Interview | Bart Groothuis, Europarlementariër (VVD)
Minder nieuwe wetgeving vanuit Europa die de digitale sector raakt. En versimpeling van bestaande wetgeving. De laatste jaren zijn er zoveel verordeningen en regels bij gekomen dat het nu tijd is voor een pas op de plaats. Met deze thema’s gaat Bart Groothuis, actief in het Europees Parlement voor de VVD, als tweede kandidaat van de liberalen de komende Europese verkiezingen in. Een gesprek over cybersecurity, NIS2, internetgovernance, defensie en geopolitiek.
Veel van de thema’s waar Groothuis politiek nauw bij betrokken is, gaan over de digitale veiligheid. Maar hij zet zich ook in voor de financiering van tech-startups, het scheppen van een beter klimaat voor Europese it-bedrijven, meer digitale soevereiniteit en een toekomstgericht industriebeleid; allemaal onderwerpen die it-sector direct aangaan.
Dat geldt zeker voor de ‘digitale’ wet- en regelgeving die vanuit Brussel op Nederland en België neerdaalt. De it-ondernemers en hun zakelijke klanten hebben nogal wat op hun bord gekregen. Groothuis beseft dat het veel tijd, geld en moeite kost om aan al die nieuwe bepalingen te voldoen. Daarom wil hij (‘We hebben alle wetten wel zo’n beetje’) het aantal voorstellen tot nieuwe verordeningen minimaliseren. Behalve een ‘stop’ wil de Twentse politicus ook vereenvoudigingen doorvoeren. Ook versoepelingen kunnen gewenst zijn. Bovendien vallen in de digitale wetgeving nog veel belangrijke details te verbeteren.
Renew
De VVD’er behoort tot de politieke groep Europarlementariërs (Renew) die in de onderhandelingen met het oog op de herverkiezing van Ursula Von der Leyen als president van de Europese Commissie daar sterk op aandringt. Aan Europa’s machtigste vrouw zijn toezeggingen gevraagd. ‘En Von der Leyen heeft daar wel oren naar.’ Groothuis heeft zich als Europarlementariër de afgelopen vier jaar het meest onderscheiden in zijn rol van rapporteur voor NIS2. Deze verordening stelt hogere eisen aan de cybersecurity van de grotere gebruikers van digitale technieken.
Tot zijn verontwaardiging heeft juist de Nederlandse regering gemeend de uitvoering van deze EU-wetgeving te moeten uitstellen. Er moet namelijk nog worden gepolderd. De Haagse ambtenaren vinden de wetgeving ingewikkeld en het omzetten in nationale wetgeving valt hen zwaar. Bovendien is niet duidelijk wie welke rol bij de handhaving gaat spelen. Groothuis verbaast zich erover dat uitgerekend een richtlijn die de digitale weerbaarheid van de EU moet verbeteren, niet meer voortvarend wordt uitgevoerd. De Oekraïne-oorlog en cyberdreigingen vanuit Rusland, China en Iran geven daar alle reden toe.
Quantum
Er zijn meer zaken op gebied van cybersecurity die spoed vereisen. Hoewel de komst van voldoende krachtige quantumcomputers nog enige tijd op zich zal laten wachten, is het zaak daar op te anticiperen. De quantumtechniek maakt het namelijk straks mogelijk slecht versleutelde communicatie te ontsluiten. De gewone ‘standaard-encryptie’ zal ontoereikend blijken. Post-quantumversleuteling kan toekomstig onheil voorkomen. Communicatie valt zo te versleutelen dat die straks niet is te kraken. Elke kritieke entiteit als aanbieder van essentiële diensten in sectoren als energie, transport, gezondheid, drinkwater, afvalwater en ruimte zou daar alvast toe moeten overgaan. Ook bepaalde centrale overheden moeten het niveau van hun versleuteling opvoeren zodat ze straks ‘quantum proof‘ zijn.
Groothuis was voor zijn werk als Europarlementariër zeven jaar lang cybersecuritytopman bij het ministerie van Defensie. De geopolitiek en de dreiging vanuit China en Rusland hebben dan ook zijn warme belangstelling. Hij verbaast zich erover dat nog zoveel bedrijven antivirussoftware van Kaspersky gebruiken. In België en Luxemburg heeft het Russische bedrijf nog altijd een fors marktaandeel. Oprichter Eugene Kaspersky volgde een opleiding in computertechniek aan een academie van de KGB om vervolgens als cryptograaf voor de Russische geheime dienst aan de slag te gaan. Groothuis vindt het onverstandig dat bedrijven uitgerekend de meest intrusieve software die er bestaat, uit Rusland betrekken. ‘Want makers van antivirussoftware zien alles en zijn in staat om vitale processen te blokkeren. In een oorlogssituatie kan dat snel en ongemerkt gebeuren.’ Hij noemt het dan ook een illusie om te denken dat Kaspersky los van de Russische staat kan opereren. ‘Wie dat denkt, leeft in lala-wonderland. Heb je een kapperszaak, dan is het risico om met hun software door te gaan allicht gering. Maar het is anders als je bedrijf vitale informatie verwerkt.’
