De cybersecuritystrategie – pijler 1 en 2

Voor een veilige en functionerende maatschappij is digitale veiligheid voor alle bedrijven, maatschappelijke organisaties en overheidsinstellin­gen cruciaal. Denk aan het continu beschikbaar houden van vitale infrastructuur in Nederland, en de vertrouwelijkheid en integriteit van processen. Pijler één ziet daarom toe op de digitale weerbaarheid van organisaties (wat een stuk fijner klinkt dan het invoeren van de Baseline Informatiebeveiliging Overheid, ofwel BIO). Hierbij gaat het om het vermogen om risico’s tot een aanvaardbaar niveau te brengen, door een verzameling van maatregelen om cyberincidenten te voorkomen toe te passen en bij ontdekte cyberincidenten de schade zoveel mogelijk te beperken en herstel eenvoudiger te maken. De doelen en acties die hierbij horen zijn:

1. Organisaties hebben zicht op cyberincidenten, -dreigingen en -risico’s en weten hoe ze hiermee om moeten gaan.
   Om te zorgen dat organisaties goed inzicht hebben in dreigingen en risico’s en weten hoe ze hiermee om moeten gaan, moet er actuele kennis en informatie over cyberdreigingen, -incidenten, -trends, en -kwetsbaarheden beschikbaar zijn. Organisaties mogen van de Rijksoverheid verwachten dat deze actuele informatie beschikbaar wordt gesteld. De bestaande organisaties het Nationaal Cyber Security Center (NCSC), Digital Trust Center (DTC) en Cyber Security Incident Response Team for Digital Service Providers (SCIRT_DSP) worden daarom samengevoegd tot één autoriteit: het Cyber Security Incident Response Team (CSIRT). Op deze manier wil het kabinet de versplintering in het cybersecuritylandschap tegengaan en kennis en expertise op het gebied van cybersecurity samenvoegen. Een positieve ontwikkeling die duidelijkheid geeft over waar de autoriteit ligt op dit gebied.
2. Organisaties zijn goed beschermd tegen digitale risico’s, en nemen hierin het belang voor de sector en andere organisaties in de keten mee. 
   Voor een digitaal veilig Nederland is inzet van alle bedrijven en organisaties nodig. Niet alleen voor de continuïteit van de eigen dienstverlening maar ook vanwege de mogelijk bredere negatieve effecten voor afnemers, toeleveranciers of anderen. De overheid stimuleert organisaties een basisniveau van maatregelen te implementeren om zo bij te dragen aan de digitale weerbaarheid. Ook werkt de overheid aan veiligere ICT-producten en -diensten op Europees niveau. Zo worden als gevolg van de herziening van de Netwerk- en informatiebevei­ligingsrichtlijn (NIB2) veel meer bedrijven in Nederland verplicht om digitale incidenten te melden en maatregelen te nemen. Medeoverheden, zoals provincies en gemeenten, kunnen te maken krijgen met aangescherpte beveiligingseisen als ze onder de NIB2 worden aangewezen op basis van een risicoanalyse. Om hen hierbij te helpen worden vanuit het ministerie van Binnenlandse Zaken (BZK) meerdere ondersteuningsprogramma’s aangeboden.

Daarnaast moeten organisaties binnen de vitale infrastructuur én de overheid zich veel bewuster worden van cyberrisico’s en risico-gebaseerde maatregelen nemen die in verhouding staan tot het risico. Hier moeten op directie- of bestuursniveau bewuste keuzes over worden gemaakt. Ook zorgt de overheid dat haar eigen systemen digitaal veilig zijn, dat overheidsdienstverlening voldoende beschermd is tegen cyberincidenten én dat gegevens van burgers veilig zijn. Om erop toe te zien dat dit wordt nageleefd, wordt stevige wet- en regelgeving ingericht.

