De nieuwe Nederlandse cybersecuritystrategie
Voor een digitaal veilig Nederland
Op 10 oktober jl. heeft het kabinet de nieuwe Nederlandse cybersecuritystrategie 2022-2028 gepresenteerd. De strategie moet het beleid voor cybersecurity de komende zes jaar richting geven en bevat een plan met concrete acties om de digitale weerbaarheid van inwoners, bedrijven en overheidsinstellingen te verbeteren.
Een digitaal veilig Nederland
We zijn meer online dan ooit. We werken digitaal, we winkelen digitaal, we volgen onderwijs digitaal en we ontmoeten elkaar steeds vaker digitaal. De snelle digitalisering die dit mogelijk maakt biedt ons veel kansen, maar het brengt ook risico’s met zich mee. Want, doordat we zo digitaal zijn, zijn we er ook heel afhankelijk van geworden. Denk maar aan de gevolgen als bijvoorbeeld door een cyberaanval het internet niet werkt, en hierdoor schappen in winkels niet zijn gevuld of zelfs industriële productie uitvalt. Volgens de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) blijft de dreiging van aanvallende cyberprogramma’s tegen Nederland en de Nederlandse belangen nog altijd hoog en neemt deze in de toekomst alleen maar toe.
Kortom, investeren in cybersecurity is investeren in de toekomst. De Nederlandse cybersecuritystrategie 2022-2028 vormt de basis voor deze toekomst, waarin de scheefgroei tussen digitale dreiging en digitale weerbaarheid zo klein mogelijk is en blijft en waarbij één individu of één organisatie niet langer de zwakste schakel kan zijn. De strategie maakt duidelijk hoe het kabinet de digitale weerbaarheid van inwoners, bedrijven en overheidsinstellingen tussen nu en 2028 aanpakt en bevat een actieplan met concrete acties om Nederland digitaal veiliger te maken.
Digitale weerbaarheid
Digitale weerbaarheid is het vermogen om (belangrijke) risico’s tot een redelijk niveau te verminderen door middel van een verzameling van maatregelen om cyberincidenten te voorkomen. Digitaal weerbaar houdt ook in dat wanneer zich een cyberincident heeft voorgedaan, deze snel ontdekt wordt waardoor we de schade beperken en herstel eenvoudiger is. Wat een redelijk niveau van weerbaarheid is, volgt uit een risico-afweging. Die kan helpen om de juiste passende technische, procedurele of organisatorische maatregelen te kiezen. Kortom, een organisatie die digitaal weerbaar is, weet wat ze tijdens en na een incident moet doen.
Het vertrekpunt: CSBN
En de vier pijlers onder de strategie
Het vertrekpunt voor de strategie is het Cybersecuritybeeld Nederland 2022 van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) geweest, dat in samenwerking met het Nationaal Cybersecurity Centrum (NCSC) is opgesteld. Hieruit blijkt dat ondanks onze inspanningen om de weerbaarheid te verhogen, er sprake is van scheefgroei met de toenemende dreiging. Die scheefgroei vergroot het risico op ontwrichting van onze samenleving. Het raken van vitale processen, zoals de elektriciteits- of drinkwatervoorziening of het betalingsverkeer, kan onze samenleving kort of langdurig tot stilstand brengen.
Om als maatschappij ongestoord te kunnen functioneren is weerbaarheid van de samenleving tegen digitale dreiging daarom cruciaal. Die weerbaarheid is alleen nog niet overal op orde. Dit komt doordat basismaatregelen, zoals het maken van goede back-ups, het installeren van software updates en het toepassen van multifactorauthenticatie, niet voldoende worden doorgevoerd. De veiligheid in de digitale wereld blijft in dat opzicht nog ver achter bij die in de fysieke wereld. Als je bijvoorbeeld een auto koopt, dan weet je dat die aan allerlei veiligheids- en kwaliteitseisen moet voldoen. Ook weet de koper precies wat van hem of haar verwacht wordt om die auto veilig te kunnen en mogen besturen; denk aan een rijbewijs, geen alcohol, jaarlijkse APK-keuringen et cetera. Dat moet ook gebruikelijk worden voor de digitale veiligheid.
