Ferd Grapperhaus was de eerste van de drie bewindslieden, naast staatssecretarissen Mona Keijzer (EZK) en Raymond Knops (BZK), die het spits afbeet in het kader van de digitale agenda’s door eind april de kabinetsbrede Nederlandse Cybersecurity Agenda te presenteren. Een document waarin zeven ambities met als doel concrete maatregelen om cyberdreigingen het hoofd te bieden en Nederland digitaal veilig te maken en te houden.

In de wereld van vandaag is cybersecurity een topprioriteit, luidt de boodschap van Grapperhaus.
Nederland beschikt over een uitstekende uitgangspositie om de economische en maatschappelijke kansen van digitalisering te verzilveren, stelt de minister. ‘Tegelijkertijd nemen afhankelijkheden, potentiële kwetsbaarheden en dreigingen in het digitale domein toe. Het eerder dit jaar uitgebrachte Cyber Security Beeld Nederland laat wederom zien dat de dreiging aanzienlijk en steeds in ontwikkeling is: de dreiging vanuit beroepscriminelen blijft zich verder ontwikkelen. Bovendien richten sommige statelijke actoren zich op digitale economische en politieke spionage, en worden voorbereidingen voor digitale sabotage getroffen. Het aantal landen dat digitale aanvalscapaciteiten ontwikkelt. neemt toe en de gedetecteerde aanvallen worden steeds complexer. Cybersecurity en veiligheid in het digitale domein zijn daarom een topprioriteit van het kabinet.’

Structureel 95 miljoen
Deze directe dreigingen voor de nationale veiligheid vragen om extra inspanningen om de gecoördineerde cybersecurityaanpak te versterken en zo de vitale belangen van Nederland te beschermen. Om die reden is in het regeerakkoord 95 miljoen euro structureel uitgetrokken voor cybersecurity. De Nederlandse Cybersecurity Agenda (NCSA) stelt de kaders voor de volgende noodzakelijke stap in cybersecurity.

‘De verantwoordelijkheid voor cybersecurity ligt bij ons allemaal: overheid, bedrijfsleven en wetenschap. Want de overheid kan het natuurlijk niet alleen. Van iedereen hebben we bijdragen nodig om de kansen die digitalisering biedt te verzilveren en om het digitale domein veiliger te maken. Een overheid moet de mogelijkheden – en de fantastische kansen van de digitale wereld – ten volle helpen realiseren; remt ontwikkelingen niet onnodig af, maar leidt ze juist in goede banen. Daar nemen wij als kabinet verantwoordelijkheid voor’. aldus Grapperhaus.

Hij zegt dit onder meer te doen via een structurele versterking van de capaciteiten van de inlichtingen- en veiligheidsdiensten, DefCERT, Rijkswaterstaat en het Nationaal Cybersecurity Centrum (NCSC). ‘Zo krijgen we beter inzicht in dreigingen en kunnen we digitale aanvallen signaleren, verstoren en verhogen we de weerbaarheid. Bovendien verbeteren we daarmee het landelijk situationeel beeld en komt er een samenwerkingsplatform om informatie en handelingsperspectief met belanghebbende organisaties te delen.’

Wet- en regelgeving
‘Daarnaast werken we aan de nodige wet- en regelgeving om de kans op en de gevolgen van dreiging en incidenten te verkleinen’, vervolgt Grapperhaus. Zo is de Wet beveiliging netwerk- en informatiesystemen (Wbni) op 9 november jongstleden in werking getreden. De Wbni streeft ernaar de weerbaarheid van Nederland, en in het bijzonder van vitale aanbieders, het Rijk en digitale dienstverleners, te vergroten. ‘Dat doet de wet in het bijzonder door aanbieders van essentiële diensten en digitale dienstverleners te verplichten beveiligingsmaatregelen te nemen, zo verkleinden we de kans op en gevolgen van dreiging en incidenten. Voor ernstige incidenten geldt bovendien een meldplicht.’

Ook worden de eerste stappen gezet om certificering in te voeren voor dienstverleners van cybersecurity, samen met onder andere brancheverenigingen, VNO-NCW en de bond voor verzekeraars. ‘Bovendien versterken we de positie van het NCSC. De afgelopen jaren zijn vanuit publieke, private en de publiek-private sectoren diverse initiatieven genomen om cybersecurity in Nederland te versterken. Regie op deze initiatieven is nodig om de juiste koers en snelheid van de aanpak te borgen. Die regie kan en moet steviger en die ligt in belangrijke mate bij de overheid.’

