Bedrijven die te weinig doen aan hun digitale beveiliging moeten een boete kunnen krijgen of gedwongen worden de problemen aan te pakken. Dat zegt minister Ferdinand Grapperhaus van Justitie & Veiligheid in het FD. Hij wil af van de vrijblijvendheid rond cybersecurity, zo laat hij vandaag weten tijdens de One Conference.

De uitspraken van Grapperhaus zijn opmerkelijk, nu nog geen week geleden bekend werd dat zijn ministerie lange tijd kwetsbaar is geweest voor cybercrime, omdat men verzuimd had updates te installeren van het gebruikte VPN-netwerk van Pulse Secure, nadat daarin een groot lek was geconstateerd. Maar dat weerhoudt de bewindsman er niet van om te dreigen dat de overheid harder gaat optreden tegen bedrijven die hun ICT-beveiliging niet op orde hebben. Het gaat dan met name om bedrijven of organisaties die het publiek blootstellen aan risico’s als zij hun computernetwerken niet goed beschermen tegen storingen en aanvallen van hackers. “Als het bedrijf het niet zelf regelt, doen wij het wel.”

Beveiligingslek
De afgelopen week bleek dat honderden organisaties, waaronder onderdelen van de vitale infrastructuur, kwetsbaar waren omdat niet de laatste updates van de beveiligingssoftware werden geïnstalleerd. Het ging daarbij om gebruikers van twee verschillende VPN-aanbieders. Zij werden daarvoor gewaarschuwd door het Nationaal Cyber Security Center (NCSC), maar ook dat zette niet aan tot actie. Daardoor hadden hackers volgens specialisten met gemak kunnen inbreken op onder andere de luchtverkeersleiding van Schiphol. Het NCSC mag echter alleen adviseren. Het instituut dat onderdeel is van het ministerie van J&V kan geen bestuurlijke dwang uitoefenen of boetes opleggen. En dat zou wel moeten kunnen als het organisaties betreft waarbij een hack of storing tot gevaarlijke situaties kan leiden of zelfs de samenleving kan ontwrichten.

Doorzettingsmacht
Boetes of dwangsommen kunnen volgens de minister stimulerend werken, maar geven geen zekerheid dat het probleem ook daadwerkelijk wordt opgelost. Zeker niet als de laatste optie duurder is of als de verantwoordelijke de boete niet uit eigen zak hoeft te betalen, zoals bij overheidsorganisaties het geval is. Daarom denkt de minister eerder aan een vorm van doorzettingsmacht. De organisatie wordt dan gedwongen om samen met het NCSC het probleem op te lossen. Dat is een vergaande maatregel, realiseert ook Grapperhaus zich. “Het ligt gevoelig. We willen ook niet als een soort A-Team binnenkomen en zeggen: ‘We gaan het even zo en zo doen’.” Hij wil echter niet dat bedrijven zomaar willens en wetens belangrijke veiligheidsupdates negeren en zo de samenleving in gevaar brengen. “Als je met excuses komt om noodzakelijke veiligheidsmaatregelen niet te nemen, ben je echt een ongelooflijke oliebol.” De minister wilde niet ingaan op het falende beleid binnen zijn eigen ministerie.