1 00:00:00,640 --> 00:00:04,520 Welkom terug bij het symposium Opstap naar weerbaarheid van Agentschap Telecom. 2 00:00:04,640 --> 00:00:08,920 De derde sessie alweer. Eelco, waar gaan we het over hebben in deze sessie? 3 00:00:09,040 --> 00:00:14,640 Bedrijven opereren in ketens, in verbanden. En bedrijven zijn gaan digitaliseren. 4 00:00:14,760 --> 00:00:17,840 Dat betekent ook dat de verbanden tussen bedrijven digitaal worden. 5 00:00:17,960 --> 00:00:21,640 En je weet wat ze zeggen over ketens. Die zijn zo sterk als de zwakste schakel. 6 00:00:21,760 --> 00:00:24,880 Dus op het moment dat je bedrijven onderling afhankelijk maakt... 7 00:00:25,000 --> 00:00:29,360 wordt ook digitale weerbaarheid afhankelijk van wat andere organisaties doen. 8 00:00:29,480 --> 00:00:32,400 Kortom, we moeten heel hard aan de slag om uitval te voorkomen. 9 00:00:32,520 --> 00:00:36,520 Uitval voorkomen is natuurlijk altijd goed, daar moeten we meer aandacht aan besteden. 10 00:00:36,640 --> 00:00:39,080 Maar het gaat ook een keer mis. En wat doe je dan? 11 00:00:39,200 --> 00:00:42,080 Want als je afhankelijk bent van anderen in jouw keten... 12 00:00:42,200 --> 00:00:45,680 van leveranciers, misschien van klanten of leveranciers van leveranciers... 13 00:00:45,800 --> 00:00:49,560 dat heb je niet meer zelf in de hand, dus dat is best lastig om te organiseren. 14 00:00:49,680 --> 00:00:51,640 Ja, wat moeten we daaraan gaan veranderen? 15 00:00:51,760 --> 00:00:54,600 Dat is eigenlijk een mooie vraag voor de sprekers aan tafel. 16 00:00:54,720 --> 00:00:57,080 Laten we die maar stellen dan, zo meteen. -Is goed. 17 00:00:57,200 --> 00:01:03,040 We gaan het hebben over dat herstelvermogen in het ecosysteem, zoals we dat mooi noemen. 18 00:01:03,160 --> 00:01:06,360 Dat doen we in de studio weer met onze sprekers. 19 00:01:06,480 --> 00:01:08,960 Maar niet alleen met die sprekers aan tafel... 20 00:01:09,080 --> 00:01:12,960 want jij bent onze sidekick eigenlijk vandaag, Eelco. Wat ga jij doen? 21 00:01:13,080 --> 00:01:16,920 We hebben natuurlijk heel veel mensen die kijken naar dit symposium. 22 00:01:17,040 --> 00:01:19,800 En ik heb het liever over deelnemers en niet over kijkers. 23 00:01:19,920 --> 00:01:23,120 Want jouw bijdrage aan dit symposium vinden we ontzettend belangrijk. 24 00:01:23,240 --> 00:01:25,560 En we nodigen je ook uit om te reageren. 25 00:01:25,680 --> 00:01:29,640 Nou, hoe gaat dat dan? Jij ziet ons in beeld in dit videoscherm. 26 00:01:29,760 --> 00:01:32,400 Daaronder staat een klein venster met allerlei berichten. 27 00:01:32,520 --> 00:01:35,440 Heb je nou een vraag aan één van de sprekers, of een opmerking. 28 00:01:35,560 --> 00:01:40,320 Of een bijdrage aan de discussie of een correctie, wat dan ook, type het in de chat. 29 00:01:40,440 --> 00:01:44,360 We hebben een heel team van moderatoren die die vragen beantwoorden. 30 00:01:44,480 --> 00:01:47,080 Als het een leuke vraag is voor de sprekers aan tafel... 31 00:01:47,200 --> 00:01:50,200 krijg ik hem in beeld en ik ga inbreken in het gesprek aan tafel. 32 00:01:50,320 --> 00:01:53,040 Excuses, Annemarie. -Je gaat ons een beetje hacken. 33 00:01:53,160 --> 00:01:58,160 Precies. Ik ga de vragen van de deelnemers namens jou stellen hier aan tafel. 34 00:01:58,280 --> 00:02:02,760 En daar zal ik veel gebruik van gaan maken, dus maak vooral gebruik van de chat. 35 00:02:02,880 --> 00:02:06,880 En daarnaast gaan we ook enthousiast gebruik maken van peilingen, van polls. 36 00:02:07,000 --> 00:02:09,200 Maar dat leg ik wel uit als we er een gaan doen. 37 00:02:09,320 --> 00:02:12,520 Het belangrijkste is: Neem vooral deel. -Precies. 38 00:02:12,640 --> 00:02:14,640 Laten we beginnen. 39 00:02:33,920 --> 00:02:38,040 Ja, welkom terug. We gaan het dus hebben over het herstelvermogen... 40 00:02:38,160 --> 00:02:41,440 van ecosystemen, van netwerken. 41 00:02:41,560 --> 00:02:44,920 Onze veiligheid in netwerken, de eigenschappen van die netwerken... 42 00:02:45,040 --> 00:02:47,840 en ook over de rol die bedrijven daarin hebben. 43 00:02:47,960 --> 00:02:51,360 Grote bedrijven, vooral ook die duizenden kleine bedrijven... 44 00:02:51,480 --> 00:02:54,880 want die zijn minstens zo belangrijk. Van de theorie naar de praktijk. 45 00:02:55,000 --> 00:02:57,880 Wat is nou een netwerk? Wat is de rol van toezicht? 46 00:02:58,000 --> 00:03:01,600 Hoe belangrijk is onderzoek eigenlijk en dan de praktische invulling. 47 00:03:01,720 --> 00:03:04,480 En dat doen we vandaag met ASML en Siemens. 48 00:03:04,600 --> 00:03:07,840 Bij mij aan tafel inmiddels aangeschoven. Jullie zaten hier al lekker. 49 00:03:07,960 --> 00:03:11,400 Ik kom hier buiten adem aanrennen. Zitten jullie een beetje lekker, heren? 50 00:03:11,520 --> 00:03:13,920 Zeker. -Ik ga jullie even voorstellen. 51 00:03:14,040 --> 00:03:18,200 Piet Bel, Senior Security Alliance Manager van ASML. Welkom. 52 00:03:18,320 --> 00:03:22,240 Goedemiddag. -En dan hebben we ook Ivo van Nimwegen. 53 00:03:22,360 --> 00:03:26,120 CISO van Siemens Nederland. Ook welkom. Fijn dat je erbij bent. 54 00:03:26,240 --> 00:03:31,680 En André Smulders, Strategisch Adviseur Information Security van TNO. Welkom. 55 00:03:31,800 --> 00:03:33,680 En ook bij ons aan tafel, Ton Verbon. 56 00:03:33,800 --> 00:03:37,920 Specialistisch Inspecteur Digitale Weerbaarheid van Agentschap Telecom. 57 00:03:38,040 --> 00:03:40,640 Fijn dat je erbij bent. Welkom. -Dank je wel. 58 00:03:40,760 --> 00:03:44,800 Ton, ik wil even beginnen bij jou, want jij zit hier vanuit je rol als toezichthouder. 59 00:03:44,920 --> 00:03:48,640 We hebben het vandaag al een paar keer gehad over de rol van Agentschap Telecom. 60 00:03:48,760 --> 00:03:52,040 Maar wat houdt dat inspectiewerk nou in? Waar hou jij toezicht op... 61 00:03:52,160 --> 00:03:55,200 als we het hebben over netwerken en veiligheid? 62 00:03:55,320 --> 00:03:57,400 Ja, klopt. 63 00:03:58,480 --> 00:04:04,560 Ik werk bij de afdeling digitale weerbaarheid als specialistisch inspecteur. 64 00:04:04,680 --> 00:04:10,240 En je moet het eigenlijk zo zien dat partijen waar wij toezicht op houden... 65 00:04:10,360 --> 00:04:13,520 die hebben op een of andere manier altijd weer relaties met anderen. 66 00:04:13,640 --> 00:04:21,600 En in die insteek... 67 00:04:21,720 --> 00:04:25,320 zitten wij hier eigenlijk ook. Wat is precies de relatie tussen de partijen... 68 00:04:25,440 --> 00:04:28,160 die aan de ene kant onder ons toezicht vallen... 69 00:04:28,280 --> 00:04:35,280 en tegelijkertijd ook de partijen waar zij weer iets mee doen. 70 00:04:35,400 --> 00:04:37,560 Dus heel logisch dat jij hier bij ons zit... 71 00:04:37,680 --> 00:04:41,560 in deze sessie over het netwerk, de ecosystemen. 72 00:04:41,680 --> 00:04:45,880 André, jij doet onderzoek naar die ecosystemen. 73 00:04:46,000 --> 00:04:50,760 Waar doe je dan precies onderzoek naar? -We doen verschillende soorten onderzoek. 74 00:04:50,880 --> 00:04:54,920 In het kader van ecosystemen en netwerken kijken we vooral naar... 75 00:04:55,040 --> 00:04:59,400 hoe kun je verschillende perspectieven van zo'n leveringsketen of netwerk zien? 76 00:04:59,520 --> 00:05:04,440 En het verschil tussen keten en netwerk, en dan heb ik het over organisaties, is... 77 00:05:04,560 --> 00:05:06,920 ik kan een organisatiestructuur in een keten zien. 78 00:05:07,040 --> 00:05:10,480 Dus wat Ton ook zegt, ik heb een afnemer... 79 00:05:10,600 --> 00:05:12,840 die neemt wat af van een partij die erachter zit. 80 00:05:12,960 --> 00:05:15,480 Daar zit weer een partij achter en dan weer een partij. 81 00:05:15,600 --> 00:05:18,840 Dat kan best een lange keten zijn. Waar stopt dat? Dat is één vraag. 82 00:05:18,960 --> 00:05:23,160 En het wordt nog wat complexer, want die partij die in die keten zit... 83 00:05:23,280 --> 00:05:27,280 die heeft zelf ook allemaal leveranciers en als ik dat plaatje pak, organisatorisch... 84 00:05:27,400 --> 00:05:31,480 kom ik heel snel op een netwerk af en dan is het helemaal de vraag: waar stopt dat? 85 00:05:31,600 --> 00:05:36,800 En dan zie je dus ook allerlei onverwachte afhankelijkheden... 86 00:05:36,920 --> 00:05:38,840 want partijen in verschillende ketens... 87 00:05:38,960 --> 00:05:42,160 onderling misschien weer van eenzelfde partij afhankelijk zijn. 88 00:05:42,280 --> 00:05:44,720 Dat zie je ook in allerlei incidenten terugkomen. 89 00:05:44,840 --> 00:05:48,640 Dat is één, dat organisatieperspectief, hoe kijken we daarnaar? 90 00:05:48,760 --> 00:05:52,520 En het andere wat we met ketens doen, vooral vanuit cybersecurity perspectief... 91 00:05:52,640 --> 00:05:55,360 je kan vanuit het perspectief kijken van software. 92 00:05:55,480 --> 00:05:59,320 Je krijgt software uit die keten of dat netwerk. Wat zit daar precies allemaal in? 93 00:05:59,440 --> 00:06:03,880 Maar het kan ook uit het perspectief: Hoe kijk ik naar de diensten uit die keten? 94 00:06:04,000 --> 00:06:07,040 Of ik krijg digitale informatie uit de keten. 95 00:06:07,160 --> 00:06:14,160 En de conclusie is eigenlijk, als je met partijen over keten risicomanagement... 96 00:06:14,280 --> 00:06:18,160 of netwerkbeheersing praat, check dan even over welk perspectief je het hebt. 97 00:06:18,280 --> 00:06:23,080 Organisatorisch perspectief, technisch, software, diensten of iets anders? 98 00:06:23,200 --> 00:06:28,000 Onze ervaring is dat dat in standaarden en toepassingen nogal uiteen loopt. 99 00:06:28,120 --> 00:06:31,360 Inderdaad. Zorg dat je dat samen helder hebt als netwerk. 100 00:06:31,480 --> 00:06:36,280 Piet, we kennen ASML als een boegbeeld van de Nederlandse hightech industrie. 101 00:06:36,400 --> 00:06:40,280 Maar wat doet ASML eigenlijk met netwerken en veiligheid? 102 00:06:40,400 --> 00:06:42,680 En wat doe jij bij ASML dan? 103 00:06:42,800 --> 00:06:46,920 Dank voor het compliment dat ASML een boegbeeld is. 104 00:06:47,040 --> 00:06:51,640 ASML maakt, zoals heel veel mensen weten hele complexe machines. 105 00:06:51,760 --> 00:06:58,320 Die maken ze samen met ketenpartners, met partners waarmee we samen innoveren. 106 00:06:58,440 --> 00:07:00,960 En dat zijn er al 5000, meer dan 5000 zelfs... 107 00:07:01,080 --> 00:07:05,200 die allemaal een stukje van de hele complexe puzzel maken. 108 00:07:05,320 --> 00:07:09,960 En al die bedrijven hebben toegang... 109 00:07:10,080 --> 00:07:16,280 tot, laat ik zeggen onze moeilijke tekeningen, onze kroonjuwelen. 110 00:07:16,400 --> 00:07:19,120 En een ketting is zo sterk als de zwakste schakel. 111 00:07:19,240 --> 00:07:23,560 Als deze partner niet de juiste beveiligingsmaatregelingen neemt... 112 00:07:23,680 --> 00:07:27,600 raken wij onze bedrijfsgeheimen kwijt. -Ja. 113 00:07:27,720 --> 00:07:33,400 Een aspect wat zeer recent, nieuw is aan de hele discussie... 114 00:07:33,520 --> 00:07:36,480 het is niet zozeer dat we onze bedrijfsgeheimen kwijtraken... 