Het belang van een landelijk dekkend stelsel
Omdat de digitale veiligheid van de Nederlandse samenleving essentieel is, publiceerde de raad in juli 2017 het CSR Advies ‘Naar een landelijk dekkend stelsel van informatieknooppunten, advies inzake informatie-uitwisseling met betrekking tot cybersecurity en cybercrime’. In dit advies stelt de raad dat informatie over cybersecurity voor alle organisaties in Nederland op eenvoudige wijze toegankelijk moet zijn. Daarom moet Nederland moet beschikken over een landelijk dekkend stelsel van informatieknooppunten.
Deze week publiceerde AG Connect een artikel over de vorming van het landelijk dekkend stelsel en ging hierover onder andere in gesprek met Hans de Jong, covoorzitter van de raad namens de private sector en President Philips Nederland.
In het interview met AG Connect stelt De Jong dat de vorming van het stelsel nog niet snel genoeg gaat. Het is duidelijk dat de uitrol van het landelijk dekkend stelsel wordt opgepakt, maar het tempo waarin het stelsel wordt geïmplementeerd moet omhoog. Dit blijkt volgens De Jong wel uit het recente Citrix-incident en de ransomware-aanval op de Universiteit Maastricht. Tijdens de Citrix affaire is gebleken dat de beveiligingsadviezen niet in alle gevallen de organisaties buiten de primaire doelgroepen van het NCSC (vitale infrastructuur en Rijk) bereikten. Ook die overige organisaties moeten worden bereikt, maar daar ontbreekt het aan juridische grondslag. “Op dit moment hebben vooral organisaties die niet behoren tot de vitale infrastructuur, bewust of onbewust een ernstig informatietekort”, aldus De Jong. “We kunnen het ons niet meer veroorloven om informatie slechts in beperkte mate te delen. Daarom moet de invoering van een landelijk dekkend stelsel de hoogste prioriteit te krijgen.” Eventuele gaten in het stelsel moeten dan ook gedicht worden, vindt De Jong. “Daar hoort bij dat er serieus moet worden gekeken naar de scope van het NCSC en de definitie van de vitale sectoren, zonder dat dit leidt tot de conclusie dat álles maar vitaal verklaard moet worden. De NCTV heeft aangegeven te kijken of de huidige definitie van het vitale stelsel nog afdoende is.”
De Jong vindt dat cybersecurity nog altijd een verantwoordelijkheid is van bedrijven en organisaties zelf. “Maar de universiteit krijgt tienduizenden meldingen per jaar van mogelijke kwetsbaarheden. Dan heb je als organisatie hulp nodig om daar de meest relevante meldingen uit te filteren.” Daarnaast benadrukt De Jong dat om zaken goed te regelen ook de samenwerking tussen bedrijven en overheid op het gebied van cybersecurity moet worden verstevigd. “Dat geldt ook voor de samenwerking binnen de overheid en binnen de private sectoren.”
Om de zaken goed te regelen moet de samenwerking tussen bedrijven en overheid op het gebied van cybersecurity wordt verstevigd. Dat geldt ook voor de samenwerking binnen de overheid en binnen de private sectoren. De raad ziet in zijn algemeenheid graag dat er meer regie op samenwerking gaat komen om onze cyberweerbaarheid te verhogen. De raad wil dat het komende kabinet daarop gaat inzetten in combinatie met de invoering van een meerjarenprogrammering en dekkende financiering.