Het is niet best gesteld met de cyberbeveiliging bij Nederlandse bedrijven en instellingen. Dat concludeert de Cyber Security Raad, een adviesorgaan van het kabinet. Volgens de organisatie is 833 miljoen euro nodig om te komen tot een integrale aanpak voor cyberweerbaarheid.

Om Nederland ook in de toekomst een open, vrije en welvarende samenleving te laten zijn moet het nieuwe kabinet ingrijpen, benadrukt de Cyber Security Raad. Onze digitale veiligheid en digitale autonomie staan onder druk en daarmee ons maatschappelijk en economisch welzijn. De cyberweerbaarheid van ons land moet chefsache zijn, aldus het adviesorgaan. Daarom verdient het regie op het hoogste politieke- en ambtelijke niveau en een aanpak waarbij publiek, privaat en wetenschap elkaar versterken. Nederland moet de krachten bundelen en werken aan één cyberweerbaarheidsstrategie met een meerjarenprogramma zodat we onze ambities kunnen verwezenlijken, ons kunnen wapenen tegen cyberaanvallen en onze digitale autonomie kunnen verstevigen. Hiervoor is een investering nodig van 833 miljoen euro, bovenop de huidige uitgaven en budgetten voor cyberweerbaarheid.

Lacunes en gebreken
Dat is de conclusie van de Cyber Security Raad uit het CSR Adviesrapport ‘Integrale aanpak cyberweerbaarheid’ dat 6 april is gepubliceerd. Alleen met een integrale aanpak en de gevraagde investeringen voor cyberweerbaarheid kan Nederland zich in voldoende mate beschermen. Op dit moment is de cyberweerbaarheidsketen in Nederland niet op alle punten even sterk. Hierdoor ontstaan lacunes en gebreken waardoor de cyberweerbaarheid van Nederland op diverse onderdelen zwakheden vertoont. Cybercriminaliteit in Nederland neemt steeds verder toe en de georganiseerde misdaad en statelijke actoren vormen een permanente dreiging. Ook is er sprake van een groeiende afhankelijkheid van grote buitenlandse marktpartijen.  Hierdoor kunnen we niet altijd garanderen dat wij de enigen zijn met toegang tot onze vitale systemen en data. Er staat dus veel op het spel, aldus de CSR.

Publiek-private samenwerking
De raad roept het komende kabinet daarom op om in te zetten op een integrale aanpak van onze cyberweerbaarheid. Publiek-private samenwerking is daarbij essentieel. Voor de veiligheid van ons land, de economie en maatschappij is het cruciaal dat cyberweerbaarheid topprioriteit krijgt. Digitale veiligheid moet chefsache zijn, zowel bij de overheid als het bedrijfsleven. Het CSR Adviesrapport ‘Integrale aanpak cyberweerbaarheid’ bevat concrete (strategische) en op korte termijn te nemen maatregelen om de cyberweerbaarheid zo snel mogelijk op het noodzakelijke niveau te krijgen, inclusief de benodigde investeringen hiervoor. In het advies staan vijf speerpunten centraal, te weten regie op samenwerking en informatiedeling, weerbare vitale processen, versterking onderzoek en onderwijs, realiseren van cybercrime-handhavingsketen en zorgplicht van leveranciers voor veilige producten en diensten voor burgers, bedrijfsleven en overheid.

Regie op samenwerking en informatiedeling
De raad adviseert het nieuwe kabinet om in plaats van een Minister Digitale Zaken direct een ministeriële onderraad digitale zaken in te richten, waar cyberweerbaarheid en digitale autonomie integraal aan de orde wordt gesteld. Deze onderraad moet steunen op een interdepartementale strategische overlegkoepel, met daarin alle ministeries die raakvlakken hebben met cyberweerbaarheid. Er moet één cyberweerbaarheidsstrategie komen, inclusief een meerjarenprogramma. Op basis hiervan moet het budget worden verdeeld zodat de betrokken overheidsorganen hiermee hun werk kunnen inrichten.
De raad adviseert daarnaast het nieuwe kabinet om voor de langere termijn te verkennen hoe het besturingsmodel zo kan worden ingericht dat overheden, inclusief de decentrale overheden, bedrijfsleven en wetenschap gezamenlijk kunnen werken aan één nationale cyberweerbaarheidsstrategie. Omdat hiervoor naar alle waarschijnlijkheid wetswijziging nodig is, vraagt dit meer tijd.

