een inbraak. Cybersecurity voelt voor velen nog als een ver-van-mijn-bed-show.
Toch blijkt in de praktijk dat incidenten, zelfs als ze niet direct jouw organisatie treffen maar bijvoorbeeld een leverancier, grote gevolgen kunnen hebben. Dat maakt het des te belangrijker om gezamenlijk te werken aan weerbaarheid. Een incident ergens anders kan direct impact hebben op jouw organisatie. Daarom is het cruciaal dat wij samen onze kennis en talenten inzetten om de weerbaarheid te vergroten. Cyberweerbaarheid is te lang een ondergeschoven kindje geweest, terwijl het in deze digitale wereld juist een essentieel thema moet zijn.
Hoe zet je je in voor het programma?
Samen met het projectteam werk ik inhoudelijk aan het cyberweerbaarheidsprogramma. Een concreet voorbeeld hiervan is de cyberweerbaarheidsconferentie van dit jaar, waar ik nauw bij betrokken was. Daarnaast werk ik samen met Steffen en Verena aan de inhoudelijke invulling van het programma rondom afvalstoffenbeheer.
Heel praktisch gezien houdt dat ook in dat we onderzoeken uitzetten, en dat we bezig zijn met het opzetten van een klankbordgroep. We proberen zo de sector in brede zin te betrekken bij deze opgaven. Daarbij willen we niet simpelweg zeggen: "hier is de nieuwe wet, veel succes", en handhaven wanneer er niet wordt voldaan. In plaats daarvan willen we het belang laten zien: Dit gaat over jouw organisatie, over jouw veiligheid.
De impact van een cyberincident kan groot zijn. Het is niet de vraag óf, maar wanneer je ermee te maken krijgt. En als je dan niet goed voorbereid bent, is de schade groot. Daarom proberen we de sector mee te nemen vanuit het eigen belang: liever motiveren vanuit overtuiging dan via regelgeving en handhaving. Natuurlijk kun je actie ondernemen omdat de wet dat eist, maar wij benadrukken dat je het moet doen omdat het voor jezelf en je eigen organisatie belangrijk is.
Een op de vijf bedrijven in Nederland heeft in 2024 schade geleden door een cyberincident. De sectoren waar wij ons op richten zijn belangrijk voor de samenleving als geheel. Als je bijvoorbeeld door een incident één of twee dagen uitvalt, is dat al vervelend. Maar een serieus cyberincident kan je zomaar langer platleggen. Dat is niet alleen slecht voor jouw organisatie, maar voor ons allemaal. We kunnen niet elk incident voorkomen, maar we kunnen er wel voor zorgen dat we snel kunnen herstellen. Dat is waar we ons nu op moeten richten.
Wat hoop je te bereiken?
Waar ik sterk op hoop, is dat partijen niet alleen voldoen aan de wettelijke eisen — want dat is onze standaard — maar dat ze vooral ook de samenwerking met elkaar opzoeken. Meer nog dan de samenwerking met ons, is het belangrijk dat organisaties onderling het gesprek aangaan: Waar liggen onze kwetsbaarheden? Hoe kunnen we die gezamenlijk aanpakken en oplossen? Er zijn grote partijen die kleinere organisaties hierin goed kunnen ondersteunen. Tegelijkertijd zien we ook kleinere partijen met verrassend veel inhoudelijke kennis, maar zonder de middelen om die kennis breed uit te dragen. Ook daar ligt een kans om door samenwerking sterker te staan.
We moeten het goede gesprek met elkaar voeren. Niet denken: ‘Ik gebruik wat basismaatregelen zoals een antivirus en dan komt het wel goed’. Pas wanneer we structureel werken aan bewustwording, maken we echte stappen. Ik hoop dat we dat punt bereiken. Het begint bij bewustwording: nadenken over waar je kwetsbaarheden liggen, en hoe je die zo goed mogelijk kunt afdekken. Daarbij moet je er eigenlijk standaard van uitgaan dat er vroeg of laat een incident zal plaatsvinden. Je kunt het niet volledig voorkomen, maar je kunt de schade wel aanzienlijk beperken.