✔ Snel screeningsproces   ✔ Veilig & betrouwbaar (ISO)   ✔ Data opgeslagen in EU

NL / EN
Blogs

Overheidsaanbestedingen & audits: kun jij aantonen wie toegang heeft tot kritieke infrastructuur?

Overheidsaanbestedingen in de industrie- en energiesector stellen steeds strengere eisen aan veiligheid, continuïteit en betrouwbaarheid. Niet alleen van systemen en processen, maar ook van mensen. Toegang tot kritieke infrastructuur, zoals productielocaties, energievoorzieningen en technische installaties, staat daarbij steeds vaker centraal in audits.

Waar organisaties vroeger konden volstaan met beleid en procedures, verwachten auditors vandaag iets anders: aantoonbaarheid. Niet de vraag of je regels hebt, maar of je kunt laten zien dat ze werken.

De ongemakkelijke vraag die daarbij steeds terugkomt: kun jij op elk moment aantonen wie toegang heeft (of had) tot jouw kritieke infrastructuur en waarom?

werknemer die screening uitvoert

Waarom toegang tot kritieke infrastructuur steeds vaker onderwerp is van audits

Overheidsaanbestedingen en audits vragen steeds vaker om aantoonbare grip op wie toegang heeft tot kritieke infrastructuur. Niet alleen op papier, maar in de praktijk.

Publieke en semipublieke projecten in industrie en energie groeien. Daarmee groeit ook de verantwoordelijkheid om te laten zien dat vitale processen, installaties en systemen beschermd zijn tegen risico’s van binnenuit en van buitenaf. Kritieke infrastructuur gaat daarbij verder dan IT alleen. Het omvat ook fysieke locaties, operationele technologie en functies die direct invloed hebben op veiligheid en continuïteit.

Steeds vaker verschuift de focus van vertrouwen naar verantwoorden.

 

 

Wat auditors tegenwoordig écht willen zien

Audits rondom overheidsaanbestedingen zijn de afgelopen jaren fundamenteel veranderd. Waar de focus lange tijd lag op het bestaan van procedures, ligt de nadruk nu op de werking ervan in de praktijk.

Auditors willen niet alleen weten dat toegang is geregeld, maar ook wie toegang had tot kritieke locaties, systemen of functies, op basis waarvan die toegang is verleend, of deze beoordeling periodiek wordt herzien en hoe dit aantoonbaar is vastgelegd.

Dat geldt nadrukkelijk ook voor tijdelijke krachten, contractors en externe partijen; een realiteit waar organisaties in de industrie- en energiesector steeds afhankelijker van zijn.

In sectoren waar veiligheid, continuïteit en publieke belangen samenkomen zoals bij organisaties vergelijkbaar met Vattenfall, Brabant Water en Eneco, volstaat het niet meer om te verwijzen naar contracten of algemene richtlijnen. Wat telt, is of je consistent en aantoonbaar kunt laten zien dat alleen betrouwbare personen toegang krijgen tot kritieke onderdelen van de operatie.

Juist daar wringt het in de praktijk.

 

Van procedure naar bewijs

Beleidsdocumenten zijn geen bewijs. Auditors zoeken herleidbaarheid over tijd. Beslissingen moeten reproduceerbaar zijn en gebaseerd op vastgelegde criteria, niet op aannames of losse verklaringen.


Waarom “we hebben het vastgelegd” niet meer voldoende is

In de praktijk zijn toegangsgegevens vaak versnipperd over systemen, afdelingen en bestanden. Overzichten worden handmatig bijgehouden en zijn zelden actueel. Daardoor ontbreekt een centraal en betrouwbaar beeld van wie wanneer toegang had tot kritieke infrastructuur.
 

 

 

energie en industrie sector
energie en industrie sector

De grootste kwetsbaarheid: externe toegang en tijdelijke inzet


Juist bij contractors, tijdelijke krachten en externe leveranciers ontstaat het grootste auditrisico.

Door het tekort aan technisch personeel maken organisaties steeds vaker gebruik van externe partijen. Meerdere ketenpartners werken gelijktijdig binnen één project of locatie. Toegang wordt snel geregeld om de operatie niet te vertragen, maar controle en herbeoordeling blijven daarbij vaak achter.

 

 

Wetgeving en aanbestedingseisen: wat wordt impliciet van organisaties verwacht

Wet- en regelgeving schrijft niet altijd letterlijk screening voor, maar impliceren wel aantoonbare betrouwbaarheid van mensen in kritieke functies.
Organisaties moeten kunnen laten zien dat toegang tot kritieke functies is gebaseerd op vooraf vastgestelde betrouwbaarheidseisen en dat deze toetsing actueel en herhaalbaar is. Juist dit aantonen wordt steeds vaker onderdeel van audits en aanbestedingseisen.

 

Concreet auditcriterium (voorbeeld)

Kun je onderbouwen dat personen met toegang tot kritieke infrastructuur zijn getoetst op betrouwbaarheid en dat deze toetsing periodiek wordt herhaald?

 

 

De vraag die tijdens elke audit terugkomt

Kun je vandaag aantonen wie de afgelopen twaalf maanden toegang had tot jouw kritieke infrastructuur? En waarom?

Is dit inzicht centraal beschikbaar? Is het actueel? En geldt dit ook voor tijdelijke krachten en externe partijen?

 

 

Waarom dit in de praktijk vaak misgaat

Het probleem is zelden onwil, maar het ontbreken van een structurele aanpak voor screening en herbeoordeling.

Screening wordt vaak gezien als een eenmalige stap bij indiensttreding. Er wordt onvoldoende onderscheid gemaakt tussen kritieke en niet-kritieke rollen en toegang staat los van aantoonbare betrouwbaarheid. Daardoor ontstaan kwetsbaarheden die pas zichtbaar worden tijdens een audit.

 

 

Vooruitblik

In de volgende artikelen gaan we dieper in op insider risk, kritieke rollen en hoe organisaties dit structureel organiseren zonder de operatie te vertragen.

Kritische infrastructuren staan onder toenemende druk