Hetzelfde geldt voor Huawei. Die onderneming doet er alles aan om zich in de vitale infrastructuur te nestelen. Ook op veel andere gebieden zoals cybersecurity, cloud en ai is deze Chinese grootmacht actief. Of Huawei nu wel of geen staatsbedrijf is, acht Groothuis weinig relevant. ‘De Chinese staat kent sinds 2017 wetgeving die elk bedrijf verplicht om informatie af te staan of mee te werken aan spionageprogramma’s wanneer daar om wordt gevraagd.’ En volgens Groothuis is China begonnen met de meest meedogenloze campagne om in de kern van digitale infrastructuren door te dringen en vitale informatie te stelen. Hij maakt zich grote zorgen over de voorbereidingen die China treft om onze digitale en fysieke infrastructuur te saboteren. De Britse geheime dienst gaf daar onlangs inzicht in.
President Xi Jinping bereidt zijn land voor op oorlog, stelt Groothuis. ‘De hefboom die China heeft op onze digitale infrastructuur, is al groot. En dat kan tegen ons worden gebruikt. We moeten ook niet denken dat China, Rusland en Iran verschillende problemen zijn die los van elkaar staan. Recente Amerikaanse intelligence toont aan dat deze drie landen elkaars hand vasthouden en een blok tegen het vrije westen vormen.’ Het enige dat Xi Ping kan afschrikken, is voldoende afschrikking. ‘Als de militaire en economische gevolgen en de kosten te hoog zijn, schaadt dat China. Het is zaak om de Chinese leider duidelijk te maken wat de kostenkant van een oorlog is. Groothuis is er zeker van dat Poetin Oekraïne niet was binnengevallen als hij van tevoren de kosten juist had ingeschat.’
Hangijzer
Een heet hangijzer is de ‘internet governance’. 2024 is het jaar waarin belangrijke beslissingen vallen over regels, beleid, standaarden en praktijken die de wereldwijde cyberspace vormen. ‘China, Rusland en Iran sturen aan op standaarden die de ip-protocollen opnieuw definiëren en meer mogelijkheden bieden om invloed op content uit te oefenen. China stelt al enkele jaren ‘new ip’ voor, een protocol dat de vrijheid beperkt die nu op internet geldt. Zo wordt het daarbij mogelijk om invloed uit te oefenen op de snelheid waarmee pakketjes worden afgeleverd wanneer de inhoud de staat niet bevalt. Daarmee verdwijnt de netwerkneutraliteit en wordt censuur geïntroduceerd.’
Het via internationale gremia naar de hand zetten van standaarden is een spel dat China goed weet te spelen. Maar Groothuis weet met zijn kennis van ‘Brussel en Straatsburg’ hoe vanuit de EU tegenwicht is te bieden. Hij verzet zich hevig tegen de greep die China, Rusland en Iran op de internetstandaarden willen krijgen. Door zijn toedoen heeft de Europese Commissie zes personen aangesteld die de discussies op gebied van internetgovernance in Westers voordeel willen ombuigen.
Veel Nederlanders beseffen volgens hem onvoldoende hoe groot het gevaar is dat door dictators geleide landen onze vrijheid en welvaart bedreigen. Via hackersgroepen als APT-31 is China begonnen op een agressieve manier de democratische rechtsstaat te ondergraven, legt Groothuis uit. Er zijn vele tientallen van dat soort groeperingen. De Chinese staats-hackersgroep Volt Typhoon heeft al een reeks cyberaanvallen uitgevoerd die gericht waren op kritieke Amerikaanse infrastructuur in Hawaii, waar de Amerikaanse vloot zit. Doel is op het moment van een aanval deze plat te leggen. ‘Europarlementariërs die kritiek op China uitten, zijn gehackt, alsmede hun familieleden. Zover gaat China al.’ Groothuis wil niet zeggen of hij tot die groep behoort.
