In het kort
- Nederland dreigt zijn digitale autonomie te verliezen.
- We worden te afhankelijk van Amerikaanse en Chinese techbedrijven, stelt de Cyber Security Raad.
- Den Haag moet daarom een eigen veiligheidsindustrie steunen.
Het kabinet moet onmiddellijk ingrijpen om te voorkomen dat de economie te afhankelijk wordt van Amerikaanse en Chinese technologie. Zo niet, dan dreigt Nederland zijn greep op de beveiliging van het internet te verliezen en eigen technologische kennis kwijt te raken. Daarvoor waarschuwt de Cyber Security Raad in een nieuw advies.
De ’tijd dringt’, aldus het adviesorgaan, dus ‘er moet én kan nu actie worden ondernomen om strategische autonomie te waarborgen’. Internationaal maken overheden zich grote zorgen over hun cyberveiligheid. Vorige week nog werd een belangrijke Amerikaanse oliepijpleiding platgelegd door een cyberaanval.
Digitale autonomie
Nederland is voor zijn digitale diensten nu grotendeels afhankelijk van Amerikaanse bedrijven als Microsoft, Amazon, Google en Oracle. Deze afhankelijkheid van niet-Europese aanbieders brengt Nederland onder controle van andere landen, waarschuwt de raad. Hierdoor kan de overheid niet langer zelf de regels bepalen rond bijvoorbeeld spionage en privacy. Om die ontwikkeling tegen te gaan zou ‘digitale autonomie’ centraal moeten staan in het kabinetsbeleid.
Dit kan door strategisch waardevolle techbedrijven te steunen, zo nodig door het nemen van een belang. Vorig jaar investeerde het kabinet al onverwacht €20 mln in het Eindhovense hightechbedrijf Smart Photonics om een buitenlandse overname te voorkomen.
Daarnaast moeten overheden veel IT-diensten niet langer openbaar aanbesteden. In plaats daarvan moeten ze kunnen selecteren op nationale veiligheid, zoals het ministerie van Defensie al doet. Daarmee kunnen ze Amerikaanse of Chinese partijen buiten een aanbesteding houden, zonder de regels te overtreden. Nu is de prijs vaak leidend.
Merkwaardig
‘Helemaal mee eens’, zegt directeur Rob de Wijk van de Haagse denktank HCSS. ‘De Europese Commissie roept de lidstaten nadrukkelijk op om minder afhankelijk te worden van met name China. Het wordt tijd dat Den Haag luistert.’
De Wijk noemt het ‘heel merkwaardig’ dat telecombedrijf KPN een gevoelig deel van zijn 5G-netwerk inkoopt bij het Chinese bedrijf Huawei. ‘KPN kiest voor de goedkoopste, doordat het de staat zoveel moest betalen voor zijn 5G-frequentie. In plaats daarvan zou de staat KPN moeten dwingen om Europees in te kopen.’
Ook Michiel Steltman van Stichting Digitale Infrastructuur Nederland juicht de plannen toe. ‘Grote internationale partijen hebben een voorsprong die zonder ingrijpen en actieve steun groter blijft dan goed voor ons is. Zo kunnen we onze eigen digitale mkb-bedrijven verliezen.’ Hij denkt bij steun onder andere aan meer publiek-private samenwerking en meer betrokkenheid bij de ontwikkeling van internationale standaarden. ‘Zo ongeveer alle standaarden voor cyberveiligheid zijn nu Amerikaans.’
Minder afhankelijk
Den Haag zou bovendien moeten investeren in detectiesystemen voor computerinbraken. Bedrijven die kritieke infrastructuur beheren, zoals banken, telecomoperators en waterleidingbedrijven, kunnen dan verplicht worden om deze systemen te gebruiken. Dit zou de overheid meer grip geven op de digitale veiligheid van Nederland.
Volgens IT-advocaat Judica Krikke van Stibbe zou het Rijk vaker geheime aanbestedingen kunnen doen op het gebied van kritieke infrastructuur en technologie, om zo te voorkomen dat Nederland te afhankelijk wordt van buitenlandse leveranciers. Het aanbestedingsrecht biedt daar mogelijkheden voor, benadrukt ze. En het gebeurt ook al, bijvoorbeeld bij het onderhoud van het koninklijk paleis.
Krikke: ‘In koopmansland Nederland voelt het al snel contra-intuïtief om niet openbaar aan te besteden, we hebben altijd geprofiteerd van openheid en handel. Maar we moeten oppassen dat we de greep op onze digitale werkelijkheid behouden.’
Cyberexpert Ronald Prins van Hunt & Hackett benadrukt dat het niet realistisch is om alle vitale IT-infrastructuur in Nederland zelf te fabriceren, maar grip is volgens hem ook te vergroten door netwerken te laten controleren door Nederlandse bedrijven, die geaccrediteerd kunnen worden. ‘Voor de vitale sector zou je dat verplicht kunnen stellen.’
Eigen veiligheidsindustrie
Het nieuwe beleid zou een breuk vormen met het verleden. Nu valt veelbelovende Nederlandse technologiekennis vaak vroegtijdig in buitenlandse handen. Zo kocht een Brits bedrijf in 2015 het belangrijke cyberveiligheidsbedrijf Fox IT. Ook kleinere Nederlandse spelers gaan veelvuldig naar buitenlandse kopers, zoals het Delftse encryptiebedrijf SecretHub, dat vorige maand in Canadese handen kwam.
De Raad waarschuwt met name voor Amerikaanse partijen, die hier op zoek zijn naar de interessantste technologie. ‘Amerikaanse bedrijven monitoren voortdurend nieuwe innovaties en start-ups, die zij vervolgens in een vroeg stadium overnemen en in het eigen aanbod integreren.’ Vooral succesvolle Europese start-ups die grote investeringen nodig hebben, zijn een prooi voor Amerikanen.
Voorbeeld nemen aan CIA
Ook de investeringstak van de Amerikaanse geheime dienst CIA, In-Q-Tel, investeert actief in Europese technologie die belangrijk is voor de Amerikaanse nationale veiligheid. Zo heeft het belangen in het Spaanse cybersecuritybedrijf CounterCraft, dat onder meer is gefinancierd met Europese onderzoekssubsidies en het Duitse Morpheus Space. Deze fabrikant van aandrijfsystemen voor mini-satellieten komt voort uit de technische universiteit van Dresden.
De CSR adviseert Europees geld te claimen voor strategische investeringen in Nederlandse technologie. Brussel stelt veel geld beschikbaar voor digitale innovaties, waaronder €134,5 mrd uit het EU Resilience and Recovery Fund.
Lees het volledige artikel: https://fd.nl/economie-politiek/1383703/adviesraad-kabinet-nederland-verliest-controle-op-beveiliging-internet-hne1caZLYQQj