Cyber security in kritieke infrastructuur staat in Europa onder grotere druk dan ooit. Volgens Dimitri van Zantvliet, CISO en Cyber security Director van NS, verschuift cyber security in hoog tempo van een IT-dossier naar een strategisch vraagstuk voor bestuurders, overheden en vitale sectoren. Tijdens een live opname van SecurityCafe op CISOday 2026 schetste hij hoe geopolitieke spanningen, AI, dreigingsinformatie en ketenafhankelijkheden het speelveld fundamenteel veranderen.
De uitspraken van Dimitri van Zantvliet raken een bredere ontwikkeling die inmiddels zichtbaar is in heel Europa. Waar cyber security jarenlang vooral draaide om technische maatregelen, verschuift de aandacht naar digitale weerbaarheid, nationale veiligheid en continuiteit van essentiële diensten. Organisaties die verantwoordelijk zijn voor energie, mobiliteit, zorg, telecom en financiële dienstverlening krijgen steeds vaker te maken met dreigingen die niet alleen financieel gemotiveerd zijn, maar ook geopolitieke doelen dienen.
Nationale veiligheid
Volgens recente analyses van de AIVD en MIVD bevindt Nederland zich in een uitzonderlijke veiligheidscontext. De inlichtingendiensten spreken zelfs van het hoogste dreigingsniveau sinds de Tweede Wereldoorlog. Rusland, China, Iran en andere statelijke actoren voeren steeds vaker hybride operaties uit waarin digitale aanvallen, beïnvloeding en sabotage samenkomen.
Voor organisaties als NS is dat geen theoretisch scenario. Van Zantvliet beschrijft hoe NS in 2021 werd aangewezen als kritieke entiteit onder de eerste NIS-richtlijn. Vrijwel direct daarna veranderde de Russische invasie van Oekraïne het dreigingsbeeld fundamenteel. Malwarecampagnes tegen spoorinfrastructuur in Belarus maakten duidelijk dat digitale aanvallen op transportnetwerken niet langer hypothetisch waren.
De focus verschuift van techniek naar governance, risicomanagement en ketenverantwoordelijkheid
Daarmee ontstond een nieuwe realiteit. Spoorbedrijven moesten niet alleen kijken naar traditionele cybercriminaliteit, maar ook naar sabotage, statelijke aanvallen en verstoringen van vitale processen. Het onderscheid tussen fysieke en digitale dreigingen vervaagde snel.
Die ontwikkeling sluit aan bij Europese wetgeving. De nieuwe NIS2-richtlijn en de CER-richtlijn moeten de weerbaarheid van kritieke sectoren vergroten. Daarbij verschuift de focus van techniek naar governance, risicomanagement en ketenverantwoordelijkheid.
Actieve samenwerking
Dimitri van Zantvliet [foto: LinkedIn]
Een opvallend thema uit het gesprek is het belang van samenwerking. Waar bedrijven vroeger dreigingsinformatie zagen als concurrentievoordeel, ontstaat nu een cultuur waarin delen centraal staat.
Van Zantvliet beschrijft hoe NS samenwerkt met onder meer het NCSC, AIVD, MIVD, NCTV, Europese spooroperators en verschillende ISAC-netwerken. Door continu informatie uit te wisselen ontstaat een collectief verdedigingsmechanisme dat veel effectiever werkt dan individuele inspanningen.
Dat sluit aan bij bredere ontwikkelingen binnen Europa. De AIVD benadrukt dat weerbaarheid alleen kan ontstaan door samenwerking tussen overheid, bedrijfsleven, kennisinstellingen en burgers. Dreigingen zijn inmiddels zo complex dat geen enkele organisatie ze zelfstandig kan overzien.
De spoorsector vormt daarbij een interessant voorbeeld. Verstoringen raken niet alleen de organisatie zelf, maar ook reizigers, logistieke ketens, economische activiteiten en publieke veiligheid. Een aanval op een spoorbedrijf kan daardoor gevolgen hebben die ver buiten de digitale omgeving liggen.
Juist daarom investeert NS fors in Cyber Threat Intelligence. Het bedrijf beschikt inmiddels over een gespecialiseerd team dat zich richt op strategische, tactische, operationele en technische dreigingsinformatie. Het doel is om dreigingen niet alleen te detecteren, maar ook vroegtijdig te begrijpen en te vertalen naar concrete maatregelen.
Begint bij mensen
Een tweede belangrijke les uit de podcast gaat over talentontwikkeling. Veel organisaties ervaren een structureel tekort aan cyber security-specialisten. Toch ziet Van Zantvliet dat niet als een onoverkomelijk probleem.