115 00:07:36,600 --> 00:07:41,200 maar we zien steeds meer dat bedrijven gehackt worden met ransomware. 116 00:07:41,320 --> 00:07:46,640 En of je dan zelf de juiste maatregelen hebt, is niet zo effectief... 117 00:07:46,760 --> 00:07:52,080 want als zo'n klein bedrijf niet die maatregelen neemt, dan wordt hij gehackt... 118 00:07:52,200 --> 00:07:57,240 en kan ie niet meer op maandagochtend die vrachtwagen met spullen afleveren bij ons. 119 00:07:57,360 --> 00:08:01,080 Waardoor bij ons de productie in gevaar komt. 120 00:08:01,200 --> 00:08:04,880 Dus je bent afhankelijk van de leveringszekerheid van je ketenpartners. 121 00:08:05,000 --> 00:08:09,080 Kortom, een belangrijk onderdeel hier. -Ja, een belangrijk onderdeel. 122 00:08:09,200 --> 00:08:13,520 En security en leveringszekerheid zijn zeer belangrijke onderdelen... 123 00:08:13,640 --> 00:08:17,560 van onze inkoopstrategie. -En wat doe jij dan bij ASML? 124 00:08:17,680 --> 00:08:22,960 Ik probeer met die ketenpartners, ketenpartners zijn enerzijds mensen die... 125 00:08:23,080 --> 00:08:27,800 Laat ik zeggen, het hele ecosysteem op een hoger plan te brengen qua security. 126 00:08:27,920 --> 00:08:31,680 Ketenpartners zijn enerzijds maakbedrijven. 127 00:08:31,800 --> 00:08:34,280 Anderzijds mensen die software maken voor ons. 128 00:08:34,400 --> 00:08:40,120 Weer anders, mensen die op universiteiten dingen uit proberen te vinden. 129 00:08:40,240 --> 00:08:44,600 Toekomstige kennis. Maar tegelijkertijd zien we toch ook... 130 00:08:44,720 --> 00:08:48,080 dat er heel veel andere bedrijven zijn die wellicht ervaring hebben... 131 00:08:48,200 --> 00:08:50,880 die wij kunnen gebruiken als wij gehackt worden. 132 00:08:51,000 --> 00:08:57,280 Of als wij ervaring hebben en wij zien dingen gebeuren bij collega-bedrijven... 133 00:08:57,400 --> 00:08:58,880 kunnen we ze helpen. 134 00:08:59,000 --> 00:09:02,120 En het derde aspect, wat ik nog niet heb toegelicht, is... 135 00:09:02,240 --> 00:09:06,400 hoe helpen we de Nederlandse overheid? Hoe kunnen we de BV Nederland helpen? 136 00:09:06,520 --> 00:09:08,840 Ik maak vaak een vergelijking. 137 00:09:08,960 --> 00:09:15,040 We zijn met een aantal grote bedrijven met respectabele cybersecurity afdelingen. 138 00:09:15,160 --> 00:09:19,360 Als je op een slimme manier al die security afdelingen bij elkaar brengt... 139 00:09:19,480 --> 00:09:25,080 als er een incident is in Nederland, zouden we onder coördinatie van de overheid... 140 00:09:25,200 --> 00:09:28,000 wellicht de BV Nederland een stukje kunnen helpen. 141 00:09:28,120 --> 00:09:30,080 Het Nederlands belang. -Mooie ambitie. 142 00:09:30,200 --> 00:09:32,720 Ik ga even naar Ivo, want wat doet Siemens ook alweer? 143 00:09:32,840 --> 00:09:35,640 Iedereen kent de naam. Volgens mij doen jullie een heleboel. 144 00:09:35,760 --> 00:09:38,720 En waarom zijn ketens uiteindelijk belangrijk voor Siemens? 145 00:09:38,840 --> 00:09:42,440 Siemens is inderdaad een wereldwijd technologie bedrijf. 146 00:09:42,560 --> 00:09:45,960 We hebben zo'n 300.000 medewerkers. We zitten in 200 landen. 147 00:09:46,080 --> 00:09:49,360 En wij richten ons met name op het digitaliseren en automatiseren... 148 00:09:49,480 --> 00:09:56,120 van de industrie, van de infrastructuur, mobiliteit en gezondheidszorg. 149 00:09:56,240 --> 00:09:58,640 En ik denk dat er geen keten te bedenken is... 150 00:09:58,760 --> 00:10:02,320 waar Siemens geen onderdeel van is op een of andere manier. 151 00:10:02,440 --> 00:10:05,400 Dus jullie moeten je eigenlijk overal wel een beetje in mengen. 152 00:10:05,520 --> 00:10:07,280 In iedere keten zo'n beetje. -Precies. 153 00:10:07,400 --> 00:10:09,040 En wat doe jij dan binnen Siemens? 154 00:10:09,160 --> 00:10:12,560 Ik ben binnen Siemens Nederland verantwoordelijk voor cybersecurity. 155 00:10:12,680 --> 00:10:18,160 Ik hou me vooral bezig met het beschermen van Siemens zelf tegen cyberdreigingen. 156 00:10:18,280 --> 00:10:21,440 En ik bewaak ook dat we de oplossingen die we leveren aan klanten... 157 00:10:21,560 --> 00:10:23,240 dat we dat veilig doen. 158 00:10:23,360 --> 00:10:26,480 Helemaal helder. Twee toonaangevende partijen dus ook aan tafel. 159 00:10:26,600 --> 00:10:29,920 Laten we even kijken en pijlen hoe de deelnemers thuis daarnaar kijken. 160 00:10:30,040 --> 00:10:32,520 Eelco, we hebben volgens mij weer een poll klaarstaan. 161 00:10:33,520 --> 00:10:36,680 Ja, dat klopt. Want de partijen die hier aan tafel zitten... 162 00:10:36,800 --> 00:10:40,480 hebben allemaal een eigen rol als toezichthouder of als leverancier... 163 00:10:40,600 --> 00:10:45,520 of uit de maakindustrie. De pollvraag werkt als volgt: 164 00:10:45,640 --> 00:10:49,880 Er komt een stelling in beeld, die staat als het goed is nu onder dit videoscherm. 165 00:10:50,000 --> 00:10:54,160 Verschijnt de poll niet, komt dat misschien omdat je de video in fullscreen bekijkt. 166 00:10:54,280 --> 00:10:57,400 Dan maak je hem even wat kleiner, zie je de pollvraag verschijnen. 167 00:10:57,520 --> 00:10:59,600 Het is een multiple choice, vier antwoorden. 168 00:10:59,720 --> 00:11:02,160 De antwoorden zijn natuurlijk nooit helemaal passend. 169 00:11:02,280 --> 00:11:05,360 We hebben er natuurlijk stiekem wat lastige antwoorden bij gemaakt. 170 00:11:05,480 --> 00:11:10,320 De pollvraag luidt: Wie draagt de zwaarste last om ketens veilig te houden? 171 00:11:10,440 --> 00:11:15,960 Optie A: Zijn dat de bedrijven die diensten of producten aanleveren? 172 00:11:16,080 --> 00:11:18,800 Is dat B: De afnemers van die bedrijven? 173 00:11:18,920 --> 00:11:23,320 De afnemers die diensten gebruiken of de eindgebruikers, dus jijzelf? 174 00:11:23,440 --> 00:11:26,560 Is dat misschien de overheid, antwoord C. 175 00:11:26,680 --> 00:11:29,240 Of is dat heel iemand anders, optie D. 176 00:11:29,360 --> 00:11:33,040 En als je kiest voor D, zet dan eventjes in de chat wie je daarmee bedoelt. 177 00:11:33,160 --> 00:11:35,080 We hebben weinig tijd voor de antwoorden. 178 00:11:35,200 --> 00:11:38,440 Dus pak je muis en klik op A of B of C of D. 179 00:11:38,560 --> 00:11:43,280 Het antwoord dat het beste in de buurt komt van wat jij denkt dat het antwoord is. 180 00:11:43,400 --> 00:11:47,000 Ik zie al wat mooie antwoorden binnenkomen. 181 00:11:47,120 --> 00:11:50,760 Ongeveer twee derde zegt dat bedrijven die producten en diensten leveren... 182 00:11:50,880 --> 00:11:55,040 eigenlijk de zwaarste last hebben om die hele keten veilig te houden. 183 00:11:56,680 --> 00:12:00,280 Ongeveer 40 procent zegt dat de gebruikers, de afnemers... 184 00:12:00,400 --> 00:12:02,520 degenen zijn die de zwaarste last dragen. 185 00:12:02,640 --> 00:12:06,480 En heel weinig mensen zeggen dat de overheid de belangrijkste rol heeft. 186 00:12:06,600 --> 00:12:10,520 Of dat het heel iemand anders is. Jammer, want dan missen we je opmerking in de chat. 187 00:12:10,640 --> 00:12:16,240 Nou, dus een zware last voor jullie twee in ieder geval, hoor ik hier. Toch? 188 00:12:16,360 --> 00:12:19,720 Ja, dat herken ik wel. -Die zware last voel je ook wel? 189 00:12:19,840 --> 00:12:21,960 Ja, zeker. -Piet ook? 190 00:12:22,080 --> 00:12:26,440 Op een andere manier, want wij verkopen niets aan consumenten. 191 00:12:26,560 --> 00:12:31,400 We verkopen onze chipmachines, we maken geen chips... 192 00:12:31,520 --> 00:12:37,160 maar machines om chips te maken, aan de fabrikanten van chips. 193 00:12:37,280 --> 00:12:40,160 Maar wat we wel doen is, we zijn afhankelijk van die keten... 194 00:12:40,280 --> 00:12:43,640 en wij nemen de regiefunctie om die keten achter ons veilig te krijgen. 195 00:12:43,760 --> 00:12:47,920 Dus op die manier hebben we natuurlijk een belang dat wij dat doen. 196 00:12:48,040 --> 00:12:53,560 Maar anderzijds, als we achteraan kijken, Apple is uiteindelijk een klant van ons. 197 00:12:53,680 --> 00:12:58,160 En die stelt dezelfde vragen aan ons. 198 00:12:58,280 --> 00:13:00,920 Ik denk dat iedereen gedeelde verantwoordelijkheid heeft. 199 00:13:01,040 --> 00:13:04,440 Neem die verantwoording, wacht niet tot de overheid dat doet. 200 00:13:04,560 --> 00:13:06,760 De overheid kan een regiefunctie krijgen. 201 00:13:06,880 --> 00:13:09,360 De NIS2 wet komt eraan, dat is een hele goede. 202 00:13:09,480 --> 00:13:11,720 Maar ik denk dat bedrijven dat zelf moeten doen. 203 00:13:11,840 --> 00:13:15,680 Ton, ik wil even naar jou. -Ik ga je even onderbreken, excuus. 204 00:13:15,800 --> 00:13:18,840 Michael zegt: Het is natuurlijk een gedeelde verantwoordelijkheid. 205 00:13:18,960 --> 00:13:22,760 Die optie stond er met opzet niet tussen om de discussie scherp te houden. 206 00:13:22,880 --> 00:13:26,440 Jeroen merkt op: Eigenlijk zou er een ketenpolitie moeten zijn. 207 00:13:26,560 --> 00:13:32,480 Kijk ik toch een beetje richting Ton. En Erik zegt: Het NCSC zat net aan tafel. 208 00:13:32,600 --> 00:13:35,400 Heeft die geen belangrijke rol om de ketens veilig te houden? 209 00:13:35,520 --> 00:13:40,880 Ik zag André net heel hard schudden toen je het over Ton had. 210 00:13:41,000 --> 00:13:46,680 Als ik mag reageren, een ketenpolitie werkt als je in een hele strakke keten zit. 211 00:13:46,800 --> 00:13:49,880 Dus dat model werkt wel als je een hele strakke keten hebt. 212 00:13:50,000 --> 00:13:53,360 En iemand als basis van die keten, die hele keten kan sturen. 213 00:13:53,480 --> 00:13:56,920 Ik denk dat dat voor een netwerk, een ecosysteem heel anders werkt. 214 00:13:57,040 --> 00:14:01,040 Dan is de vraag: Welke partij kan op het ecosysteem de meeste invloed uitoefenen? 215 00:14:01,160 --> 00:14:06,760 Wat vind jij eigenlijk? -Ik denk dat het inderdaad ook klopt. 216 00:14:06,880 --> 00:14:11,920 Maar ik denk wel dat ook de wetgever tegenwoordig eigenlijk steeds meer ziet... 217 00:14:12,040 --> 00:14:15,400 dat het wel die kant op gaat, dat is eigenlijk de verantwoordelijkheid... 218 00:14:15,520 --> 00:14:17,960 dat het meer een soort brede verantwoordelijkheid is. 219 00:14:18,080 --> 00:14:22,640 dus niet alleen de verantwoordelijkheid van een paar partijen. 220 00:14:22,760 --> 00:14:26,200 Dus er wordt ook wel steeds meer gekeken naar leveranciers... 221 00:14:26,320 --> 00:14:30,920 en naar allerlei partijen die op één of andere manier daar een rol in spelen. 222 00:14:31,040 --> 00:14:33,400 Iedereen moet z'n eigen verantwoordelijkheid nemen. 223 00:14:33,520 --> 00:14:37,520 Ja, en dat wordt dus steeds minder vrijwillig. 224 00:14:37,640 --> 00:14:42,480 En het wordt steeds meer met wetgeving op één of andere manier afgedwongen. 225 00:14:42,600 --> 00:14:48,760 Ik denk dat het een utopie is dat er nooit storingen in een keten zullen zijn. 226 00:14:48,880 --> 00:14:53,360 Ik denk dat je er ook met z'n allen op voorbereid moet zijn... 227 00:14:53,480 --> 00:14:58,320 dat er gewoon verstoringen zullen zijn. Dus je moet je als bedrijf voorbereiden. 228 00:14:58,440 --> 00:15:00,720 Wat is ons plan B als er wat misgaat? 