Vijf miljoen euro voor Defensie, 5,5 miljoen voor Justitie en Veiligheid, 3,1 miljoen voor Financiën, 2,1 miljoen voor Infrastructuur en Waterstaat, nog eens 51,5 miljoen tot 2026 voor datzelfde ministerie, en een jaarlijkse budgetverhoging tot ruim 41 miljoen voor het NCSC in 2026. De miljoenen voor informatiehuishouding en digitale veiligheid vlogen ons op Prinsjesdag om de oren. De vraag is of er voldoende blijk van een daadwerkelijke strategie en visie doorklinkt.
De regering neemt it, de informatiehuishouding en digitale veiligheid van Nederland serieus. Meer, het onderwerp wordt in één adem genoemd met de grote thema’s in economie en nationale veiligheid.
Nog een positief teken is dat actief de samenwerking wordt gezocht tussen ministeries en departementen, en dat er wordt ingezet op meer samenwerking met de private sector. Maar een visie hoe dit tijdig is in te richten en een duidelijke achterliggende strategie ontbreken. Justitie richt zich op repressie van criminaliteit, EZK kijkt vooral naar kansen voor de economie en Binnenlandse Zaken richt zich op de digitale weerbaarheid van de burger.
Dit is tekenend voor de gebrekkige communicatie rond strategie die we momenteel observeren bij de overheid. Hoewel er meer geld naar de juiste instanties gaat, ontbreekt een duidelijke visie én merken we dat er onvoldoende besef is van de omvang van de problematiek.
Tech savvy
Nederland staat voor een gigantische uitdaging. We zijn een sterk gedigitaliseerd land en over het algemeen vrij tech savvy. Toch is er nog een flinke inhaalslag te maken om onze digitale veiligheid op peil te krijgen. We lopen immers achter de feiten van het dreigingslandschap aan.
Kenmerkend voor deze uitdaging is de aankomende Europese NIS2-richtlijn (Richtlijn voor Netwerk- en Informatiebeveiliging). Deze richtlijn breidt het toepassingsgebied uit van duizenden naar honderdduizenden bedrijven in Europa, voor wie allemaal de informatievoorziening en handhaving moet worden ingericht – an sich al een immense opgave. Daar bovenop komen aangescherpte beveiligingseisen en bepalingen voor incidentenmeldingen en gegevensuitwisseling.
Over achttien maanden na definitieve vaststelling (naar verwachting eind dit jaar) moet de richtlijn uitvoerbaar zijn geïmplementeerd. Het is sterk de vraag of instanties zoals de AP en de NCSC hier klaar voor zijn. Als de AP in actie komt, is er al sprake van een incident, dus dan is het al te laat. En wat de NCSC betreft: die staat aan de start van een integratietraject met het DTC en het CSIRT-DSP van maar liefst vier jaar. En dat terwijl het dreigingslandschap met de dag verergert.
De overheidsbegroting voor 2023 een stap in de goede richting. Maar we moeten ons als maatschappij en securitysector niet in slaap laten wiegen door het toenemende beschikbare budget. Als specialisten in het securityveld worden we dagelijks geconfronteerd met de omvang van het dreigingslandschap en achterstanden in de weerbaarheid van organisaties en burgers. Maar de overheid toont behalve budgettering onvoldoende blijk van het besef van de problematiek: publicatie van langverwachte strategiestukken wordt uitgesteld en organisatorische herinrichting duurt te lang, terwijl de lat ontzettend hoog ligt en snel bereikt moet worden. Dit alles maakt ons ongerust.
Pot geld
Strategie, visie en intensieve samenwerking zijn minstens zo belangrijk als een pot geld en daar wachten we nu al veel te lang op. Waar we nu om vragen is dan ook dat de centrale overheid visie toont en de regie neemt om niet in de komende jaren, maar nu werk maakt van de digitale veiligheid van Nederland. We vragen óók dat de overheid daarbij zo snel mogelijk de samenwerking met de private sector intensiveert om gebruik te maken van alle kennis, ervaring en inzichten die we al jarenlang vergaren en uitwisselen. Want alleen met een duidelijke visie, sterke regie én intensieve samenwerking maken we als maatschappij een kans in het digitale dreigingslandschap van nu.
(Met dank aan coauteur Olaf van Haperen, partner bij Eversheds Sutherland.)