Drie departementen vormen samen het motorblok voor het cybersecuritybeleid, onder de vlag van de Nederlandse Cybersecuritystrategie (NLCS). Coördinerend beleidsadviseurs Pieter van den Berg (JenV), Nelly Ghaoui (EZK) en Suzie Kewal (BZK) werken steeds intensiever samen, ook met andere partijen: “We hebben samen een enorme opgave.” Belangrijk uitgangspunt daarbij: de overheid heeft een voorbeeldrol.
Digitalisering gaat door de hele samenleving heen. Cybersecurity is een essentiële randvoorwaarde voor het vertrouwen daarin. De hele samenleving, alle sectoren en dus ook alle departementen hebben daarin een eigen opgave. Justitie en Veiligheid, Economische Zaken en Klimaat, en Binnenlandse Zaken en Koninkrijksrelaties vormen daarin samen ‘het motorblok’. Wat is de focus per departement, hoe en waarin versterken ze elkaar?
Pieter van den Berg (JenV): “De NLCS(link naar andere website) is zowel een maatschappijbrede als een overheidsbrede strategie; opgesteld samen met alle departementen, de medeoverheden, het bedrijfsleven en de wetenschap. JenV is het coördinerend departement op dit thema. De rode draad is dat actie nodig is om onze digitale weerbaarheid te verhogen, het stelsel te versterken en de dreiging aan te pakken. Iedereen heeft een verantwoordelijkheid in cybersecurity en moet die ook nemen. De digitale wereld is echter zo complex geworden, dat het vooral voor burgers en kleinere organisaties vaak ingewikkeld is om invulling te geven aan die verantwoordelijkheid. De inzet van JenV is te stimuleren dat iedereen die verantwoordelijkheid ook kán nemen. Wie een auto koopt, weet dat die aan allerlei veiligheids- en kwaliteitseisen voldoet. En de koper weet wat er wordt verwacht om die auto veilig te mogen besturen; een rijbewijs en een keuring. Zo moet het ook gaan werken in de digitale wereld.”
“Voor JenV is informatiedeling een belangrijk aandachtspunt. Doel is dat iedereen in Nederland weet welke veiligheidsdreigingen er zijn en wat ze kunnen doen om zich digitaal weerbaar te maken. Nu het Nationaal CyberSecurity Centrum samengaat met het Digital Trust Center(link naar andere website) en het Computer Security Incident Response Team voor digitale dienstverleners, ontstaat een centrale cybersecurity-organisatie. Daar kunnen alle organisaties in Nederland, groot of klein, publiek of privaat, vitaal en niet-vitaal, dan terecht voor cybersecurityadvies en –informatie. Ook kan de nieuwe organisatie snel en adequaat reageren bij dreigingen en incidenten op nationaal en sectoraal niveau. De aankomende herziene Europese ‘Network and Information Security2’-richtlijn (NIS2) helpt daar ook bij, met stevigere eisen aan informatiebeveiliging -de zogenoemde zorgplicht- meldplicht en toezicht.”
Nelly Ghaoui: “EZK richt zich op het verhogen van de weerbaarheid van alle bedrijven en burgers. Specifieke aandacht is er voor de ‘vitale sectoren’ van ons departement: telecom/digitale infrastructuur en energie. Daarnaast werken we aan het veiliger maken van digitale producten en diensten. De eisen aan fabrikanten regelen we grotendeels op Europees niveau. Bijvoorbeeld in de Cyber Resilience Act(link naar andere website) (CRA); wetgeving die veiligheidseisen stelt aan hard- en software.”
EZK richt zich ook op de kansen die cybersecurity biedt: “We stimuleren het bedrijfsleven om kennisontwikkeling, onderzoek en innovaties een stap verder te brengen. EZK werkt vanuit de NLCS én de Strategie Digitale Economie, waarin ook breder wordt gewerkt om de kansen van digitalisering te benutten voor ons toekomstig verdienvermogen en welvaart.”
Suzie Kewal: “BZK focust zich op het verhogen van de digitale weerbaarheid van de overheid en de burger. We werken eraan dat iedereen zich met vertrouwen in de digitale wereld kan begeven; aan digitaal bewustzijn om de kansen én risico’s van digitalisering te herkennen en aan de vaardigheden om hiermee aan de slag te gaan. Daarom werken JenV, EZK en BZK samen aan publiekscampagnes over cybersecurity. Wanneer het gaat om een cyberveiligere overheid, kun je denken aan de succesvolle overheidsbrede cyberoefening en -webinars(link naar andere website). En natuurlijk de Baseline Informatiebeveiliging Overheid(link naar andere website) (BIO), die normen stelt aan de aanpak en maatregelen voor informatiebeveiliging. Met NIS2 wordt onafhankelijk toezicht straks ook wettelijk geborgd. Informatieveiligheid is een gezamenlijke verantwoordelijkheid van de gehele publieke sector. De overheid heeft daarbij de maatschappelijke taak om het goede voorbeeld te geven. Op het gebied van informatieveiligheid, maar ook hoe we op een veilige en zorgvuldige manier met de gegevens van burgers om moeten gaan.” Ze vervolgt: “De aanpak vanuit BZK sluit aan bij de NLCS, maar heeft ook een relatie met de Werkagenda Waardengedreven Digitaliseren. Dat plaatst cybersecurity in een breder pakket aan uitgangspunten en maatregelen voor digitalisering voor de overheid en samenleving.”
