Volgens de Cyber Security Raad is Nederland voor de digitale veiligheid teveel afhankelijk geworden van buitenlandse bedrijven. Daardoor ontbreekt het aan kennis die essentieel is voor het in stand houden van de economie en de maatschappelijke processen. De Raad adviseert het kabinet om direct in te grijpen.

De afhankelijkheid komt omdat veel technologie nu eenmaal in het buitenland wordt ontwikkeld, maar dat is niet de enige reden. Volgens directeur Rob de Wijk van de Haagse denktank HCSS heeft het ook te maken met het Europese aanbestedingsbeleid. Nederlandse bedrijven worden daardoor buiten spel gezet, omdat zij niet op prijs kunnen concurreren met Chinese en Amerikaanse aanbieders. In plaats van KPN heel veel geld te laten betalen voor een 5G-frequentie, zou de regering het bedrijf beter kunnen verplichten om de technologie door een Europees bedrijf te laten ontwikkelen, zegt hij in het Financieel Dagblad.

Digitale autonomie
De meeste essentiële digitale diensten in Nederland zijn afhankelijk van de technologie van Amerikaanse bedrijven, zoals Amazon, Google en Microsoft. Volgens de CSR betekent dit dat de overheid niet zelf de regels kan bepalen rond privacy en spionage. Daarom zou digitale autonomie centraal moeten komen te staan in het kabinetsbeleid. Daarbij krijgt de nationale veiligheid een hogere prioriteit dan het verbod om partijen uit bepaalde landen buiten te sluiten. Defensie werkt al op die manier. Daarnaast is volgens Michiel Steltman van de Stichting Digitale Infrastructuur Nederland actieve steun nodig aan meer publiek-private samenwerking en meer betrokkenheid bij de ontwikkeling van internationale standaarden. Nu komen zo ongeveer alle standaarden voor digitale veiligheid uit de Verenigde Staten.

Minder afhankelijk
Nu is het volgens deskundigen uit de ICT-industrie niet realistisch om te denken dat Nederland alle benodigde technologie zelf kan ontwikkelen en fabriceren. Wel zou de regering kunnen investeren in beveiligingssystemen, waarmee inbreuk op de digitale infrastructuur is te signaleren en zo mogelijk te voorkomen. Vitale bedrijven kunnen dan verplicht worden om dergelijke systemen te gebruiken. Ronald Prins van Hunt & Hackett pleit er in het FD voor om controles te laten uitvoeren door geaccrediteerde bedrijven. Overigens heeft deze bekende cyberspecialist nog eens zelf bijgedragen aan het vervreemden van Nederlandse beveiligingskennis, door zijn bedrijf Fox-IT te verkopen aan een Brits bedrijf. Fox-IT was op dat moment ‘hofleverancier’ van de Nederlandse overheid.

Veel geld
De CSR waarschuwt de overheid voor de agressieve acquisitiepolitiek van de Amerikanen. Amerikaanse bedrijven zijn voortdurend op zoek naar Europese ontwikkelaars van interessante technologie, om die vervolgens voor veel geld over te nemen. De CIA zou zelfs een speciale investeringstak hebben, die met name op zoek is naar in het buitenland ontwikkelde beveiligingstechnologie. Die kunnen de Amerikanen voor de eigen nationale veiligheid gebruiken, maar op die manier raakt ook het land van herkomst weer een stukje waardevolle kennis kwijt. De CSR adviseert Brussel om zelf in dergelijke technologie te investeren, zodat de bedrijven niet afhankelijk worden van Amerikaans geld. De EU heeft hiervoor inmiddels 134,5 miljard euro vrijgemaakt in het Resilience and Recovery Fund.