Weerbaarheid in de publieke sector: van gedeeld risico naar gezamenlijke aanpak

Weerbaarheid in de publieke sector: van gedeeld risico naar gezamenlijke aanpak
Year: 2026 Article Industry: Overheid Industry: Lokale overheid Industry: Rijksoverheid

Van gedeeld risico naar gezamenlijke aanpak

Weerbaarheid is niet langer iets wat overheidsorganisaties ieder voor zich kunnen opbouwen. Het is iets wat zij alleen samen tot stand kunnen brengen.

Dat zie je terug in Europese regelgeving zoals CER en NIS2. De focus is verschoven van het beschermen van losse assets naar het beheersen van risico’s over complete systemen heen. Kritieke entiteiten moeten verstoringen kunnen voorzien, opvangen en herstellen die zich over sectoren, landsgrenzen en toeleveringsketens verspreiden. Voor de publieke sector wordt weerbaarheid daarmee zowel een coördinerende taak als een wettelijke opdracht: overheidsinstanties moeten ervoor zorgen dat ministeries, exploitanten en leveranciers als één systeem kunnen reageren.

Precies daar vindt nu de omslag plaats in de weerbaarheidsaanpak van de publieke sector. De meeste organisaties hebben hun eigen continuïteitsplannen, cybermaatregelen en crisisprotocollen al aangescherpt. Maar de risico’s met de grootste maatschappelijke impact beperken zich zelden tot één organisatie. Ze lopen via onderlinge afhankelijkheden, ketens, dataomgevingen en gedeelde diensten. Dat biedt leiders in de publieke sector zowel een kans als een uitdaging: de stap zetten van individuele paraatheid naar een gecoördineerde respons. Als verstoringen organisatiegrenzen overstijgen, moeten burgers kunnen rekenen op publieke diensten die samen kunnen schakelen, essentiële functies beschermen en cruciale ondersteuning overeind houden.

Voor Belle Webster, Associate Partner Public Safety & Security bij Eraneos, is de EU‑strategie voor paraatheid, die burgers aanmoedigt om zich minimaal 72 uur zelf te kunnen redden, een goed voorbeeld. Verschillende EU‑lidstaten hebben nationale paraatheidscampagnes opgezet, maar Nederland ging een stap verder door een bestaande campagne uit te breiden naar het bedrijfsleven, via een samenwerking tussen het Ministerie van Economische Zaken en werkgeversorganisatie VNO‑NCW.

Voor leiders in de publieke sector is dat de andere kant van de resilience‑medaille: als de mkb‑bedrijven waarop je vertrouwt voor software, logistiek of facilitaire diensten niet voorbereid zijn, ontstaat er een gat in je eigen continuïteitsplannen dat geen enkele regelgeving in haar eentje kan dichten, en kun je burgers niet volledig beschermen tegen de gevolgen.

“Het oude bestuursmodel vraagt: ‘Zijn wíj veerkrachtig?’ Het nieuwe bestuursmodel vraagt: ‘Zijn we sámen veerkrachtig?’ Dat is een moeilijkere vraag, en het betekent dat publieke én private partijen op een manier moeten gaan samenwerken die ze niet gewend zijn,” zegt Belle.
Belle Webster, Associate Partner - Public Safety & Security
Belle Webster

Het oude model past niet meer bij het risico

Overheidsorganisaties werken al jaren aan het versterken van hun eigen continuïteitsplannen, incidentrespons en cyberbeveiliging. Dat blijft belangrijk. Belle geeft aan dat de grootste risico’s inmiddels juist ontstaan tussen organisaties, op plekken waar niemand volledig zicht of controle heeft. De storing bij CrowdStrike in 2024 liet zien hoe snel verstoringen kunnen doorwerken naar luchtvaart, ziekenhuizen, banken en hulpdiensten. De stroomuitval op het Iberisch Schiereiland in april 2025 onderstreepte hetzelfde punt: tekortkomingen in resilience blijven zelden beperkt tot één technisch systeem of één eigenaar.

Daarmee verandert ook het gesprek, zegt Belle. Veel leiders in de publieke sector zijn gewend te vragen hoe zij aan wettelijke eisen voldoen, hoe rapportages moeten worden ingericht en hoe interne verantwoordelijkheden worden belegd. Steeds vaker komen andere vragen op tafel: van welke partners zijn we afhankelijk zonder daar direct op te kunnen sturen? Wat gebeurt er met de dienstverlening aan burgers als een aangrenzende sector uitvalt? En wie beslist dat een crisis onze eigen grenzen overstijgt?

“Die vragen kun je niet binnen één organisatie beantwoorden. Daarvoor heb je een andere manier van sturen en samenwerken nodig” legt Belle uit.
Belle Webster, Associate Partner - Public Safety & Security

De echte kloof zit in sturing, niet in technologie

Volgens Belle is de grootste zwakte niet een gebrek aan tooling. De meeste organisaties weten hoe ze intern op incidenten moeten reageren. De kwetsbaarheid zit in de gezamenlijke aanpak. In de praktijk zijn ministeries, toezichthouders en sectorbeheerders gewend om resilience per domein te organiseren. Een havenautoriteit escaleert via de ene route, de energiesector via een andere, de zorg volgt haar eigen plannen. Terwijl een ernstig incident in de haven vrijwel direct impact kan hebben op logistiek, brandstofvoorziening, douaneprocessen en de bevoorrading van ziekenhuizen.

“Voor de publieke sector betekent dit dat je verder moet kijken dan sectorspecifieke crisisplannen en jezelf een coördinerende rol moet toekennen: zorgen dat ministeries, exploitanten en leveranciers als één systeem kunnen reageren,” zegt Belle.

CER en NIS2 verplichten organisaties wel om afhankelijkheden mee te nemen, maar creëren nog geen gezamenlijke agenda waarin die afhankelijkheden sectoroverstijgend worden geanalyseerd en beheerst. Daarom pleit Belle ervoor dat overheidsinstanties nu duidelijke mandaten nodig hebben, meer oefeningen over sectoren heen, vooral méet private partijen, en besluitvormingsstructuren die vaststaan vóórdat een crisis uitbreekt.

Te weinig zicht op ketens en leveranciers

Belle wijst ook op een blinde vlek rond leveranciers. Veel organisaties hebben een redelijk beeld van hun directe leveranciers, maar veel minder instellingen weten hoe de afhankelijkheden in de tweede en derde lijn eruitzien. Dat wordt risicovol wanneer publieke diensten leunen op softwareleveranciers, cloudproviders, telecom, logistieke netwerken en uitbestede dienstverleners. Een verstoring kan binnenkomen via een partij die nooit op de eerste pagina van het risicoregister staat. Tegen de tijd dat die afhankelijkheid zichtbaar wordt, kan de impact op de samenleving zich al breed hebben verspreid.

“Je moet het domino‑effect voor zijn: de coördinatie vooraf uittekenen en zorgen dat de reactie vanaf het eerste uur gezamenlijk is. Dat is de bestuurlijke omslag waar we aan werken” zegt Belle.
Belle Webster, Associate Partner for Public Safety & Security

Soevereiniteit gaat over controle, niet alleen over datalocatie

AI legt een extra laag op de weerbaarheisopgave. Belle benadrukt dat overheidsorganisaties soevereiniteit niet meer alleen kunnen zien als de vraag waar data wordt opgeslagen. Ze moeten ook weten op welke AI‑modellen zij vertrouwen, wie die modellen beheert en onder welke jurisdictie die vallen. Misschien is het datalandschap goed in kaart gebracht, maar geldt dat ook voor de AI‑keten waarop ze leunen?

Als een AI‑model een belangrijke publieke beslissing beïnvloedt, wordt elke wijziging in dat model een operationeel risico. 

“Als een cruciale beslissing in de publieke dienstverlening wordt beïnvloed door een model waarvan het gedrag kan worden aangepast door een leverancier buiten de Europese rechtsorde, dan gaat soevereiniteit over operationele controle, niet alleen over de locatie van data,” zegt Belle.
Belle Webster, Associate Partner - Public Safety & Security

De volgende stap: gezamenlijke besluitvorming trainen

Volgens Belle moeten publieke organisaties d weerbaarheid per organisatie naar weerbaarheid als systeem. Dat betekent: sectoroverschrijdende afhankelijkheden in kaart brengen, gezamenlijke sturingsstructurenstructuren ontwerpen en die toetsen met realistische scenario’s. De kernvraag is eenvoudig, maar vaak onbeantwoord: wie neemt het besluit zodra een verstoring de grenzen van één organisatie of sector overschrijdt? Over vijf jaar zou dat antwoord helder én ingeoefend moeten zijn – het is geen vraag om nog over te onderhandelen tijdens een verstoring op Iberische schaal met een cyberdimensie erbij.
 
Dat vraagt om een praktischere kijk op weerbaarheid. NIS2, CER, DORA en soevereiniteitsvereisten kunnen geen losse nalevingstrajectengo‑trajecten blijven als de grootste risico’s juist dwars door sectoren, leveranciers, dataomgevingen en bedrijfsmodellen lopen. Overheidsorganisaties moeten begrijpen waar deze eisen in de dagelijkse besluitvorming samenkomen: wie heeft zicht, wie heeft mandaat, welke afhankelijkheden sturen de reactie en hoe bouwen leiders een gedeeld operationeel beeld op naarmate een situatie zich ontwikkelt.

Instrumenten zoals DORA, specifiek voor de financiële sector, laten zien hoe sectorspecifieke regels bredere kaders kunnen versterken. De grotere ontwerpuitdaging ligt in de verbinding tussen sectoren.