In plaats van uitsluitend te zoeken naar ervaren professionals, investeert NS actief in interne opleidingen. Via de eigen Cyber Academy worden medewerkers opgeleid voor verschillende cyber security-rollen. Dat varieert van technische functies tot specialistische rollen op het gebied van governance, compliance en threat intelligence.
De Europese vraag naar cyber security-specialisten groeit sneller dan het beschikbare aanbod
Opvallend is de visie op werving. Volgens Van Zantvliet hoeft een goede cyber security-professional niet per definitie uit de IT-sector te komen. Eigenschappen als nieuwsgierigheid, doorzettingsvermogen, analytisch denken en discipline blijken minstens zo belangrijk.
Hij noemt voorbeelden van voormalige topsporters, journalisten en mensen uit totaal andere vakgebieden die succesvol zijn ingestroomd in cyberfuncties. Dat past binnen een bredere trend waarin organisaties steeds meer kijken naar vaardigheden en leervermogen in plaats van uitsluitend naar diploma’s.
Deze benadering wordt steeds relevanter. De Europese vraag naar cyber security-specialisten groeit sneller dan het beschikbare aanbod. Organisaties die uitsluitend vissen in dezelfde talentvijver lopen daardoor steeds vaker vast.
Afhankelijk van leveranciers
[Illustratie: günter | Pixabay]
Een van de meest concrete uitspraken uit het gesprek gaat over leveranciersmanagement. Volgens Van Zantvliet zijn certificeringen zoals ISO 27001 en SOC 2 Type 2 inmiddels harde voorwaarden geworden voor samenwerking.
Dat is logisch. Veel organisaties besteden essentiële onderdelen van hun IT-landschap uit aan externe partijen. Daarmee verschuift een deel van het risico automatisch naar de supply chain.
Juist daar liggen volgens veel experts grote kwetsbaarheden. Moderne aanvallers richten zich steeds vaker op leveranciers, softwareleveranciers en dienstverleners omdat zij toegang bieden tot meerdere organisaties tegelijk.
Ook NIS2 legt veel nadruk op ketenverantwoordelijkheid. Organisaties moeten niet alleen hun eigen beveiliging op orde hebben, maar ook inzicht krijgen in risico’s binnen hun leveranciersnetwerk.
De praktijk laat zien waarom dat noodzakelijk is. Veel organisaties beschikken inmiddels over honderden digitale afhankelijkheden. Een kwetsbaarheid bij een externe leverancier kan daardoor directe gevolgen hebben voor kritieke bedrijfsprocessen.
AI-tijdperk
Het meest opvallende moment uit het gesprek komt wanneer Van Zantvliet spreekt over AI. Jarenlang gold de uitspraak dat ‘data het nieuwe goud is’. Volgens hem is die vergelijking inmiddels achterhaald. “Data is het nieuwe uranium.” Die uitspraak vat de nieuwe werkelijkheid samen. Data vormt de brandstof voor moderne AI-systemen. Zonder grote hoeveelheden hoogwaardige data kunnen organisaties geen effectieve AI-modellen bouwen.
Strenge beveiliging en verantwoord beheer voor data
Tegelijkertijd neemt daarmee het risico toe. Waar data vroeger vooral waardevol was als bedrijfsmiddel, kan dezelfde data nu gebruikt worden voor geavanceerde AI-toepassingen, autonome besluitvorming en mogelijk ook nieuwe aanvalsvormen. Dat maakt databeveiliging belangrijker dan ooit. Niet alleen vanwege privacy of compliance, maar ook vanwege strategische controle over digitale processen.
De vergelijking met uranium is veelzeggend. Uranium kan energie leveren, maar vraagt tegelijkertijd om strenge beveiliging en verantwoord beheer. Volgens Van Zantvliet geldt inmiddels hetzelfde voor data.
Nieuwe aanvalsvectoren
[Afbeelding: Sasun Bughdaryan | Unsplash]
Naast AI ziet Van Zantvliet nog een belangrijke ontwikkeling. De opkomst van autonome agents kan leiden tot aanvalsvormen die organisaties vandaag nog nauwelijks begrijpen.
Waar traditionele cyberaanvallen vaak handmatig worden uitgevoerd, kunnen toekomstige systemen zelfstandig doelen selecteren, informatie verzamelen en aanvallen uitvoeren. Daardoor ontstaat een nieuw risicolandschap waarin snelheid, schaalbaarheid en automatisering centraal staan.
