Innovatie & Strategie

Security
Miljoennennota 2023

Security-experts blij en bezorgd over securityplannen overheid

Enthousiasme over “eindelijk serieus geld”, maar zorgen over tijd en coördinatie.

© Rijksoverheid
6 oktober 2022

Enthousiasme over “eindelijk serieus geld”, maar zorgen over tijd en coördinatie.

De op Prinsjesdag ontvouwde plannen en budgetten voor de cybersecurity van Nederland zijn gespannen afgewacht en met argusogen bekeken. Nederlandse security-experts reageren blij, behoedzaam, bezorgd en hoopvol. “Het lijkt wel of de overheid uit de puberteit is.”

Digitalisering en daarbij ook beveiliging daarvan krijgt serieuze aandacht van het kabinet. Prinsjesdag van dit jaar met de Miljoenennota voor komend jaar houden het niet bij lippendienst, maar voegen budgetten bij de woorden over het belang van digitalisering en de noodzaak van cybersecurity.

Justitie, Veiligheid, Defensie

Zo geeft het ministerie van Justitie en Veiligheid (JenV) cybercrime meer aandacht en digitaliseert Defensie mede met het oog op cyberoorlog en hybride oorlogvoering. Beide ministeries zien toenemend cybergevaar en Defensie stelt dat het zowel verdedigend als ook aanvallend digitaal moet kunnen handelen. Het ministerie heeft "een cyberplan opgesteld om defensiebreed de digitale capaciteiten te versterken".

JenV verwijst in in de beleidsprioriteiten van Prinsjesdag 2022 naar de Veiligheidsmonitor 2021 waarin al stond dat cybercrime en gedigitaliseerde criminaliteit “vrijwel net zo vaak slachtoffers maken als traditionele criminaliteit”. Het Openbaar Ministerie investeert in de aanpak van cybercrime en versterkt de opsporingscapaciteit in het digitale domein. “En om cybercrime te voorkomen door de bewustwording bij potentiële slachtoffers te versterken, trekken de ministeries van BZK, JenV en EZK gezamenlijk op.”

Reacties, inschatting

Naast deze ministeries, die vooral veel met cybersecurity bezig zijn, valt er meer ICT en ICT-beveiliging te bespeuren in de Prinsjesdag-plannen. AG Connect heeft diverse experts en betrokkenen gevraagd naar hun reactie op en inschatting hiervan. Over wat de overheid wil en gaat doen tegen cybercrime, tegen digitale dreigingen en cyberoorlog, maar ook voor meer privacy, betere cyberbescherming, en meer digitale zaken.

“Het is fijn is dat de overheid eindelijk bereid is daadwerkelijk serieus geld uit te geven aan digitalisering in de volle breedte”, reageert voormalig Tweede Kamerlid Astrid Oosenbrug. Die volle breedte, zo licht zij toe, omvat sturing op de aanpak van digitale dreigingen, plus toezicht op en voorlichting aan bedrijven en organisaties, plus educatie over een brede linie.

Oosenbrug is als medeoprichter van securitywaarschuwingsdienst DIVD en de bijbehorend opleidingsinitiatief DIVD Academy actief bezig met al die elementen. Het nu driejarige DIVD (Dutch Institute for Vulnerability Disclosure) draait op vrijwilligers en heeft eind vorig jaar subsidie weten te verkrijgen.

Dave Maasland, directeur van securityleverancier ESET, is ook positief gestemd over de budgetten die in de Miljoenennota worden toegekend aan cybersecurity. ”Vorig jaar te weinig geld erbij”, begint hij zijn reactie. Maar “dit lijkt er meer op, een goede stap in de richting!”, oordeelt hij over Prinsjesdag van dit jaar. “Cyber wordt eindelijk in één adem genoemd met de grote thema’s: nationale veiligheid, economische veiligheid, ondermijning. Cyber hoort bij de big boys.”

Liesbeth Holterman van Cyberveilig Nederland wijst daarbij onderling verband aan. “Veel overheidsgeld gaat om economische groei, maar cyber is een randvoorwaarde voor economische groei.” Zij lijkt in eerste instantie ook positief over de geplande miljoenenbudgetten: “Dat is meer dan in de afgelopen tijd is toegekend”.

