De weken na de jaarwisseling stonden bij veel mensen in het teken van het anticiperen op het winterweer. Het stilvallen van het openbaar vervoer en de vluchtannuleringen op Schiphol stonden in schril contrast met de mooie winterse beelden van sleeënde kinderen en besneeuwde tuinen. Hoe anders was de situatie in Berlijn, waar duizenden mensen begin 2026 dagenlang zonder stroom zaten. Geen verlichting, geen verwarming en een steeds kouder huis. Wat voor de meeste organisaties een theoretisch scenario lijkt, werd daar door sabotage harde realiteit.
Stroomuitval kan veel verschillende oorzaken hebben, zowel fysiek als digitaal. In Venezuela werd de elektriciteitsvoorziening niet fysiek, maar digitaal ontregeld als onderdeel van een bredere operatie. Ook in Polen werd er recent een gecoördineerde cyberaanval uitgevoerd op de energie-infrastructuur. Deze voorbeelden maken één ding duidelijk: organisaties in de kritieke infrastructuur moeten rekening houden met verschillende soorten dreigingen. Aanvallen kunnen zowel een fysieke als een digitale component hebben.
Hybride aanvallen vragen om een geïntegreerde benadering
Traditioneel zijn fysieke beveiliging en cybersecurity gescheiden werelden. Facilitaire zaken, beveiliging en IT opereren vaak in aparte silo’s, met eigen risicoanalyses en verantwoordelijken. Juist bij hybride aanvallen, waarbij een fysieke met een digitale aanval wordt gecombineerd, blijkt die scheiding een kwetsbaarheid.
Een kwaadwillende kan een organisatie binnendringen via een hek, een deur of een onbewaakte locatie, maar net zo goed via een ongepatchte kwetsbaarheid, gelekte inloggegevens of publiek beschikbare informatie over medewerkers en infrastructuur. In beide gevallen geldt: voorkomen waar mogelijk, snel detecteren wanneer preventie faalt, en adequaat reageren om impact te beperken.
Voor C-level besluitvorming betekent dit dat risico’s integraal moeten worden beoordeeld. Niet alleen vanuit compliance of techniek, maar vanuit bedrijfscontinuïteit en maatschappelijke verantwoordelijkheid.
Van risico-inventarisatie naar realistisch dreigingsbeeld
Grosso modo starten veel organisaties met een risico-inventarisatie. Dat is noodzakelijk, maar vaak onvoldoende. Wanneer risico’s uitsluitend intern worden geanalyseerd, ontstaan blinde vlekken. Aannames blijven onbeproefd en scenario’s worden te voorspelbaar.
Een effectieve aanpak vraagt om een externe blik, om aanvalsgericht te werken, zoals de task force hybrid shield biedt. Deze dreigingsmodellering, het te werk gaan vanuit het perspectief van een aanvaller, worden vaak verschillende nieuwe scenario’s duidelijk. De benadering vanuit de denkwijze van special forces en digitale risico’s vanuit het perspectief van een aanvaller, geeft over het algemeen een realistischer dreigingsbeeld. De kernvraag verschuift dan van “voldoen we aan de norm?” naar “kan iemand ons daadwerkelijk schade toebrengen, en hoe?”.
Daarbij kijkt een aanvaller niet alleen naar de gebouwen of systemen die hij wil aanvallen, maar ook naar informatie die publiek beschikbaar is. Deze informatie, zoals leveranciersinformatie of technische documentatie, krijgt tijdens een aanval ineens operationele waarde.
Op basis van deze inzichten vanuit aanvallersperspectief kunnen organisaties vervolgens prioriteiten stellen en gerichte maatregelen treffen, zowel fysiek als digitaal.
Crisismanagement: presteren onder druk
Wanneer preventieve maatregelen tekortschieten, een incident ontstaat en de omvang van het incident sterk toeneemt, komt het crisismanagementteam in beeld. Op dat moment staat er veel op het spel en is tijd schaars. Besluiten moeten onder hoge druk worden genomen: over veiligheid van medewerkers, continuïteit van dienstverlening, communicatie met stakeholders en mogelijke meldplichten richting toezichthouders.
Een crisisteam functioneert alleen effectief wanneer er onderling vertrouwen is. Dat vertrouwen ontstaat niet tijdens een incident, maar in de voorbereiding. Regelmatige simulaties zijn daarom essentieel. Niet als papieren exercitie, maar als realistische oefening waarin rollen, processen en onderlinge dynamiek worden getest.
Door verschillende vormen van simulatie – van tafel-top oefeningen tot realistische scenario’s op onbekende locaties – leert een team niet alleen procedures toepassen, maar ook hoe collega’s reageren onder stress. Dat vergroot het handelingsvermogen en de rust op momenten dat het er echt toe doet.
Bestuurlijke verantwoordelijkheid in een hybride dreigingslandschap
De gebeurtenissen in bijvoorbeeld Berlijn en in Polen onderstrepen dat grootschalige verstoringen van vitale infrastructuur geen fictie meer zijn. Hybride aanvallen vormen een structureel risico voor organisaties in sectoren als de energie, zorg, industrie en ICT, maar indirect voor vrijwel iedere organisatie.
Voor bestuurders betekent dit dat weerbaarheid tegen hybride dreigingen een strategisch thema is, niet alleen een verplichting vanuit de Wet weerbaarheid kritieke entiteiten of NIS2. Het vraagt om samenwerking over disciplines heen, realistische scenario’s en continue aandacht voor zowel fysieke als digitale weerbaarheid.
Wie vandaag investeert in een geïntegreerde aanpak, vergroot morgen de veerkracht van zijn organisatie. In een wereld waarin fysieke en digitale dreigingen samensmelten, is dat geen luxe, maar een bestuurlijke noodzaak.
Dit is een ingezonden bijdrage van Tesorion. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.