Begroting '23: 2023 in teken van implementatie Nederlandse Cybersecurity Strategie

De Nederlandse Cybersecurity Strategie werd in 2022 ontwikkeld en beschrijft de rijksbrede cybersecurityaanpak, schrijft het ministerie van Justitie en Veiligheid in zijn begroting. In 2023 worden de maatregelen uit dat actieplan verder uitgevoerd, wat door de NCTV gecoördineerd wordt.

Centraal in die aanpak staat "een herziening van het stelsel en de implementatie van de Europese netwerk- en informatiebeveiligingsrichtlijn (NIB2-richtlijn)". Over die herziening werd in juni al een politiek akkoord bereikt binnen de EU-lidstaten en het Europees Parlement. Volgens de herziening krijgen meer sectoren een meldplicht voor ernstige cyberincidenten. Dat gaat bijvoorbeeld gelden voor datacenters en bedrijven in de chemische- en maakindustrie. Daarnaast moeten deze bedrijven veiligheidsmaatregelen nemen, zoals het verhogen van de beveiliging van hun toeleveringsketen.

Verdere ontwikkeling NCSC en cyberoorlog

"Omdat cybersecurity belangrijker wordt en de NIB2-richtlijn meer wettelijke taken met zich meebrengt investeert het kabinet in de doorontwikkeling van het Nationaal Cyber Security Centrum (NCSC). In 2023 ontwikkelen we het NCSC verder in de richting van een toekomstbestendig cybersecuritystelsel", vult het ministerie aan.

Het NCSC krijgt een ruimer budget: het groeit van 7 miljoen euro naar een budget van 23 miljoen. In 2027 zal het budget stijgen naar 42 miljoen. Daarmee groeit het budget tot het zesvoudige bedrag in slechts vijf jaar tijd. 

Dat geld is deels bedoeld om extra taken op zich te kunnen nemen, zoals het helpen van bedrijven. Nu is het NCSC er alleen voor de overheid en de vitale infrastructuur. De taakuitbreiding hangt samen met de fusie van het Digital Trust Center, dat nu nog onder Economische Zaken valt en speciaal voor bedrijven bedoeld is.

Verder wordt ingezet op een intensievere publiek-private informatie-uitwisseling, waarbij voort wordt gebouwd op bestaande initiatieven zoals de Cyber Info/Intel Cel. Daarnaast wordt er een nieuwe editie van de cross-sectorale en publiek-private cyberoefening ISIDOOR georganiseerd. En er wordt verder gewerkt aan het "het instrumentarium om kennisveiligheid te borgen. Zo komt o.a. het toetsingskader kennisveiligheid gereed en treedt waarschijnlijk de wet Veiligheidstoets investeringen, fusies en overnames in werking. Bovendien investeren we in het opbouwen van kennis van ‘sensitieve’ technologieën."

Tot slot houdt het ministerie van Justitie en Veiligheid rekening met hybride dreigingen, als gevolg van de Russische invasie van Oekraïne. "Het gaat hierbij om dwingende, ondermijnende, misleidende of heimelijke activiteiten van of namens statelijke actoren die de nationale veiligheidsbelangen van Nederland kunnen schaden. In 2023 werken we met andere ministeries en partners aan een Rijksbreed responskader om weerbaar te zijn tegen dit soort dreigingen."

6,6 miljoen extra vanuit EZK

Ook het ministerie van Economische Zaken en Klimaat (EZK) zet hoog in op cybersecurity, onder meer dus vanuit de Nederlandse Cybersecurity Strategie. Het ministerie richt zich op de thema's consumentenbescherming en de versterking van de cyberweerbaarheid van het bedrijfsleven. "Dit betekent dat het aanbod van ICT-producten en diensten veiliger moet worden, cybersecurity kennisontwikkeling en innovatie moet worden gestimuleerd en dat consumenten en bedrijven zich bewuster moeten worden van digitale dreigingen en risico’s en daar meer weerbaar tegen worden."

Daarnaast komt er op basis van het coalitieakkoord in 2023 6,6 miljoen euro aanvullend beschikbaar voor de EZK-inzet op cybersecurity. Vanaf 2027 loopt dat bedrag op tot structureel 16,1 miljoen euro. Het geld wordt onder meer gebruikt om de dienstverlening van de informatiedienst van het Digital Trust Center verder uit te bouwen, te professionaliseren en waar mogelijk te automatiseren. Die dienst heeft als doel om individuele bedrijven te waarschuwen voor concrete risico's en dreigingen waar de overheid weet van heeft.

"Daarnaast zal het netwerk van samenwerkingsverbanden van bedrijven kwantitatief en kwalitatief worden versterkt, waardoor het landelijk dekkend stelsel voor cybersecurity zich verder kan ontwikkelen. Het streven is om eind 2023 50 samenwerkingsverbanden van bedrijven te hebben, met een regionale, thematische of sectorale insteek. Het uiteindelijke doel is dat elk bedrijf in zijn omgeving een aanspreekpunt heeft voor informatie en advies over veilig digitaal ondernemen." Voor clouddiensten en en online-marktplaatsen wordt de informatievoorziening van het CSIRT volgend jaar verder uitgebouwd. 

EZK zet het geld verder in voor beleidsintensiveringen op een aantal thema's. Het gaat dan bijvoorbeeld om een wettelijke cybersecurity-zorgplicht voor fabrikanten en leveranciers van ICT-producten en -diensten in de productielevenscyclus in de Cyber Resilience Act. "Om consumenten bewust te maken van digitale risico’s en hen te stimuleren om beschermingsmaatregelen te nemen, zullen publiekscampagnes worden uitgevoerd zoals ‘Doe je updates’. Cybersecurity kennis en innovatie wordt gestimuleerd door middel van het publiek-private samenwerkingsplatform dcypher."