Ook quantum computing speelt op de achtergrond een steeds grotere rol. Veel discussies focussen op encryptie, maar de impact reikt volgens experts veel verder. Quantumtechnologie kan invloed hebben op logistiek, optimalisatie, simulaties en complexe besluitvorming.
Voor kritieke infrastructuur betekent dat dat organisaties nu al moeten nadenken over toekomstige risico’s, terwijl veel technologie nog in ontwikkeling is.
Afhankelijk van basismaatregelen
Toch eindigt het verhaal niet bij futuristische technologie. Juist dat maakt de analyse van Van Zantvliet interessant. Ondanks alle aandacht voor AI, quantum computing en geopolitieke spanningen blijven de fundamenten bepalend. Multi-factor authenticatie, sterke wachtwoorden, netwerksegmentatie en tijdige patching vormen nog steeds de basis van effectieve beveiliging.
De AIVD waarschuwde recent opnieuw voor aanvallen via bekende kwetsbaarheden en slecht beheerde systemen. Zelfs geavanceerde statelijke actoren maken nog regelmatig gebruik van relatief eenvoudige toegangspunten. Dat onderstreept een belangrijke les voor bestuurders. Innovatie en nieuwe technologie zijn belangrijk, maar mogen nooit afleiden van de basis. Organisaties die hun fundament niet op orde hebben, blijven kwetsbaar, ongeacht hoeveel AI-oplossingen zij implementeren.
Het gaat niet langer uitsluitend over firewalls, antivirussoftware of compliance
De boodschap van Van Zantvliet sluit daarmee aan bij de filosofie uit het boek Antifragile van Nassim Nicholas Taleb, dat tijdens de podcast wordt genoemd. Organisaties moeten niet alleen proberen aanvallen te voorkomen, maar vooral leren omgaan met onzekerheid. Weerbaarheid ontstaat door continu te leren, aan te passen en sterker terug te komen na verstoringen. Juist daarin ligt de kern van moderne cyber security. Het gaat niet langer uitsluitend over firewalls, antivirussoftware of compliance. Het gaat over leiderschap, samenwerking, talentontwikkeling, ketenverantwoordelijkheid en strategische weerbaarheid.
Voor kritieke infrastructuur is cyber security daarmee uitgegroeid tot een bestuursvraagstuk. En met de verdere opkomst van AI, geopolitieke spanningen en digitale afhankelijkheden lijkt die ontwikkeling pas net begonnen.
Kritieke infrastructuur: nieuwe security-mindset
Van NIS2 tot AI en digitale weerbaarheid
Cyber security in kritieke infrastructuur staat in Europa onder grotere druk dan ooit. Volgens Dimitri van Zantvliet, CISO en Cyber security Director van NS, verschuift cyber security in hoog tempo van een IT-dossier naar een strategisch vraagstuk voor bestuurders, overheden en vitale sectoren. Tijdens een live opname van SecurityCafe op CISOday 2026 schetste hij hoe geopolitieke spanningen, AI, dreigingsinformatie en ketenafhankelijkheden het speelveld fundamenteel veranderen.
De uitspraken van Dimitri van Zantvliet raken een bredere ontwikkeling die inmiddels zichtbaar is in heel Europa. Waar cyber security jarenlang vooral draaide om technische maatregelen, verschuift de aandacht naar digitale weerbaarheid, nationale veiligheid en continuiteit van essentiële diensten. Organisaties die verantwoordelijk zijn voor energie, mobiliteit, zorg, telecom en financiële dienstverlening krijgen steeds vaker te maken met dreigingen die niet alleen financieel gemotiveerd zijn, maar ook geopolitieke doelen dienen.
Nationale veiligheid
Volgens recente analyses van de AIVD en MIVD bevindt Nederland zich in een uitzonderlijke veiligheidscontext. De inlichtingendiensten spreken zelfs van het hoogste dreigingsniveau sinds de Tweede Wereldoorlog. Rusland, China, Iran en andere statelijke actoren voeren steeds vaker hybride operaties uit waarin digitale aanvallen, beïnvloeding en sabotage samenkomen.
Voor organisaties als NS is dat geen theoretisch scenario. Van Zantvliet beschrijft hoe NS in 2021 werd aangewezen als kritieke entiteit onder de eerste NIS-richtlijn. Vrijwel direct daarna veranderde de Russische invasie van Oekraïne het dreigingsbeeld fundamenteel. Malwarecampagnes tegen spoorinfrastructuur in Belarus maakten duidelijk dat digitale aanvallen op transportnetwerken niet langer hypothetisch waren.