229 00:15:00,840 --> 00:15:04,440 Ja, precies. -Mag ik daar nog verder op reageren? 230 00:15:04,560 --> 00:15:11,720 Wij als groot bedrijf moeten aan allerlei compliance-gerelateerde domeinen voldoen. 231 00:15:11,840 --> 00:15:15,280 Wij moeten garanderen dat we geen zwart geld hebben, belasting betalen... 232 00:15:15,400 --> 00:15:18,920 geen kinderarbeid, conflict minerals, geen milieuvervuiling. 233 00:15:19,040 --> 00:15:21,960 Bij ons, maar ook bij onze ketenpartners. 234 00:15:22,080 --> 00:15:24,200 Als je die lijn doortrekt, zeggen wij ook... 235 00:15:24,320 --> 00:15:29,080 als onze ketenpartners dus geen security hebben of niet voldoende... 236 00:15:29,200 --> 00:15:31,920 hebben wij daar de verantwoording voor, dus wat wij doen... 237 00:15:32,040 --> 00:15:36,120 een deel van onze inkoopvoorwaarden gaan over alle aspecten die je net noemde. 238 00:15:36,240 --> 00:15:40,560 Staat ook heel duidelijk in: Die zaken moet je regelen op security. 239 00:15:40,680 --> 00:15:44,640 Anders hebben we een moeilijk gesprek met de afdeling inkoop. 240 00:15:44,760 --> 00:15:46,280 Dan kun je dus twee dingen doen. 241 00:15:46,400 --> 00:15:51,040 Je kunt weglopen bij die leverancier die zijn zaakjes niet op orde heeft. 242 00:15:51,160 --> 00:15:54,160 Doen we niet. We gaan ze helpen. -Ja. 243 00:15:54,280 --> 00:15:57,640 We gaan proberen om die toeleveranciers te helpen... 244 00:15:57,760 --> 00:16:00,600 hun security stapje voor stapje omhoog te brengen. 245 00:16:00,720 --> 00:16:07,520 Volgens onze bedrijfsprincipes: Challenge, Collaborate en Care... 246 00:16:07,640 --> 00:16:10,320 probeer je ze te helpen en als ze de juiste dingen doen... 247 00:16:10,440 --> 00:16:12,960 kunnen ze ook rekenen op onze steun als het misgaat. 248 00:16:13,080 --> 00:16:18,240 Dan proberen we niet op hun stoel te gaan zitten, maar ze terzijde te staan met: 249 00:16:18,360 --> 00:16:21,400 Heb je hieraan gedacht, doe dit, doe dat, heb je hieraan gedacht? 250 00:16:21,520 --> 00:16:23,440 Dus eigenlijk coachen. -Coachen. 251 00:16:23,560 --> 00:16:27,560 En op die manier neem je verantwoording om dat ecosysteem veiliger te krijgen. 252 00:16:27,680 --> 00:16:31,120 Zou je dan ook de verantwoordelijkheid bij de andere partij kunnen leggen? 253 00:16:31,240 --> 00:16:36,000 Paul merkt op dat we niet helemaal richting het Amerikaans model zouden moeten gaan... 254 00:16:36,120 --> 00:16:38,960 maar je kan aansprakelijkheid wel als instrument inzetten... 255 00:16:39,080 --> 00:16:43,720 om die keten verantwoordelijkheid te geven waar die het makkelijkst gedragen wordt. 256 00:16:43,840 --> 00:16:48,000 Wat vind je daarvan? -Dat zijn twee verschillende dingen. 257 00:16:48,120 --> 00:16:51,640 Ik praat eigenlijk nooit in termen van verantwoordelijkheid... 258 00:16:51,760 --> 00:16:53,800 maar over welk belang heb je bij die keten? 259 00:16:53,920 --> 00:16:58,680 Wat Piet ook terecht zegt: Als die partijen hun spullen niet op orde hebben... 260 00:16:58,800 --> 00:17:01,160 hebben we daar last van. We hebben er belang bij... 261 00:17:01,280 --> 00:17:03,920 De een heeft er meer last van dan de ander. -Ja, precies. 262 00:17:04,040 --> 00:17:08,320 En als je er belang bij hebt om in dat ecosysteem de dingen op orde te krijgen... 263 00:17:08,440 --> 00:17:11,880 zodat jij je werk beter kan doen, dat kan je verantwoordelijkheid noemen. 264 00:17:12,000 --> 00:17:16,920 Het gaat om liability. Als partijen zaken niet op orde hebben, zijn ze aansprakelijk. 265 00:17:17,040 --> 00:17:20,200 Een heel ander soort verantwoordelijkheid dan elkaar aanspreken. 266 00:17:20,320 --> 00:17:23,040 En ik denk dat dat meer secundair zou moeten zijn. 267 00:17:23,160 --> 00:17:27,320 Je moet in deze moeilijke setting gewoon samenwerken, je kan het niet alleen doen. 268 00:17:27,440 --> 00:17:31,280 En dingen afdwingen met een stok, zou ik even als laatste optie nemen. 269 00:17:31,400 --> 00:17:33,720 Ik ga toch wel even naar die stok, want Ton... 270 00:17:33,840 --> 00:17:36,400 op wat voor soort bedrijven hou jij eigenlijk toezicht? 271 00:17:36,520 --> 00:17:40,040 Wij houden met name toezicht... 272 00:17:40,160 --> 00:17:45,400 op partijen die zijn aangewezen als essentiële dienst. 273 00:17:45,520 --> 00:17:47,960 Dat betekent dat je op een of andere manier... 274 00:17:48,080 --> 00:17:51,640 een vitale functie hebt in de Nederlandse maatschappij. 275 00:17:51,760 --> 00:17:56,400 Dat kan al zijn een energieproducent of een netbeheerder of noem maar op. 276 00:17:56,520 --> 00:18:03,040 En zo heb je er best wel wat. En het worden er ook steeds meer. 277 00:18:03,160 --> 00:18:08,320 Maar wat wij eigenlijk zien, op het gebied van leveranciers... 278 00:18:08,440 --> 00:18:11,720 wat wij altijd vragen is: Hoe zorg je ervoor... 279 00:18:11,840 --> 00:18:17,560 dat jouw essentiële dienst secure is? Dus dat dat veilig is? 280 00:18:17,680 --> 00:18:21,320 En dan komt het vrij vaak voor... 281 00:18:21,440 --> 00:18:25,560 dat partijen van alles laten doen door anderen. 282 00:18:25,680 --> 00:18:31,240 En dan denk je: Nou, dan moet je even uitzoeken wie dat zijn. 283 00:18:31,360 --> 00:18:33,800 En dan is het eigenlijk klaar, zeg maar. 284 00:18:33,920 --> 00:18:38,320 Maar daar komt eigenlijk deze slide bij om de hoek kijken... 285 00:18:38,440 --> 00:18:41,400 want eigenlijk is de complexiteit van dit probleem... 286 00:18:41,520 --> 00:18:45,480 dat het niet gaat om één leverancier. -Dit kom je in de praktijk tegen. 287 00:18:45,600 --> 00:18:48,920 Ja, dus daar zitten ook weer allerlei andere leveranciers achter. 288 00:18:49,040 --> 00:18:50,640 Je hebt er vaak meerdere. 289 00:18:50,760 --> 00:18:54,320 Hier staan er vier, maar in de praktijk heb je er natuurlijk echt wel meer. 290 00:18:54,440 --> 00:19:00,080 Vaak heb je ook te maken met niet alleen de uitvoering van je eigen essentiële dienst. 291 00:19:00,200 --> 00:19:06,320 Maar vaak gaat het ook om partijen die jij misschien niet ziet als leverancier... 292 00:19:06,440 --> 00:19:09,920 maar die wel een invloed kunnen hebben op jouw essentiële diensten. 293 00:19:10,040 --> 00:19:14,720 Zeg bijvoorbeeld iemand die jouw data ergens opslaat. 294 00:19:14,840 --> 00:19:19,920 Hiervoor hebben we elkaar allemaal wat stukken toe gemaild. 295 00:19:20,040 --> 00:19:22,600 Nou, dat komt allemaal van één bepaalde aanbieder af. 296 00:19:22,720 --> 00:19:27,880 Dus die maakt gebruik van programma's en al die data staat ook weer ergens. 297 00:19:28,000 --> 00:19:30,120 Dus dat is eigenlijk ook 'n soort leverancier. 298 00:19:30,240 --> 00:19:33,960 Zo krijg je heel simpel ook wel eens de discussie: Ik gebruik Teams, jij Google. 299 00:19:34,080 --> 00:19:36,160 Wat doen we? Wie heeft het veiligste systeem? 300 00:19:36,280 --> 00:19:38,760 Ja, dus als je dan in een netwerk zit... 301 00:19:38,880 --> 00:19:43,560 dan is het juist handig als dingen meer samenkomen. 302 00:19:43,680 --> 00:19:47,720 Dus de een gebruikt Teams, de ander Google en weer een ander heeft weer iets. 303 00:19:47,840 --> 00:19:51,920 Meestal zie je dan dat er één partij is die steeds groter wordt... 304 00:19:52,040 --> 00:19:54,160 omdat dat ook steeds meer voordelen heeft. 305 00:19:54,280 --> 00:19:58,000 Dus dat is ook weer een van de effecten van zo'n netwerk. 306 00:19:58,120 --> 00:20:04,400 Maar dat betekent ook dat je weer moeilijker afspraken kunt maken. 307 00:20:04,520 --> 00:20:08,320 En zo heb je allerlei van dit soort effecten... 308 00:20:08,440 --> 00:20:12,720 die je in traditionele ketens in principe minder ziet. 309 00:20:12,840 --> 00:20:14,960 Dan heb je meer een soort lineaire functies. 310 00:20:15,080 --> 00:20:19,000 Stel je voor dat er ergens in het begin iets misgaat. 311 00:20:19,120 --> 00:20:22,400 Vanwege de pandemie, of zo, dat iemand iets niet kan leveren. 312 00:20:22,520 --> 00:20:24,640 Daar heb je uiteindelijk ook wel last van... 313 00:20:24,760 --> 00:20:28,000 maar dat propageert wat anders en wat langzamer. 314 00:20:28,120 --> 00:20:33,040 En als je het hebt over zo'n netwerk, dan heb je het meer over onverwachte zaken... 315 00:20:33,160 --> 00:20:39,720 die in één keer meer plat kunnen leggen dan je lief is. 316 00:20:39,840 --> 00:20:42,520 En dan kom je meer op het werk wat wij dus ook doen... 317 00:20:42,640 --> 00:20:48,560 want dan kan het ook best wel zijn dat je essentiële dienst op zijn kont ligt. 318 00:20:48,680 --> 00:20:51,320 Maar hoe ver kijk je dan? Hoe ver reikt dat toezicht dan? 319 00:20:51,440 --> 00:20:55,240 Is dat alleen die energiemaatschappij of ook de schakels die eraan vast hangen? 320 00:20:55,360 --> 00:20:58,960 Dat is ook een vraag van Joepke, die maakt in de chat terecht de opmerking... 321 00:20:59,080 --> 00:21:01,560 heel veel van die ketens gaan over landsgrenzen heen. 322 00:21:01,680 --> 00:21:05,880 Wat doe je dan met internationale partijen? -Hoe ver kan je daar toezicht op houden? 323 00:21:06,000 --> 00:21:08,520 Landsgrenzen, dat is inderdaad wel lastig. 324 00:21:08,640 --> 00:21:13,960 Dat heeft inderdaad iets te maken met, wat is dan de reikwijdte van je wetgeving? 325 00:21:14,080 --> 00:21:17,720 Dan kom je eigenlijk meer terecht in samenwerking. 326 00:21:17,840 --> 00:21:23,280 Maar dat is inderdaad wel langer. Maar als we het hebben over... 327 00:21:23,400 --> 00:21:28,680 even de complexiteit wegsnijden van andere landen... 328 00:21:28,800 --> 00:21:32,040 dan vragen we in ieder geval wel... 329 00:21:32,160 --> 00:21:37,920 in hoeverre jouw eigen dienst, essentiële dienst... 330 00:21:38,040 --> 00:21:42,120 dat die afhangt van levering van anderen. -Dus je moet dat wel verantwoorden? 331 00:21:42,240 --> 00:21:46,840 Ja, daar zit een soort verantwoordelijkheid in, dat je aan ons kunt uitleggen... 332 00:21:46,960 --> 00:21:51,880 hoe jouw risicoprofiel past op de risico's die je neemt... 333 00:21:52,000 --> 00:21:56,440 bij het laten uitvoeren van jouw eigen dienst door iemand anders. 334 00:21:56,560 --> 00:21:59,600 Dus als we hebben over aansprakelijkheid... 335 00:21:59,720 --> 00:22:04,320 leggen jullie dat dan neer bij die derde partij of bij die energiemaatschappij? 336 00:22:04,440 --> 00:22:08,800 Bij die energiemaatschappij. Die is dan verantwoordelijk... 337 00:22:08,920 --> 00:22:16,760 om het risicomanagement zodanig uit te voeren dat hij al dit soort aspecten... 338 00:22:16,880 --> 00:22:20,600 Daar hoor ik het verhaal van Piet ook voorbij komen hierin een beetje, denk ik. 339 00:22:20,720 --> 00:22:26,160 Ja, bij ons maken landsgrenzen niets uit. Wij kopen wereldwijd. 340 00:22:26,280 --> 00:22:31,840 En de vragen die wij stellen zijn hetzelfde in Nederland, Duitsland of Amerika. 341 00:22:31,960 --> 00:22:38,760 Natuurlijk zijn de lokale wetten altijd leidend. 342 00:22:38,880 --> 00:22:44,400 Maar dit soort vraagstellingen met toeleveranciers stel je internationaal. 