Kritieke infrastructuur vraagt om hybride security

In dit artikel:

Task Force Hybrid Shield is een samenwerkingsinitiatief van Nassau420 (fysieke weerbaarheid) en Tesorion (digitale security) dat Nederlandse kritieke infrastructuur wil versterken door fysieke en digitale verdediging te combineren. De aanleiding is een groeiend risico op doelgerichte sabotage door statelijke actoren (landennamen zoals Rusland, China, Noord-Korea en Iran worden expliciet genoemd) en nieuwe Europese wetgeving die in 2026 in Nederlandse wetgeving doorwerkt: de Cyberbeveiligingswet (NIS2) en de Wet Weerbaarheid Kritieke Entiteiten (CER). Bestuurders krijgen onder die regels expliciete verantwoordelijkheid voor naleving, waardoor security geen louter technische taak meer is.

Wat het initiatief uniek maakt is de koppeling van twee werelden: Tesorion levert expertise in MDR, IR, red teaming en advisering op cybergebied; Nassau420 brengt kennis uit special forces en praktische trainingen in fysieke weerbaarheid. Die combinatie is gedacht om organisaties een completer beeld te geven van hun kwetsbaarheden, omdat aanvallers zowel digitale ingangen als fysieke ingrepen kunnen benutten om maximale impact met relatief eenvoudige middelen te bereiken (een voorbeeld uit het artikel: het uitschakelen van koeling in een datacenter kan apparatuur beschadigen).

Task Force Hybrid Shield werkt in meerdere niveaus, afgestemd op verschillende lagen binnen een organisatie:
- Niveau 1: sessies voor bestuur en directie, inclusief workshops om bewustzijn en bestuurlijke inzichten te vergroten.
- Niveau 2: voorbereiding van crisisteams via gecombineerde oefeningen (een mix van cyberrange en fysieke scenario’s) gericht op handelen onder druk en leiderschap tijdens incidenten.
- Niveau 3: een papieren red team-onderzoek dat risico’s identificeert en concrete verbeterpunten oplevert.
- Niveau 4: (niet expliciet op de website, wel genoemd in gesprekken) fysieke red teaming waarbij echte aanvallen en ontregelingspogingen worden gesimuleerd.

De initiatiefnemers benadrukken dat dit geen puur compliance-product is: deelname is niet noodzakelijk om aan de nieuwe wetten te voldoen, en dat is bewust zo gekozen. Het doel is vooral bewustwording en effectievere bescherming in plaats van het afvinken van verplichtingen. Volgens Nassau420 moet veiligheid geen checkbox-oefening zijn; kleine, praktische maatregelen kunnen vaak al veel effect hebben (zoals het bewaren van reserveonderdelen op een andere locatie). Tesorion wijst erop dat tests en oefeningen deel van de verantwoordelijkheid zijn, maar organisaties moeten wel daadwerkelijk iets doen met de bevindingen — uitvoeren van een test ontslaat niet van de plicht tot verbetering.

Voor organisaties die hun hybride security willen verbeteren biedt Task Force Hybrid Shield concrete opties: bestuurlijke workshops, crisisoefeningen met fysieke component, papieren risicoanalyses en full-scope red teaming inclusief fysieke penetratietests. De uitkomsten kunnen ook dienstdoen als input voor gesprekken met CISO’s en bij het vormgeven van compliance‑programma’s richting NIS2 en de CER‑afgeleide wet.

Kort samengevat: Task Force Hybrid Shield wil kritieke Nederlandse bedrijfs- en overheidsinfrastructuur weerbaarder maken door fysieke en cyberdreigingen integraal te benaderen. De aanpak koppelt militaire-achtige praktijkkennis aan professionele cyber-red teaming en richt zich op bewustwording, praktische verbeteringen en het voorbereiden van leidinggevenden en crisisteams — met het expliciete doel om organisaties niet alleen te helpen voldoen aan toekomstige regels, maar vooral om echte risico’s af te dekken.