Inhoudsopgave

Pijler 1
Pijler 2
Pijler 3
Pijler 4
Pijler 5
Home / Pijler 5: Versterken cybersecurity

Pijler 5: Versterken cybersecurity

“We beschermen onze bedrijven, vitale infrastructuur en economisch kapitaal beter door centraal gecoördineerde structurele samenwerking tussen onder andere het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Center (DTC), overheden, bedrijven en wetenschappers. Zij kunnen sneller en makkelijker informatie delen over digitale kwetsbaarheden en ‘hacks’.”

(Bron: Coalitieakkoord 2021 – 2025)

Wat is de uitdaging?

Misbruik of uitval van digitale systemen processen kan grote schade veroorzaken voor burgers, bedrijven, maatschappelijke organisaties en de overheid. Het internationale digitale ecosysteem is inmiddels zo verknoopt en complex, dat het voor individuele organisaties en personen ingewikkeld zo niet onmogelijk is om het geheel te doorgronden, terwijl juist dit ecosysteem ons moderne leven, en onze economie en samenleving als geheel mogelijk maakt. Criminelen, maar ook kwaadwillende staten, misbruiken deze complexiteit door zich ongezien op te houden en via digitale kwetsbaarheden onze publieke waarden aan te tasten. Ondanks inspanningen om de weerbaarheid te verhogen, is sprake van een scheefgroei tussen de toenemende dreiging en de ontwikkeling van de weerbaarheid. Volledige weerbaarheid tegen digitale dreigingen is onmogelijk, maar verhoging van de weerbaarheid tegen misbruik en uitval is belangrijk om digitale risico’s te beheersen.

Wat is onze ambitie?

Het doel is een digitaal veilig Nederland waarin burgers en bedrijven ten volle kunnen profiteren van deelname aan de digitale samenleving, vrij van zorgen over cyberrisico’s. De Nederlandse Cybersecuritystrategie (NLCS)i beschrijft de kabinetsbrede integrale aanpak voor cybersecurity, onder regie van de minister van Justitie en Veiligheid. Het doel van de Nederlandse Cybersecuritystrategie is om Nederland digitaal veilig te maken door de digitale weerbaarheid te verhogen en dreigingen tegen te gaan. Hiermee wordt gewerkt aan een toekomst waarin de scheefgroei tussen digitale dreiging en digitale weerbaarheid zo klein mogelijk is en blijft. Cybersecurity is een dynamisch vraagstuk dat continu in beweging is. Wat vandaag veilig is, kan dat morgen mogelijk niet meer zijn. Dit betekent dat op sommige acties de realisatie van de ambitie langer zal duren of zelfs een permanent streven blijft.

In de Nederlandse Cybersecuritystrategie zijn langs vier pijlers doelen geformuleerd om Nederland digitaal veilig te maken en houden. Daarvan richten drie pijlers zich op het verhogen van de digitale weerbaarheid en één op het tegengaan van digitale dreigingen. In de strategie digitale economie ligt de focus op het verhogen van de digitale weerbaarheid aan de hand van drie pijlers.

De pijler ‘Digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties’ gaat om het vermogen van de overheid, bedrijven en maatschappelijke organisaties om (relevante) risico’s tot een aanvaardbaar niveau te reduceren. Dit door middel van een verzameling van maatregelen waarmee cyberincidenten worden voorkomen en, wanneer cyberincidenten zich toch hebben voorgedaan, deze te ontdekken, schade te beperken en herstel eenvoudiger te maken. De pijler ‘veilige en innovatieve digitale producten en diensten’ richt zich op de aanbieders en fabrikanten van digitale producten en diensten en de versterking van cybersecurity-kennisontwikkeling en innovatie. Het toewerken naar een veilige en innovatieve digitale economie draagt bij aan de digitale veiligheid én het verdienvermogen van Nederland. De pijler ‘Cybersecurity-arbeidsmarkt, onderwijs en digitale weerbaarheid van burgers’ richt zich op de mens achter de techniek en de digitale weerbaarheid van burgers. Voor de samenleving als geheel is een belangrijke rol weggelegd om digitale vaardigheden te ontwikkelen, van basiskennis en -vaardigheden tot aan hoogwaardige kennis en specialistische cybersecurityvaardigheden. Ook de Werkagenda Waardengedreven Digitaliseren zet in lijn met de NLCS in op het vergroten van vaardigheden en kennis en daarmee vertrouwen in de digitale economie.

Wat gaan we daarvoor doen?

Om de bovengenoemde ambitie te bereiken, gaan wij de volgende stappen zetten.

1. Digitale weerbaarheid van bedrijven

  • Het Digital Trust Center (DTC), Cybersecurity Incident Response Team voor digitale dienstverleners (CSIRT-DSP) en het Nationaal Cyber Security Centrum (NCSC) worden samengevoegd tot één nationale cybersecurity-autoriteit. Deze nieuwe organisatie zal in samenwerking met publieke en private partners vitale en niet-vitale organisaties, overheden en burgers voorzien van beveiligingsinformatie en handelingsperspectief, passend bij hun volwassenheidsniveau. Zo wordt de beschikbare capaciteit en expertise zo effectief mogelijk ingezet en versnippering binnen het cybersecurity-informatiedelingsstelsel zoveel mogelijk tegengegaan. Door het opgaan in één organisatie creëren we helderheid voor bedrijven en organisaties in Nederland die informatie nodig hebben om hun weerbaarheid te vergroten.
  • Met het wetsvoorstel bevordering digitale weerbaarheid bedrijven (Wbdwb) versterken we de wettelijke basis van het Digital Trust Center en zorgen we ervoor dat informatie over digitale dreigingen en risico’s bedrijven kan bereiken.
  • In de komende jaren breidt het DTC haar dienstverlening uit met nieuwe producten en diensten, waaronder een vernieuwde basisscan die nog beter aansluit bij de behoeften van zzp‘ers en mkb‘ers. Daarnaast blijft het DTC samenwerking aanjagen en zullen het aantal en de kwaliteit van de samenwerkingsverbanden dat aangesloten is bij het DTC verder toenemen. Hiermee neemt het bereik navenant toe. Met de implementatie van de herziene Europese richtlijn voor Netwerk- en Informatiebeveiligingsrichtlijn (NIB2) worden ruim 5000 bedrijven in Nederland verplicht om cybersecurity-incidenten te melden en specifieke maatregelen te nemen om hun digitale weerbaarheid te verhogen. Er wordt toezicht gehouden op de naleving van deze plichten. Deze plichten gelden nu voor 200 organisaties in Nederland. Naast eerdere sectoren zoals telecom en energie worden bijvoorbeeld ook post- en koeriersdiensten, ruimtevaart, de levensmiddelensector en de maakindustrie gereguleerd.

