Tekst BKB
Foto Carel de Groot
CSR aan het woord
De Cyber Security Raad (CSR) stelde dit jaar op verzoek van demissionair minister van Justitie en Veiligheid Ferd Grapperhaus het adviesrapport Integrale aanpak cyberweerbaarheid op. Een gedegen advies aan het volgende kabinet om de cyberweerbaarheid van Nederland te versterken. Met twee gedreven leden van de CSR, Tineke Netelenbos (voorzitter ECP) en Hans de Jong (bestuurslid VNO-NCW en covoorzitter CSR) bespreken we het belang van cyberweerbaarheid voor Nederland en nemen we de belangrijkste punten uit het advies door.
Urgentie en belang
De CSR stelt dat ons maatschappelijk en economisch welzijn onder druk staat door gebrekkige aandacht voor digitale veiligheid en digitale autonomie. Kunt u dat uitleggen?
Hans de Jong: Bedrijven en instellingen worden vaak honderden keren per dag aangevallen door cybercriminelen en statelijke actoren. Cyberveiligheid is van levensbelang, voor de Nederlandse samenleving en economie. Bij veel, met name grotere, bedrijven en organisaties staat cybersecurity inmiddels hoog op de agenda en wordt fors geïnvesteerd om de systemen zo veilig mogelijk te houden. Helaas is dit nog niet overal het geval. Er zijn organisaties waar soms de meest basale dreigingen niet gepareerd of gedetecteerd worden. Het CSBN laat zien dat de risico’s alleen maar toenemen en dat de investeringen niet navenant meegroeien. Dat is een grote zorg.
Tineke Netelenbos: Vergeleken met het buitenland zijn we heel zuinig, maar die luxe kunnen we ons niet permitteren. Criminelen en statelijke actoren zitten geen dag stil. Wat vandaag veilig is, is morgen alweer onveilig. Als je onvoldoende investeert, neem je grote risico’s voor de samenleving en de economie.
De Jong: Nederland is een koploper op gebied van digitalisering. Het digitale domein raakt het fysieke domein steeds vaker. Om Nederland welvarend en veilig te houden is een flinke investering nodig. Te meer omdat geldt: hoe meer je vooroploopt, hoe meer je wordt bedreigd.
Netelenbos: We pleiten voor een forse verhoging van dat budget: 833 miljoen extra bovenop wat er nu wordt uitgegeven. Dat bedrag is heel precies uitgerekend en onderbouwd. Ten opzichte van een aantal vergelijkbare landen zijn we relatief bescheiden met deze investering.
De Jong: Deze investering richt zich op verschillende deelgebieden die moeten worden versterkt en is in detail onderbouwd. Investeringen in cybersecurity moeten worden gedaan om enorme gevolgschade te vermijden. De incidenten van de afgelopen maanden waren redelijk te overzien, maar je moet er niet aan denken dat hele industrieën of departementen plat komen te liggen door een cyberaanval. Dat is de negatieve kant van het verhaal, de positieve kant: cyberveiligheid is een key enabler voor het vestigingsklimaat in een land. Als dat op orde is, kunnen bedrijven hier veilig ondernemen, oplossingen voor de wereld bedenken en die exporteren.
Samenwerking en kennisdeling
U pleit in uw advies voor meer publiek-private samenwerking. Waarom is dat zo belangrijk?
De Jong: Samenwerking is noodzakelijk, omdat de kennis en expertise over vele partijen is verspreid, zowel bij overheid als bedrijfsleven als wetenschap, en bovendien zeer en toenemend schaars is. Alleen samen kunnen we dreigingen het hoofd bieden. Door van elkaar te leren, door informatie te delen over bijvoorbeeld kwetsbaarheden en elkaar te helpen tijdens grote cybersecurityincidenten. Politiek en economie raken door het digitale domein steeds meer met elkaar vervlochten. Statelijke actoren proberen via cyber invloed uit te oefenen op de politiek en economie. Dit vraagt om meer aandacht voor de samenwerking tussen publiek en privaat. Je kunt die twee in dit domein niet meer los van elkaar zien.
Netelenbos: Van de terughoudendheid in publiek-private samenwerkingen moeten we echt af. De NCTV en het NCSC hebben een informatiepositie die niet te vergelijken is met die van cybersecuritybedrijven. Terwijl het bedrijfsleven weer goed weet wat de laatste ontwikkelingen zijn in de markt. Het zijn geen concurrenten, ze hebben elkaar nodig. Alleen door samenwerking en informatiedeling kunnen ze elkaar en daarmee de cyberweerbaarheid van Nederland versterken.
De Jong: Nu zie je dat de overheid soms bepaalde dreigingsinformatie heeft, maar die niet mag delen met het bedrijfsleven door de Wet Beveiliging Netwerk- en Informatiesystemen. Dat zorgt voor frustratie bij alle partijen.
Netelenbos: Daarom is er een wetswijziging in de maak die het makkelijker moet maken om informatie uit te wisselen tussen de publieke en private sector. Daar is haast bij, want we hebben elkaars kennis en informatie nodig. Alleen zo kunnen we een systeem bouwen waarin we weerbaarder zijn.
