Bij de nieuwe cybersecurity-strategie die het kabinet voor de komende zes jaar heeft vastgesteld, is het bedrijfsleven veel sterker betrokken dan bij de drie voorgaande edities van dit belangrijke beleidsstuk. Ook de wetenschap en maatschappelijke organisaties hebben hun invloed kunnen doen gelden. Waar voorheen ambtenaren vanuit een ivoren toren hun licht over dit onderwerp lieten schijnen, konden nu ook mensen uit de praktijk de strategienota mede vorm geven.
Het resultaat is een meer concrete aanpak vol acties en duidelijk meer ambitie. Ook bij de implementatie van de strategie zal de private sector meer worden betrokken.
Minister Dilan Yeşilgöz-Zegerius (Justitie en Veiligheid), tevens coördinerend bewindspersoon bij de cybersecurity, onderstreept in de strategienota dat digitale veiligheid een gezamenlijke verantwoordelijkheid is van alle partijen in het cyberveld. Doelgerichte publiek-private samenwerking acht zij daarbij essentieel.
Michiel Steltman, directeur Stichting DINL (Digitale Infrastructuur Nederland), stelt in een reactie op de nieuwe Nederlandse cybersecurity-strategie dat de overheid weliswaar zijn verantwoordelijkheid neemt maar ook veel samen met de private sector wil gaan doen. Het motto is nu: publiek-privaat waar het kan. En publiek waar het moet. Steltman: ‘Dat is voor een deel ook uit nood geboren want de overheid staat werkelijk voor een immense taak. Er moeten wel honderd dingen gebeuren.’
Concrete acties
Het kabinet heeft veel meer dan in het verleden een duidelijke visie ontwikkeld op de digitale samenleving en de rol van overheid, bedrijven en burgers daarin. Steltman is ook blij dat het actieplan niet bij woorden blijft maar ook heel concrete acties bevat voor een digitaal veilige samenleving.
Om de visie te realiseren zijn doelen geformuleerd langs vier pijlers. Ten eerste het verhogen van de digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties. Verder het bieden van veilige en innovatieve digitale producten en diensten. Ten derde het tegengaan van digitale dreigingen van staten en criminelen. En tot slot onderwijs over digitale veiligheid, digitale weerbaarheid van burgers en voldoende cybersecurity-specialisten.
Dat laatste komt overigens matig uit de verf. Het kabinet beseft dat veel extra’s moet worden gedaan om het enorme tekort op dit gebied, en op digitale technologie in de breedte, te verminderen. Maar volgens Steltman wringt hier de afstemming tussen ministeries. Van Onderwijs, Cultuur en Wetenschap (OCW) komt weinig. Binnenlandse Zaken wil wel, maar zet nog niet voldoende door. Staatssecretaris Van Huffelen (Digitalisering) mag haar stem op dit punt wel eens luider laten klinken, vindt Steltman, want het succes van alle digitale agenda’s hangt mede af van het oplossen van die tekorten.
Slachtoffer-notificatie
Steltman roemt de plannen voor slachtoffer-notificatie. Bedrijven en burgers die doelwit dreigen te worden of slachtoffer zijn van digitale incidenten, kunnen straks ongevraagd worden geïnformeerd. Tot nog toe gebeurde dit niet. Samen met het bedrijfsleven wordt ook gewerkt aan een platform voor wederkerige cybersecurity informatie- en kennisdeling.
Het kabinet zet ook meer in op certificeringen en standaarden. Daarbij wordt niet zozeer naar één individueel bedrijf gekeken maar naar de hele keten van softwareleveranciers. Ook bij deze certificeringsschema’s worden private partijen nauw betrokken.
De inkoopstrategie van de overheid wordt aangescherpt. Bij elke overheidsopdracht worden eisen gesteld aan de cybersecurity.
Kritiek
Bekend was al dat er één nationale cybersecurity autoriteit komt rond het NCSC. Hier komt meer geld voor, maar lang niet zoveel als de Cyber Security Raad had gewenst. Steltman ziet daar toch ook voordelen van. ‘We tellen onze knopen. Te veel geld kan verlammend werken. Dit dwingt tot pragmatisch denken en intensief samenwerken, waarbij de goede dingen sneller komen bovendrijven.’
Tot slot heeft Steltman nog een punt van kritiek. Tot zijn spijt ontbreekt in de nieuwe strategie het benoemen van encryptie als hoeksteen van veiligheid en weerbaarheid in de breedte. Kennelijk wil het ministerie van Justitie en Veiligheid toch de deur op een kier houden voor ingrepen in encryptie voor meeluisteren bij de handhaving en opsporing.