3. Organisaties zijn voorbereid op digitale incidenten en crises
   Om goed voorbereid te zijn op digitale incidenten moeten organisaties incident-, continuïteit- en herstelplannen opstellen. Deze plannen moeten regelmatig geoefend worden. Door een cybercrisisoefening te doen, weten werknemers wat ze moeten doen als het echt een keer misgaat. Hierbij is ook aandacht nodig voor gevolgen die kunnen optreden in de fysieke wereld. Bij overstijgende cyberincidenten en -crises moet straks gehandeld worden op basis van het Landelijk Crisisplan Digitaal, dat eind 2022 verscheen voor publieke en private organisaties. Tot slot, wordt op basis van de Rijksbrede risicoanalyse en -veiligheidsstrategie een interdepartementale oefenagenda opgesteld.

Pijler 2: Veilige en innovatieve digitale economie

Pijler twee focust op de aanbieders en afnemers van digitale producten en diensten en de versterking van kennisontwikkeling en innovatie. Zo moeten digitale producten en diensten veiliger zijn en moet de cybersecuritykennis- en innovatieketen versterkt worden. Want, een veilige en innovatieve digitale economie draagt bij aan de digitale veiligheid en het verdienvermogen van Nederland. De doelen en acties die hierbij horen zijn:

1. 1. Digitale producten en diensten zijn veiliger
      Veiligheid moet een uitgangspunt zijn bij de ontwikkeling van digitale producten en diensten. Hierdoor kunnen afnemers en consumenten vertrouwen op aantoonbaar veiligere producten en diensten. Het kabinet borgt dit met name via de ‘Cyber Resilience Act’, waarbij ze zich inzet op de zorgplicht van leveranciers voor het leveren van veilige producten en diensten, gedurende de hele levenscyclus van de producten. Ondanks dat het nog een paar jaar zal duren voordat deze wet er is, valt dit zeer zeker toe te juichen. Ook stimuleert het kabinet de bewustwording en implementatie van Europese cybersecuritycertificeringschema’s voor ICT-producten, -diensten en -processen, zoals clouddiensten, 5G technologie en Common Criteria. Deze certificering stelt consumenten en organisaties in staat om veilige keuzes te maken.
   2. De ontwikkeling van veilige digitale producten wordt via inkoop gestimuleerd
      Binnen Nederland gelden cybersecurity-inkoopeisen voor alle overheidsorganisaties. Deze stevige overheidsinzet via inkoop en aanbestedingen zorgt er ook voor dat de overheid haar rol als marktspeler meer inzet om de ontwikkeling van veilige ICT-producten en -diensten te stimuleren. De tool inkoopeisen cybersecurity overheid (ICO) wordt daarom doorontwikkeld. Ook worden er Algemene Beveiligingseisen voor de Rijksoverheid (ABRO) opgesteld, waar bedrijven die gevoelige en/of gerubriceerde overheidsopdrachten vervullen aan moeten voldoen.
2. 3. Nederland heeft een sterke cybersecuritykennis- en innovatieketen
      Om maatregelen te kunnen nemen tegen digitale dreigingen, moet de ontwikkeling en toepassing van Nederlandse kennis en kunde op het gebied van digitale veiligheid continu worden versterkt. Op dit moment is Nederland een van de weinige landen waar cryptografische producten en diensten worden ontwikkeld en vervaardigd. Dit komt omdat deze zeldzame kennis en expertise in Nederland beschikbaar is. Het is belangrijk om deze expertise te behouden en door te ontwikkelen, zodat Nederland haar gevoelige informatie goed kan beschermen. Om dit te realiseren wordt de Nationale Crypto Strategie geïmplementeerd. Daarnaast faciliteert het publiek-private samenwerkingsplatform dcypher de verbinding tussen overheid, bedrijven en kennisinstellingen.

Benieuwd naar een uitgebreid overzicht van alle acties die bij pijler één en twee horen? Lees dan het gehele ‘Actieplan Nederlandse Cybersecuritystrategie 2022-2028’.