343 00:22:44,520 --> 00:22:48,400 Sterker nog, naar toeleveranciers, we beseffen dat wij middenin de keten zitten. 344 00:22:48,520 --> 00:22:51,800 Want onze klanten stellen weer vragen aan ons. 345 00:22:51,920 --> 00:22:54,840 Dus we proberen die dingen aan elkaar te binden. 346 00:22:54,960 --> 00:22:58,080 Ons initiatief is enerzijds richting toeleveranciers... 347 00:22:58,200 --> 00:23:02,960 en anderzijds naar onze klanten: Werk samen. Ben daar open in. 348 00:23:03,080 --> 00:23:05,280 Spreek duidelijke standaarden af... 349 00:23:05,400 --> 00:23:10,120 dan komt het meestal wel goed als je de dialoog herstart. 350 00:23:10,240 --> 00:23:12,960 Dat sluit goed aan bij een opmerking van Dick. Die zegt: 351 00:23:13,080 --> 00:23:16,160 Ketens, we zeiden het al, zijn zo sterk als de zwakste schakel. 352 00:23:16,280 --> 00:23:19,000 ASML zit in het midden van zo'n keten. 353 00:23:19,120 --> 00:23:23,440 Dick vraagt aan Piet: Waar zit nu de zwakste schakel? 354 00:23:23,560 --> 00:23:27,280 Piet, waar zit volgens jou de zwakste schakel in deze keten? 355 00:23:27,400 --> 00:23:30,000 Wat ik net vertelde in de introductie, op twee manieren: 356 00:23:30,120 --> 00:23:34,800 Als een bedrijf niet voldoende security maatregelen neemt... 357 00:23:34,920 --> 00:23:40,160 en de data beschermt die ze van ons krijgen, dan raken wij die data kwijt. 358 00:23:40,280 --> 00:23:44,440 Dat is één. En twee, als ze niet voldoende maatregen nemen tegen ransomware... 359 00:23:44,560 --> 00:23:48,960 dan hebben wij een probleem. Nou, ransomware is iets cyberachtigs. 360 00:23:49,080 --> 00:23:53,560 Zelfde geldt voor brand, als een bedrijf afbrandt, hebben wij hetzelfde probleem. 361 00:23:53,680 --> 00:23:57,160 Dus dan praat je over andere kwetsbaarheden. 362 00:23:57,280 --> 00:24:01,280 Als je geen brandblussers hebt, kan een brand het bedrijf afbranden. 363 00:24:01,400 --> 00:24:03,600 Nou ja, dan hebben we hetzelfde probleem. 364 00:24:03,720 --> 00:24:08,000 Antwoord geven is: Neem de juiste basismaatregelen. 365 00:24:08,120 --> 00:24:11,560 Daar zijn we heel eerlijk in, gebaseerd op ISO-normen, op NIS-normen... 366 00:24:11,680 --> 00:24:15,360 kun je dat gewoon heel eerlijk verifiëren, vraag 1, 2, 3. 367 00:24:15,480 --> 00:24:18,720 Een kind kan de was doen. Maar je moet het wel doen. 368 00:24:18,840 --> 00:24:23,400 Ja, dat is belangrijk. -Niet alleen, dat is 'n les die we geven... 369 00:24:23,520 --> 00:24:27,680 niet alleen voor een dubbeltje op de eerste rang willen zitten, alleen maar knijpen. 370 00:24:27,800 --> 00:24:32,080 En wat wij steeds meer als boodschap geven aan onze toeleveranciers... 371 00:24:32,200 --> 00:24:35,000 dan zeggen we: Jullie doen dit voor ons. 372 00:24:35,120 --> 00:24:37,960 Wij willen eigenlijk dat jullie hetzelfde gaan doen... 373 00:24:38,080 --> 00:24:41,600 naar jullie toeleveranciers, want jullie zijn ook in de keten. 374 00:24:41,720 --> 00:24:44,240 Jullie leren van ons en dat nemen jullie weer mee in... 375 00:24:44,360 --> 00:24:47,920 Door dat te doen, krijg je een soort sneeuwbal die steeds groter wordt. 376 00:24:48,040 --> 00:24:50,920 Nou, en een ander punt... -Maar zie je ook dat dat gebeurt? 377 00:24:51,040 --> 00:24:53,840 Want dit klinkt natuurlijk als de ideale wereld. 378 00:24:53,960 --> 00:24:59,720 Laat ik het zo zeggen, als ik hier een jaar geleden had gezeten, had ik gezegd: 379 00:24:59,840 --> 00:25:04,680 Ik zie nu, een jaar later heel veel mensen, collega's uit de industrie... 380 00:25:04,800 --> 00:25:06,840 die zeggen: Hoe doen jullie dat? 381 00:25:06,960 --> 00:25:09,480 En als we hier volgend jaar weer zouden zitten, zeg ik: 382 00:25:09,600 --> 00:25:13,360 Die doet het, die doet het, maar wel... 383 00:25:13,480 --> 00:25:16,800 denk ik dat wij wel een stukje vooroplopen in dat soort dingen. 384 00:25:16,920 --> 00:25:21,800 Maar ik denk ook dat de wetgeving hiermee gaat helpen, met NIS2 die er aankomt. 385 00:25:21,920 --> 00:25:25,760 En die gaat echt vergaande eisen stellen op het gebied van supply chain. 386 00:25:25,880 --> 00:25:30,880 Risk management, dus straks heb je de vitale en de essentiële diensten. 387 00:25:31,000 --> 00:25:34,840 Maar die worden wel verplicht via die wet om hun keten in de grip te gaan houden. 388 00:25:34,960 --> 00:25:38,800 Dus je kunt gewoon verwachten dat bedrijven die onder toezicht staan... 389 00:25:38,920 --> 00:25:41,720 in hun contractvoorwaarden gaan opnemen... 390 00:25:41,840 --> 00:25:46,400 dat zij hun toeleveranciers aan eisen gaan houden. 391 00:25:46,520 --> 00:25:50,840 Dus zo gaat er denk ik wel een soort sneeuwbaleffect ontstaan. 392 00:25:50,960 --> 00:25:53,400 Ja, want die NIS2, wat houdt dat verder allemaal in? 393 00:25:53,520 --> 00:26:00,840 Het toezicht wat we nu dus doen, doen we eigenlijk op basis van de NIS1. 394 00:26:00,960 --> 00:26:05,160 Gewoon de NIS zoals ie er nu is. 395 00:26:05,280 --> 00:26:09,800 Die is omgezet in de Wbni. -Ik hoor heel veel afkortingen. 396 00:26:09,920 --> 00:26:17,200 Heel veel mensen denken: NIS? Wat is dat? Network & Information Security Directive. 397 00:26:17,320 --> 00:26:21,680 Dus eigenlijk een Europese richtlijn. 398 00:26:21,800 --> 00:26:25,880 Dat betekent dat Europa niet helemaal precies voorschrijft... 399 00:26:26,000 --> 00:26:31,240 wat de lidstaten moeten doen, maar wel dat ze ongeveer de richting aangeven. 400 00:26:31,360 --> 00:26:34,120 Een soort basis. -Ja, een soort van basis. 401 00:26:34,240 --> 00:26:39,680 Lidstaten moeten dat dan weer omzetten in een eigen nationale wet. 402 00:26:39,800 --> 00:26:42,400 Die nationale wet bij ons heet dan de Wbni... 403 00:26:42,520 --> 00:26:44,800 Wet Beveiliging Netwerk- en Informatiesystemen. 404 00:26:44,920 --> 00:26:50,920 Dat kun je ook de cybersecuritywet noemen. -Een stuk makkelijker. 405 00:26:51,040 --> 00:26:55,400 Zo heette hij eerst, maar die is veranderd in Wbni. 406 00:26:55,520 --> 00:26:59,240 Dan heb je de NIS2 die er dus aankomt. 407 00:26:59,360 --> 00:27:05,600 En dat betekent eigenlijk dat er dus meer partijen onder ons toezicht vallen. 408 00:27:05,720 --> 00:27:08,560 Maar ook dat er een aantal extra eisen bijkomen. 409 00:27:08,680 --> 00:27:11,640 Een van die eisen is, wat jij ook zegt... 410 00:27:11,760 --> 00:27:18,000 in je eigen risicomanagement moet je ook rekening houden met leveranciers. 411 00:27:18,120 --> 00:27:21,320 Als we dan toch bezig zijn over dit soort wetten en regels... 412 00:27:21,440 --> 00:27:24,560 dit zijn meer de regels vanuit het toezicht. 413 00:27:24,680 --> 00:27:30,600 Dus vanuit hoe je toezicht houdt op de processen bij organisaties. 414 00:27:30,720 --> 00:27:32,800 Maar je hebt ook nog andere soorten regels... 415 00:27:32,920 --> 00:27:37,440 en dat gaat meer over de producten die je kunt kopen. 416 00:27:37,560 --> 00:27:43,360 En daar komen ook weer een aantal afkortingen, CRA en CSA. 417 00:27:43,480 --> 00:27:45,400 Je kunt dit webinar trouwens terugkijken. 418 00:27:45,520 --> 00:27:48,080 Mocht je straks denken: Ik kan het niet mee schrijven. 419 00:27:48,200 --> 00:27:53,080 Dat is dan weer een Cyber Resilience Act en een Act is in zoverre anders... 420 00:27:53,200 --> 00:27:57,360 dat vanuit Europa opgelegd wordt wat lidstaten moeten doen. 421 00:27:57,480 --> 00:28:04,680 En daarin staan alle eisen opgenomen voor producten die je kunt kopen hier. 422 00:28:04,800 --> 00:28:09,080 En alles wat dus aan het internet hangt. 423 00:28:09,200 --> 00:28:12,040 Kun je bijvoorbeeld denken aan camera's of zoiets. 424 00:28:12,160 --> 00:28:17,520 En daar heb je dan een soort van basislaag aan security die er dan in zit. 425 00:28:17,640 --> 00:28:21,040 Dus van beide kanten wordt eigenlijk wel nagedacht... 426 00:28:21,160 --> 00:28:25,160 over hoe dit hele verhaal veiliger kan. -Dus volop toezicht. 427 00:28:25,280 --> 00:28:28,240 En Annemarie, onze vriendelijke moderatoren hebben in de chat... 428 00:28:28,360 --> 00:28:30,960 een link gezet naar de website van Agentschap Telecom... 429 00:28:31,080 --> 00:28:33,440 waar je meer informatie kan vinden over die wetgeving. 430 00:28:33,560 --> 00:28:36,160 Als mensen denken: Jeetje, moet ik niet mee schrijven... 431 00:28:36,280 --> 00:28:40,720 het kan gewoon op de website, het linkje staat dus in de chat. Dank je wel, Eelco. 432 00:28:40,840 --> 00:28:45,240 Ik ben ook wel benieuwd, Ivo naar wat jullie perspectief is... 433 00:28:45,360 --> 00:28:49,640 op die ketens van Siemens. -Wat wij doen, wij automatiseren. 434 00:28:49,760 --> 00:28:53,200 Als je het platslaat, automatiseren en digitaliseren wij fysieke objecten. 435 00:28:53,320 --> 00:28:56,960 Denk aan bruggen, sluizen, machines. 436 00:28:57,080 --> 00:29:00,600 Energienetten, gebouwen. En daar zien we eigenlijk twee dingen in. 437 00:29:00,720 --> 00:29:04,440 Ten eerste zien we dat onze ketenafhankelijkheid steeds groter wordt. 438 00:29:04,560 --> 00:29:09,840 Omdat we steeds vaker in ketens acteren en samenwerken in ketens. 439 00:29:09,960 --> 00:29:13,120 Dus dat is een. Dus het wordt steeds belangrijker. 440 00:29:13,240 --> 00:29:18,160 Het tweede wat wij zien is dat de impact van cyberincidenten aan het toenemen is... 441 00:29:18,280 --> 00:29:22,680 in de ketens waar wij in zitten en dat komt met name door het fysieke aspect. 442 00:29:22,800 --> 00:29:28,400 En je kan je voorstellen, een datalek is natuurlijk heel schadelijk en vervelend. 443 00:29:28,520 --> 00:29:31,960 Maar stel je voor als je een besmetting hebt van een waterinstallatie... 444 00:29:32,080 --> 00:29:36,840 of een energievoorziening wordt platgelegd, dat dat toch echt wel iets anders is. 445 00:29:36,960 --> 00:29:41,080 En dat is ook de reden waarom wij dit zo'n belangrijk aspect vinden. 446 00:29:41,200 --> 00:29:43,440 Ja, en je had er ook een slide over meegenomen? 447 00:29:43,560 --> 00:29:48,080 Ja, dus je ziet hier, dit is onze slide waarin wij laten zien... 448 00:29:48,200 --> 00:29:50,640 we verbinden de echte wereld met de digitale wereld. 449 00:29:50,760 --> 00:29:54,480 En dat doen wij op heel veel verschillende domeinen. 450 00:29:54,600 --> 00:29:56,960 En daar helpen wij onze klanten mee, dat klopt. 451 00:29:57,080 --> 00:30:00,760 Ga ik ook nog even naar Piet, want die had ook een slide meegenomen, of niet? 452 00:30:00,880 --> 00:30:03,760 Heb je ook een plaatje? -Ja, van de machines die je nu ziet. 453 00:30:03,880 --> 00:30:07,640 Die steeds groter worden, maar ze worden nog groter. 454 00:30:07,760 --> 00:30:10,960 Maar ik heb een ander plaatje van de complexiteit van dat ecosysteem. 455 00:30:11,080 --> 00:30:15,360 En op dit plaatje wat je nu ziet... 456 00:30:15,480 --> 00:30:21,400 zie je vrij schematisch, de complexiteit van partijen waar we mee samenwerken. 457 00:30:21,520 --> 00:30:24,320 In de realiteit zijn het er 5000, zoals ik vertelde. 458 00:30:24,440 --> 00:30:29,280 En al die mensen heb je nodig om die complexe technologie te maken. 