Informatiedeling
Ook de informatiedeling over cyberdreigingen moet worden verbeterd. Een van de belangrijkste instrumenten om de cyberweerbaarheid van organisaties en burgers te verhogen, is hen snel te informeren wanneer hun IT-systemen kwetsbaarheden vertonen of gehackt zijn. De infrastructuur hiervoor moet snel worden verbeterd. Voor een effectieve, integrale aanpak van dit complexe probleem is een versterking en verbetering van de samenwerking tussen publiek, privaat en wetenschap op tactisch en operationeel niveau cruciaal. Het vraagt om een gezamenlijke inspanning om tot oplossingen te komen. Informatiedeling over cyberdreigingen en -kwetsbaarheden is daarbij een belangrijk onderdeel van de oplossing. Daarom pleit de raad voor een snellere vorming van een volwassen landelijk dekkend stelsel van informatieknooppunten (LDS).

Een veilige basis
Om te zorgen dat burgers, bedrijven en overheid minder kwetsbaar zijn in het digitale domein, pleit de raad voor extra aandacht en steun voor onze vitale processen en het verhogen van de snelheid waarmee deze cyberweerbaar wordt gemaakt. Dit beperkt de kans en impact van cyberaanvallen op het hart van de maatschappij. Iedereen moet kunnen vertrouwen op de digitale veiligheid van ICT-producten en -diensten. De raad adviseert daarom extra aandacht voor zorgplichten voor veilige hard- en software. Samen met gerichte handvatten en informatie biedt dit ondersteuning om burgers en mkb digitaal vaardiger en veiliger te maken.
Cybercriminelen mogen ook niet langer meer vrijuit gaan. De handhavingsketen op cybercrime dient aanzienlijk te worden versterkt. De capaciteit van reeds betrokken partijen, zoals de Nationale Politie, Openbaar Ministerie Koninklijke Marechaussee, moet snel uitgebreid worden en publiek-private samenwerking moet structureel worden ingericht en gesteund.

Kennispositie
Er wordt in Nederland onvoldoende geïnvesteerd in onderzoek, onderwijs en innovatie voor onze cyberweerbaarheid. Dit heeft als gevolg dat wetenschappelijk en maatschappelijk Nederlands cybertalent vertrekt naar het buitenland (braindrain) en dit draagt verder bij aan het huidige tekort aan voldoende gekwalificeerde specialisten in het cybersecuritydomein. Nederland moet inzetten op een ecosysteem waarin op hoog niveau onderzoek naar cyberweerbaarheid wordt uitgevoerd en gevaloriseerd. Door gerichte investeringen in onderzoek, start-ups en een cybercurriculum in relevante opleidingen kan de huidige academische braindrain een halt worden toegeroepen en kunnen we beschikken over voldoende gekwalificeerd personeel. Zo bouwen we aan een Nederland dat zelf de kennis in huis heeft om ook in de toekomst digitale dreigingen af te slaan. Ook adviseert de raad om in het curriculum van het primair en voortgezet onderwijs met spoed digitale geletterdheid in te voeren en dit onderwerp los te koppelen van een algehele herziening van het curriculum.

Over het adviesrapport
De raad heeft het CSR Adviesrapport ‘Integrale aanpak cyberweerbaarheid’ opgesteld in opdracht van de (nu demissionair) minister van Justitie en Veiligheid. De raad is gevraagd advies uit te brengen over de benodigde investeringen in cybersecurity voor de komende kabinetsperiode. Dit is vertaald naar een advies over een integrale aanpak voor cyberweerbaarheid, inclusief maatregelen en investeringen die het komende kabinet in Nederland moet nemen. Daarbij is de raad ondersteund door Deloitte. Nog niet eerder is in Nederland op deze wijze integraal onderzoek gedaan naar de benodigde verbeteringen en investeringen in cyberweerbaarheid; publiek, privaat en wetenschap hebben samengewerkt aan dit advies. Voor de positionering van Nederland is ook gekeken naar hoe andere vergelijkbare landen de aanpak voor cyberweerbaarheid invullen en zijn succesvolle voorbeelden benoemd.