De uitdaging van naleving door nutsbedrijven

De nalevingsuitdaging voor nutsbedrijven

Door Kate O'Flaherty • 22 januari 2026

Nutsbedrijven kampen met fragmentatie en afzonderlijke afdelingen, wat een gestroomlijnde aanpak van de regelgeving in de weg staat. Een stevigere basis is nodig, maar hoe kan dit worden bereikt?

Door Kate O'Flaherty

Nutsbedrijven beheren tal van uiteenlopende systemen, waarvan vele nooit bedoeld waren om met internet verbonden te worden. Het is daarom geen verrassing dat internetveiligheid — en de naleving van de regelgeving op dit gebied — blijven een van de grootste uitdagingen voor de sector.

In 2010 de Stuxnet-worm Dit toonde de reële dreiging aan die een cyberaanval op de sector vormt, nadat centrifuges die in het Iraanse nucleaire programma werden gebruikt, waren vernietigd. Meer recentelijk heeft de Russisch-Oekraïense oorlog geleid tot verschillende door de staat gesponsorde cyberaanvallen op Oekraïne. electriciteitsnetOndertussen, in de VS, de watersector is ook aangevallen.

Het toenemende risico op dergelijke aanvallen en de verwoestende gevolgen daarvan heeft geleid tot een aantal regelgevingen die bedoeld zijn om de beveiliging van nutsbedrijven te versterken, waaronder de EU-richtlijn 2 inzake netwerken en informatiesystemen (NET).NIS2) en VK Wetsvoorstel inzake cyberbeveiliging en veerkracht.

Terwijl nutsbedrijven zich inspannen om aan al deze regels te voldoen, is de sector door sommigen bekritiseerd vanwege de trage aanpassing. Een recent onderzoek bevestigde dit. blog Ernst & Young benadrukt de noodzaak van kunstmatige intelligentie (AI) technologie voor het beheren van complexe risicomanagementstrategieën en het waarborgen van naleving.

Maar is het toevoegen van meer tools wel de oplossing in een sector die al te maken heeft met fragmentatie en afzonderlijke afdelingen?

Gelijktijdig met de regelgeving

Veel experts zeggen van niet. Nutsbedrijven hebben in plaats daarvan een uniform, technisch ontworpen compliance-framework nodig dat aansluit bij de complexiteit van de fysieke systemen die ze beheren. Dit begint met het aanpakken van de basis, in plaats van nieuwe technologieën bovenop oude, gefragmenteerde systemen te implementeren.

Recente cyberincidenten die nutsbedrijven hebben getroffen, benadrukken een uitdaging die verder gaat dan alleen het bijhouden van de regelgeving. De druk waaronder nutsbedrijven staan is reëel, maar dat komt niet doordat de regelgeving sneller verandert dan organisaties kunnen reageren.

Dat komt doordat de kosten van gefragmenteerde, onsamenhangende compliance en risicobeheer "sneller stijgen dan nutsbedrijven kunnen opvangen", aldus Darren Guccione, CEO en medeoprichter van Keeper Security. IO.

Nutsbedrijven beheren enkele van de meest onderling verbonden fysieke systemen ter wereld. Toch zijn de processen die betrekking hebben op cyberbeveiliging, operationele veerkracht, privacy, toegang door derden en naleving van regelgeving vaak losgekoppeld van elkaar.

“Cyberbeveiliging, operationele technologie "De teams voor beveiliging, privacy, audits en regelgeving binnen de operationele technologie (OT) zijn vaak als parallelle functies georganiseerd, elk met hun eigen controles, tools en rapportagelijnen, maar met beperkte gezamenlijke zichtbaarheid of coördinatie", aldus Guccione. "Die fragmentatie zorgt voor reële risico's."

