Joepke van der Linden, RDI: ‘We willen liever helpen dan straffen’

Joepke van der Linden, coördinerend specialistisch adviseur cybersecurity en AI bij de RDI, heeft eerder ervaring opgedaan bij onder meer Essent, Huawei en bij telecombedrijven. Daaronder Vodafone, Ziggo (inmiddels samengegaan) en T-Mobile (nu Odido). Vaak was ze, zoals ook nu, actief in de security-hoek. In die hoedanigheid werkte Van der Linden al veel samen met het Agentschap Telecom, dat op 1 januari 2023 werd omgedoopt tot RDI.

De RDI is een uitvoerings- en toezicht instantie. Van der Linden zit bij het onderdeel Apparatuur, met een focus op markttoezicht. Vanuit dat perspectief houdt zij zich bezig met advies over impact van en voldoen aan de RED 3.3 eisen en de Cyber Resilience Act en de gevolgen van de CRA voor bijvoorbeeld aanbieders van IT-infrastructuur of andere leveranciers en IT-aanbieders.

“Veel RDI-collega’s werken vooral vanuit overheids- of technisch perspectief. Soms kan het goed zijn om daar een meer commercieel perspectief vanuit het bedrijfsleven aan toe te voegen. Voor een goede dialoog kan het helpen als je ook weet wat de uitdagingen voor bedrijven zijn om bijvoorbeeld aan een NIS2 of een CRA te voldoen. En in zoiets als de CRA zit ook een heel stuk geopolitiek, daar moet eveneens aandacht voor zijn. Hoe gaan andere EU-landen bijvoorbeeld om met de uitvoering van de CRA, wat doen landen als de VS of China op dit gebied? Want een level playing field voor Nederlandse bedrijven is ook belangrijk.”

Lange adem

Al in haar werk voor telecombedrijven merkte Van der Linden dat het vertalen van een EU-verordening zoals de CRA naar Nederlandse wetgeving vaak lang duurt. De CRA een Europese verordening die zich richt op het verbeteren van de beveiliging van digitale producten en diensten. Hij is officieel per 10 december 2024 van kracht geworden. Volledige naleving zal over drie jaar ingaan.

Niet alleen het vertalen van Europese verordeningen en richtlijnen naar nationale wetgeving is een uitdaging die voor vertraging kan zorgen, stelt Van der Linden. Dat geldt ook voor de benodigde standaardisatie net zo snel voor elkaar te krijgen als de vorm en inhoud van een wet.

Niet afwachten

“Dat betekent niet dat je als bedrijf tot het laatste moment moet wachten om te kijken wat bepaalde wetgeving voor jou betekent”, benadrukt Van der Linden. “Zo hebben wij vanuit RED-perspectief omvormers voor zonnepanelen twee jaar geleden al eens bekeken op cybersecurity-risico’s. Niet om te handhaven, maar om te bepalen waar deze apparatuur nog niet voldoet aan de RED. In mei 2023 heeft de RDI hier een rapport over gepubliceerd en mogelijk wordt dit onderzoek herhaald, om te kijken wat producenten al gedaan hebben om deze apparatuur aan CRA-eisen te laten voldoen.”

Van der Linden benadrukt nogmaals wat zij vorig jaar tijdens de IT Security Day ook zei over NIS2, die meer algemeen kijkt naar cyberweerbaarheid van bedrijven: “Je moet niet wachten tot een wet zoals NIS2 in werking treedt en een agentschap zoals de RDI gaat handhaven. Die wet is een middel, geen doel. Dat doel is het beschermen van je apparatuur, je data of die van je klanten. Dat doe je voor je bedrijf en jouw klanten, niet voor ons en niet vanwege de wet.”

