Aanpakken van leveranciers onveilige software 'is zaak voor Europa'

Leveranciers bombarderen klanten met patches en updates om software veilig te houden, maar in de toekomst moeten zij zelf wettelijke verantwoordelijkheid dragen voor de veiligheid van software. Die omslag moet volgens minister Yesilgöz-Zegerius van Justitie en Veiligheid echter Europees geregeld worden.

Sjoerd HartholtMeer van deze auteur

Citrix experience, workforce, productivity — © Citrix

Citrix

PvdA-Kamerlid Barbara Kathmann vroeg om opheldering naar aanleiding van het OVV-rapport over de beveiligingslekken in Citrix-software. Daarin werd gesteld dat de Nederlandse aanpak van digitale veiligheid tekortschiet, waardoor de maatschappij gevaar van ontwrichting loopt door digitale aanvallen. Fundamentele veranderingen moeten snel worden doorgevoerd, adviseert de Onderzoeksraad voor Veiligheid (OVV).

Structureel in plaats van oplappen

Kathmann wilde onder meer weten wat het kabinet gaat ondernemen om ervoor te zorgen dat er wordt geïnvesteerd in structurele en toetsbare oplossingen voor de veiligheid van software. Deze aanpak moet in de plaats komen van de staande praktijk waarbij softwaregebruikers worden overladen met patches en updates.

Minister Yesilgöz-Zegerius schrijft in antwoord op deze Kamervragen dat Nederland bij de ontwikkeling van de Europese Cyber Security Act inzet op de ontwikkeling van een certificeringschema voor softwarebeveiliging. Ook heeft Nederland zich sterk gemaakt voor Europese maatregelen zoals cybersecuritycertificering van ICT-producten, diensten en processen onder de Cyber Security Act. De bewindsvrouw stelt verder dat het nieuwe kabinet het OVV-rapport zorgvuldig aan het bestuderen is en dat er voor de zomer een kabinetsreactie wordt gegeven.

Niet één afzonderlijke maatregel

Om af te dwingen dat softwarefabrikanten meer investeren in structurele oplossingen voor veiligheidsproblemen in software, dringt Nederland er volgens de minister bij Europese Commissie op aan dat er certificering voor softwarebeveiliging wordt ontwikkeld.

“Het rapport van de OVV laat zien dat cybersecurity een complex vraagstuk is en de aanbevelingen van de OVV in samenhang moeten worden bezien. Er is niet één afzonderlijke maatregel die de digitale veiligheid kan realiseren. Bij de besluitvorming over de opvolging van deze aanbeveling zal het bestaande instrumentarium in volle breedte in ogenschouw moeten worden genomen.”

Het wettelijk vastleggen van de verantwoordelijkheid van fabrikanten voor veilige software is volgens de minister geen taak voor het kabinet. Deze zal volgens haar op Europees niveau geregeld moeten worden. “De OVV heeft deze aanbeveling dan ook gericht aan de Europese Commissie. Eventuele inzet in lijn met deze aanbeveling vanuit het kabinet zou dan ook gericht zijn op het beïnvloeden van besluitvorming hierover op Europees niveau.”