Overheid gaat informatie over dreigingen met bedrijven delen

Minister Grapperhaus van Justitie & Veiligheid werkt aan een wet die het voor het Nationaal Cyber Security Centrum mogelijk gaat maken om informatie over cyberdreigingen te delen met het bedrijfsleven. Daarmee moet een einde komen aan schade die met de kennis van het NCSC voorkomen had kunnen worden.

De nieuwe wet vloeit voort uit een adviesbrief van de Cyber Security Raad (CSR). Deze stelt volgens Grapperhaus terecht dat het voor het NCSC nog niet mogelijk is om gegevens over cyberdreigingen te delen met bedrijven die niet tot de vitale infrastructuur worden gerekend. De minister zegt in een reactie op vragen van Tweede Kamerlid Dilan Yesilgöz-Zegerius (VVD) de zorgen van de CSR hierover te delen en van mening te zijn dat het zo veel als mogelijk delen van informatie over dreigingen en incidenten van groot belang is voor de Nederlandse digitale veiligheid en weerbaarheid. Hij werkt daarom aan een wetsvoorstel dat verandering moet brengen in deze situatie.

Wettelijke grondslag
De taken en bevoegdheden van het NCSC zijn opgenomen in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Op dit moment bestaat er nog niet in alle gevallen een wettelijke grondslag voor het NCSC om dreigings- en incidentinformatie te delen met organisaties buiten de doelgroep van Rijk en vitaal. Tot hoeveel schade dit leidt is de minister niet bekend. In sommige gevallen wordt informatie wel openbaar gemaakt op de website, maar bedrijven buiten de doelgroep worden niet actief gewaarschuwd.
Ten behoeve van een zo breed mogelijke uitwisseling en verstrekking van voor aanbieders relevante dreigings- en incidentinformatie zet het kabinet sinds 2018 in op de ontwikkeling van het Landelijk Dekkend Stelsel (LDS) van cybersecurity samenwerkingsverbanden. Binnen dit LDS wordt informatie over cybersecurity breder, efficiënter en effectiever gedeeld tussen publieke en private partijen. Dit moet leiden tot een netwerk van schakelorganisaties die organisaties binnen hun onderscheidenlijke doelgroepen zo goed mogelijk kunnen adviseren en ondersteunen op het gebied van digitale veiligheid. Grapperhaus zal het parlement informeren over de voortgang van het LDS in de voortgangsrapportage over de Nederlandse Cybersecurity Agenda (NCSA).

Status
Een andere organisatie die bedrijven kan waarschuwen voor cyberdreigingen is het Digital Trust Center (DTC). Dit heeft echter de OKTT-status (objectief kenbaar tot taak) nodig om niet-vitale bedrijven te kunnen voorzien van dreigingsinformatie. Door het ministerie van EZK wordt momenteel gewerkt aan het laten voldoen van het DTC aan de voorwaarden voor die status, waaronder het versterken van de juridische basis door middel van een wetsvoorstel. Na aanwijzing zal het DTC gaan beschikken over meer dreigings- en incidentinformatie die met het niet-vitale bedrijfsleven kan worden gedeeld. Tot die tijd is de eigen digitale weerbaarheid volgens Grapperhaus primair een eigen verantwoordelijkheid van bedrijven. Het DTC biedt informatie, advies en tools aan om niet vitale bedrijven in staat te stellen invulling te geven aan deze eigen verantwoordelijkheid. Daarnaast kunnen niet vitale bedrijven ook kennisnemen van de algemene beveiligingsadviezen van het NCSC. Ook kunnen deze bedrijven ervoor kiezen om bijvoorbeeld een computercrisisteam in het leven te roepen, of zich bij een al bestaand computercrisisteam of andere schakelorganisatie aan te sluiten, die deze bedrijven voorziet van voor hen relevante dreigings- en incidentinformatie. Deze schakelorganisaties kunnen bijvoorbeeld ook krachtens de Wbni als computercrisisteam of OKTT worden aangewezen en daardoor informatie van het NCSC ontvangen. Het NCSC en het DTC werken bovendien nauw samen en zijn voortdurend, samen met de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), telkens in gesprek over de mogelijkheden om binnen het LDS zo veel als mogelijk informatie te delen.

Andere landen
Op de vraag of de Nederlandse overheid achterloopt op andere landen, antwoordt Grapperhaus: Voor het goed functioneren van het Nederlandse cybersecuritystelsel is een optimale uitwisseling van informatie over digitale dreigingen, kwetsbaarheden en incidenten tussen de overheid, vitale organisaties en niet-vitale organisaties van groot belang. Hij zegt daarbij ook steeds te kijken naar de wijze waarop andere landen, zoals het Verenigd Koninkrijk, hun cybersecuritystelsels hebben ingericht, met als doel lessen daarvan te leren en te kijken hoe die zouden passen in de Nederlandse bestuurlijke context. In het WODC-rapport over het Landelijk Dekkend Stelsel is een landenstudie opgenomen, waarin is gekeken hoe andere landen informatiedeling hebben vormgegeven. Veel landen hebben ook, net als Nederland, documenten als hun nationale cyberstrategie openbaar beschikbaar gemaakt. Naast bilaterale contacten is de minister met Europese lidstaten in gesprek over versterking van de digitale weerbaarheid, onder andere in het kader van de besprekingen over de voorgenomen herziening van de richtlijn inzake de beveiliging van netwerk- en informatiesystemen en de Europese cybersecurity strategie.

Deel dit artikel via: