Vanuit het nationale veiligheidsperspectief bekeken schort er in Nederland nog veel aan de uitoefening van bestuursmacht en beleid. De ‘cybersecurity governance’ rammelt aan alle kanten. Het poldermodel waarbij de besluitvorming is gebaseerd op consensus, werkt in de praktijk gebrekkig. Tal van organisaties zijn op veiligheidsgebied actief, zonder dat hun rollen en verantwoordelijkheden vastliggen. Middelen en inspanningen voor crisisbeheer zijn slecht op elkaar afgestemd. Het beleid is onvoldoende ‘agile’ en erg reactief. Deze harde kritiek komt van de Belgisch-Engelse denktank Rand Europe.
Rand, een organisatie voor beleidsonderzoek, is aangetrokken door het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) om de Nederlandse aanpak van cybersecurity te wegen. Hoofdconclusie van het rapport Cybersecurity a state of the art review: phase 2 is dat er nog veel werk aan de winkel is. De Nederlandse aanpak waarbij het bestuur is uitgesmeerd over een grootenorm aantal organisaties en iedereen wel wat te zeggen heeft, leidt tot een enorme versnippering en onduidelijkheid. Het ontbreekt de digitale samenleving daardoor aan veerkracht. Ook de pro-activiteit lijdt daaronder.
Om de bedreigingen op gebied van cybersecurity goed het hoofd te kunnen bieden moeten informatie en kennis worden gedeeld. Zowel binnen de nationale overheid als betrokken organisaties liggen hier nogal wat uitdagingen.
Ook bij de regelgeving is de samenhang ver te zoeken. Soms is er een gebrek aan regels maar vaak ook overlappen regels en standaarden elkaar. Dit maakt het er allemaal niet eenvoudiger op. Ook komt het voor dat de vereisten met elkaar in tegenspraak zijn. Rand pleit voor meer proactieve en minimaal afdwingbare normen voor cybersecurity. Dat zou al veel helpen.
Discutabel onderscheid
Een behoorlijke uitdaging is ook het onderscheid tussen vitale en niet-essentiële infrastructuur. Deze splitsing speelt een sleutelrol in de Nederlandse aanpak van besturen. Voor vitale operators gelden extra wetten en regels. Ze kennen meer verplichtingen tot rapportage van incidenten. En wat heel belangrijk is: het Nationaal Cyber Security Centrum (NCSC) deelt informatie over lekken, hacks en andere bedreigingen alleen met deze organisaties die vitaal zijn voor de BV Nederland.
Dit betekent volgens de onderzoekers dat bedrijven die niet op die lijst staan, belangrijke waarschuwingen missen. En dat terwijl betrokken organisaties wel degelijk van belang kunnen zijn voor de veerkracht van de maatschappij of nationale veiligheid.
Het wordt daarom hoog tijd dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) het onderscheid tussen de vitale en de niet-kritische infrastructuur verder onder de loep gaat nemen. Een grondige studie is op zijn plaats. Met name moet worden gekeken naar onderlinge afhankelijkheden tussen en binnen sectoren. De hele bevoorradingsketen rond de kritische infrastructuur verdient meer aandacht. Ook moet de NCTV snel kijken hoe te komen tot een meer proactieve benadering.
Taxonomie ontbreekt
Verder constateert Rand dat er helemaal geen cybersecurity-standaard bestaat die voor de hele overheid geldt en wettelijk afdwingbaar is. Elke overheidsinstelling heeft zijn eigen arrangementen. Bovendien werkt de NCSC in de eerste plaats als een adviesorgaan. Dit maakt het lastig om te controleren of de verschillende diensten en bedrijven wel voldoende veilig te werk gaan.
Rand onderzocht ook welke vaardigheden nodig zijn voor de nationale veiligheid. Probleem is dat er in Nederland geen uniforme en breed aanvaarde taxonomie bestaat voor vaardigheden of beroepen op gebied van cybersecurity. Dat maakt het moeilijk om het kennisniveau en de capaciteiten van betrokken werknemers te beoordelen, laat staan dat aanbevelingen zijn te geven voor verbeteringen. Ook de werving en het binden van cybersecurity-professionals zijn een probleem. Minister Grapperhaus (Justitie en Veiligheid) komt in januari 2021 met een beleidsreactie op het rapport.