‘Maar’, onderstreept de bewindsman nogmaals, ‘van alle partijen mag en moet verwacht worden dat zij hun verantwoordelijkheid nemen en hun bijdrage leveren om Nederland digitaal veilig te maken en te houden. De aanpak kan alleen succesvol zijn als zij in nauwe publiek-private samenwerking wordt vormgegeven, doorontwikkeld en geëvalueerd.’ Hij noemt het landelijk dekkend stelsel van cybersecuritysamenwerkingsverbanden en het ‘Digital Trust Center’ voor het MKB goede voorbeelden van hoe de overheid alle partijen in staat wil stellen hun eigen cybersecurity te verstevigen.

Grapperhaus stelt vast dat het belang van digitale veiligheid door private partijen wordt onderschreven en dat een flink aantal organisaties hun verantwoordelijkheid neemt. Bij de lancering van de publiek-private Nederlandse Cybersecurity Alliantie plaatsten ruim 150 vertegenwoordigers hun handtekening onder de intentie om Nederland digitaal veiliger te maken. In deze alliantie verbinden publieke en private partijen zich om de maatregelen uit de NCSA agenda vorm te geven op die thema’s waar sprake is van een gezamenlijke verantwoordelijkheid. Bedrijven als KPN, Phillips, PostNL, de Rabobank en (branche)organisaties zoals VNO-NCW committeren zich hiermee aan een gezamenlijke, publiek-private aanpak om de maatregelen uit de NCSA verder te brengen.

‘Met deze alliantie starten we concrete projecten en helpen we bestaande initiatieven verder, zoals het ‘groot helpt klein’ principe, het geven van voorlichting of het versterken van de digitale veiligheid van de gehele bedrijfsketen door deze verder te ontwikkelen. De eerste concrete projecten zijn inmiddels gestart en de komende periode werken we verder om deze projecten af te ronden en met nieuwe projecten te starten.’

Een ander mooi voorbeeld volgens Grapperhaus is ‘Cyber health check’, een instrument dat door de grote accountantskantoren is ontwikkeld voor middelgrote bedrijven en accountants om de cybersecurity van bedrijven te kunnen toetsen.

Preventie
‘Daarnaast investeren we ook fors in preventie, want voorkomen is beter dan genezen. Ieder jaar staat de maand oktober in het teken van cybersecurity en beleeft onze awareness campagne Alert Online een hoogtepunt. Dat deze campagnes nog hard nodig zijn, blijkt ook weer uit het laatste Alert Online-bewustzijnsonderzoek. Nederlanders maken zich over het algemeen weinig zorgen over risico’s in het digitale domein. Het bewustzijn om zelf veilig te handelen groeit niet meer zoals de afgelopen jaren het geval was, maar stabiliseert; terwijl bedrijven en burgers juist in belangrijke mate zelf het beste zorg kunnen dragen voor hun eigen beveiliging en hier ook verantwoordelijk voor zijn. Iedereen vindt het normaal dat je de voordeur van je huis en ook je achterdeur afsluit. Zelfs een camera ophangt, een inbrekersalarm installeert. Maar als het om apparatuur gaat, leggen we in sommige gevallen, bij wijze van spreken, een mooi matje neer: Welkom!’, zegt Grapperhaus met een serieuze blik.

Tegelijkertijd kun je je ook afvragen of je van consumenten mag verwachten dat ze over voldoende (technische) kennis beschikken om te kunnen inschatten of een apparaat dat aan internet verbonden is wel echt veilig is, nuanceert hij. ‘Ontwikkelingen van dreigingen en kwetsbaarheden gaan zo snel dat het lastig is om bij te blijven, zelfs als je over een redelijk kennisniveau beschikt. Daarom moeten we met een samenhangend pakket maatregelen komen om de digitale veiligheid van apparaten, waaronder internet of things-apparaten, te verbeteren; steeds met inachtneming van die belangrijke eigen verantwoordelijkheid van consumenten en bedrijven. Ik ben blij dat mijn collega Mona Keijzer, de ‘Roadmap digitaal veilige hard- en software’ heeft gepresenteerd. Deze is ook onderdeel van de NCSA.’

