Het fundament ligt er al dertig jaar

Het normenkader voor informatieveiligheid waarop dit leunt, ISO 27001, bestaat in de vorm van zijn voorgangers sinds de jaren negentig. De Europese richtlijn ligt al jaren op tafel. Wetgeving begint bovendien in Brussel en Nederland is lid en mag gewoon meedoen, niet pas zodra de tekst definitief is. Een fundament had er allang kunnen en ook moeten liggen. Hoeveel tijd wil het kabinet nog?

Het kabinet kent zijn eigen kroonjuwelen niet

Tijdens het debat over de overname van Solvinity bleek het kabinet niet te kunnen aangeven wat de kroonjuwelen van de Rijksoverheid zijn. Die lijst werd nog opgesteld. Tegelijkertijd roept datzelfde kabinet nu vitale organisaties op zich te wapenen tegen dreiging. Een opmerkelijke volgorde: eerst anderen aansporen, daarna pas zelf inventariseren wat beschermd moet worden.

De praktijk is intussen ontluisterend. De Belastingdienst krijgt zijn eigen e-mail niet op orde en moet het maar uitbesteden. Kritieke voorzieningen als DigiD en de Berichtenbox laten zich niet binnen maanden verhuizen. Incidenten bij het Openbaar Ministerie, het ministerie van Financiën, Odido, Rituals en Bevolkingsonderzoek Nederland legden telkens de kwetsbaarheid bloot.

"Andere landen lopen ook achter"

De woordvoerder benadrukt dat Nederland niet alleen staat: ook Bulgarije, Frankrijk, Luxemburg, Polen, Spanje en Zweden zijn gedagvaard. Dat is het argument van de automobilist die wijst naar andere hardrijders die ook een bekeuring kregen. Het verandert niets aan het feit dat landen zoals Griekenland, Italië, Kroatië, Cyprus, Hongarije, Malta, Roemenië, Slovenië en Slowakije de richtlijn wél hebben ingevoerd. Wij lopen achter op landen waaraan Den Haag zich graag spiegelt, én achter op landen waaraan het zich liever niet spiegelt.

Niet complex, een kwestie van willen

Het kabinet noemt het traject "omvangrijk en complex". Maar de kern is bekend: houd je aan standaarden, begin met implementatie zodra Brussel de richting bepaalt, en zorg dat vitale processen bestand zijn tegen uitval. En wat wordt gevraagd zijn de basics van informatieveiligheid en die zijn totaal niet nieuw. Dat is geen bijzondere expertise. Dat is bestuurlijk handwerk. Of, in Rotterdamse termen: niet lullen, maar poetsen.

De dreiging is intussen niet abstract. De MIVD, de AIVD, de NCTV en buitenlandse inlichtingendiensten waarschuwen onafgebroken voor cyberaanvallen, sabotage en spionage uit Rusland, China en Iran. De directeur van de MIVD spreekt over acties die net onder de drempel van een openlijk militair conflict blijven. Het kabinet hoort het, knikt, en verwijst naar het volgende fundament.

Wat dan wel

Twee voorstellen liggen voor de hand. Laat het kabinet de Tweede Kamer maandelijks rapporteren wat gedaan is, wat loopt en wat er de komende maand gebeurt om informatieveiligheid en weerbaarheid op orde te krijgen. Concreet, op organisatieniveau, met deadlines. En: zet nieuwe beleidsambities in de ijskast totdat privacy, informatieveiligheid en Europese verplichtingen daadwerkelijk op orde zijn. Wie zijn huis niet op slot heeft, koopt geen nieuwe meubels.

Een rechtszaak van de Europese Commissie zou een wake-upcall moeten zijn. Op weerbaarheid zijn we het lulletje rozenwater. Het lijkt vooralsnog vooral een nieuwe dossierregel waar het kabinet omheen schrijft. De rekening daarvoor wordt niet in Den Haag betaald, maar bij de eerste grote uitval van een vitale sector.