Deze afzonderlijke afdelingen leiden tot "slechte communicatie, dubbel werk, misverstanden en trage besluitvorming", aldus Tracey Hannan-Jones, directeur informatiebeveiligingsadvies bij UBDS Digital. "Wanneer er nieuwe regelgeving komt, interpreteert en implementeert elke afdeling de veranderingen anders – of helemaal niet – wat leidt tot inconsistenties, inefficiëntie en slecht ontworpen compliance-kaders om aan de eisen te voldoen."

Het concept van 'technische schuld' in software – shortcuts die leiden tot oplopende kosten in de toekomst – 'sluit perfect aan op compliance', zegt Rayna Stamboliyska, CEO van RS Consulting. 'Elke keer dat een nutsbedrijf een nieuwe wettelijke eis toevoegt aan gefragmenteerde bestaande systemen, in plaats van de basis te herzien, bouwt de organisatie 'compliance-schuld' op. De 'kosten van gefragmenteerde compliance' zijn in feite rentebetalingen over die 'compliance-schuld' – en Britse nutsbedrijven betalen samengestelde rente zonder de hoofdsom te verlagen.'

Onderbemeten gereedschap

Geen enkele nieuwe technologie kan het probleem oplossen, zeker niet als die simpelweg bovenop gefragmenteerde systemen wordt geplakt.

Volgens gegevens gebruikten grote bedrijven in 2024 gemiddeld 45 cybersecuritytools. GartnerDit wijst erop dat een gebrek aan tools niet het kernprobleem is, aldus Rik Ferguson, vicepresident security intelligence bij Forescout. "Op papier kan die uitgebreide tooluitrusting geruststellend lijken. In de praktijk leidt het echter vaak tot een ander probleem: een beveiligingsomgeving die druk, rumoerig en moeilijk als een samenhangend geheel te beheren is."

Bestuursleden zien vaak uitgebreide tools en gaan ervan uit dat de dekking volledig is, zegt Ferguson. "Beveiligingsteams daarentegen besteden enorm veel tijd aan het samenvoegen van informatie, het valideren van waarschuwingen en het onderzoeken van activiteiten die niet altijd leiden tot meetbare risicovermindering."

In deze complexe omgeving zien organisaties AI wellicht als de "redder in nood". Dit zal echter nooit werken, omdat AI gedijt op "hoogwaardige, geïntegreerde data", aldus Hannan-Jones van UBDS Digital. "In gefragmenteerde nutsbedrijven is data vaak van slechte kwaliteit, verspreid, inconsistent of ontoegankelijk. Zonder uniforme data kunnen AI-modellen slechts beperkte of onbetrouwbare inzichten opleveren."

Een andere factor om rekening mee te houden is dat AI geen einde kan maken aan organisatorische silo's, zegt Hannan-Jones. "AI kan taken automatiseren of aanbevelingen genereren, maar het kan afdelingen niet dwingen om samen te werken of informatie te delen."

Gestroomlijnde aanpak

In plaats van simpelweg nieuwe tools toe te voegen, zouden nutsbedrijven moeten werken aan een gestroomlijnde aanpak van compliance. Dit kan bijdragen aan centrale coördinatie, lokale verantwoording, consistente controles, continue monitoring en een geïntegreerd risicobeeld.

Als onderdeel hiervan biedt standaardisatie "een uniforme terminologie en een reeks procedures" voor risico, beveiliging, privacy en AI, aldus Hannan-Jones. Bijvoorbeeld: ISO 27001 met betrekking tot informatiebeveiliging, ISO 22701 over privacy, en ISO 42001 het beheren van AI.

Deze raamwerken vereisen een duidelijke toewijzing van rollen en verantwoordelijkheden via een gecentraliseerde aanpak. Dit zorgt ervoor dat iedereen weet wie waarvoor verantwoordelijk is, wat de coördinatie en communicatie verbetert en lacunes verkleint, aldus Hannan-Jones. "Organisaties kunnen vervolgens gedocumenteerde, herhaalbare processen voor risicobeoordeling en incidentafhandeling implementeren en continue verbetering stimuleren", legt ze uit.