459 00:30:29,400 --> 00:30:35,400 Precies, dus het beheer van dat netwerk. -En helaas bestaan spionage en cybercrime. 460 00:30:35,520 --> 00:30:40,160 En die proberen letterlijk de zwakste schakel in zo'n keten op te zoeken. 461 00:30:40,280 --> 00:30:45,240 Dus je kunt niet volstaan met zeggen: Ja, maar wij hebben het goed. 462 00:30:45,360 --> 00:30:47,280 Ja, maar bij die anderen dan? 463 00:30:47,400 --> 00:30:54,200 Dus ik denk dat dat realisme bij heel veel bedrijven gaat komen. 464 00:30:54,320 --> 00:30:58,800 Heel veel bedrijven beginnen na te denken dat ze bestaan bij de gratie van een keten. 465 00:30:58,920 --> 00:31:02,600 Nu hoor ik wel heel veel mensen die zeggen: Ja, maar... 466 00:31:02,720 --> 00:31:06,760 we checken eigenlijk voornamelijk de IT-componenten. 467 00:31:06,880 --> 00:31:10,720 Dat is het makkelijkste, omdat er heel veel mensen in deze wereld zitten uit de IT. 468 00:31:10,840 --> 00:31:14,960 En mijn pleidooi is, ga vooral verder dan IT-levels. 469 00:31:15,080 --> 00:31:17,760 Ga vooral naar de leveranciers van halffabricaten. 470 00:31:17,880 --> 00:31:20,320 Ga daar kijken. -Waarom? 471 00:31:20,440 --> 00:31:25,040 Waarom? Er zijn winkelketens... 472 00:31:25,160 --> 00:31:30,160 die een tijdlang bepaalde voedingsmiddelen niet konden leveren, kaas in dit geval. 473 00:31:30,280 --> 00:31:35,640 Omdat hun kaasboer gehackt werd. Ja, dat is lastig. 474 00:31:35,760 --> 00:31:42,680 En ik weet zeker dat dat grote winkelbedrijf daar heel goed over nadenkt. 475 00:31:42,800 --> 00:31:45,920 Hoe zijn ze afhankelijk van één van die leveranciers. 476 00:31:46,040 --> 00:31:49,920 Van kaas, van melk, van eieren, van vlees. En dat je daarover na moet denken. 477 00:31:50,040 --> 00:31:54,680 Ze hebben ongetwijfeld vergaderd over dat ecosysteem na dat kaasincident. 478 00:31:54,800 --> 00:31:57,520 Maar goed, we zijn allemaal ecosystemen. 479 00:31:57,640 --> 00:31:59,880 Vroeger deed één bedrijf alles en nu niet meer. 480 00:32:00,000 --> 00:32:06,120 Vaak ben jij de, hoe heet dat, de conductor van een orkest. 481 00:32:06,240 --> 00:32:09,000 En zo zien wij onszelf dus ook op security gebied. 482 00:32:09,120 --> 00:32:12,560 Ik zie in de chat heel veel opmerkingen voorbijkomen over ASML. 483 00:32:12,680 --> 00:32:17,360 Mensen die toch wel enthousiast worden over hoe ASML dat regelt met toeleveranciers. 484 00:32:17,480 --> 00:32:20,240 Maar ook wel een kritische opmerking van Jeroen, die zegt: 485 00:32:20,360 --> 00:32:23,040 Als ik kijk naar hoe het in mijn omgeving werkt... 486 00:32:23,160 --> 00:32:25,320 met de leveranciers waar ik ervaring mee heb... 487 00:32:25,440 --> 00:32:28,600 dat dubbeltje op de eerste rang herkent hij heel sterk. 488 00:32:28,720 --> 00:32:33,880 Ze focussen vooral op ontwikkeling en omzet, minimale kosten en maximale winst. 489 00:32:34,000 --> 00:32:38,560 Dat blijft toch dweilen dan met kraan open voor ketenveiligheid. 490 00:32:38,680 --> 00:32:45,120 Piet, hoe zie jij dat? -Bij ons is dat heel simpel. 491 00:32:45,240 --> 00:32:47,480 Dat zou bij ons ook zo kunnen. 492 00:32:47,600 --> 00:32:54,800 Echter, wij zijn ervan overtuigd, van laag tot de top dat security heel belangrijk is. 493 00:32:54,920 --> 00:32:59,920 En als de toon aan de top goed is, dan volgt de rest vanzelf. 494 00:33:00,040 --> 00:33:03,320 Ja, precies. -We zijn er vrij duidelijk in, vrij open. 495 00:33:03,440 --> 00:33:07,960 En dan zeg ik ook: Het is heel simpel, dat voorbeeld wat ik net gaf. 496 00:33:08,080 --> 00:33:13,520 Sustainability, belasting ontduiken, kinderarbeid, mag allemaal niet. 497 00:33:13,640 --> 00:33:18,640 Dat laten we zien en dat is gewoon een doodzonde en dat accepteert iedereen. 498 00:33:18,760 --> 00:33:21,760 Waarom accepteert iedereen niet dat cybersecurity belangrijk is? 499 00:33:21,880 --> 00:33:24,560 Nou, als je dat maar gewoon consequent uitlegt... 500 00:33:24,680 --> 00:33:28,520 en als iemand zegt: Dan ga ik naar je baas, prima, dan krijgt ie hetzelfde verhaal. 501 00:33:28,640 --> 00:33:32,320 En als je het dan consequent doet, gaan mensen gewoon inzien... 502 00:33:32,440 --> 00:33:35,120 dat dit gewoon een belangrijk onderwerp is... 503 00:33:35,240 --> 00:33:38,880 want men wil graag aan ons blijven leveren. 504 00:33:39,000 --> 00:33:42,920 Dat is geen stok om te slaan, maar men wil graag aan ons blijven leveren. 505 00:33:43,040 --> 00:33:45,800 Nou ja, en dan hoort die voorwaarde erbij. Punt. 506 00:33:45,920 --> 00:33:48,840 Ivo, ik ga even naar jou, want hoe doen jullie dat als Siemens? 507 00:33:48,960 --> 00:33:52,080 Hoe zorgen jullie ervoor dat je dat netwerk beheert waar je kan? 508 00:33:52,200 --> 00:33:56,400 Dat is best een uitdaging, natuurlijk. En dat kunnen wij ook niet alleen. 509 00:33:56,520 --> 00:33:58,920 Daarom heeft Siemens in 2018... 510 00:33:59,040 --> 00:34:01,960 het initiatief genomen om de Charter of Trust op te richten. 511 00:34:02,080 --> 00:34:04,080 Daar is geloof ik ook een slide van. 512 00:34:04,200 --> 00:34:08,480 Dat is een gezamenlijk initiatief van een aantal grote bedrijven en partners... 513 00:34:08,600 --> 00:34:14,480 dat 10 principes hebben opgesteld om een veilige digitale wereld te creëren. 514 00:34:14,600 --> 00:34:18,640 Nou, als je kijkt naar principe twee, dat gaat specifiek over ketens. 515 00:34:18,760 --> 00:34:24,040 Daar heeft Siemens samen met de Charter of Trust een praktisch model uitgewerkt. 516 00:34:24,160 --> 00:34:29,520 Hoe kun je nou je keten in beheer krijgen? Dat passen wij natuurlijk ook zelf toe. 517 00:34:29,640 --> 00:34:32,120 Dat betekent ook dat wij, net als ASML... 518 00:34:32,240 --> 00:34:37,440 in onze algemene inkoopvoorwaarden onze cybersecurity eisen hebben opgenomen. 519 00:34:37,560 --> 00:34:40,440 En we hebben ook een platform en een methode ingericht... 520 00:34:40,560 --> 00:34:47,520 om onze leveranciers te kunnen ranken en te kunnen beoordelen op hoe zij het doen. 521 00:34:47,640 --> 00:34:50,120 Ja, precies, dus je zet het in die voorwaarden... 522 00:34:50,240 --> 00:34:53,920 maar je checkt het eigenlijk ook nog. -Ja, absoluut. 523 00:34:54,040 --> 00:34:56,400 Verder kijken we ook naar onze productontwikkeling. 524 00:34:56,520 --> 00:35:00,400 Wij zorgen in onze productontwikkeling dat wij in onze Quality Gates... 525 00:35:00,520 --> 00:35:05,200 hebben opgenomen het thema ketens, dus welke leveranciers zitten daarin. 526 00:35:05,320 --> 00:35:09,040 Welke partijen zitten erin. Dat we daar ook de juiste checks kunnen doen. 527 00:35:09,160 --> 00:35:11,560 En tenslotte certificeren wij ons ook zelf. 528 00:35:11,680 --> 00:35:14,400 Om te zorgen dat wij zelf in de keten waarin we zitten... 529 00:35:14,520 --> 00:35:17,800 in ieder geval zorgen dat wij de keten zo sterk mogelijk houden. 530 00:35:17,920 --> 00:35:20,200 Ivo, een vraag aan jou van Paul. 531 00:35:20,320 --> 00:35:24,040 Die zegt: Hoe ver gaan jullie dan met controleren van die leveranciers? 532 00:35:24,160 --> 00:35:26,360 Neem je genoegen met een Assurance Statement? 533 00:35:26,480 --> 00:35:28,600 Wil je echt die certificaten zien? 534 00:35:28,720 --> 00:35:31,920 Of ga je erheen met een team en neem je zelf een kijkje in de keuken? 535 00:35:32,040 --> 00:35:33,960 Hoe doen jullie dat? -Hele goede vraag. 536 00:35:34,080 --> 00:35:37,880 Dus bedankt ook daarvoor. Als je naar de website van Charter of Trust gaat... 537 00:35:38,000 --> 00:35:40,560 daar hebben we ook de methode gepubliceerd. 538 00:35:40,680 --> 00:35:45,480 Die kun je zien en daar maken we inderdaad gebruik van een ‘risk based’ aanpak. 539 00:35:45,600 --> 00:35:51,480 Dus wat je doet op basis van een ranking van je leveranciers, laag, midden, hoog... 540 00:35:51,600 --> 00:35:55,480 stel je andere eisen, bij een laag risico zal je wat minder diep gaan... 541 00:35:55,600 --> 00:35:57,480 dan bij een hoog risico. 542 00:35:57,600 --> 00:36:00,520 En op een gegeven moment ga je inderdaad audits doen. 543 00:36:00,640 --> 00:36:07,600 Dan maak je een selectie van het belang van de ketenpartner waarin je zit. 544 00:36:07,720 --> 00:36:12,200 Certificering waar je het net over had. Piet, dan ga ik even naar jou. 545 00:36:12,320 --> 00:36:14,960 Hebben jullie daar weleens over nagedacht als ASML? 546 00:36:15,080 --> 00:36:18,240 Over certificering? Ja, zeker. 547 00:36:18,360 --> 00:36:24,920 Ik draai hem even om. Certificering vinden we heel belangrijk. Dat is geen discussie. 548 00:36:25,040 --> 00:36:30,120 Maar we zien vooral dat, wat ik zei, we werken met veel kleinere mkb-bedrijven. 549 00:36:30,240 --> 00:36:33,040 En die zeggen: We willen wel al die certificaten invullen... 550 00:36:33,160 --> 00:36:35,680 of die vragenlijsten, maar we worden er krankjorum van. 551 00:36:35,800 --> 00:36:40,800 Elk bedrijf heeft een andere vragenlijst, andere volgorde van vragen stellen. 552 00:36:40,920 --> 00:36:44,400 Het zou makkelijk zijn als we één vragenlijst zouden hebben... 553 00:36:44,520 --> 00:36:48,400 met dezelfde vragen in dezelfde volgorde. Dat is één. 554 00:36:48,520 --> 00:36:52,400 En twee, dat grote bedrijven elkaars certificaten gaan accepteren. 555 00:36:52,520 --> 00:36:57,080 Dus kortom, het zou mooi zijn als iemand die bij ons brons, zilver, goud... 556 00:36:57,200 --> 00:36:59,680 een gouden certificaat heeft gekregen. 557 00:36:59,800 --> 00:37:04,480 Met dat certificaat naar hen kan gaan en zeggen: Wij kopen iets in... 558 00:37:04,600 --> 00:37:07,760 en hoe heb je dat dan geregeld? Dan kan dat bedrijf zeggen: 559 00:37:07,880 --> 00:37:10,080 Van ASML hebben we al een gouden certificaat. 560 00:37:10,200 --> 00:37:14,880 En dat je zegt: U hoeft het niet meer in te vullen, want we vertrouwen dat certificaat. 561 00:37:15,000 --> 00:37:19,080 Dat model heet het CYRA model. Dat zijn we aan het ontwikkelen... 562 00:37:19,200 --> 00:37:22,920 samen met brancheorganisaties, ketenpartners... 563 00:37:23,040 --> 00:37:26,200 in bijvoorbeeld een Brainport of in Rotterdam en andere plekken. 564 00:37:26,320 --> 00:37:31,120 En een aantal grotere brancheorganisaties, sectororganisatie zeggen: 565 00:37:31,240 --> 00:37:36,560 Dat zou al voldoen in de vraag die heel veel kleinere bedrijven hebben... 566 00:37:36,680 --> 00:37:38,640 om tot een standaard te komen. 567 00:37:38,760 --> 00:37:41,440 Zorg dat het die kleine bedrijven makkelijk gemaakt wordt. 568 00:37:41,560 --> 00:37:43,720 Eén keer zo'n vragenlijst invullen. 569 00:37:43,840 --> 00:37:47,280 Gebaseerd op brons, zilver, goud en met security. 570 00:37:47,400 --> 00:37:51,640 Gaat te ver op dit moment, maar maak één lijst. Maak het makkelijk en ben duidelijk. 571 00:37:51,760 --> 00:37:53,960 Klinkt heel logisch. André, ik ga even naar jou. 572 00:37:54,080 --> 00:37:58,360 Wat blijkt uit onderzoek eigenlijk over wat handig is met een beheer van netwerken... 