De overheid kan wel beleid maken om de cybersecurity te vergroten maar het kabinet vergeet daarbij dat de arbeidsmarkt om veel cybersecurityexperts vraagt. Beperkt is het budget voor het vergroten van deze expertise op de arbeidsmarkt. Dat blijkt uit het rapport ‘Evaluatiekader en nulmeting Nederlandse Cybersecurity Strategie (NLCS), dat vandaag aan de Tweede Kamer is aangeboden.
In opdracht van het Wetenschappelijk Onderzoek- en Datacentrum (WODC) zocht Dialogic uit hoe het staat met de activiteiten op dit gebied. Voortvarend is gestart met de uitvoering van de nieuwe strategie, die loopt van 2022 tot 2028. Maar het valt de onderzoekers op dat het tekort aan cybersecuritypersoneel dezelfde prioriteit heeft als andere tekorten, zoals in de zorg of andere technische beroepen. Concrete keuzes zijn nodig om dit aan te pakken. Lopende arbeidsmarktonderzoeken kunnen beleidsmakers helpen om gericht het aanbod van cybersecurityexpertise te monitoren en te zorgen voor voldoende opleiding van de benodigde mankracht.
In deze fase van uitvoering is het ook gewenst om de focus te leggen op het mogelijk maken van vervolgacties. Bijvoorbeeld de doorontwikkeling van wettelijke kaders, zoals de wijziging van de Wet beveiliging netwerk- en informatiesystemen (Wbni) en het wetsvoorstel bevordering digitale weerbaarheid bedrijven. Het vaststellen van deze wettelijke kaders is essentieel om samenhangende activiteiten, zoals toezicht, niet te vertragen.
Ingewikkeld is het meten van de bijdrage van de nieuwe strategie aan het verbeteren van de cyberweerbaarheid zoals staatssecretaris Alexandra van Huffelen (Digitalisering) wil. Digitale weerbaarheid moet altijd beschouwd worden in relatie tot digitale dreigingen. Aangezien de bronnen van digitale dreiging (virussen, ransomware-aanvallen, phishing) continu veranderen, dienen ook de effectmetingen van een strategie om digitale weerbaarheid te vergroten aangepast te worden aan de bron van digitale dreiging.
Gebrekkig
Een knelpunt is het gebrekkige zicht op de uitvoering en de effectiviteit van de activiteiten van de inlichtingen- en veiligheidsdiensten AIVD en MIVD. Deze vertrouwelijke activiteiten vormen een essentieel onderdeel van de Nederlandse Cybersecurity Strategie. Ze leggen daarnaast ook beslag op veel middelen. Voor de implementatie, voortgang en bijsturing van het actieplan is het echter van groot belang dat er binnen de Rijksoverheid wel zicht en controle is op deze activiteiten om intern discussies te voeren over de relatieve effectiviteit van deze beleidsinzet.
