Project

Cyber Security Operating Model

IT & Data

Cyber Security is een topprioriteit voor Schiphol. Iedere medewerker speelt een rol in het minimaliseren van digitale risico’s, want veilige processen zijn onmisbaar om onze ambities waar te maken. Cruciale systemen zoals onze security lanes, bagageafhandeling, of landingsbaanverlichting moeten continu beschikbaar en betrouwbaar zijn. Om dit te kunnen bereiken is het doen van risico management van essentieel belang. Daarom hebben we een vernieuwd Cyber Security Operating Model ontwikkeld: een raamwerk dat duidelijkheid geeft over rollen, verantwoordelijkheden en besluitvorming. Het model is niet alleen ontworpen, maar ook getest in pilots en organisatie breed geïmplementeerd via 40 adoptiesessies. Zo zorgen we dat cyber security niet alleen een papieren werkelijkheid is, maar ook daadwerkelijk wordt gedragen en toegepast in de praktijk.


Het project startte met een evaluatie van de bestaande besturing en ontwikkelde een nieuw Target Operating Model. Dit model is:

Wat houdt het project in?

  • Ontworpen door verschillende cyber security rollen om op een gedragen wijze cyber security risico management te doen binnen Schiphol
  • Op basis van best practices en afgestemd op wet en regelgeving.
  • Uitvoerig getest in pilots binnen twee business onderdelen binnen Schiphol.
  • Breed geïmplementeerd via circa 40 sessies volgens de Prosci-methodologie, zodat adoptie aansloot bij de praktijk van elke afdeling en volgbaar werd

    Betrokkenen bij dit project

    Cyber security moet tot in de haarvaten van onze organisatie zitten. Door dit project uit te voeren hebben we bewustwording gecreëerd over eigenaarschap van cyber security risico’s bij de business eigenaren van onze diensten. Hierdoor kan nog beter worden gestuurd op vermindering of beheersing van risico’s. Hedzer Komduur CISO en Director Safety & Environment

    Bij de start van het project hebben we veel aandacht besteed aan ons ‘veranderverhaal’. Dit heeft ons geholpen om heel duidelijk en vaak te communiceren over zaken als: waarom deze verandering, waarom nu, wat houdt de verandering concreet in en wat is het verwachte resultaat. Het klinkt basaal, maar het was essentieel om alle verschillende collega’s mee te nemen in het nieuwe model. Evelien van Zuidam Programma Manager Cyber Security

    Impressie van het project

    Project tijdlijn
    September – November ‘24
    Ontwerp van het model. Het Cyber Security Target Operating Model is ontwikkeld, inclusief beschrijving van de rollen, verantwoordelijkheden, processen en de wijze waarop we besluiten nemen over cyber security risico’s.
    November ‘24 – januari ‘25
    Pilot van het model. Het model en de nieuwe werkwijze is getest in twee business units om te evalueren hoe dit in de praktijk gaat. Enkele systemen zijn conform dit model als casus gebruikt. Op basis van de ervaring is het model hier en daar bijgesteld.
    Januari – Juni ‘ 25
    Implementatie van het model. Vervolgens is het modelorganisatiebreed geïmplementeerd via circa 40 adoptiesessies volgens de Prosci-methodologie. In deze sessies zaten alle rollen aan tafel om de werking en samenwerking met elkaar te doorlopen. Verwachtingen werden gedeeld en afspraken werden gemaakt.
    Juli ‘25
    Borging in de organisatie. Het Operating Model is officieel onderdeel geworden van de governance en besluitvormingsprocessen en wordt actief toegepast.

    De impact voor Schiphol

    Met dit project versterken we Schiphol’s digitale weerbaarheid. Het Operating Model zorgt voor een robuuste besturing van cyberrisico’s, waardoor operationele verstoringen tot een minimum worden beperkt. Het gaat niet alleen om processen, maar ook om cultuur: medewerkers weten wat hun rol is, handelen ernaar en durven elkaar aan te spreken. Zo ontstaat een organisatie waarin samenwerking effectiever is, eigenaarschap groeit en risico’s beter worden beheerst. Dit is essentieel om een veilige luchthaven te blijven en continuïteit voor reizigers en medewerkers te garanderen.


    Pilots uitgevoerd
    Het model is getest in twee business units om te zorgen dat het aansluit bij de praktijk voordat het breed werd uitgerold.
    40 adoptiesessies
    Via de Prosci-methodologie zijn circa 40 sessies georganiseerd om het Operating Model organisatiebreed te implementeren en draagvlak te creëren bij alle rollen die een onderdeel zijn in dit model.
    Borging in 2025
    In juli 2025 is het Operating Model officieel onderdeel geworden van de governance en besluitvormingsprocessen.
    Cultuurverandering
    Medewerkers kennen het model, handelen ernaar en durven elkaar aan te spreken op verantwoordelijkheden.