Tsunami van regulering

Maar, weet van der Linden ook, er komt wel heel erg veel op organisaties af: een soort tsunami van wetten en regels vanuit Europa. Denk aan de DMA, de DSA, DORA, of binnenkort bijvoorbeeld weer de Digital Networks Act. Als je geen groot bedrijf bent, dan heb je er de mensen niet voor om hiermee aan de slag te gaan. Het kan helpen wanneer grotere branchegenoten de weg bereiden, of wanneer je aangesloten bent bij een branche-of koepelorganisatie die hiermee bezig is. Maar ook dan blijft het veel werk om je bedrijf op alles voor te bereiden.

“We zijn geen adviesbureau, maar wij proberen vanuit onze rol in ieder geval om richting die overkoepelende organisaties kennis te delen en vanuit onze kennis advies te geven. Soms kunnen we ook op uitnodiging komen, wat makkelijker gaat naarmate we als organisatie groeien. Dus we doen wat in ons vermogen ligt om de voorbereiding op al die wetten en regels makkelijker te maken. We geven samen met EZK ruchtbaarheid aan wat er allemaal aan komt.”

Liever dialoog dan boete

Streng naleven en beboeten is dan ook iets dat de RDI pas in laatste instantie wil doen. Het is belangrijk als een inspecteur een overtreding constateert, om eerst de dialoog aan te gaan. Kijken of men zich ervan bewust is, of men bereid is dit op te lossen. En als je bijvoorbeeld na een overtreding van de RED besluit om apparatuur van een producent te verbieden, dan moet dat overal in Europa. Dan moeten we daar ook in overleg over met al onze lokale Europese tegenhangers. Dat is niet hoe je het wil hebben.”

Hoe wil de RDI het dan wel hebben? “We willen dat leveranciers en producenten gewoon hun werk kunnen doen. Maar dat laat onverlet dat organisaties niet gewoon kunnen afwachten totdat ze aangemerkt worden omdat ze de boel niet op orde hebben. En dat ze dan in ieder geval na een mogelijke die eerste waarschuwing zo snel mogelijk die boel op orde krijgen.”

Snelle groei

Om goed toezicht te kunnen houden om alle wetten en regels is de RDI het afgelopen jaar snel gegroeid naar inmiddels bijna 500 medewerkers. Dit is bijna een verdubbeling na de overgang van Agentschap Telecom (AT) naar RDI. Deze mensen zijn nodig om te voldoen aan alle werkzaamheden en taken die er in de loop der jaren bij zijn gekomen. Verder moet de nieuwe indeling in ketens voor meer slagkracht zorgen, schetst Van der Linden.

Juist door de groei aan regels, groeit ook het werkveld waar de RDI toezicht op gaat houden/houdt. Dat verklaart de groei van de organisatie, die ook de komende jaren een banenmotor blijft voor mensen in de tech- en toezichtsector. “Werken voor de RDI betekent meer dan geld verdienen. Het gaat hier ook om bijdragen aan een betere, veiligere samenleving.”

Dankzij de extra mensen en slagkracht kan de RDI in toenemende mate (branche-)organisaties begeleiden en ondersteunen in de aanloop naar nieuwe regulering. Van der Linden: “We gaan informatie ophalen, presentaties geven, luisteren. We spreken met relevante stakeholders, met notified bodies.

Verwelkomen, niet vrezen

Wordt Europa wat veiliger dankzij die tsunami aan wetten en regels? Van der Linden benadrukt dat zij de afgelopen jaren wat positiever geworden is op dit punt. “Ik ben ervan overtuigd dat bedrijven een product op de wereld willen zetten om te verkopen. Als jij een bedrijf bent dat voortdurend gehackt wordt of waarschuwingen krijgt, dan verlies je vanzelf klanten. Dat leidt denk ik ook tot een soort zelfreinigend vermogen. Wetgeving moet je hierbij helpen, maar ook dan zal het niet 100 procent veilig worden. Als je één route dicht, gaan hackers elders wel weer nieuwe routes vinden. Maar als je de basis op orde hebt, dan denk ik dat je toezichthouders als de RDI eerder kunt verwelkomen dan vrezen.”