573 00:37:58,480 --> 00:38:00,920 en bijvoorbeeld ook wat Piet hier schetst. 574 00:38:01,040 --> 00:38:05,200 Nou, mijn beeld is dat je meerdere sporen tegelijkertijd moet gaan volgen. 575 00:38:05,320 --> 00:38:08,360 Dus de ene lijn is het wegnemen van onzekerheid... 576 00:38:08,480 --> 00:38:10,720 en die olievlekwerking door gewoon te beginnen... 577 00:38:10,840 --> 00:38:12,640 en zoveel mogelijk te standaardiseren. 578 00:38:12,760 --> 00:38:15,200 Tegelijkertijd is een eigenschap van die netwerken... 579 00:38:15,320 --> 00:38:17,680 dat je altijd partijen hebt die langzamer bewegen. 580 00:38:17,800 --> 00:38:23,560 Dus het ene spoor gaat over wegnemen van onzekerheid door maatregelen te treffen. 581 00:38:23,680 --> 00:38:25,880 Maar ook voorbereid zijn op die onzekerheid. 582 00:38:26,000 --> 00:38:27,800 En daar komt weer herstelvermogen uit. 583 00:38:27,920 --> 00:38:32,560 Dus een deel is dingen fixen, security by design. 584 00:38:32,680 --> 00:38:35,280 Dat we weten wat de eigenschappen van dat ecosysteem... 585 00:38:35,400 --> 00:38:37,280 of die complexe netwerken zijn... 586 00:38:37,400 --> 00:38:39,640 dat je altijd met verassingen te maken hebt. 587 00:38:39,760 --> 00:38:44,360 Dus ook omgaan met risico's, waar zitten onze grootste afhankelijkheden? 588 00:38:44,480 --> 00:38:46,520 Als je dat in beeld hebt en gaat managen... 589 00:38:46,640 --> 00:38:49,080 kun je nog met verrassingen geconfronteerd worden. 590 00:38:49,200 --> 00:38:52,680 Dingen kunnen nog steeds misgaan, daar moeten we juist rekening mee houden. 591 00:38:52,800 --> 00:38:55,040 Dat is vandaag ook de rode draad in dit verhaal. 592 00:38:55,160 --> 00:38:58,800 En van die fouten kunnen we natuurlijk uiteindelijk ook leren. 593 00:38:58,920 --> 00:39:03,760 Ivo, ik ga even naar jou, want wat hebben jullie eigenlijk geleerd van incidenten? 594 00:39:03,880 --> 00:39:05,720 Heb je daar wat voorbeelden van? 595 00:39:05,840 --> 00:39:08,480 Ik denk dat als je het hebt over ketens en incidenten... 596 00:39:08,600 --> 00:39:11,880 dan is van de afgelopen jaren een heel goed voorbeeld de Log4J. 597 00:39:12,000 --> 00:39:15,600 Dan denk je: Wat is een Log4J? -Neem ons even mee, weer zo'n term. 598 00:39:15,720 --> 00:39:19,040 En Log4J is eigenlijk een stukje embedded open source software. 599 00:39:19,160 --> 00:39:22,280 En daar zat een zeer ernstige kwetsbaarheid in. 600 00:39:22,400 --> 00:39:25,680 En toen bleek dat dat in heel veel producten zat. 601 00:39:25,800 --> 00:39:29,480 En het grote probleem was dat we niet wisten in welke producten dat zat. 602 00:39:29,600 --> 00:39:32,840 Ik hoor hier inderdaad een heel groot leerpunt. 603 00:39:32,960 --> 00:39:35,080 Absoluut. Dus dat betekent concreet... 604 00:39:35,200 --> 00:39:39,960 dat wij ons gehele applicatielandschap en leveranciers in kaart moesten brengen. 605 00:39:40,080 --> 00:39:43,360 En die moesten we dus ook beoordelen. 606 00:39:43,480 --> 00:39:48,920 Dan heb je het als een Siemens toch over zo'n 10.000 applicaties, dus aardig wat. 607 00:39:49,040 --> 00:39:52,120 En aan de andere kant zitten we ook middenin die keten. 608 00:39:52,240 --> 00:39:54,880 We hebben natuurlijk ook zelf producten die we verkopen. 609 00:39:55,000 --> 00:39:58,400 Dus we moesten ons eigen portfolio volledig langs... 610 00:39:58,520 --> 00:40:02,920 om te gaan kijken, waar zit het in en daar onze klanten over informeren. 611 00:40:03,040 --> 00:40:06,880 Dus daar hebben we zeker wat van geleerd. Ten eerste: Wees voorbereid. 612 00:40:07,000 --> 00:40:10,480 Zorg dat je weet waar het in zit. -Ja, dat is twee, inderdaad. 613 00:40:10,600 --> 00:40:13,880 Maar wees voorbereid, want dit was dan Log4J... 614 00:40:14,000 --> 00:40:17,560 maar volgende week is het wat anders, dus dit gaat nog een keer gebeuren. 615 00:40:17,680 --> 00:40:22,320 Het tweede is inderdaad, weet wat je hebt en waar je afhankelijkheden zitten. 616 00:40:22,440 --> 00:40:26,080 Dat was voor ons echt cruciaal om snel te kunnen acteren. 617 00:40:26,200 --> 00:40:28,640 Het derde, wat we ook zagen, is: 618 00:40:28,760 --> 00:40:32,000 Hoe zorgen we ervoor dat we niet elke keer zelf het wiel uitvinden? 619 00:40:32,120 --> 00:40:36,480 In het voorbeeld van Log4J waren er geen scanners om dit te detecteren. 620 00:40:36,600 --> 00:40:39,120 Dus wat gaan wij doen, we zijn een engineering partij. 621 00:40:39,240 --> 00:40:41,360 Dus wij gaan scanners maken. 622 00:40:41,480 --> 00:40:44,280 Achteraf bleek dat veel van onze partners dat ook deden. 623 00:40:44,400 --> 00:40:47,560 Dus iedereen maakte de scanners. Dus dat was niet echt efficiënt. 624 00:40:47,680 --> 00:40:49,800 Maar goed, hoe doe je dat in het vervolg? 625 00:40:49,920 --> 00:40:52,680 Hoe werk je beter samen en hoe vertrouw je elkaar dan ook? 626 00:40:52,800 --> 00:40:55,400 Dat je van elkaars kennis gebruik kan gaan maken. 627 00:40:55,520 --> 00:40:57,400 Maar er zijn ook wel dingen goed gegaan. 628 00:40:57,520 --> 00:41:02,240 Ook wel complimenten richting bijvoorbeeld Nationaal Cyber Security Centum, het NCSC. 629 00:41:02,360 --> 00:41:08,560 Die hadden tijdens dat incident een portaal waar ze een actuele status bijhielden... 630 00:41:08,680 --> 00:41:13,680 van leveranciers en hun logfoyer status. En dat portaal hielden ze heel goed bij. 631 00:41:13,800 --> 00:41:17,600 Dus dat werd ook binnen Siemens wereldwijd echt actief gebruikt. 632 00:41:17,720 --> 00:41:21,600 Dus ik denk ook dat dat een voorbeeld is van dingen die goed gingen in de keten. 633 00:41:21,720 --> 00:41:24,480 Mag ik daar iets bij zeggen? 634 00:41:24,600 --> 00:41:29,760 Alles wat gezegd wordt, helemaal waar. Maar daar moeten nog twee dingen bij. 635 00:41:29,880 --> 00:41:33,080 Je moet elkaar kunnen vinden en elkaar durven vertrouwen. 636 00:41:33,200 --> 00:41:38,000 En dat heb ik wel gemerkt, als je een tijdje in deze branche meeloopt... 637 00:41:38,120 --> 00:41:42,240 dan merk je dat heel veel mensen huiverig zijn om hun buurman te bellen... 638 00:41:42,360 --> 00:41:44,520 of een collega te durven bellen... 639 00:41:44,640 --> 00:41:52,320 want wat gebeurt er als ik vertel dat ik een probleem heb? Durf elkaar te bellen. 640 00:41:52,440 --> 00:41:55,640 Moet je elkaar eerst kennen en je moet elkaars telefoonnummer hebben. 641 00:41:55,760 --> 00:41:59,520 En je merkt in die digitale wereld dat mensen elkaars telefoonnummer niet hebben. 642 00:41:59,640 --> 00:42:03,960 En dat ze niet eens durven te bellen en niet weten waar ze hulp kunnen krijgen. 643 00:42:04,080 --> 00:42:07,320 Ik zie heel veel mensen die zo naar hun probleem kijken... 644 00:42:07,440 --> 00:42:11,400 terwijl je ook zo kan kijken. -Terug in de tijd, durf te bellen. De tip. 645 00:42:11,520 --> 00:42:15,360 We hebben pas geleden weer de bekende One Conference gehad. 646 00:42:15,480 --> 00:42:19,200 Een heel belangrijk onderdeel van de One Conference is dat men elkaar tegenkomt. 647 00:42:19,320 --> 00:42:21,920 En dan kan je zeggen: Mag ik je weer een keertje bellen? 648 00:42:22,040 --> 00:42:24,920 Maar waarom is dat hierin zo belangrijk, dat je elkaar belt... 649 00:42:25,040 --> 00:42:27,520 in plaats van op een andere manier contact zoeken? 650 00:42:27,640 --> 00:42:30,320 Daar kan ik wel wat over zeggen. Over die One Conference. 651 00:42:30,440 --> 00:42:33,520 Als ik het heel zwart-wit zeg, kom je daar twee typen mensen tegen. 652 00:42:33,640 --> 00:42:37,400 Eén zegt: Ik heb verhalen gehoord, we zien problemen, kunnen we daarover praten? 653 00:42:37,520 --> 00:42:40,200 Herkennen jullie dat? En dan wordt er een gesprek gevoerd. 654 00:42:40,320 --> 00:42:42,880 Andere mensen zeggen: Dat probleem hebben wij niet. 655 00:42:43,000 --> 00:42:48,480 En bij die tweede groep mensen zeg ik: Die moeten vaker bier drinken. 656 00:42:48,600 --> 00:42:51,920 Of iets anders, maar je moet elkaar gewoon vaker treffen... 657 00:42:52,040 --> 00:42:55,560 want het kan niet zo zijn dat waar we allemaal last van hebben... 658 00:42:55,680 --> 00:42:59,680 dat er partijen zijn niet dat niet zien. Of ze hebben er misschien oplossingen voor. 659 00:42:59,800 --> 00:43:01,720 Maar ga het delen. Sharing is caring. 660 00:43:01,840 --> 00:43:06,240 Dat zegt Oscar Koeroo ook van SZW, zit hij tegenwoordig. 661 00:43:06,360 --> 00:43:10,080 Briljant, vind ik een super goede term. Gewoon sharing is caring. Je moet delen. 662 00:43:10,200 --> 00:43:12,560 Essentieel. -Delen is het nieuwe vermenigvuldigen. 663 00:43:12,680 --> 00:43:16,880 Kijk. Meer bier drinken. Ik heb een heleboel tips gehoord. 664 00:43:17,000 --> 00:43:20,080 Ja, en toch in de chat missen we nog wel een partij... 665 00:43:20,200 --> 00:43:23,080 want we hebben het aan tafel niet gehad over de datacenters. 666 00:43:23,200 --> 00:43:25,440 Waarom stellen we geen eisen aan datacenters? 667 00:43:25,560 --> 00:43:28,280 Waarom eisen we geen certificeringen van datacenters? 668 00:43:28,400 --> 00:43:31,720 Nou, ik drop het meteen hier aan tafel. 669 00:43:31,840 --> 00:43:34,240 Waarom zijn datacenters niet voorbijgekomen? 670 00:43:34,360 --> 00:43:37,320 Ik ga daar niet over, maar ik weet nog wel bij KPN vroeger... 671 00:43:37,440 --> 00:43:40,160 de KPN heeft geen boodschap aan de boodschap. 672 00:43:40,280 --> 00:43:42,960 Die zorgde alleen dat mensen met elkaar konden praten. 673 00:43:43,080 --> 00:43:46,400 En wat er verteld werd... Daar lijkt het een beetje op. 674 00:43:46,520 --> 00:43:49,560 Ik weet niet, datacenters zullen hun uptime moet regelen... 675 00:43:49,680 --> 00:43:53,120 maar wat er op de server staat... -Hoe kijken jullie daarnaar, Ton? 676 00:43:53,240 --> 00:43:58,400 Voor ons is denk ik ook wel belangrijk dat in het kader van de nieuwe NIS... 677 00:43:58,520 --> 00:44:02,320 dus van de NIS2, dat daar ook een uitbreiding is... 678 00:44:02,440 --> 00:44:05,240 en dat dit soort diensten, dus meer de cloudiensten, en zo... 679 00:44:05,360 --> 00:44:12,600 dat die van een reactief regime naar een actief regime gaan. 680 00:44:12,720 --> 00:44:16,560 Wat dus eigenlijk betekent dat ze belangrijker zijn... 681 00:44:16,680 --> 00:44:22,640 dat ze gewoon wat meer aandacht van ons krijgen. 682 00:44:22,760 --> 00:44:28,320 En wat zouden zij dan hierin moeten gaan doen naar jouw idee of naar de wetgeving? 683 00:44:28,440 --> 00:44:34,520 Ja, dat komt dan toch weer neer op passende en evenredige technische maatregelen nemen. 684 00:44:34,640 --> 00:44:37,240 Technische en organisatorische maatregelen. 685 00:44:37,360 --> 00:44:40,600 En dan is altijd weer de vraag: Wat is nou eigenlijk passend? 686 00:44:40,720 --> 00:44:45,040 En als ik dan een beetje laat zien hoe wij... 687 00:44:45,160 --> 00:44:50,360 Als toezichthouder kunnen wij dus wel min of meer de richting aangeven... 688 00:44:50,480 --> 00:44:53,360 wat wij denken wat passend is. 689 00:44:53,480 --> 00:44:56,000 Maar wij kunnen niet voor zo'n partij invullen... 