De Jong: Samenwerking en informatiedeling zijn essentieel voor de cyberweerbaarheid van ons land. Daar hebben we iedereen bij nodig: het bedrijfsleven en de overheid maar ook kennisinstellingen. Kennis is het fundament onder ons advies.
Netelenbos: We hebben kennisinstellingen nodig voor het ontwikkelen van nieuwe technologieën. Daar zijn we in Nederland goed in en die positie moeten we behouden. Daarnaast zijn ze van belang voor het opleiden van voldoende gekwalificeerde cyberexperts. Tot slot moeten we werk maken van de digitale geletterdheid van onze jongeren. Voor digitale vaardigheden is nog niet op alle scholen voldoende aandacht. Als jongeren daar meer en beter onderwijs in krijgen, kiezen ze hopelijk ook vaker voor een vervolgopleiding in die richting.
Governance en integraliteit
Cybersecurity moet op het hoogste politieke en ambtelijke niveau worden belegd staat in het advies. Hoe stelt u zich dat voor?
Netelenbos: Zoals het nu gaat, kan het niet doorgaan. Er is teveel versnippering en de kans op fouten wordt steeds groter. Departementen willen cybersecurity zelf regelen. Daardoor zijn er momenteel 19 cybersecuritystrategieën in het overheidsdomein alleen. Dat kan niet, daar is de materie te complex voor. We moeten komen tot één nationale cybersecuritystrategie op basis waarvan we het beschikbare budget verdelen.
De Jong: Het digitale domein is niet alleen complex, maar ook continu aan verandering onderhevig. Je kan niet op een eilandje zitten en het zelf doen, maar moet continu leren, ook van andere actoren. Het is een heel ander soort problematiek dan we tot nu toe gewend zijn en dat vraagt om een ander soort oplossing.
Netelenbos: De CSR pleit voor een ministeriële onderraad. Digitalisering zit in alle beleidsonderwerpen. Daarom moeten we komen tot een structuur waarin je samen een nationale strategie kunt uitvoeren. De CSR ziet dat op korte termijn in de vorm van een ministeriele onderraad. Op lange termijn zouden we toe moeten naar een autoriteit, zoals onze buurlanden hebben. Maar dat vergt nadenken, wetswijzigingen en tijd, terwijl er juist nu iets moet gebeuren. Vandaar deze haalbare tussenstap.
De Jong: Als we de governance niet goed regelen, gaat de versnippering door. Dat leidt tot ineffectiviteit en tot hogere kosten. Het is dus in ieders belang dat ons advies integraal wordt uitgevoerd. Er is geen ruimte voor cherry picking.
De formatietafel en het blauwe boek
Wilt u nog iets kwijt aan de huidige en toekomstige minister van Justitie en Veiligheid?
Netelenbos: Ons advies past perfect binnen de wens in Den Haag tot bestuurlijke vernieuwing. Het is een heel goed voorbeeld van hoe je over de kokers heen kunt kijken en samenwerken in het algemeen belang. Het zou heel mooi zijn als het digitale domein, hét onderwerp van de toekomst, de drijvende motor wordt achter bestuurlijke vernieuwing en laat zien dat het kan.
De Jong: De demissionair minister van Justitie en Veiligheid heeft laten weten dat hij het onderwerp belangrijk vindt. Hij onderschrijft het belang dat dit in het formatieproces een prominente plek krijgt.
Netelenbos: Ik verwacht daarom dat hij het ook opneemt in het blauwe boek. Dat is het overdrachtsdocument voor de nieuwe minister, waarin de voorganger aangeeft wat volgens hem of haar de belangrijkste aandachtspunten voor de komende periode zijn. Cybersecurity en digitale autonomie moeten daar echt prominent in.
De Jong: De volgende minister van Justitie en Veiligheid hoeft zich straks met dit advies in de hand niet af te vragen wat anderen vinden. Vertegenwoordigers uit vele hoeken van de samenleving hebben meegedacht en meegeschreven. Het is zeer breed gedragen.
Netelenbos: Er is nog nooit zo’n breed advies uitgebracht wat het hele spectrum heeft bekeken en zo uitvoerbaar is. Het is hoog tijd om daarmee nu aan de slag te gaan.
CSR Adviesrapport
Cybersecurity en digitale autonomie moeten ‘chefsache’ zijn. Dat stelt de Cyber Security Raad (CSR) in het onlangs verschenen CSR Adviesrapport 'Integrale aanpak cyberweerbaarheid' aan het volgende kabinet. De raad wil dat de onderwerpen op het hoogste politieke en ambtelijke niveau worden belegd, vanuit een integrale visie op cyberweerbaarheid, bij voorkeur op het niveau van de ministerraad. De groeiende digitale afhankelijkheden en het belang van cyberweerbaarheid gaan immers hand in hand. CSR adviseert €833 miljoen voor een integrale aanpak voor cyberweerbaarheid.