In de roadmap wordt gekeken naar manieren om apparaten en software veiliger te maken. Er wordt onder meer ingezet op betere detectie van veiligheidsrisico’s, toepassingen voor het aansprakelijkheidsrecht om bij te dragen aan veilige software, certificeringsmogelijkheden en het versterken van het bewustzijn van burgers.

“Een stevige kennispositie voor Nederland is van fundamenteel belang om digitale dreiging het hoofd te bieden”

Onderzoek en onderwijs

Niet alleen wet- en regelgeving is belangrijk, ook het ontwikkelen van een stevige kennispositie voor Nederland is van fundamenteel belang om digitale dreiging het hoofd te bieden. ‘Daarom investeren we ook fors in onderwijs en toegepast en fundamenteel onderzoek. Met mijn collega’s van OCW, EZK en Defensie hebben we extra middelen vrijgemaakt om onderzoek en kennisontwikkeling een impuls te geven. Hiermee lopen we vooruit op de uitkomsten van de verkenning naar een kennisinstituut voor cybersecurity. De totale extra investeringen in onderzoek en kennisontwikkeling voor dit jaar komen uit tussen de vijf en tien miljoen euro. Wanneer we kunnen beschikken over eigen hoogwaardige wetenschappelijke kennis en toepassingen draagt dit bij aan de digitale autonomie van Nederland en die van Europa.’

Want het digitale domein is per definitie niet gebonden aan landsgrenzen en de Nederlandse aanpak voor cybersecurity staat dan ook niet op zichzelf, aldus Grapperhaus. ‘We moeten rekening houden met wat er om ons heen gebeurd en ook in het Europese en internationale domein inzetten op hoogwaardige en zinvolle maatregelen. We zien dat landen steeds vaker digitale middelen gebruiken voor spionage-, beïnvloedings- en sabotagedoeleinden als integraal onderdeel van hun machtsinstrumentarium of in concrete conflictsituaties. Meest recent is het voorbeeld waarbij de MIVD een cyberoperatie van de Russische militaire inlichtingendienst, gericht op de OPCW in Den Haag, verstoorde. Uit vervolgonderzoek bleek dat een van de in Nederland actieve Russische inlichtingenofficieren ook in Maleisië actief was, gericht op het MH17-onderzoek.’

Het grensoverschrijdende karakter van dreigingen maakt het noodzakelijk sterk in te zetten op internationale samenwerking. Om deze uitdaging te adresseren komt in de NCSA de internationale dimensie dan ook veelvuldig terug. ‘Sommige doelstellingen van de NCSA kunnen slechts bereikt worden door middel van internationale wetgeving, coalitievorming of internationale ontwikkeling van normen en standaarden, in het bijzonder in Europees en NAVO-verband. Belangrijke voorbeelden zijn de Europese (wetgevende) ontwikkelingen op het gebied van certificering, standaard-ontwikkeling en het stimuleren van de Europese digitale interne markt, waarvan cybersecurity een onderdeel is. Ook wordt er in EU-verband ingezet op meer operationele samenwerking tussen nationale cybersecuritycentra, zoals het Nederlands NCSC. Daarnaast wordt er gewerkt aan het delen van ervaringen en maatregelen tussen lidstaten voor het verhogen van de weerbaarheid van aanbieders van vitale infrastructuur. Voor wat betreft innovatie en onderzoek wordt er in Europese onderzoeksprogramma’s steeds meer prioriteit gegeven aan cybersecurity.’

Vaart maken

Er wordt op alle vlakken geïnvesteerd in de digitale veiligheid in Nederland, concludeert Grapperhaus. ‘In onze weerbaarheid tegen dreigingen, in het kennisniveau maar ook in wet- en regelgeving. Het tempo zit er flink in en dat moeten we zien vast te houden. We moeten vaart maken met de uitvoering van de NCSA, we moeten vaart maken met de implementatie van nieuwe wetten en regels. Tegelijkertijd laten de incidenten van de afgelopen jaren ook zien dat we flexibel moeten zijn, juist door wendbaar te zijn maken we Nederland digitaal weerbaarder. Want de impact van technologische en maatschappelijke ontwikkelingen en digitale dreiging, ontwikkelt zich met verschillende snelheden.’

Hij zegt dat het Cyber Security Beeld Nederland, die de NCTV elk jaar presenteert, een jaarlijks moment zal zijn om te zien of we op koers liggen met de maatregelen uit de NCSA. ‘Hiermee realiseren we de dynamische aanpak die past bij de ontwikkeling van de cyberdreiging.’