Rand-denktank hekelt 'polder'-aanpak cybersecurity

Dit artikel delen:
Vergaderen

Vanuit het nationale veiligheidsperspectief bekeken schort er in Nederland nog veel aan de uitoefening van bestuursmacht en beleid. De ‘cybersecurity governance’ rammelt aan alle kanten. Het poldermodel waarbij de besluitvorming is gebaseerd op consensus, werkt in de praktijk gebrekkig. Tal van organisaties zijn op veiligheidsgebied actief, zonder dat hun rollen en verantwoordelijkheden vastliggen. Middelen en inspanningen voor crisisbeheer zijn slecht op elkaar afgestemd. Het beleid is onvoldoende ‘agile’ en erg reactief. Deze harde kritiek komt van de Belgisch-Engelse denktank Rand Europe.

Rand, een organisatie voor beleidsonderzoek, is aangetrokken door het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) om de Nederlandse aanpak van cybersecurity te wegen. Hoofdconclusie van het rapport Cybersecurity a state of the art review: phase 2 is dat er nog veel werk aan de winkel is. De Nederlandse aanpak waarbij het bestuur is uitgesmeerd over een grootenorm aantal organisaties en iedereen wel wat te zeggen heeft, leidt tot een enorme versnippering en onduidelijkheid. Het ontbreekt de digitale samenleving daardoor aan veerkracht. Ook de pro-activiteit lijdt daaronder.

Om de bedreigingen op gebied van cybersecurity goed het hoofd te kunnen bieden moeten informatie en kennis worden gedeeld. Zowel binnen de nationale overheid als betrokken organisaties liggen hier nogal wat uitdagingen.

Ook bij de regelgeving is de samenhang ver te zoeken. Soms is er een gebrek aan regels maar vaak ook overlappen regels en standaarden elkaar. Dit maakt het er allemaal niet eenvoudiger op. Ook komt het voor dat de vereisten met elkaar in tegenspraak zijn. Rand pleit voor meer proactieve en minimaal afdwingbare normen voor cybersecurity. Dat zou al veel helpen.

Discutabel onderscheid

Een behoorlijke uitdaging is ook het onderscheid tussen vitale en niet-essentiële infrastructuur. Deze splitsing speelt een sleutelrol in de Nederlandse aanpak van besturen. Voor vitale operators gelden extra wetten en regels. Ze kennen meer verplichtingen tot rapportage van incidenten. En wat heel belangrijk is: het Nationaal Cyber Security Centrum (NCSC) deelt informatie over lekken, hacks en andere bedreigingen alleen met deze organisaties die vitaal zijn voor de BV Nederland.

Dit betekent volgens de onderzoekers dat bedrijven die niet op die lijst staan, belangrijke waarschuwingen missen. En dat terwijl betrokken organisaties wel degelijk van belang kunnen zijn voor de veerkracht van de maatschappij of nationale veiligheid. 

Het wordt daarom hoog tijd dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) het onderscheid tussen de vitale en de niet-kritische infrastructuur verder onder de loep gaat nemen.  Een grondige studie is op zijn plaats. Met name moet worden gekeken naar onderlinge afhankelijkheden tussen en binnen sectoren. De hele bevoorradingsketen rond de kritische infrastructuur verdient meer aandacht. Ook moet de NCTV snel kijken hoe te komen tot een meer proactieve benadering. 

Taxonomie ontbreekt

Verder constateert Rand dat er helemaal geen cybersecurity-standaard bestaat die voor de hele overheid geldt en wettelijk afdwingbaar is. Elke overheidsinstelling heeft zijn eigen arrangementen. Bovendien werkt de NCSC in de eerste plaats als een adviesorgaan. Dit maakt het lastig om te controleren of de verschillende diensten en bedrijven wel voldoende veilig te werk gaan.  

Rand onderzocht ook welke vaardigheden nodig zijn voor de nationale veiligheid. Probleem is dat er in Nederland geen uniforme en breed aanvaarde taxonomie bestaat voor vaardigheden of beroepen op gebied van cybersecurity. Dat maakt het moeilijk om het kennisniveau en de capaciteiten van betrokken werknemers te beoordelen, laat staan dat aanbevelingen zijn te geven voor verbeteringen. Ook de werving en het binden van cybersecurity-professionals zijn een probleem. Minister Grapperhaus (Justitie en Veiligheid) komt in januari 2021 met een beleidsreactie op het rapport.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2020-12-23T11:55:00.000Z Alfred Monterie
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.