Maar, voegt ze gelijk toe, “het loopt nogal uit de pas” met wat er volgens de Cyber Security Raad (CSR) nodig is. Dat adviesorgaan voor de overheid is begin vorig jaar in een rapport uitgekomen op een onderbouwd bedrag van 833 miljoen. Nadat het eerder al had aangedrongen op meer en betere cybersecuritymaatregelen.

‘Ronduit enthousiast’

Zulke maatregelen komen er nu wel, met minder budget dan wat de CSR nodig acht. Dat tempert niet de verheugde reactie van Steven Dondorp, CEO van securitybedrijf Northwave. “Waar ik afgelopen jaren diep teleurgesteld was over de Overheidsplanning en met name de financiële toewijzingen in de begrotingen op het gebied van Cybersecurity, ben ik voor het eerst ronduit enthousiast.”

“Het lijkt wel of de overheid uit de puberteit is. De fase waarin je van ervaringsdeskundigen hoort wat er moet gebeuren, maar je zit zelf nog in de onderschattingsmodus met oogkleppen. Aan den lijve moet je vaak dan eerst zelf ervaren voor je daadwerkelijk wat gaat doen.”

Dondorp uit dezelfde lof als Oosenbrug dat er nu ook aandacht voor cybersecurity in brede zin is. Hij merkt op “dat de investeringen van de overheid in de breedte plaatsvinden en niet in symbolische mini-projectjes als proefballonnetjes. Zo zie ik vooral brede cyberplannen als beleidsprioriteiten in de Prinsjesdagstukken over meerdere ministeries. Defensie zet in op meer cyberdefensie, digitale slagkracht en het ontwikkelen tot meer en betere cyberspecialisten. Maar ook ook BZK, Jen V en EZK zetten fors in op dit thema.”

Extern, maar ook intern

Daarin valt hem op dat die departementen “dit niet alleen doen rondom de natuurlijke bestrijding van cybercrime, desinformatie en gedigitaliseerde misdaad voor ons allen, maar ook de hand in eigen boezem steken”. Voor de ministeries zelf is ook intern duidelijk beleidsprioriteit gegeven, ziet de Northwave-topman.

Die prioriteit is dan voor het innoveren en verbeteren van de interne cybersecurity van systemen, voor verbetering van de informatiehuishouding én voor het digitaal weerbaarder maken van de eigen medewerkers. “Dat laatste kreeg vaak minder prioriteit in de leesbare beleidsstukken, mogelijk vanuit de grote focus op de BV Nederland en de maatschappij zelf.”

Oosenbrug haalt ook de verschillende ministeries aan in haar reactie op de Prinsjesdag-beleidsstukken. “Je ziet ook dat de diverse departementen met eigen plannen komen en daar redelijke budgetten voor gaan krijgen.” Zij voegt daar echter aan toe dat ze nog wel een duidelijke coördinator mist.

Dat betreft dan niet zozeer het Nationaal Cyber Security Center (NCSC), dat juist flink versterkt wordt. Nee, Oosenbrug heeft het over een coördinerende entiteit “die ervoor gaat zorgen dat deze cybercentjes op de juiste wijze uitgegeven gaan worden en niet aan het zoveelste ‘rapport’ dan wel ‘onderzoek’.”

Echt centraal cybercentrum

Wat uitvoering betreft, krijgt het NCSC nu wel een grotere en centralere rol. Northwave-CEO Dondorp is daar tevreden over: “Een van de zaken die ik enorm toejuich is dat alle nationale cybersecuritycentra (NCSC, DTC, CSIRT-DSP) samengaan tot één duidelijk expertisecentrum en voor Nederland een centraal informatieknooppunt gaan vormen. Voor de optimalisatie daarvan zal eerst geld nodig zijn.”

Hij voorziet dat die bundeling van kennis, informatie en wettelijke taken en dienstverlening bij grote cyberincidenten zal leiden tot een vergrote digitale weerbaarheid van Nederland. “Groot of klein, publiek of privaat, vitaal en niet-vitaal krijgt vanuit één helder punt straks gerichte informatie en kennis vanuit de overheid rondom dit thema.”