Paniek
De VVD’er wil ook geen paniek zaaien. Wel ziet hij tal van voorbeelden dat Den Haag totaal niet is voorbereid op de huidige oorlogsdreiging. De rijksoverheid voert wat hij noemt een vredesbedrijfsvoering. Waar snel wetten en regels implementatie moeten krijgen die ons beter beschermen, wordt gekozen voor polderen en uitstel. En de nieuwe wereldorde biedt ook kansen om in sectoren waar China nu dominant is, weer Europese industrie op te gaan richten.
De geschiedenis dreigt zich te herhalen, vreest historicus Groothuis. Onlangs las hij het boek ‘Rampjaar 1672’, een studie van Luc Panhuyzen. Dat jaar werd de Republiek der Zeven Verenigde Nederlanden aangevallen door Engeland, Frankrijk en de bisdommen Münster en Keulen. Nederland was totaal niet voorbereid. Het leger werd door de Fransen overlopen, waarna wanhoop en chaos Nederland ten deel vielen. Groothuis huivert bij de gedachte dat de sfeer in Nederland momenteel veel gelijkenis vertoont met die in 1672. ‘Laat dit niet opnieuw gebeuren.’
dringend minder wetgeving nodig, want “We hebben alle wetten wel zo’n beetje”.
Alleen nog vereenvoudigingen en versoepelingen.
Zou dat inhouden dat daarvoor was ingezet op ingewikkelder en lastiger ?
Toch zijn er wat dingetjes die aandacht vragen : oorlog, cyberdreiging, Rusland, China, Iran, quantum encryptie, met name kritieke services, vitale bedrijven.
Niet helemaal duidelijk hoe je dat zonder nieuwe wetgeving voor elkaar krijgt.
Filosofisch (het nieuwe thema in de reacties 🙂 is het business model mbt oorlog interessant.
“Groothuis is er zeker van dat Poetin Oekraïne niet was binnengevallen als hij van tevoren de kosten juist had ingeschat.’”
Het is dan ook nuttig je aanvalsdrift even door het CBS te laten doorberekenen.
Brave new IP, of toch maar Will Smith om onze waarden te beschermen.
In I,robot nog de held, maar op het podium gaf die Chris Rock ervan langs.
Tja, moet je nou de wereld of je vrouw beschermen ?
En waartegen dan precies ? en voor welke buhne.
Misschien weet AI het.
“Het is cruciaal dat organisaties zich bewust worden van de groeiende dreiging van digitale sabotage en spionage, zoals benadrukt door Groothuis. Om onszelf effectief te beschermen tegen dergelijke bedreigingen mag de bewustwording binnen bedrijven nog wel verder omhoog. Iedereen moet zich realiseren dat er daadwerkelijk partijen zijn die actief proberen door te dringen in digitale infrastructuren en vitale informatie te stelen. Dit bewustzijn moet binnen alle lagen van de organisatie aanwezig zijn.
Om vervolgens effectieve beveiligingsmaatregelen te nemen moet je eerst je meest waardevolle digitale bezittingen in kaart brengen. Waar bevindt zich de data en applicaties die het meest cruciaal zijn voor de continuïteit en het succes van je organisatie? Het installeren van een firewall alleen is daarbij niet genoeg; goede beveiliging moet door alle lagen van je bedrijf heen worden gerealiseerd. Toegangscontrole is daarbij essentieel: wie heeft waar toegang toe, en hoe wordt deze autorisatie beheerd en beschermd? Vergeet ook je beveiligingsproducten, niet te onderhouden en te monitoren. Als signalen van beveiligingssystemen genegeerd worden, zijn deze systemen namelijk alsnog waardeloos. Heb je hier binnen je organisatie geen capaciteit voor? Huur dan partijen in die dit voor je kunnen doen, richt je structuur dus zodanig in dat er daadwerkelijk op beveiligingssignalen gereageerd wordt. Zo kun je al een hoop problemen voorkomen.
Groothuis heeft verder absoluut een punt als het gaat om de versimpeling van wet- en regelgeving. Ik kan zo vijf of zes verschillende wetten noemen waaraan onze klanten allemaal moeten voldoen. Daarom pleit ik voor een sector-specifiek framework, waarop je kunt inloggen om precies te zien aan welke regelgeving jouw sector moet voldoen. Zo’n portaal kan organisaties helpen zelf al een audit uit te voeren en een beter beeld te krijgen van hoe ze wet- en regelgeving voor hun sector moet interpreteren. Zo worden interpretatieproblemen waarschijnlijk al aanzienlijk verminderd. Laten we daarbij eens starten met de NIS-richtlijn. De NIS geldt weliswaar niet voor iedere organisatie, maar is wel een goede richtlijn voor iedere organisatie die security serieus wil nemen en daarnaar wil (of moet) handelen. Een handige regelgeving dus om je organisatie eens langs de meetlat te leggen.”