Digital Trust Center
Veilig digitaal ondernemen is een must voor elk bedrijf. Het ministerie van EZK heeft in 2018 het Digital Trust Center (DTC) opgericht om bedrijven weerbaar te maken tegen cyberdreigingen. Het DTC helpt bedrijven hierbij op twee manieren. Ten eerste geeft het DTC informatie en advies. Via de website, nieuwsbrief, sociale media, een community en tools zoals de Basisscan Cyberweerbaarheid. Tevens beschikt het DTC over een informatiedienst. Hierdoor wordt het niet-vitale bedrijfsleven informatie en advies geboden over relevante specifieke kwetsbaarheids- en dreigingsinformatie die bij de overheid bekend is, zodat zij daarop actie kunnen ondernemen om schade voor het bedrijf te voorkomen of zoveel mogelijk beperkt te houden. Ten tweede stimuleert het DTC samenwerkingsverbanden van bedrijven in een regio of branche. Hierin kunnen ondernemers van elkaar leren, ervaringen uitwisselen en samenwerken aan producten die helpen om cyberweerbaar(der) te worden.

2. Veilige en innovatieve producten en diensten

  • Vanaf 1 augustus 2024 worden Europese cybersecurity markttoegangseisen van kracht in voor draadloos verbonden apparaten met bijbehorende standaarden, waaronder IoT- apparaten, onder de Radio Equipment Directive. Agentschap Telecom kan vanaf dat moment onveilige apparaten van de markt weren en halen.
  • We maken ons in de Europese onderhandelingen voor de Cyber Resilience Act hard voor een cybersecurity zorgplicht voor fabrikanten en leveranciers van alle ICT-producten, diensten en processen, gedurende de hele levenscyclus ervan, inclusief bijbehorende standaarden en toezicht.
  • In samenwerking met private partijen dragen wij bij aan de ontwikkeling en adoptie van Europese cybersecurity certificeringschema’s voor ICT-producten, diensten en processen onder de Cyber Security Act zoals voor clouddiensten en 5G technologie.
  • Het publiek-private samenwerkingsplatform Dcypher faciliteert de verbinding tussen overheid, bedrijven en kennisinstellingen. Samen dragen de partijen zorg voor de agendering en programmering van cybersecurity kennis- en innovatie projecten en werkprogramma’s, zoals de routekaarten op de onderwerpen Cryptocommunicatie en Automated Vulnerability Research (AVR).
  • We sluiten met een Nationaal Coördinatie Centrum (NCC-NL) aan bij het Europese Netwerk van Cyber Competence Centers en maken beter gebruik van Europese fondsen zoals Horizon Europe en het Digital Europe Programme.

3. Cybersecurity-arbeidsmarkt, onderwijs en digitale weerbaarheid van burgers

  • De risico’s van digitale kwetsbaarheden en dreiging moeten zoveel als mogelijk worden gedragen door de ontwikkelaars en aanbieders van ICT-producten en diensten. Er zal daarom een verantwoordelijkheid voor de burger of het mkb blijven waarbij zij ook zelf maatregelen moet nemen. Met doelgroep specifieke voorlichtingscampagnes zoals ‘Doe je updates’ blijven we werken aan de bewustwording van burgers. Via structurele voorlichting op de publieke-private website veiliginternetten.nl vinden jaarlijks circa 1 miljoen bezoekers informatie over hoe ze zichzelf kunnen beschermen. In oktober worden jaarlijks de bewustwordingsactiviteiten van publieke en private partners bij elkaar gebracht in Nederland, als onderdeel van de jaarlijkse cybersecuritymaand en de ‘Alert Online’ campagneperiode.
  • In samenwerking met Human Capital Agenda ICT, bedrijven, onderwijsinstellingen en de overheid worden de kwalitatieve en kwantitatieve tekorten op de cybersecurity arbeidsmarkt in kaart gebracht en gezamenlijk acties ontwikkeld hoe deze tekorten aan te pakken (zie ook de initiatieven onder pijler 2 ‘Stimuleren digitale innovatie en vaardigheden’).

Cyber Resilience Act
Voor de weerbaarheid van burgers en bedrijven is het van groot belang dat de digitale producten en diensten die we gebruiken veilig zijn. Momenteel rust de verantwoordelijkheid te veel op de gebruiker. In de onderhandelingen over de Cyber Resilience Act (CRA) zetten we in op horizontale Europese wetgeving die de verantwoordelijkheid primair bij de fabrikant en leverancier van digitale producten en diensten legt door invoering van een zorgplicht om gedurende de hele levenscyclus aan essentiële cybersecurityvereisten te voldoen.

[1] Kamerstuk 26 643, nr. 925