Vier pijlers
Het doel en de visie van de cybersecuritystrategie is een digitaal veilig Nederland te hebben, waarin iedereen maximaal kan profiteren van deelname aan de digitale samenleving. Om deze visie te realiseren zijn doelen en acties geformuleerd op basis van vier pijlers.
- Het kabinet wil de digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties verhogen en bij ontdekte cyberincidenten de schade zoveel mogelijk beperken.
- Het kabinet wil toewerken naar een veilige en innovatieve digitale economie. Digitale producten en diensten moeten veiliger zijn en de cybersecuritykennis- en innovatieketen moet versterkt worden.
- Het kabinet wil het zicht op digitale dreigingen van staten en criminelen vergroten om op basis hiervan te handelen.
- Het kabinet wil meer inzetten op cybersecurityspecialisten en goed onderwijs om de digitale veiligheid en digitale weerbaarheid van burgers te bevorderen.
Elke pijler beschrijft de doelen en initiatieven die het kabinet neemt om de doelen te bereiken. In mijn volgende blog zal ik hier dieper op ingaan.
Eén nationale cyberautoriteit
Om de doelen te bereiken wordt het stelsel rondom digitale veiligheid versterkt.
- Zo komt er één centrale cyberautoriteit in Nederland: het nationale Cyber Security Incident Response Team (CSIRT). Dit is een samenvoeging van het NCSC, Digital Trust Center (DTC) en Cyber Security Incident Response Team for Digital Service Providers (SCIRT-DSP). Deze nieuwe organisatie moet in samenwerking met publieke en private partners, vitale en niet-vitale organisaties, overheden en burgers voorzien van informatie over (dreigende) cyberincidenten.
- Daarnaast komt er voor de gehele overheid stevige wet- en regelgeving die helder en toetsbaar is, waardoor vrijblijvendheid voor het treffen van maatregelen verleden tijd wordt. Ook wordt er toezicht op naleving op deze regels ingericht.
- De Europese Commissie heeft een wetsvoorstel gepresenteerd voor een wet inzake cyberweerbaarheid, de Cyber Resilience Act (CRA), waarin eisen voor veilige hard- en software in Europees verband worden gesteld. Afnemers en consumenten moeten er gedurende de vastgestelde levenscyclus van alle digitale producten en diensten op kunnen vertrouwen dat deze goed beveiligd zijn én blijven.
- Ook moet er meer zicht komen op de dreigingen, want alleen dan kunnen we de weerbaarheid verhogen. Actuele kennis en informatie over cyberdreigingen, -incidenten, -trends en -kwetsbaarheden moeten daarom zo snel mogelijk beschikbaar zijn voor partners in het Landelijk Dekkend Stelsel (LDS) zodat zij hunnen handelen.
Uitvoering
De cybersecuritystrategie wordt vanaf volgend jaar (2023) uitgevoerd. Voor de implementatie van de strategie werken alle ministeries samen, ook met publieke en private partners. Uiteraard is er geld nodig voor de uitvoering. In het regeerakkoord heeft het kabinet dan ook veel geld vrijgemaakt voor cybersecurity. Het budget zal tijdens de looptijd van de strategie zelfs vervijfvoudigen. Van 22 miljoen in 2022 naar 111 miljoen per jaar in 2027 en daarna.
Daarnaast is de strategie het vertrekpunt van de Onderzoeksagenda 2023-2026 van het NCSC. Deze onderzoeksagenda geeft uitvoering aan de ambitie en wensen van het NCSC en in het bijzonder het onderzoeksteam. Daarmee geeft het NCSC invulling aan de nieuwe Nederlandse cybersecuritystrategie.
Tot slot, is één van de grootste uitdagingen bij de uitvoering van de strategie, de behoefte aan meer cybersecurityspecialisten. Niet alleen de overheid zelf heeft veel meer specialisten nodig, ook de leveranciers die aan nieuwe hogere eisen moeten voldoen hebben meer medewerkers nodig op dit vlak. En er is op dit moment al een groot tekort. In de actieagenda wordt de Human Capital Agenda ICT van het ministerie van Economische Zaken en Klimaat aangewezen als dé plek om hieraan te werken.
In mijn volgende blog ga ik verder in op pijler één en twee en de bijhorende doelen en acties alsook wat experts zeggen over de nieuwe strategie. Benieuwd? Houd dan de website in de gaten.
