Cyberweerbaarheid bij waterschappen: visie van CISO Theo Quist (HHNK)

“Ik zorg dat ik weet wat er in het directieoverleg besproken wordt, wat er op de bestuurstafel ligt en welke projecten prioriteit hebben. Alleen dan kan ik op het juiste moment aanschuiven.”
Theo Quist, CISO Hoogheemraadschap Hollands Noorderkwartier

Theo Quist begon ooit in de milieukunde, werkte met een labjas in een laboratorium en rolde via beleid en juridische functies uiteindelijk het vakgebied van cybersecurity in. Sinds 2017 is hij CISO, en sinds tien maanden bij Hoogheemraadschap Hollands Noorderkwartier (HHNK). Juist die omweg maakt zijn perspectief interessant: hij benadert cyberweerbaarheid niet alleen technisch, maar vooral als integraal organisatievraagstuk.

We vroegen Theo wat het betekent om als organisatie écht cyberweerbaar te zijn. Hij gaat in op de OT-uitdagingen van een waterschap, het belang van governance en volwassenheid, monitoring, samenwerking in de keten en de rol van AI. Zijn rode draad: security moet altijd aansluiten op de doelen en plannen van de organisatie.

Water en OT: de weerbaarheid van een waterschap

Om Theo’s visie goed te begrijpen, is het belangrijk te zien dat een waterschap andere uitdagingen kent dan veel organisaties. Een waterschap heeft minder processen dan een gemeente, maar de OT-component geeft een andere dimensie aan de risico’s. “Vergeet niet wat er buiten gebeurt: sensoren in dijken, gemalen, waterzuiveringsinstallaties. Als daar iets misgaat, zijn de gevolgen enorm,” zegt Theo. Een cyberaanval op deze installaties kan leiden tot overstroomde woonwijken of vervuild water in de leefomgeving. Daarmee raken digitale risico’s direct de fysieke veiligheid van inwoners.

Juist daarom heeft HHNK geïnvesteerd in een stevig team: specialisten op zowel IT als OT, security-adviseurs, een auditor en nauwe samenwerking met specialisten uit de eerste lijn. “OT-security krijgt nu net zoveel aandacht als IT. Die balans is noodzakelijk om risico’s goed in beeld te hebben én aan te pakken.” Cyberweerbaarheid gaat bij een waterschap dus verder dan het beschermen van data: het gaat om de continuïteit van de waterveiligheid en daarmee de volksgezondheid.

“Ik zorg dat ik weet wat er in het directieoverleg besproken wordt, wat er op de bestuurstafel ligt en welke projecten prioriteit hebben. Alleen dan kan ik op het juiste moment aanschuiven en de meeste impact maken.”

Van governance naar volwassenheid

Om structureel cyberweerbaar te zijn, is het niet genoeg om alleen technische maatregelen te nemen. Volgens Theo begint het altijd bij governance: duidelijke taken, verantwoordelijkheden en betrokken bestuurders. “Als het bestuur niet uitdraagt dat security belangrijk is, wordt het heel lastig.” Zonder bestuurlijke rugdekking blijft security een bijzaak, en ontbreekt het draagvlak om keuzes te maken of middelen vrij te spelen.

“Ik begon met de vraag: wat hebben we te beschermen, en wie is daarvoor verantwoordelijk? Pas als je dat scherp hebt, kun je afspraken maken over taken, bevoegdheden en risico’s.” Vanuit dat overzicht kun je werken aan oplossingen om de volwassenheid van de organisatie te verhogen. In de watersector is afgesproken te streven naar volwassenheidsniveau 4. “Dat is ambitieus, maar het zegt wel hoe serieus waterschappen dit nemen.”

Dat volwassenheidsniveau betekent niet alleen dat beleid op papier staat, maar ook dat het geïmplementeerd en geborgd is in processen. Het vraagt om risicogestuurd werken in plaats van incidentgedreven reageren. “Maak keuzes, werk gestructureerd en zorg dat je middelen en mensen hebt om dat waar te maken.” Theo benadrukt dat dit volwassenheidsniveau helpt om niet steeds brandjes te blussen, maar om vooruit te kijken en strategische keuzes te maken.

Cybersecurity moet aansluiten op organisatiedoelen

Volgens Theo heeft security alleen impact als het meebeweegt met de koers van de organisatie. Als security als losstaand thema wordt benaderd, voelt het vaak als extra kostenpost of lastige verplichting. Door in te haken op bestaande plannen en processen ontstaat juist ruimte om waarde toe te voegen. Concreet betekent dat: inspelen op beleidsplannen, college-doelstellingen en projecten die al op de agenda staan. “Als de organisatie in 2026 de servers vernieuwt, dan moet security by design daar automatisch onderdeel van zijn.”

