Cybersecuritystrategie 2022 - 2028 gelanceerd: meer samenwerking en komst cyberautoriteit

11 oktober 2022, laatst geüpdatet 11 september 2024
De Minister van Justitie heeft op 10 oktober de cybersecuritystrategie 2022 - 2028 gepresenteerd. In het document wordt sterk de nadruk gelegd op samenwerking om de samenleving weerbaar te houden. Een ander opvallend punt is de komst van een nieuwe cyberautoriteit: het nationale Cyber Security Incident Response Team. Een korte beschouwing.
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
In dit artikel

Meer regie door overheid

Een van de opvallende punten in het strategiedocument is dat de Nederlandse overheid meer regie wil pakken. De bestaande organisaties NCSC, DTC en CSIRT-DSP worden samengevoegd in één autoriteit. Daarbij zal het bestaande NCSC zich doorontwikkelen tot het Cyber Security Incident Response Team (CSIRT) en uitgangspunt is dat dit het enige CSIRT is; nieuwe CSIRT ontstaan alleen als dit specifiek toegevoegde waarde heeft.

Vanuit de nieuwe centrale organisatie moet de regie worden gepakt en moet vooral ook praktisch hanteerbare informatie worden verspreid die past bij de doelgroep.

Meer verantwoordelijkheid leveranciers

Een ander punt dat opvalt is dat de overheid sterk gaat inzetten op de zorgplicht van leveranciers voor het leveren van veilige producten en diensten, gedurende hele levenscyclus van de producten. Nederland gaat op Europees niveau pleiten voor wetgeving waarin duidelijke normen van dergelijke aard staan.

Nederland gaat er vanuit dat vervolgens via het reguliere aansprakelijkheidsrecht de leverancier aan te spreken is op naleving van die normen. Of dat laatste ook zo is valt nog te bezien; zolang het aansprakelijkheidsrecht in de kern regelend recht blijft, blijft immers denkbaar dat leveranciers hun aansprakelijkheid eenvoudig 'wegcontracteren' (zoals bijvoorbeeld ook in de branchevoorwaarden gebeurt).

Meer verantwoordelijkheid organisaties

Ook is het de bedoeling dat organisaties zich veel bewuster worden van cyberrisico's en er veel bewuster mee bezig zijn. Organisaties moeten risico-gebaseerde maatregelen nemen die proportioneel zijn aan het risico van de organisatie.

Van bestuurders wordt in dit kader het nodige verwacht. Zo wordt er in het beleid gewezen op het belang om ook rekening te houden met risico's die voortkomen uit (inter)sectorale afhankelijkheden en het belang en veiligheid voor anderen. Met andere woorden: bestuurders worden geacht de hele keten te overzien. Dat is een flinke uitdaging, alleen al nu ketens steeds complexer worden (getuige bijv. ook de nasleep van de coronapandemie) en nu systemen steeds vaker via allerlei API's aan elkaar worden gekoppeld. Bestuurders voor wie de vorige zin abacadabra was, moeten wellicht op bijscholing.

Voor sommige organisaties zullen bovendien aangescherpte regels gaan gelden. Deze komen voornamelijk uit Europa, het is echter denkbaar dat daarnaast ook nationale aanvullende regels gesteld gaan worden.

Organisaties krijgen zo mogelijk te maken met een bonte verzameling aan toezichthouders. Het is te hopen dat op voorhand goed wordt nagedacht over de afbakening van die bevoegdheden, zodat organisaties vooruit worden geholpen in plaats van belanden in een strijd tussen toezichthouders.

Meer delen van kennis

Het beleid stuurt ook aan op het meer delen van kennis over kwetsbaarheden en over ervaringen met incidenten. De oproep is begrijpelijk en tegelijkertijd ook ingewikkeld.

Een bekend adagium is immers dat het niet de vraag of je wordt gehackt, maar wanneer je wordt gehackt. Tegelijkertijd wordt in de media of politiek vaak moord en brand geschreeuwd zodra een organisatie dan daadwerkelijk wordt gehackt. Zolang dat nog de cultuur is, zal het lastig zijn om van organisaties openheid van zaken te verwachten. De dreiging van boetes en schadeclaims nog doorgelaten.

Het beleid maakt dan ook nog weinig concreet hoe om te gaan met dit dilemma. Kennis zal immers pas echt worden gedeeld als het ook veilig is om het te delen. Tegelijkertijd zal niemand willen dat kennis delen een vrijgeleide wordt om dan dus maar niet aan beveiliging te doen.

Meer verantwoordelijkheid bij de burger

Ook de burger zal met het beleid te maken gaan krijgen. Zo wordt van burgers onder meer verwacht veilig te werken, onder meer door tweefactorauthenticatie te gaan gebruiken. Ook neemt de overheid zich voor de burgers snel van begrijpelijke informatie te voorzien en burgers in staat te stellen eenvoudig melding of aangifte te kunnen van cyberincidenten.

Dat wordt nog een hele uitdaging. Simpele statistieken laten zien dat hele hordes consumenten bijvoorbeeld het internet opgaan met al lang niet meer ondersteunde versies van Android of van Windows. Ze zien het probleem kennelijk niet, of hebben het geld niet voor betere apparatuur (of omgekeerd: we accepteren kennelijk als maatschappij te snel dat softwareontwikkelaars stoppen een product veilig te houden; de eerder aankondigde normen van het Rijk prikkelen hier de gedachte). Consumenten gebruiken bovendien nog grootschalig steeds hetzelfde wachtwoord en snappen - blijkens de autocomplete feature bij Google.... - het verschil tussen de adresbalk van de browser en het zoekscherm van Google niet eens.

Ten slotte

Het is duidelijk: de lat wordt op alle fronten hoger gelegd, maar er zijn (juist ook wel daarom) nog genoeg uitdagingen over. Er valt ook nog genoeg nader uit te werken. Dat gaat nog veel nieuws betekenen op het gebied van cyber en security. Ik zal er vaker over bloggen. Of neem gerust contact op voor vragen.

Gerelateerd

Hoe goed is jouw bedrijf beveiligd?

Alle computerschermen op zwart, een natuurramp, of een inbraak midden in de nacht. Het is de nachtmerrie van iedere bestuurder. Voor belangrijke organisaties,...

Aandachtspunten bij het gebruik van AI in de zorg (deel II)

Artificial Intelligence (AI) is een gamechanger voor de gezondheidszorg. Voor een sector die kampt met personeelstekorten en groeiende kosten, kan...

Hoge lat voor uitbesteding kritieke en belangrijke functies in concept RTS onder DORA

In het kader van het verlenen van ICT-diensten aan financiële entiteiten is er niet zelden sprake van een complexe keten van ICT-uitbesteding waarbij externe...

AI, data en cyber: Europese wetten om in de gaten te houden

Begin december heeft de Europese Unie dan eindelijk een politiek akkoord bereikt over de AI Act. Deze wet zal grote veranderingen met zich brengen voor de...

IT-projectmanagement & de juridische gereedschapskist: tips en aandachtspunten

Een IT-project tot een goed einde brengen is een hele klus. Veel IT-projecten mislukken nog steeds. Heldere afspraken over en goede uitvoering van het...

Hof: ook bij levering maatwerksoftware kijken naar de afspraken, niet naar de verwachtingen

Het is vaak makkelijk mopperen op een IT-systeem. "Het doet het niet", of "dit werkt toch niet" hoor je dan. Mopperen is echter makkelijk. De vraag is of het...
No posts found