Omdat ISO-normen risicogebaseerd zijn, vereisen ze tegelijkertijd dat organisaties risico's holistisch bekijken, in plaats van ze als afzonderlijke onderdelen te beschouwen. De afstemming van risicomanagement op bedrijfsdoelstellingen zorgt ervoor dat alle afdelingen "met een consistente aanpak naar dezelfde doelen toewerken", aldus Hannan-Jones.

Als je je organisatie wilt stroomlijnen, is de eerste stap het in kaart brengen en standaardiseren van je kernprocessen, adviseert Hannan-Jones. "Documenteer alle belangrijke workflows binnen de organisatie, inclusief activabeheer, onderhoud, incidentafhandeling en risicobeheer. Dit zorgt voor duidelijkheid, brengt overlappingen aan het licht, identificeert hiaten en biedt een solide basis voor standaardisatie."

Het is belangrijk dat iedereen, inclusief de leiding, achter het plan staat, zegt Hannan-Jones. "Als senior leiders moeten zij de uniforme compliance-aanpak uitdragen, de waarde ervan communiceren en de benodigde middelen toewijzen. Duurzame verandering vereist zichtbare steun vanuit de top, met duidelijke communicatie binnen de hele organisatie."

Voordelen van naleving

Hoewel er nog steeds uitdagingen zijn, wordt de regelgeving niet complexer. Integendeel, ze legt juist bloot hoe rommelig en kwetsbaar de interne structuren zijn geworden. Risico's in de energiesector worden pas een troef als ze worden behandeld zoals het elektriciteitsnet zelf: een functionerend systeem dat is verbonden, continu wordt gemonitord en is ontworpen voor veerkracht.

De voordelen zijn duidelijk: wanneer compliance gecoördineerd en geïntegreerd wordt, krijgen nutsbedrijven snellere reacties van regelgevende instanties, een sterkere cyberbeveiliging, betrouwbaardere AI-modellen, meer zekerheid voor de raad van bestuur en minder dubbel werk en lagere kosten.

Gecoördineerde, geïntegreerde compliance stelt bedrijven in staat om "operationele capaciteit terug te winnen", zodat ze hun energie kunnen richten op het verbeteren van de beveiligingsresultaten, aldus Conor Sherman, CISO in residence bij Sysdig. "Je kunt je tijd dan besteden aan het verbeteren van de veerkracht van het netwerk, in plaats van te discussiëren over de herkomst van een screenshot voor een auditor."

Kate O'Flaherty

Kate is een journalist op het gebied van cybersecurity en privacy met meer dan tien jaar ervaring in het verslaan van onderwerpen die van belang zijn voor gebruikers, bedrijven en overheden. Naast ISMS.online is haar werk te vinden in Forbes, Wired, The Guardian, The Observer, The Times en The Economist.

Lees meer van Kate O'Flaherty

Cyber security 29 januari 2026

API-risico's bij kredietinbreuken zetten het bestuur van de financiële toeleveringsketen in de schijnwerpers (blog).

Kredietinbreuk: API-risico's zetten het bestuur van de financiële toeleveringsketen onder de loep.

Wat zegt het datalek bij 700Credit over de risico's in financiële datasystemen en de toeleveringsketen, en welke lessen kunnen we hieruit trekken? Door Kate O'Flaherty In ...

Kate O'Flaherty

Cyber security 16 December 2025

Cyberaanvallen hebben een impact op het bbp: dit zijn de gevolgen voor bedrijven.

Nu steeds meer regelgeving een vereiste stelt voor veerkracht, hoe kan elke organisatie hieraan bijdragen? Door Kate O'Flaherty. Bedrijven in het Verenigd Koninkrijk...

Kate O'Flaherty

Cyber security 25 November 2025

De AWS-storing en het domino-effect op cyberbeveiliging

Nu het risico op uitval toeneemt, wat kunnen bedrijven doen om de negatieve gevolgen van cyberbeveiliging, zoals phishing en social engineering, te beheersen? Door Kate O'Flah...

Kate O'Flaherty