“Voordat je een SIEM of SOC koopt, moet je weten waarom je hem inzet. Een volwassen organisatie weet precies wat ze wil monitoren en waarom.”

Die werkwijze vraagt dat een CISO niet alleen technisch onderlegd is, maar ook bestuurlijk en strategisch meedenkt. Theo maakt daarom actief tijd vrij om te volgen wat er in directieoverleggen en op de bestuurstafel ligt. “Zorg dat je weet wat er in de organisatie gebeurt, welke projecten prioriteit hebben en waar beslissingen genomen worden. Alleen dan kun je als CISO het juiste gesprek voeren en de juiste timing kiezen.”

Monitoring en detectie met een doel

Wanneer we doorvragen over technische tools die cyberweerbare organisaties in huis hebben, is Theo voorzichtig: je kunt nooit zeggen dat één tool dé oplossing is. Waar het om gaat, is dat een organisatie vooraf nadenkt over het doel. “Voordat je een SIEM of SOC koopt, moet je weten waarom je hem inzet. Een volwassen organisatie weet precies wat ze wil monitoren en waarom,” zegt Theo.

Volgens hem gaat het er niet om dat een tool draait, maar dat de use cases aansluiten op de risico’s van de organisatie. Monitoring is dus geen checkbox, maar een doorlopend proces. Het vraagt om scherp kijken naar de relevantie van alerts, het regelmatig bijstellen van doelen en het toetsen of de gekozen use cases nog passen bij actuele dreigingen. Alleen dan draagt monitoring echt bij aan cyberweerbaarheid.

Metrics en meetbaarheid

Hoe meet je eigenlijk of een organisatie echt weerbaar is? Theo is daar nog naar op zoek. “Certificeringen zeggen iets over processen, maar niet of je echt digitaal weerbaar bent. Ik wil bestuurders een objectief beeld kunnen schetsen, maar de juiste metrics heb ik nog niet gevonden.” Het gaat hem dus niet om simpele cijfers zoals het aantal risicoanalyses of incidentmeldingen. Die geven volgens hem geen eerlijk beeld van de mate van weerbaarheid.

Het onderwerp leeft breed onder CISO’s: binnen de community is het een terugkerend thema, maar een eenduidige aanpak ontbreekt nog. Voor Theo is het een voortdurende zoektocht naar manieren om grip te houden én te bewijzen dat risico’s onder controle zijn. Hij zou graag zien dat er bruikbare indicatoren ontstaan die niet alleen procesvolwassenheid aantonen, maar ook daadwerkelijk iets zeggen over de mate waarin een organisatie bestand is tegen aanvallen. Tot die tijd blijft meten vooral een kwestie van combineren: inzichten uit audits, lessons learned van incidenten en gesprekken met bestuurders.

Onderzoek naar cyberweerbaarheid

Theo’s interview maakt deel uit van een groter onderzoek dat Security Innovation Stories uitvoeren in samenwerking met KPN. Naast gesprekken met CISO’s, innovators en andere professionals verzamelen we inzichten via een survey onder cybersecurity-experts. De resultaten worden samengebracht in een trendrapport. Wil jij ook je stem laten horen? Vul dan de survey in.

Theo Quist: “Security moet aansluiten op de hartslag van de organisatie”

Water en OT: de weerbaarheid van een waterschap

Van governance naar volwassenheid

Cybersecurity moet aansluiten op organisatiedoelen

Monitoring en detectie met een doel

Metrics en meetbaarheid

Onderzoek naar cyberweerbaarheid

De CISO als Business Enabler: Fred Streefland over leiderschap, innovatie en de toekomst van cybersecurity

Mick Baccio: “Start securing your personal digital crown jewels – and those of your family”

Fleur van Leusden: “Laten we als sector fundamentele problemen oplossen.”

Patric Versteeg: “Cybersecurity is een lifestyle, geen 9 tot 5 baan”

Jordan van den Akker: “CISO’s zouden meer wakker moeten liggen van langetermijnproblemen”

Frank Breedijk over AI en de toekomst van security: ‘Het is niet de technologie die ons moet leiden, maar hoe wij ermee omgaan’

Water en OT: de weerbaarheid van een waterschap

Van governance naar volwassenheid

Cybersecurity moet aansluiten op organisatiedoelen

Monitoring en detectie met een doel

Metrics en meetbaarheid

Onderzoek naar cyberweerbaarheid

Vergelijkbare berichten