Daarmee ontstond een nieuwe realiteit. Spoorbedrijven moesten niet alleen kijken naar traditionele cybercriminaliteit, maar ook naar sabotage, statelijke aanvallen en verstoringen van vitale processen. Het onderscheid tussen fysieke en digitale dreigingen vervaagde snel.
Die ontwikkeling sluit aan bij Europese wetgeving. De nieuwe NIS2-richtlijn en de CER-richtlijn moeten de weerbaarheid van kritieke sectoren vergroten. Daarbij verschuift de focus van techniek naar governance, risicomanagement en ketenverantwoordelijkheid.
Actieve samenwerking
Een opvallend thema uit het gesprek is het belang van samenwerking. Waar bedrijven vroeger dreigingsinformatie zagen als concurrentievoordeel, ontstaat nu een cultuur waarin delen centraal staat.
Van Zantvliet beschrijft hoe NS samenwerkt met onder meer het NCSC, AIVD, MIVD, NCTV, Europese spooroperators en verschillende ISAC-netwerken. Door continu informatie uit te wisselen ontstaat een collectief verdedigingsmechanisme dat veel effectiever werkt dan individuele inspanningen.
Dat sluit aan bij bredere ontwikkelingen binnen Europa. De AIVD benadrukt dat weerbaarheid alleen kan ontstaan door samenwerking tussen overheid, bedrijfsleven, kennisinstellingen en burgers. Dreigingen zijn inmiddels zo complex dat geen enkele organisatie ze zelfstandig kan overzien.
De spoorsector vormt daarbij een interessant voorbeeld. Verstoringen raken niet alleen de organisatie zelf, maar ook reizigers, logistieke ketens, economische activiteiten en publieke veiligheid. Een aanval op een spoorbedrijf kan daardoor gevolgen hebben die ver buiten de digitale omgeving liggen.
Juist daarom investeert NS fors in Cyber Threat Intelligence. Het bedrijf beschikt inmiddels over een gespecialiseerd team dat zich richt op strategische, tactische, operationele en technische dreigingsinformatie. Het doel is om dreigingen niet alleen te detecteren, maar ook vroegtijdig te begrijpen en te vertalen naar concrete maatregelen.
Begint bij mensen
Een tweede belangrijke les uit de podcast gaat over talentontwikkeling. Veel organisaties ervaren een structureel tekort aan cyber security-specialisten. Toch ziet Van Zantvliet dat niet als een onoverkomelijk probleem.
In plaats van uitsluitend te zoeken naar ervaren professionals, investeert NS actief in interne opleidingen. Via de eigen Cyber Academy worden medewerkers opgeleid voor verschillende cyber security-rollen. Dat varieert van technische functies tot specialistische rollen op het gebied van governance, compliance en threat intelligence.
Opvallend is de visie op werving. Volgens Van Zantvliet hoeft een goede cyber security-professional niet per definitie uit de IT-sector te komen. Eigenschappen als nieuwsgierigheid, doorzettingsvermogen, analytisch denken en discipline blijken minstens zo belangrijk.
Hij noemt voorbeelden van voormalige topsporters, journalisten en mensen uit totaal andere vakgebieden die succesvol zijn ingestroomd in cyberfuncties. Dat past binnen een bredere trend waarin organisaties steeds meer kijken naar vaardigheden en leervermogen in plaats van uitsluitend naar diploma’s.
Deze benadering wordt steeds relevanter. De Europese vraag naar cyber security-specialisten groeit sneller dan het beschikbare aanbod. Organisaties die uitsluitend vissen in dezelfde talentvijver lopen daardoor steeds vaker vast.
Afhankelijk van leveranciers
Een van de meest concrete uitspraken uit het gesprek gaat over leveranciersmanagement. Volgens Van Zantvliet zijn certificeringen zoals ISO 27001 en SOC 2 Type 2 inmiddels harde voorwaarden geworden voor samenwerking.
Dat is logisch. Veel organisaties besteden essentiële onderdelen van hun IT-landschap uit aan externe partijen. Daarmee verschuift een deel van het risico automatisch naar de supply chain.
Juist daar liggen volgens veel experts grote kwetsbaarheden. Moderne aanvallers richten zich steeds vaker op leveranciers, softwareleveranciers en dienstverleners omdat zij toegang bieden tot meerdere organisaties tegelijk.
Ook NIS2 legt veel nadruk op ketenverantwoordelijkheid. Organisaties moeten niet alleen hun eigen beveiliging op orde hebben, maar ook inzicht krijgen in risico’s binnen hun leveranciersnetwerk.