690 00:44:56,120 --> 00:44:57,800 hoe ze dat precies moeten gaan doen. 691 00:44:57,920 --> 00:45:01,440 Want eigenlijk zegt de wetgeving ook altijd: 692 00:45:01,560 --> 00:45:05,240 De partij zelf moet die passende maatregelen treffen. 693 00:45:05,360 --> 00:45:08,680 Jeroen in de chat vraagt zich af: Waarom doet de overheid dat niet? 694 00:45:08,800 --> 00:45:13,080 Want we hebben al die tools, zoals CYRA. Waarom verplichten we die dan niet gewoon? 695 00:45:13,200 --> 00:45:15,800 Misschien moeten we daar nog een vraag over stellen... 696 00:45:15,920 --> 00:45:21,040 want ik kan me niet voorstellen, ik ben geen datacenter expert certificering... 697 00:45:21,160 --> 00:45:25,040 maar ik geloof niet dat er geen datacenters zonder certificering zijn, zoals ISO. 698 00:45:25,160 --> 00:45:28,760 Dus misschien is het een specifiek soort certificering die bedoeld wordt... 699 00:45:28,880 --> 00:45:31,600 maar treffende maatregelen voor de problemen die er zijn... 700 00:45:31,720 --> 00:45:35,000 dat zit gewoon in standaardcertificering zoals ISO 27000. 701 00:45:35,120 --> 00:45:37,760 Kortom, die worden er sowieso natuurlijk al in betrokken? 702 00:45:37,880 --> 00:45:40,520 Dat lijkt mij wel. Misschien een bepaalde wetgeving... 703 00:45:40,640 --> 00:45:42,880 dat ze buiten de scope van de wetgeving vallen... 704 00:45:43,000 --> 00:45:45,240 maar dan zijn ze niet per se niet gecertificeerd. 705 00:45:45,360 --> 00:45:48,160 Ik heb daar nog een andere kijk op. 706 00:45:48,280 --> 00:45:54,240 Ik denk dat wij allemaal voorbij het feit zijn dat we wijzen naar de overheid. 707 00:45:54,360 --> 00:45:58,800 Die hebben het niet goed gedaan. Ik denk dat het in samen zit. 708 00:45:58,920 --> 00:46:03,400 Heel vaak hoor je dat de wetgever zegt: Ik weet niet hoe ik het moet vormgeven... 709 00:46:03,520 --> 00:46:06,920 maar als je als bedrijfsleven de dialoog niet zoekt... 710 00:46:07,040 --> 00:46:10,600 kan de wetgever ook niet de juiste dingen op papier krijgen. 711 00:46:10,720 --> 00:46:15,240 Nou, dat doet me denken aan een plaatje wat we wellicht kunnen laten zien. 712 00:46:15,360 --> 00:46:20,760 Dat is het bekendste schilderij uit de Nederlandse geschiedenis, de Nachtwacht. 713 00:46:20,880 --> 00:46:26,240 Een soort analogie voor het cybersecurity beleid wat wij als ASML hebben... 714 00:46:26,360 --> 00:46:30,320 richting stakeholders en de overheid. 715 00:46:30,440 --> 00:46:33,600 Als je dit ziet, dit schilderij speelt zich in de 17e eeuw af. 716 00:46:33,720 --> 00:46:38,400 En dat speelt zich af in de straten van, zeg maar onveilig Amsterdam. 717 00:46:38,520 --> 00:46:44,920 En toen kwamen in de 17e eeuw de burgers, die gingen samen met het bevoegd gezag... 718 00:46:45,040 --> 00:46:48,320 de straten van Amsterdam veilig maken, want het was goed voor business. 719 00:46:48,440 --> 00:46:51,760 Want als je dat niet deed, dan was er criminaliteit, et cetera. 720 00:46:51,880 --> 00:46:54,800 Iedereen deed wat ie kon doen aan bijdragen. 721 00:46:54,920 --> 00:46:57,000 Nou, dat was een paar 100 jaar geleden. 722 00:46:57,120 --> 00:47:00,400 Vandaag de dag, misschien zien de mensen er anders uit. 723 00:47:00,520 --> 00:47:02,800 Maar het blijft hetzelfde. 724 00:47:02,920 --> 00:47:07,560 Zoek de dialoog met elkaar, met je concurrent, met je collega. 725 00:47:07,680 --> 00:47:10,280 Ik zeg niet, pak het wapen op, maar pak je kennis op... 726 00:47:10,400 --> 00:47:14,280 en meld je bij de overheid en praat samen met de overheid over... 727 00:47:14,400 --> 00:47:17,160 hoe kunnen we het goed doen? Hoe kunnen we samen... 728 00:47:17,280 --> 00:47:20,280 niet de straten van Amsterdam, maar het internet veilig krijgen? 729 00:47:20,400 --> 00:47:22,200 Hoe kunnen we dat samen organiseren? 730 00:47:22,320 --> 00:47:25,320 Experts van de overheid, experts uit het bedrijfsleven... 731 00:47:25,440 --> 00:47:29,160 zijn in staat om hele slimme dingen te doen, maar je moet wel met elkaar praten. 732 00:47:29,280 --> 00:47:33,080 Ook daar is het weer elkaar kennen, elkaar vertrouwen... 733 00:47:33,200 --> 00:47:36,440 en met elkaar in dialoog gaan en niet wijzen naar elkaar. 734 00:47:36,560 --> 00:47:40,600 Dus wij roepen hardop: Zoek de dialoog met elkaar. 735 00:47:40,720 --> 00:47:45,520 Doe dat in je brancheorganisatie, doe dat in je business park. 736 00:47:45,640 --> 00:47:50,640 Ga aan de gang, met de lokale burgemeester en met de lokale noem maar op. 737 00:47:50,760 --> 00:47:52,320 Ga aan de gang met elkaar. 738 00:47:52,440 --> 00:47:56,520 Dat is volgens mij wat er moet gebeuren. -Ja, aanpakken inderdaad. 739 00:47:56,640 --> 00:48:00,080 Dat sluit aan bij 'n opmerking uit de chat, ik kan hem niet terugvinden... 740 00:48:00,200 --> 00:48:02,600 van iemand die zei: Gedeelde verantwoordelijkheid... 741 00:48:02,720 --> 00:48:05,520 in de praktijk komt dat neer op geen verantwoordelijkheid. 742 00:48:05,640 --> 00:48:08,520 Daar zou ik wel iets op kunnen aanvullen. 743 00:48:08,640 --> 00:48:13,440 Ik hoor je nu zeggen, Piet... 744 00:48:13,560 --> 00:48:18,640 dat de overheid van alles zou kunnen gaan doen, en zo... 745 00:48:18,760 --> 00:48:21,440 maar de overheid op zichzelf bestaat niet. 746 00:48:21,560 --> 00:48:23,920 Je hebt verschillende diensten die van alles doen. 747 00:48:24,040 --> 00:48:29,080 Je hebt de overheid die uitvoert, de overheid die wetten maakt. 748 00:48:29,200 --> 00:48:36,440 Vorige maand was de publicatie van de security strategie. 749 00:48:36,560 --> 00:48:43,440 Vanaf nu tot aan 2028 en daarin speelt ook samenwerking een behoorlijk grote rol. 750 00:48:43,560 --> 00:48:48,560 Dus samenwerking tussen privaat, publiek en daarbij dus eigenlijk ook... 751 00:48:48,680 --> 00:48:52,640 meegenomen tussen welke partijen dan eigenlijk. 752 00:48:52,760 --> 00:48:56,120 Dus de overheidspartijen over wie het gaat, wat hun rol is... 753 00:48:56,240 --> 00:48:58,160 wat ze dan precies moeten doen. 754 00:48:58,280 --> 00:49:00,920 Dus dat geeft best een duidelijke invulling, denk ik... 755 00:49:01,040 --> 00:49:07,920 en daarmee laat denk ik de overheid dan wel zien dat het ze wel menens is. 756 00:49:08,040 --> 00:49:11,960 Dat het niet zoiets is van, we gaan wel samenwerken en dan zien we wel. 757 00:49:12,080 --> 00:49:14,760 Maar dat wordt wel heel duidelijk uitgestippeld. 758 00:49:14,880 --> 00:49:17,480 En met die regels zorgen ze ervoor dat dingen gebeuren. 759 00:49:17,600 --> 00:49:20,360 Maar ook het samenbrengen, wat Angeline eerder ook al zei. 760 00:49:20,480 --> 00:49:22,840 Het samenbrengen van die partijen. -Ja, precies. 761 00:49:22,960 --> 00:49:25,080 Maar die moeten dat dan uiteindelijk wel doen. 762 00:49:25,200 --> 00:49:30,120 Ik ben een van de mensen die dan achter de schermen meegelezen en meegeschreven heeft. 763 00:49:30,240 --> 00:49:34,280 Commentaar en input geleverd heeft op de nationale cybersecurity strategie. 764 00:49:34,400 --> 00:49:37,120 Dat doe je niet namens ASML, maar op persoonlijke titel... 765 00:49:37,240 --> 00:49:40,080 zonder dat er enigszins een conflict of interest in zit. 766 00:49:40,200 --> 00:49:45,040 Maar dan lees je iets en denk je: Dat kan niet, in de praktijk werkt het zo. 767 00:49:45,160 --> 00:49:48,400 En dan krijg je een interessante dialoog met elkaar. 768 00:49:48,520 --> 00:49:50,880 En dat is een heel mooi voorbeeld. 769 00:49:51,000 --> 00:49:54,040 Ik wil toch nog even terugkomen op die term verantwoordelijkheid. 770 00:49:54,160 --> 00:49:59,040 We doen best wel veel analyses, ook ecosysteemachtige analyses... 771 00:49:59,160 --> 00:50:01,560 en als wij starten, gaan we altijd uit van... 772 00:50:01,680 --> 00:50:05,160 welk belang hebben die spelers nou in dat ecosysteem? 773 00:50:05,280 --> 00:50:09,000 Als je dat weet, kun je de vraag stellen: Waar ben je nou verantwoordelijk voor? 774 00:50:09,120 --> 00:50:13,160 En dan zie je toch vaak een mismatch tussen de belangen en de verantwoordelijkheden. 775 00:50:13,280 --> 00:50:16,240 Dus mijn advies is, als je gaat praten over verantwoordelijk... 776 00:50:16,360 --> 00:50:19,160 ga eerst eens kijken, welk belang heb je in zo'n ecosysteem? 777 00:50:19,280 --> 00:50:23,760 Ga vanuit daar acteren, dan wordt vanzelf helder waar je verantwoordelijk voor bent. 778 00:50:23,880 --> 00:50:27,360 En daarin moet je, om samen te komen, een gezamenlijk belang vinden. 779 00:50:27,480 --> 00:50:32,320 Daar zoek je naar. En ook het ecosysteem heeft deels gezamenlijke belangen... 780 00:50:32,440 --> 00:50:34,760 maar bijna ook altijd tegengestelde belangen. 781 00:50:34,880 --> 00:50:39,000 Daar moet je oog voor hebben. Het is niet slecht dat ze er zijn, ze zijn er gewoon. 782 00:50:39,120 --> 00:50:43,240 Ik ga nog even naar Eelco. Zijn er nog vragen uit de chat die jij wil behandelen? 783 00:50:43,360 --> 00:50:47,280 Op dit moment denk ik niet, we hebben denk ik alles wel behandeld hier aan tafel. 784 00:50:47,400 --> 00:50:51,320 Mochten er inderdaad nog vragen zijn of opmerkingen, tips, adviezen... 785 00:50:51,440 --> 00:50:54,040 deel ze dan, want inderdaad, we moeten het samen doen. 786 00:50:54,160 --> 00:50:56,120 Samen zijn we dat netwerk, dat ecosysteem. 787 00:50:56,240 --> 00:50:58,360 Nog even naar Ivo. Heb jij bijvoorbeeld nog... 788 00:50:58,480 --> 00:51:03,760 als je nu kijkt naar de netwerken, de rollen die de bedrijven en mensen hebben... 789 00:51:03,880 --> 00:51:08,240 nog een soort advies wat je zou willen meegeven naar aanleiding van deze sessie? 790 00:51:08,360 --> 00:51:14,120 Dan spreek ik toch met mijn Siemens hart. Vergeet je productieomgeving niet. 791 00:51:14,240 --> 00:51:20,680 Je ziet vooral in ketens en afhankelijkheid van leveranciers... 792 00:51:20,800 --> 00:51:25,040 dat is binnen de kantoorautomatisering toch wel iets meer bekend. 793 00:51:25,160 --> 00:51:28,400 Je ziet dat daar meer geacteerd wordt op dat gebied. 794 00:51:28,520 --> 00:51:33,160 Ik denk dat het in een productieomgeving nog echt wel in de kinderschoenen staat. 795 00:51:33,280 --> 00:51:38,760 Terwijl de gevolgen daarvan, als daar iets misgaat dat dat echt wel mis kan gaan. 796 00:51:38,880 --> 00:51:42,080 Dus dat is mijn advies. -Het is duidelijk na deze sessie... 797 00:51:42,200 --> 00:51:44,880 denk wat meer in ketens vooral. -Ja, zeker. 798 00:51:45,000 --> 00:51:49,880 En ik zeg net, er zijn geen vragen vanuit de kijkers, vanuit de deelnemers. 799 00:51:50,000 --> 00:51:52,640 Dat prompt een aantal mensen toch wel hun vraag stellen. 800 00:51:52,760 --> 00:51:56,320 Dus ik heb er nu twee. -Het werkte, die oproepjes, Eelco. 801 00:51:56,440 --> 00:52:00,880 Heel goed, ja. Eentje haakt in op de opmerking van André net... 802 00:52:01,000 --> 00:52:05,240 over verantwoordelijkheid en belangen. Erik vraagt zich af: 803 00:52:05,360 --> 00:52:08,040 Wat is het verschil tussen verantwoordelijkheid en belang? 804 00:52:08,160 --> 00:52:09,760 Zijn dat wel verschillende dingen? 