Het ontbreekt momenteel aan voldoende toezicht, handhaving en bescherming. Juist de drie kerntaken van de overheid zijn verwaarloosd. Voor opsporing en vervolging van cybercriminaliteit moeten er meer middelen komen. Binnen de handhavingsketen moet daar de nadruk op gaan liggen. Het Openbaar Ministerie dient meer slagkracht te krijgen. Politie moet meer datagedreven werken. Verder is het zaak meer inlichtingen te verzamelen over digitale dreigingen. Tenslotte behoeft de bescherming van de digitale ruimte meer aandacht alsmede de aanpak van nationale cybercrises.
Dit blijkt uit het CSR Adviesrapport ‘Integrale aanpak cyberweerbaarheid’ dat de raad op verzoek van demissionair minister Ferd Grapperhaus (ministerie van Justitie & Veiligheid) heeft gepubliceerd. Vertegenwoordigers uit de publieke sector, het bedrijfsleven en de wetenschap hebben bijgedragen aan dit advies.
Ministeriële onderraad
Nederland is te weinig weerbaar, zo stelt de raad. Voorbeelden zijn het datalek bij de GGD, de ransomware-aanval op de Universiteit van Maastricht en de Citrix-kwetsbaarheid. Internationaal gezien investeert Nederland relatief weinig in vergroting van de cyberweerbaarheid. De Belgische investeringsambitie ligt momenteel 14 keer zo hoog als de Nederlandse. Ook bijvoorbeeld het Verenigd Koninkrijk is aanmerkelijk actiever.
Behalve voor verbetering van de handhavingsketen pleit de raad voor meer regie op samenwerking en informatiedeling. Het advies is om in plaats van een minister voor Digitale Zaken een ministeriële onderraad in te richten. Daar zou cyberweerbaarheid integraal aan de orde moeten worden gesteld. Deze onderraad moet steunen op een interdepartementale overlegkoepel. Daarin moeten alle ministeries die raakvlakken hebben met cyberweerbaarheid, vertegenwoordigd zijn.
Gepleit wordt voor een integrale aanpak. Het besturingsmodel moet zo worden ingericht dat overheden, bedrijfsleven en wetenschap gezamenlijk kunnen werken aan één nationale strategie op dit gebied. Door de sterk decentrale manier van besturen is daar momenteel geen sprake van. Verantwoordelijkheden zijn verdeeld over meerdere organisaties. Nationale regievoering ontbreekt.
Fonds voor vitale processen
De informatiedeling kan worden verbeterd door snel een landelijk dekkend stelsel van informatieknooppunten te vormen. Dan kunnen alle Nederlandse bedrijven en instellingen tijdig over dreigingsinformatie beschikken. Opvallend is dat de raad veel woorden wijdt aan de informatiedeling, maar nauwelijks concrete voorstellen doet.
Het derde speerpunt bestaat uit het meer weerbaar maken van vitale processen. Voorgesteld wordt in de komende kabinetsperiode hierin eenmalig een investering van 155 miljoen euro te doen. Er zou een fonds moeten komen dat vitale aanbieders uit bijvoorbeeld de stroomsector stimuleert om te investeren in een grotere weerbaarheid. De twee andere speerpunten zijn versterking van onderzoek en onderwijs (35 miljoen structureel per jaar) alsmede een zorgplicht van leveranciers voor veilige producten en diensten.
De CSR is een onafhankelijk strategisch adviesorgaan van het kabinet op gebied van cybersecurity. De raad telt achttien leden waaronder cybersecurity-hoogleraren Bibi van den Berg, Michel van Eeten, Bart Jacobs en Lokke Moerel.
Reacties
Gister het rapport eens gelezen - geld gaat helemaal op aan nog weer meer adviesorganen, samenwerkingsverbanden, onderzoeken en innovatieprocessen... kortom maximaal polderen...
Wordt het niet eens tijd om "echt" aan het beveiligen te gaan? Bijvoorbeeld door eens vaart te maken met handhaving van de AVG?
Eventueel in combinatie met een verplichte ISO27001 certificering - iedere organisatie is tegenwoordig wel een IT organisatie te noemen - toch?
Misschien niet het meest optimale; maar alles beter dan het eeuwige gepolder...
'Wordt het niet eens tijd om "echt" aan het beveiligen te gaan? Bijvoorbeeld door eens vaart te maken met handhaving van de AVG?'
Goed idee, maar eerst de gunningscriteria opstellen mbt tot de aanbestedingen in de markt tbv onderzoek in hoeverre dit technisch en juridisch haalbaar is en bij positief resultaat de orientatie op mogelijke uitvoerende partijen die daadwerkelijk de acties gaan uitvoeren met bij voorkeur blockchain technologie, maar laten we niet op de zaken vooruit lopen ;-)