De praktijk laat zien waarom dat noodzakelijk is. Veel organisaties beschikken inmiddels over honderden digitale afhankelijkheden. Een kwetsbaarheid bij een externe leverancier kan daardoor directe gevolgen hebben voor kritieke bedrijfsprocessen.
AI-tijdperk
Het meest opvallende moment uit het gesprek komt wanneer Van Zantvliet spreekt over AI. Jarenlang gold de uitspraak dat ‘data het nieuwe goud is’. Volgens hem is die vergelijking inmiddels achterhaald. “Data is het nieuwe uranium.” Die uitspraak vat de nieuwe werkelijkheid samen. Data vormt de brandstof voor moderne AI-systemen. Zonder grote hoeveelheden hoogwaardige data kunnen organisaties geen effectieve AI-modellen bouwen.
Tegelijkertijd neemt daarmee het risico toe. Waar data vroeger vooral waardevol was als bedrijfsmiddel, kan dezelfde data nu gebruikt worden voor geavanceerde AI-toepassingen, autonome besluitvorming en mogelijk ook nieuwe aanvalsvormen. Dat maakt databeveiliging belangrijker dan ooit. Niet alleen vanwege privacy of compliance, maar ook vanwege strategische controle over digitale processen.
De vergelijking met uranium is veelzeggend. Uranium kan energie leveren, maar vraagt tegelijkertijd om strenge beveiliging en verantwoord beheer. Volgens Van Zantvliet geldt inmiddels hetzelfde voor data.
Nieuwe aanvalsvectoren
Naast AI ziet Van Zantvliet nog een belangrijke ontwikkeling. De opkomst van autonome agents kan leiden tot aanvalsvormen die organisaties vandaag nog nauwelijks begrijpen.
Waar traditionele cyberaanvallen vaak handmatig worden uitgevoerd, kunnen toekomstige systemen zelfstandig doelen selecteren, informatie verzamelen en aanvallen uitvoeren. Daardoor ontstaat een nieuw risicolandschap waarin snelheid, schaalbaarheid en automatisering centraal staan.
Ook quantum computing speelt op de achtergrond een steeds grotere rol. Veel discussies focussen op encryptie, maar de impact reikt volgens experts veel verder. Quantumtechnologie kan invloed hebben op logistiek, optimalisatie, simulaties en complexe besluitvorming.
Voor kritieke infrastructuur betekent dat dat organisaties nu al moeten nadenken over toekomstige risico’s, terwijl veel technologie nog in ontwikkeling is.
Afhankelijk van basismaatregelen
Toch eindigt het verhaal niet bij futuristische technologie. Juist dat maakt de analyse van Van Zantvliet interessant. Ondanks alle aandacht voor AI, quantum computing en geopolitieke spanningen blijven de fundamenten bepalend. Multi-factor authenticatie, sterke wachtwoorden, netwerksegmentatie en tijdige patching vormen nog steeds de basis van effectieve beveiliging.
De AIVD waarschuwde recent opnieuw voor aanvallen via bekende kwetsbaarheden en slecht beheerde systemen. Zelfs geavanceerde statelijke actoren maken nog regelmatig gebruik van relatief eenvoudige toegangspunten. Dat onderstreept een belangrijke les voor bestuurders. Innovatie en nieuwe technologie zijn belangrijk, maar mogen nooit afleiden van de basis. Organisaties die hun fundament niet op orde hebben, blijven kwetsbaar, ongeacht hoeveel AI-oplossingen zij implementeren.
De boodschap van Van Zantvliet sluit daarmee aan bij de filosofie uit het boek Antifragile van Nassim Nicholas Taleb, dat tijdens de podcast wordt genoemd. Organisaties moeten niet alleen proberen aanvallen te voorkomen, maar vooral leren omgaan met onzekerheid. Weerbaarheid ontstaat door continu te leren, aan te passen en sterker terug te komen na verstoringen. Juist daarin ligt de kern van moderne cyber security. Het gaat niet langer uitsluitend over firewalls, antivirussoftware of compliance. Het gaat over leiderschap, samenwerking, talentontwikkeling, ketenverantwoordelijkheid en strategische weerbaarheid.
Voor kritieke infrastructuur is cyber security daarmee uitgegroeid tot een bestuursvraagstuk. En met de verdere opkomst van AI, geopolitieke spanningen en digitale afhankelijkheden lijkt die ontwikkeling pas net begonnen.