Ze werken al jaren samen en weten elkaar goed te vinden, ook bij incidenten. Cybersecurity is en blijft mensenwerk, benadrukt Ghaoui. “We spreken elkaar regelmatig in allerlei overleggen. Van werkgroep tot hoogambtelijk overleg en op ministerieel niveau. Wijzelf, maar ook onze teams.” Van den Berg voegt toe: “Ook de informele kant is belangrijk; even bijpraten op de vrijdag als het minder hectisch is.“
Kewal: “Steeds meer voeren we het gesprek over wat voor overheid we willen zijn. En welke principes we daarbij hanteren. ‘De overheid moet een voorbeeldrol spelen’, bijvoorbeeld. Maar ook: ‘de groten helpen de kleintjes’, ‘we ontlasten de burger’ en ‘de vrijblijvendheid voorbij.’ Deze principes geven voor ons alle drie aan: dát is een taak voor de rijksoverheid.”
Van den Berg kijkt terug: “Vroeger waren we soms een beetje elkaars ‘concurrenten’: is het mijn terrein of dat van jou? Dat is veranderd, want er moet zoveel gebeuren en we hebben elkaar nodig. De opgave staat nu centraal.” Kewal voegt toe: “Tegenwoordig is er een commissie Digitale zaken. De drie bewindspersonen zitten nu vaak samen in de Kamer bij debatten over dit thema.”
Ze geven een aantal voorbeelden:
Van den Berg: “JenV staat in samenwerking met de vakdepartementen aan de lat om de Europese NIS2-richtlijn te vertalen naar de Nederlandse situatie en nationale wetgeving. Ook bij dit traject zijn veel organisaties betrokken want ook hier geldt; alleen samen kunnen we het laten werken.” Kewal vult aan: “Die regelgeving gaat ook voor de overheid gelden. Voor de overheid hebben we al een basisnormenkader afgesproken, dat is de BIO. Dat is onder NIS2 onderdeel van de zorgplicht.” Ze roept overheidsorganisaties dan ook op door te gaan met de cyclus van plannen, uitvoeren, controleren en bijstellen rond de BIO.
JenV, EZK en BZK werken nauw met elkaar samen op het gebied van veilig inkopen. BZK en EZK richten zich samen op veilig inkopen door de overheid. Kewal: “We hebben daarvoor samen een online tool ontwikkeld, de ICO Wizard(link naar andere website). Beschikbaar voor overheid én markt.” Het mes snijdt daarbij aan twee kanten, vertelt Ghaoui: “Overheidsorganisaties kopen veiligere ICT in. En omdat je scherpere cybersecurity-eisen stelt, helpt dat bedrijven om te investeren in veilige producten en diensten. De overheid is een enorme klant.”
Cybersecurityspecialisten en ICT-deskundigheid zijn nu vaak nog schaars, vertelt Van den Berg. “Vanuit de NLCS wordt gekeken naar instrumenten om het aantal specialisten op de arbeidsmarkt te vergroten.“ Met de Strategie Digitale Economie werkt EZK toe naar 1 miljoen digitaal geschoolden in 2030, vertelt Ghaoui. Ze kijkt daarbij ook naar verbreding: “Cybersecurity is een multidisciplinair onderwerp, waar we mensen van allerlei achtergronden nodig hebben; ICT’ers, maar ook juristen, bedrijfskundigen, bestuurskundigen en bijvoorbeeld gedragspsychologen.”
Samen kom je bovendien verder, benadrukt Van de Berg. “De samenwerking tussen NCSC, AIVD, MIVD en politie is ook veel intensiever geworden. We gaan bovendien meer publiek-privaat samenwerken. Er loopt een project waarin we onderzoeken hoe we als overheid met bedrijfsleven gezamenlijk dreigingen kunnen bekijken, analyseren, en vertalen naar (handelings)perspectief voor al die verschillende doelgroepen in het land.”
Kewal ziet ook bij de overheid grote tekorten. Ze doet daarom een oproep: “Laten we de komende jaren de interbestuurlijke samenwerkingen bundelen. Dus niet alleen intergemeentelijk samenwerken, maar echt interbestuurlijk. Hoe tof is het als bijvoorbeeld een waterschap een provincie helpt, of een gemeente die het Rijk helpt.”