805 00:52:09,880 --> 00:52:13,120 Ze hebben wel met elkaar te maken, maar het is niet precies hetzelfde. 806 00:52:13,240 --> 00:52:17,440 Piet is met ASML niet verantwoordelijk voor de veiligheid bij de keten... 807 00:52:17,560 --> 00:52:20,400 maar hij heeft wel belang om het te regelen. Dat is een verschil. 808 00:52:20,520 --> 00:52:24,000 Dus Piet of ASML is door niemand verantwoordelijk gemaakt om dat te doen... 809 00:52:24,120 --> 00:52:27,760 en toch doen ze het, want ze hebben er belang bij. Daar zit het grote verschil. 810 00:52:28,880 --> 00:52:32,480 En als ik dan meteen door mag met een tweede vraag vanuit de deelnemers. 811 00:52:32,600 --> 00:52:38,760 Joepke, een jurist zegt: Eens met inzet van wet- en regelgeving... 812 00:52:38,880 --> 00:52:40,800 maar dat blijft wel een wankel evenwicht. 813 00:52:40,920 --> 00:52:44,240 Je moet ervoor zorgen dat je geen overregulering krijgt. 814 00:52:44,360 --> 00:52:48,360 Ik ben vooral benieuwd naar de mening van ASML en Siemens op dat vlak. 815 00:52:48,480 --> 00:52:51,000 Nou, dan gaan we even naar Piet. 816 00:52:53,200 --> 00:52:55,600 Helemaal mee eens. 817 00:52:55,720 --> 00:53:01,000 Ja, te veel regulering werkt niet, maar je zou hem ook om kunnen draaien. 818 00:53:01,120 --> 00:53:04,680 Je kunt mensen slaan of je kunt mensen belonen. 819 00:53:04,800 --> 00:53:10,600 En daar moet de juiste balans in zitten. -Tussen slaan en belonen? 820 00:53:10,720 --> 00:53:13,880 Slaan mag niet, maar carry the stick. 821 00:53:14,000 --> 00:53:19,320 Ik denk dat, in ons geval, wij dwingen dit soort dingen af... 822 00:53:19,440 --> 00:53:23,480 met een soort wet- en regelgeving vanuit onze inkoopvoorwaarden. 823 00:53:23,600 --> 00:53:26,240 Maar daar hoeven we eigenlijk haast nooit mee te dreigen. 824 00:53:26,360 --> 00:53:28,840 Mensen willen graag aan ons leveren, heel makkelijk. 825 00:53:28,960 --> 00:53:35,440 En als je aan ons levert, iedereen begrijpt wel wat onze eisen zijn als je het uitlegt. 826 00:53:35,560 --> 00:53:40,520 Het wordt wat complexer, denk ik, voor laat ik maar zeggen, de consumentenmarkt. 827 00:53:40,640 --> 00:53:44,200 Waar mensen spullen kopen die in een container uit 'n ver weg land... 828 00:53:44,320 --> 00:53:47,320 naar de haven van Rotterdam komen en dan voor een dubbeltje... 829 00:53:47,440 --> 00:53:51,320 of voor een paar prikkies verkocht op de markt wat niet veilig blijkt te zijn. 830 00:53:51,440 --> 00:53:53,640 Dat is veel lastiger met wet- en regelgeving. 831 00:53:53,760 --> 00:53:56,640 Maar in ons geval, met een afzienbare hoeveelheid klanten... 832 00:53:56,760 --> 00:53:59,360 een afzienbare hoeveelheid toeleveranciers... 833 00:53:59,480 --> 00:54:02,040 als je dat uitlegt, is dat niet zo'n probleem. 834 00:54:02,160 --> 00:54:08,800 Maar in de consumentenmarkt, dat is belangrijk. 835 00:54:08,920 --> 00:54:13,920 Misschien toch even hierop aanhakend, er is veel interesse voor CYRA. 836 00:54:14,040 --> 00:54:18,680 De website cyra.nl leidt je niet zo onmiddellijk naar de juiste antwoorden. 837 00:54:18,800 --> 00:54:21,960 Is er een URL waar mensen meer informatie kunnen vinden over CYRA? 838 00:54:22,080 --> 00:54:27,880 Zal ik straks even regelen, maar CYRA is een initiatief wat wij ontwikkeld hebben. 839 00:54:28,000 --> 00:54:31,360 En hebben dat beschikbaar gesteld aan onder andere DTC... 840 00:54:31,480 --> 00:54:34,920 Brainport Cyber Weerbaarheidscentrum, Ferm in Rotterdam. 841 00:54:35,040 --> 00:54:37,520 En er zijn meerdere partijen. 842 00:54:37,640 --> 00:54:41,080 Meer als een voorschot voor een standaard in Nederland. 843 00:54:41,200 --> 00:54:45,960 Dus in principe kunnen ze contact opnemen om daar meer over te weten te komen? 844 00:54:46,080 --> 00:54:50,400 Ja, ik zal straks in de chat wel wat... 845 00:54:50,520 --> 00:54:52,880 Ja, precies. In de chat of zoek je op op LinkedIn. 846 00:54:53,000 --> 00:54:55,920 Heb je kans dat je straks allemaal verzoeken krijgt. 847 00:54:56,040 --> 00:55:00,920 Ivo, dan nog even naar jou, over inderdaad die overregulering. Hoe zit dat? 848 00:55:01,040 --> 00:55:05,720 Dat is inderdaad een goed punt en ik denk dat de juiste balans zoeken... 849 00:55:05,840 --> 00:55:09,640 dat het daarin ligt en dat is natuurlijk een lastige. 850 00:55:09,760 --> 00:55:15,080 Vanuit security, dat wordt ook weleens de department of no genoemd. 851 00:55:15,200 --> 00:55:18,800 Het is heel makkelijk om nee te zeggen, maar je moet ook kijken, wat kan wel. 852 00:55:18,920 --> 00:55:21,400 En die balans vinden, dat is belangrijk. 853 00:55:21,520 --> 00:55:26,360 Ik denk dat de wetgeving nu kijkt naar belangrijke entiteiten... 854 00:55:26,480 --> 00:55:29,880 en essentiële partijen, dat dat natuurlijk belangrijk is. 855 00:55:30,000 --> 00:55:34,000 En die zullen hun zaakjes beter op orde moeten gaan hebben dan de rest. 856 00:55:34,120 --> 00:55:38,760 De bankensector loopt natuurlijk qua beveiliging een heel stuk al voorop. 857 00:55:38,880 --> 00:55:43,800 En dat is niet voor niks gebeurd, dat was met internetbankieren ons geld. 858 00:55:43,920 --> 00:55:48,520 Die kwam achter een internetportaal, dan voel je zelf wel dat het veilig moet zijn. 859 00:55:48,640 --> 00:55:52,960 En vanuit de overheid, de Nederlandse Bank werd daar flink op gedrukt. 860 00:55:53,080 --> 00:55:55,280 En je ziet ook dat dat werkt. 861 00:55:55,400 --> 00:55:58,680 Wie maakt zich nu nog zorgen over de beveiliging van internetbankieren? 862 00:55:58,800 --> 00:56:00,840 Om het wat meer snelheid te geven. -Precies. 863 00:56:00,960 --> 00:56:05,000 Dus ik denk dat je er op die manier naar moet kijken, wat is echt belangrijk... 864 00:56:05,120 --> 00:56:08,800 en waar moeten we dan wat extra gas geven en waar wat minder? 865 00:56:08,920 --> 00:56:10,880 Dat is goed voer voor juristen, denk ik. 866 00:56:11,000 --> 00:56:15,880 Dus jullie zijn niet de department of no? -Wij zijn zeker niet de department of no. 867 00:56:16,000 --> 00:56:20,040 Ik zou nog wel aan willen vullen. 868 00:56:20,160 --> 00:56:24,680 Kijk, wat wij doen is, wij hebben eigenlijk meer de maatschappelijke bril op. 869 00:56:24,800 --> 00:56:27,760 Wij merken natuurlijk ook als we bij partijen langsgaan... 870 00:56:27,880 --> 00:56:32,200 dat inderdaad meer de reactie is, dan kom je wel aan bij de department of no. 871 00:56:32,320 --> 00:56:38,160 Mag ik je iets vragen? Nee. Waarom niet? Ik heb geen tijd. 872 00:56:40,160 --> 00:56:45,480 Maar ik denk wel, zolang wij de risico's goed zien... 873 00:56:45,600 --> 00:56:50,240 dan is het eigenlijk ook wel voor het maatschappelijke belang... 874 00:56:50,360 --> 00:56:54,920 wel essentieel dat dit allemaal plaatsvindt. 875 00:56:55,040 --> 00:56:57,520 En dat is ook precies de reden waarom we dat doen. 876 00:56:57,640 --> 00:57:00,840 En daarbij ook eigenlijk, het is niet alleen maar toezicht houden... 877 00:57:00,960 --> 00:57:04,640 dus wij zijn niet alleen maar van de stok en ook niet zozeer van de carot 878 00:57:04,760 --> 00:57:10,440 maar ook wel van signaleren, dus wij willen ook juist de risico's zien. 879 00:57:10,560 --> 00:57:14,760 Dus dat maakt het ook wel weer relevanter, denk ik dan. 880 00:57:14,880 --> 00:57:18,800 Als partijen dat ook zien, wordt het gesprek ook gelijk anders. 881 00:57:18,920 --> 00:57:22,880 Een ander, misschien een verkeerd voorbeeld van 20, 30 jaar geleden... 882 00:57:23,000 --> 00:57:27,160 dat Volvo de eerste automobiel leverancier werd die zei: 883 00:57:27,280 --> 00:57:31,960 Kreukelzones en airbags en al die dingen... 884 00:57:32,080 --> 00:57:35,280 stoppen we standaard in een auto. Ja, hij wordt duurder. 885 00:57:35,400 --> 00:57:38,200 En toen begonnen mensen te zeggen: Ik wil een veilige auto... 886 00:57:38,320 --> 00:57:40,480 dus een Volvo en langzaam begint dat... 887 00:57:40,600 --> 00:57:43,800 alle auto's hebben tegenwoordig kreukelzones en airbags. 888 00:57:43,920 --> 00:57:45,800 Maar Volvo is ermee begonnen. 889 00:57:45,920 --> 00:57:49,720 En die krijgen dus als een soort beloning heel veel marktaandeel. 890 00:57:49,840 --> 00:57:53,280 En ik denk dat er op dit moment in deze digitale wereld... 891 00:57:53,400 --> 00:57:57,240 bedrijven zullen zijn die al die maatregelen wel nemen... 892 00:57:57,360 --> 00:58:00,760 zonder dat ze de no department zijn, die zeggen de yes department. 893 00:58:00,880 --> 00:58:03,680 Omdat het veilig is, gaan we daar kopen. 894 00:58:03,800 --> 00:58:06,080 En dan volgt de rest vanzelf, dat weet ik zeker. 895 00:58:06,200 --> 00:58:08,200 Volgens mij is de noodzaak wel duidelijk. 896 00:58:08,320 --> 00:58:11,120 André, nog even naar jou. Heb jij nog een soort advies... 897 00:58:11,240 --> 00:58:13,720 naar aanleiding van deze sessie over netwerken... 898 00:58:13,840 --> 00:58:16,360 waar organisaties meteen mee aan de slag zouden moeten? 899 00:58:16,480 --> 00:58:18,720 Dat is meteen wel een hele grote vraag. 900 00:58:18,840 --> 00:58:21,320 En klein beantwoorden, want we hebben nog een minuut. 901 00:58:21,440 --> 00:58:25,040 Dan zou ik zeggen, zoek elkaar op en ga samenwerken. Ik sluit me aan bij Piet. 902 00:58:25,160 --> 00:58:29,440 En denk na over vanuit welk perspectief je dan met elkaar in gesprek gaat. 903 00:58:29,560 --> 00:58:31,600 Precies. Nou, helemaal duidelijk. 904 00:58:31,720 --> 00:58:34,560 Hiermee zijn we aan het einde gekomen van deze sessie alweer. 905 00:58:34,680 --> 00:58:37,520 De tijd vliegt, hier kunnen we nog uren over doorpraten. 906 00:58:37,640 --> 00:58:41,360 Tot zover deze sessie, het herstelvermogen van een ecosysteem. 907 00:58:41,480 --> 00:58:45,080 Mag ik danken Piet Bel van ASML, Ivo van Nimwegen van Siemens. 908 00:58:45,200 --> 00:58:49,080 André Smulders van TNO en Ton Verbon van Agentschap Telecom. 909 00:58:49,200 --> 00:58:53,520 Fijn dat jullie erbij waren en dat jullie jullie ervaringen wilde delen en kennis. 910 00:58:53,640 --> 00:58:57,200 Aan het einde van dit symposium, is nog even handig om te melden... 911 00:58:57,320 --> 00:59:02,040 dat er nog een digitale borrel is en daar zijn onze gasten ook online bij. 912 00:59:02,160 --> 00:59:06,320 Dus mocht je nou nog vragen hebben, stel ze dan vooral tijdens die digitale borrel... 913 00:59:06,440 --> 00:59:10,680 of ga lekker met ze in gesprek. Zo leer je uiteindelijk ook van elkaar. 914 00:59:10,800 --> 00:59:12,760 Misschien komen er nog goede adviezen uit. 915 00:59:12,880 --> 00:59:16,360 Ook van de deelnemers die achter de computer zitten op dit moment. 916 00:59:16,480 --> 00:59:21,320 En ik zie jullie graag weer terug om kwart over drie precies. 917 00:59:21,440 --> 00:59:25,960 Dus pak nog even een koffietje, een theetje of een colaatje. 918 00:59:26,080 --> 00:59:28,840 Kwart over drie zijn we terug voor de allerlaatste sessie... 919 00:59:28,960 --> 00:59:32,720 van dit symposium Opstap naar weerbaarheid van Agentschap Telecom. Tot zo.