“Er is een groeiend bewustzijn bij bestuurders dat zij verantwoordelijk zijn voor cybersecurity, maar we zijn er nog lang niet”, zegt Elly van den Heuvel, secretaris van de Cyber Security Raad. Cyberdreigingen nemen rap toe. Digicommissaris Bas Eenhoorn: “Heb je als bestuurder voldoende kennis van dit onderwerp, of sta je straks te stotteren op de persconferentie na de hack?”
Om cybersecurity meer op het netvlies van overheidsbestuurders te krijgen organiseert de Cyber Security Raad in samenwerking met iBestuur een symposium over dit onderwerp (zie kader). De Cyber Security Raad (CSR) is een onafhankelijk adviesorgaan aan het kabinet en bestaat uit vertegenwoordigers uit overheid, bedrijfsleven en wetenschap. De CSR zet zich op strategisch niveau in om cybersecurity in Nederland te verbeteren. Daar is nog veel te winnen, schetst Van den Heuvel: “Op bestuurlijk niveau is vaak niet genoeg aandacht voor dit onderwerp. Terwijl informatieveiligheid van cruciaal belang is voor het functioneren van organisaties, zowel voor bedrijven als de overheid. De overheid beheert veel gevoelige gegevens van burgers, denk aan informatie over inkomens. Burgers moeten erop aankunnen dat die informatie bij de overheid in veilige handen is.”
Dankzij initiatieven als de Taskforce Bestuur en Informatieveiligheid Dienstverlening, de voorlichtingscampagne iBewustzijn Overheid, de Visitatiecommissie Informatieveiligheid en de inspanningen van de Informatiebeveiligingsdienst voor gemeenten staat het onderwerp nu wel meer op de agenda bij de overheid. “Maar een vanzelfsprekend onderdeel van de bedrijfsvoering is het nog niet.”
Organisatorisch vraagstuk
Bas Eenhoorn houdt zich als Digicommissaris en lid van de CSR bezig met onder meer cybersecurity binnen de overheid. Hij bezoekt burgemeesters, gemeentesecretarissen en commissarissen van de koning om hen te wijzen op hun verantwoordelijkheid als het gaat om informatieveiligheid: “Ik vertel hen hoe dichtbij de dreiging is, hoe vaak overheden worden aangevallen door hackers, computercriminelen en cyberspionnen. En vraag hoe zij het hebben geregeld: hebben ze de risico’s in kaart gebracht, welke maatregelen worden genomen, hebben ze zelf voldoende kennis van dit onderwerp? Als hun gemeente of provincie wordt aangevallen, zitten ze dan te stotteren op de persconferentie of weten ze voldoende van het onderwerp af? Dat soort vragen zet dit onderwerp op de bestuurlijke agenda, merk ik.” Deze bestuurlijke rondes zijn nodig om het onderwerp onder de aandacht te brengen, concludeert hij.
Als hun gemeente of provincie wordt aangevallen, zitten ze dan te stotteren op de persconferentie?
De CSR heeft een praktische handreiking voor bestuurders ontwikkeld (te vinden op de website van de CSR: www.cybersecurityraad.nl), met checklists. Die moet het gemakkelijker maken om dit onderwerp in de bestuurskamer te bespreken. Van den Heuvel: “Vaak denken bestuurders dat cybersecurity vooral een technische aangelegenheid is. Dat is niet zo, het is vooral een organisatorisch vraagstuk waar álle leden van het bestuur verantwoordelijk voor zijn.” Dat blijkt ook uit de vragen in de checklist, die in drie delen uiteenvallen: over de voorbereiding op een incident; het omgaan met calamiteiten; het herstellen van een calamiteit. Het gaat dan bijvoorbeeld om de vraag of de organisatie heeft nagedacht over de mate van risico die men kan en wil lopen en of er een goed functionerende crisisstructuur is.
Sluizen
Het besef dat dit een bestuurlijke verantwoordelijkheid is groeit bij bestuurders, mede dankzij alle aandacht in de media voor cyberdreigingen, zegt Eenhoorn: “Je kunt geen krant openslaan of er staat wel iets in over een hack of over buitenlandse inlichtingendiensten die het democratisch proces proberen te verstoren.” Bij sommige organisaties heeft dit bewustzijn al geleid tot een stevige verankering van informatiebeveiliging. Eenhoorn vertelt over een gesprek dat hij onlangs had met de dijkgraaf van het hoogheemraadschap Delfland, waarin deze uitlegde hoe zij informatieveiligheid hebben georganiseerd. De dijkgraaf kwam langs met zijn CIO: “Een CIO! Ik durf te wedden dat een paar jaar geleden voor zo’n gesprek het hoofd automatisering uit de kelder was gevist en dan zeker niet om hetzelfde verhaal te vertellen.”
