Ict-aanbieders en digitale dienstverleners weten niet welke verplichte maatregelen ze moeten nemen om cyberincidenten te voorkomen. Ook is voor veel organisaties niet duidelijk wat hun rol en verantwoordelijkheid zijn bij een nationale cyberramp. Bovendien is er een groot verschil in de mate waarin bedrijven zijn voorbereid op een digitale noodsituatie en loopt het kennisniveau van digitale weerbaarheid sterk uiteen.
Dat blijkt uit een evaluatie van instituut voor veiligheids- en crisismanagement COT. Het orgaan evalueerde een grote nationale cyberoefening, Isidoor IV, die in november van 2023 plaatsvond en waaraan 120 organisaties en meer dan drieduizend individuele deelnemers deelnamen. In de rapportage doet COT zeven aanbevelingen om een volgende oefening te verbeteren en de cyberveiligheid van deelnemers te verhogen.
- Oefen en maak afspraken
Uit de evaluatie blijkt dat het kennisniveau van de deelnemende partijen ‘te ver’ uit elkaar ligt. Ook moeten er per sector afspraken komen op het gebied van informatiedeling, communicatie en samenwerking die, voordat de nationale oefening plaatsvindt, al een keer zijn doorgenomen. Om het niveau van de deelnemers aan de nationale cyberoefening meer op één lijn te krijgen, adviseert COT om deelnemers alleen mee te laten doen als ze een interne crisisorganisatie hebben en daar al een keer mee geoefend hebben.
- Investeer in technische en inhoudelijke informatiestromen per sector
Sectoren moeten meer investeren in informatiedeling en zowel cybergerelateerde informatie (technisch/inhoudelijk) als informatie over de impact samenbrengen en aansluiten op landelijke informatiestromen. ‘Hoe de routing precies vormgegeven wordt, is ter nadere beoordeling.’ Maar dat moet uiteindelijk leiden tot een ‘beter geïnformeerde nationale crisisstructuur’, schrijft COT in zijn aanbevelingen.
- Help de rijksoverheid aan een scherper afwegingskader
In de rapportage staat verder dat de rijksoverheid behoefte heeft aan een ‘scherp afwegingskader met een helder proces er omheen’, een wat stroperige formulering voor onduidelijkheid over wie, waar en wanneer voor verantwoordelijk is en wat de afwegingen zijn om bijvoorbeeld hulp op te schalen.
- Haal achterstand in en wees realistisch over hulp van het NCSC
Het instituut ziet een groot verschil in de mate waarin organisaties zijn voorbereid op cybercrises. ‘Vanuit een perspectief van nationale weerbaarheid zou het goed zijn als die partijen die nu een achterstand hebben prioriteit geven aan hun eigen voorbereiding. Hiermee kan ook het beroep op, en de verwachting van, het Nationaal Cyber Security Center (NCSC) realistischer worden’, schrijft COT.
- Zorg voor kwaliteitsstandaarden voor sectorale crisisteams
COT pleit voor het uitwerken van kwaliteitsstandaarden. Het gaat dan om rolbeschrijvingen en werkwijzen voor sectorale certs (computer emergency response teams), isacs (information sharing and analysis centres) en oktt’s (‘objectief kenbaar tot taak’). Dat is een term die het NCSC gebruikt voor een organisatie die andere instanties of het publiek informeert over digitale dreigingen en incidenten met gekoppelde netwerken en informatiesystemen. Door die kwaliteitsstandaarden beter uit te werken, moeten rollen duidelijker zijn en partijen meer samen optrekken met als houvast een duidelijke kwaliteitsstandaard.
- Benut overlegstructuren beter
Benut de bestaande overlegstructuren beter en breid eventueel uit met relevante partners, schrijft COT als zesde aanbeveling. ‘Dit kan worden bereikt door enerzijds de bekendheid met de bestaande structuur te vergroten en anderzijds te onderzoeken waarin de bestaande structuur op dit moment niet voorziet.’
- Verbeter de bekendheid van Wbni en meldingsprocedures
Uit de grootschalige cyberoefening komt naar voren dat veel aanbieders niet op de hoogte zijn van de criteria van de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de daaraan verbonden meldingsprocedure. De Wbni verplicht aanbieders van essentiële diensten en digitale dienstverleners om maatregelen te nemen om hun ict te beveiligen tegen incidenten. Ofwel, COT ziet de bekendheid hiervan graag toenemen.
Isidoor
Tijdens Isidoor worden afspraken, structuren en processen uit het Landelijk Crisisplan Digitaal (LCP-Digitaal) geoefend. Deelnemers zijn organisaties die een rol hebben tijdens een dreigende digitale crisis. De focus ligt op het beoefenen van informatie-uitwisseling, het oefenen van de nationale opschalingsstructuur en het versterken van de onderlinge samenwerking tussen vitale-sectoren en de rijksoverheid. Het NSCS heeft een coördinerende tijdens de nationale cyberoefening.
