Het Nationaal Cyber Security Centrum (NCSC) is niet aangewezen als het nationale Computer Security Incident Response Team (Csirt) vanwege de manier waarop cybersecuritytaken in Nederland zijn verdeeld. Dit antwoordt minister David van Weel (Justitie en Veiligheid) op vragen gesteld tijdens de V-100 Verantwoordingsdag.
Bij dit jaarlijks evenement in de Tweede Kamer worden honderd burgers uitgenodigd om de jaarverslagen van ministeries kritisch te bekijken en vragen te formuleren voor het kabinet. Dit jaar stond die dag in het teken van de uitvoering van het overheidsbeleid.
Juridisch gezien kent de NIS2-richtlijn, en daarmee de Cyberbeveiligingswet (Cbw), de term nationale Csirt niet. Het NCSC vervult wel een rol die beleidsmatig gezien kan worden als de nationale Csirt; zo is het operationeel coördinerend over het cybersecuritystelsel, bevordert en faciliteert het de samenwerking en coördineert het de afhandeling van (bijna) incidenten en kwetsbaarheden op nationaal niveau. Ook is er het voornemen om het NCSC, onder de Cbw, de taak van coördinator voor de bekendmaking van kwetsbaarheden te laten uitvoeren.
Gedecentraliseerd model
De Wet beveiliging netwerk- en informatiesystemen (Wbni) bepaalt dat het NCSC Csirt-taken uitvoert voor vitale aanbieders en onderdelen van de Rijksoverheid, maar niet voor alle organisaties.
In plaats van één nationaal ‘response team’ voor ict-beveiliging kent Nederland een gedecentraliseerd model met verschillende sectorale Csirt’s die verantwoordelijk zijn voor specifieke industrieën. Dit zorgt ervoor dat cybersecurity-expertise beter aansluit bij de behoeften van verschillende sectoren.
De nieuwe NIS2-wetgeving vereist dat essentiële en belangrijke organisaties incidenten melden bij een Csirt en een toezichthouder. Het NCSC speelt hierin een rol, maar is niet de enige instantie die incidenten afhandelt.
Sinds dit jaar wordt het NCSC aangestuurd door meerdere ministeries, waaronder Justitie & Veiligheid, Financiën en Economische Zaken. Dit betekent dat het centrum een bredere cybersecurity-coördinatierol heeft, maar niet exclusief als Csirt fungeert.
Keurmerk-wildgroei
Ook werd gevraagd of de minister wat wil doen aan de wildgroei aan partijen die pretenderen een keurmerk te zijn. Van Weel onthoudt zich van een uitspraak over dit soort initiatieven. Zelfregulering kan onder de juiste randvoorwaarden bijdragen aan het behalen van een maatschappelijk doel, maar een keurmerk heeft geen zelfstandige status in relatie tot het voldoen aan de wettelijke vereisten. Iedereen kan een keurmerk starten, hierin zijn ook verschillende gradaties. Maar het is aan de toezichthouder om te bezien of een entiteit aan de wet voldoet.
Organisaties blijven zelf verantwoordelijk voor het implementeren van de Cyberbeveiligingswet. Het staat hen vrij hiervoor een externe partij in te huren. Vanuit de overheid worden voorafgaand aan de inwerkingtreding van de Cyberbeveiligingswet wel verschillende handreikingen opgesteld die partijen kunnen helpen bij het voldoen aan de vereisten uit (de zorgplicht) van de Cbw. Deze handreikingen hebben geen juridische status en zijn bedoeld als hulpmiddel.