Het hoogheemraadschap is voor het verwerken van data en het aansturen van onder meer sluizen zeer afhankelijk van een mobiel netwerk. Men werd een aantal jaren geleden getroffen door een grote storing bij Vodafone, waarna men maatregelen nam die dit in de toekomst moeten voorkomen. Het hoogheemraadschap gebruikt nu meerdere netwerken, zodat als er één uitvalt men op een ander kan terugvallen. En experimenteert daarnaast met nieuwe vormen van beveiliging om veilig te kunnen communiceren. Eenhoorn: “Het bestuur heeft de verantwoordelijkheid genomen om dit goed te regelen. Men liet het niet over aan de technische afdeling, maar verdiepte zich ook zelf in het onderwerp, omdat het de kritische processen van hun organisatie raakt.”
Europa
Op Europees niveau komt er steeds meer aandacht voor cybersecurity. De privacy-verordening AVG, die in mei volgend jaar van kracht wordt, legt alle lidstaten eenduidige regels op om de privacy van burgers te beschermen. Informatieveiligheid is daar een onderdeel van. En er is inmiddels een Europese richtlijn voor Netwerk en Informatiebeveiliging (NIB). Deze wordt door de lidstaten in eigen regelgeving vertaald en regelt de inrichting van een nationale structuur voor cybersecurity. Zoals het in Nederland is geregeld, met onder meer een Nationaal Cyber Security Center (NCSC), is het nog niet in elk Europees land ingericht.
Cybersecurity hoort thuis op de agenda van het college en van een raad van bestuur.
Van den Heuvel: “Een structuur voor cybersecurity is van wezenlijk belang, omdat we daarin kennis en informatie delen en daardoor beter op cyberdreigingen kunnen reageren. Daarom is het goed als alle lidstaten een dergelijke structuur hebben. Er komen continu nieuwe dreigingen op ons af, bijvoorbeeld door de interconnectie van apparaten in het Internet of Things. Dat levert weer hele nieuwe uitdagingen op, die we samen beter kunnen aangaan.” Samen in de zin van bedrijfsleven, overheid en wetenschap, van lokaal tot Europees niveau. Met een stevige plek voor dit onderwerp op de bestuurlijke agenda. “In dit tijdperk van digitale transitie horen bestuurders voldoende kennis te hebben van cybersecurity”, concludeert Eenhoorn. “Cybersecurity hoort – net zoals financiën en kwaliteit dat al lang zijn – thuis op de agenda van het college en van een raad van bestuur.”
Zorgplicht cybersecurity geldt ook voor de overheid
Organisaties moeten hun cybersecurity goed op orde hebben, zo schrijft wet- en regelgeving voor. Mocht zich toch een incident voordoen, dan hebben zij de plicht de gevolgen ervan te beperken en verdere incidenten te voorkomen. De Cyber Security Raad heeft in een ‘Handreiking digitale zorgplichten’ op een rijtje gezet wat die zorgplichten inhouden en geeft de belangrijkste handvatten om deze plichten in te vullen (te vinden op www.cybersecurityraad. nl). Voor bedrijven gaat het er bijvoorbeeld om dat de producten en diensten die een ICT-component hebben adequaat beveiligd zijn tegen hacken. Maar voor de overheid gelden zorgplichten ook.
Lokke Moerel, hoogleraar Global ICT Law aan de Universiteit Tilburg en lid van de CSR, werkte mee aan de handreiking. “De handreiking beschrijft de zorgplichten voor bedrijven. Dit betekent niet dat de overheid geen digitale zorgplichten zou hebben. De overheid heeft een bijzondere positie en verwerkt vaak veel en bijzonder gevoelige gegevens. Daardoor kunnen de zorgplichten voor de overheid anders liggen dan die van bedrijven en soms zwaarder zijn.”
Moerel benadrukt dat overheidsbestuurders net als het bestuur van een bedrijf er verantwoordelijk voor zijn dat hun organisatie inzicht heeft in de cybersecurityrisico’s en daar adequate maatregelen tegen neemt. Dat betekent volgens haar dat bestuurders inzicht hebben in deze risico’s en leiderschap tonen bij het formuleren, implementeren en handhaven van een cybersecuritybeleid. “Dit vraagt om een expliciete betrokkenheid van bestuurders. Zij kunnen dit niet overlaten aan hun IT- of complianceafdeling.”
Bron: https://ibestuur.nl/magazine/cybersecurity-hoort-op-de-bestuurlijke-agenda