Meer regie door overheid
Een van de opvallende punten in het strategiedocument is dat de Nederlandse overheid meer regie wil pakken. De bestaande organisaties NCSC, DTC en CSIRT-DSP worden samengevoegd in één autoriteit. Daarbij zal het bestaande NCSC zich doorontwikkelen tot het Cyber Security Incident Response Team (CSIRT) en uitgangspunt is dat dit het enige CSIRT is; nieuwe CSIRT ontstaan alleen als dit specifiek toegevoegde waarde heeft.
Vanuit de nieuwe centrale organisatie moet de regie worden gepakt en moet vooral ook praktisch hanteerbare informatie worden verspreid die past bij de doelgroep.
Meer verantwoordelijkheid leveranciers
Een ander punt dat opvalt is dat de overheid sterk gaat inzetten op de zorgplicht van leveranciers voor het leveren van veilige producten en diensten, gedurende hele levenscyclus van de producten. Nederland gaat op Europees niveau pleiten voor wetgeving waarin duidelijke normen van dergelijke aard staan.
Nederland gaat er vanuit dat vervolgens via het reguliere aansprakelijkheidsrecht de leverancier aan te spreken is op naleving van die normen. Of dat laatste ook zo is valt nog te bezien; zolang het aansprakelijkheidsrecht in de kern regelend recht blijft, blijft immers denkbaar dat leveranciers hun aansprakelijkheid eenvoudig 'wegcontracteren' (zoals bijvoorbeeld ook in de branchevoorwaarden gebeurt).
Meer verantwoordelijkheid organisaties
Ook is het de bedoeling dat organisaties zich veel bewuster worden van cyberrisico's en er veel bewuster mee bezig zijn. Organisaties moeten risico-gebaseerde maatregelen nemen die proportioneel zijn aan het risico van de organisatie.
Van bestuurders wordt in dit kader het nodige verwacht. Zo wordt er in het beleid gewezen op het belang om ook rekening te houden met risico's die voortkomen uit (inter)sectorale afhankelijkheden en het belang en veiligheid voor anderen. Met andere woorden: bestuurders worden geacht de hele keten te overzien. Dat is een flinke uitdaging, alleen al nu ketens steeds complexer worden (getuige bijv. ook de nasleep van de coronapandemie) en nu systemen steeds vaker via allerlei API's aan elkaar worden gekoppeld. Bestuurders voor wie de vorige zin abacadabra was, moeten wellicht op bijscholing.
Voor sommige organisaties zullen bovendien aangescherpte regels gaan gelden. Deze komen voornamelijk uit Europa, het is echter denkbaar dat daarnaast ook nationale aanvullende regels gesteld gaan worden.
Organisaties krijgen zo mogelijk te maken met een bonte verzameling aan toezichthouders. Het is te hopen dat op voorhand goed wordt nagedacht over de afbakening van die bevoegdheden, zodat organisaties vooruit worden geholpen in plaats van belanden in een strijd tussen toezichthouders.
Meer delen van kennis
Het beleid stuurt ook aan op het meer delen van kennis over kwetsbaarheden en over ervaringen met incidenten. De oproep is begrijpelijk en tegelijkertijd ook ingewikkeld.
Een bekend adagium is immers dat het niet de vraag of je wordt gehackt, maar wanneer je wordt gehackt. Tegelijkertijd wordt in de media of politiek vaak moord en brand geschreeuwd zodra een organisatie dan daadwerkelijk wordt gehackt. Zolang dat nog de cultuur is, zal het lastig zijn om van organisaties openheid van zaken te verwachten. De dreiging van boetes en schadeclaims nog doorgelaten.
Het beleid maakt dan ook nog weinig concreet hoe om te gaan met dit dilemma. Kennis zal immers pas echt worden gedeeld als het ook veilig is om het te delen. Tegelijkertijd zal niemand willen dat kennis delen een vrijgeleide wordt om dan dus maar niet aan beveiliging te doen.
Meer verantwoordelijkheid bij de burger
Ook de burger zal met het beleid te maken gaan krijgen. Zo wordt van burgers onder meer verwacht veilig te werken, onder meer door tweefactorauthenticatie te gaan gebruiken. Ook neemt de overheid zich voor de burgers snel van begrijpelijke informatie te voorzien en burgers in staat te stellen eenvoudig melding of aangifte te kunnen van cyberincidenten.
Dat wordt nog een hele uitdaging. Simpele statistieken laten zien dat hele hordes consumenten bijvoorbeeld het internet opgaan met al lang niet meer ondersteunde versies van Android of van Windows. Ze zien het probleem kennelijk niet, of hebben het geld niet voor betere apparatuur (of omgekeerd: we accepteren kennelijk als maatschappij te snel dat softwareontwikkelaars stoppen een product veilig te houden; de eerder aankondigde normen van het Rijk prikkelen hier de gedachte). Consumenten gebruiken bovendien nog grootschalig steeds hetzelfde wachtwoord en snappen - blijkens de autocomplete feature bij Google.... - het verschil tussen de adresbalk van de browser en het zoekscherm van Google niet eens.
Ten slotte
Het is duidelijk: de lat wordt op alle fronten hoger gelegd, maar er zijn (juist ook wel daarom) nog genoeg uitdagingen over. Er valt ook nog genoeg nader uit te werken. Dat gaat nog veel nieuws betekenen op het gebied van cyber en security. Ik zal er vaker over bloggen. Of neem gerust contact op voor vragen.