De daaraan te besteden fondsen zijn simpelweg noodzaak, aldus Dondorp. “Deze investeringen zullen voor ons allen nodig zijn in de steeds digitaler wordende maatschappij. Ze komen niet zozeer terug in een opbrengst, maar vanuit de wetenschap dat we in het verleden zagen hoezeer het onze maatschappij afremt en beschadigt. In tijden van schaarste moet je goed weten wat je te beschermen hebt en daarop van te voren weerbaar zijn.” Vooraf identificeren en dan beschermen van waardevolle zaken is volgens hem “een actieve volwassen houding op basis van ervaring.”

Samenwerking zoeken

Naast coördinatie is ook samenwerking hierbij nodig, stipt Oosenbrug aan. “Ik zou het een gemiste kans vinden als de diverse departementen niet de samenwerking gaan zoeken met elkaar en zodoende onze digitale dijken - voor héél Nederland, van burger tot bedrijfsleven - verder kunnen gaan versterken.”

De medegrondlegger van securitywaarschuwingsdienst DIVD benadrukt nog dat het inlichten van slachtoffers van hackaanvallen cruciaal is. “IMHO [in my humble opinion - red.] mag slachtoffernotificatie daar zeker niet ontbreken.” Oosenbrug leest daarover nog te weinig in de diverse plannen. Zij merkt op dat dit wel “het bestaansrecht van DIVD rechtvaardigt en daarom gaan onze vrijwilligers dapper door met het digitaal veilig(er) maken van Nederland”.

Is er nog wel tijd?

Ondertussen uit ESET-CEO Dave Maasland toch enige zorgen. “De grote vraag zal zijn: hebben we de tijd wel die wordt genomen?” Hij wijst erop dat de investeringen in cybersecurity weliswaar oplopen, maar dat de voorgenomen integratie van organisaties in het NCSC pas in 2026 gaat gebeuren. “Is die tijd er gezien de dreiging?”, vraagt hij zich hardop af.

Naast timing maakt Maasland zich ook zorgen over visie en concretisering. “Ambitie wordt getoond, maar er wordt verwezen naar de ‘strategie die gaat komen’.” De ESET-topman ziet dat er ambitie is, maar uit twijfels of er ook echt visie en een strategie is. “Dat blijft nog vaag”, stelt hij. Holterman van Cyberveilig Nederland verwoordt het steviger: “Geld wat naar cyber gaat, is een boekje voor het bloeden. Klein bier.” Zij ziet er weinig overall visie in.

De nog komende strategie waar Maasland naar verwijst is de nieuwe Nederlandse Cybersecurity Strategie, die komend jaar wordt ingezet. AG Connect wordt daarheen verwezen vanuit de Cybersecurity Alliantie (CSA). Dat publiek-private samenwerkingsverband onthoudt zich vooralsnog van een reactie op de cybersecurityplannen en -budgetten die op Prinsjesdag zijn onthuld. “Als de actieplannen [in het kader van de nieuwe Nederlandse Cybersecurity Strategie - red.] gereed zijn, zal duidelijk worden waar de accenten liggen om Nederland digitaal weerbaarder en veiliger te maken”, laat Marjolijn Bonthuis van de CSA weten aan AG Connect.

Toch geen chefsache?

Holterman van Cyberveilig Nederland wijst er nog op dat er nieuwe securitywetgeving (NIS2) aankomt, waardoor duizenden organisaties dan onder toezicht van de overheid komen te vallen. “Dat komt onvoldoende door”, zegt zij. Het lijkt erop dat NIS2 nog niet is meegenomen in de Prinsjesdag-plannen, hoewel dat volgens haar ook wel valt te verklaren vanuit het feit dat NIS2 nog niet is uitgekristalliseerd.

Mogelijk dat er sprake is van een discrepantie tussen de (Nederlandse) begrotingscyclus en de lopende EU-onderhandelingen over NIS2. Misschien dat er in de Voorjaarsnota 2023 dan een bijstelling komt. “Ik hoop dat het niet zo gaat als met de energienota”, verzucht Holterman nog. Zij stelt dat security nog altijd niet chefsache is in Nederland.

Van crisis naar crisis

“We sjouwen van de ene naar de andere crisis”, verwijst ze naar de woningcrisis, de energiecrisis, de stikstofcrisis. Om nog maar te zwijgen over de nog altijd slepende coronacrisis, en hopelijk straks niet ook een nationale cybersecuritycrisis.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.