Verschillende fracties in de Tweede Kamer zetten vraagtekens bij het voornemen van het kabinet om de Wet beveiliging netwerk- en informatiesystemen (Wbni) uit te breiden. Ze zijn bang dat de privacy van burgers in het geding komt. De Kamer wil daarom dat minister van Justitie en Veiligheid Yeşilgöz-Zegerius de wet blijft evalueren als deze wordt aangenomen.
Diverse fracties spraken maandag hun zorgen uit over de nieuwe cybersecuritywet tijdens een debat (1) over de Wbni.
Digitale dreigingen worden met de dag groter. Dat komt omdat ons land een hoogwaardige digitale infrastructuur heeft. De coronapandemie heeft er bovendien voor gezorgd dat de digitalisering van processen in een versnelling is geraakt.
Digitalisering brengt allerlei voordelen met zich mee, maar kent ook een keerzijde. “De afhankelijkheid van digitale processen heeft ons ook kwetsbaar gemaakt voor uitval en voor de activiteiten van kwaadwillenden”, zo waarschuwden de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum (NCSC) in het rapport Cybersecuritybeeld Nederland 2022 (2).
“Om als maatschappij ongestoord te kunnen functioneren, is weerbaarheid van de samenleving tegen digitale dreiging cruciaal”, aldus de auteurs van het rapport. Investeringen om de digitale weerbaarheid van ons land te vergroten lopen echter achter. Ook zijn de basismaatregelen lang niet overal op orde. Ons land loopt hierdoor een groot risico als het getroffen wordt door een cyberaanval.
“Ondanks de inspanningen om de weerbaarheid te verhogen, is er sprake van scheefgroei met de toenemende dreiging. Die scheefgroei vergroot het risico op ontwrichting van onze samenleving”, zo stellen de NCTV en het NCSC. Havenbedrijf Rotterdam (3), het Centraal Bureau Levensmiddelenhandel (CBL) (4) en KPN deelden begin deze maand hun zorgen over de mogelijke gevolgen van cyberaanvallen met de Tweede Kamer.
Het besef over de gevaren van cyberaanvallen voor onze samenleving zijn doorgedrongen tot het kabinet. “De overheid loopt achter in digitale weerbaarheid. Ook privacy (5) blijft een aandachtspunt. Incidenten hebben vaak ernstige gevolgen, zowel financieel als voor het vertrouwen in de overheid. Informatieveiligheid is van strategisch belang en het vereist blijvende aandacht”, zo schreef staatssecretaris van Digitalisering Alexandra van Huffelen afgelopen zomer in een brief aan de Tweede Kamer (6).
De staatssecretaris kwam met het plan om meer aandacht te besteden aan Red Team-oefeningen. Daarin zitten medewerkers die actief zoeken naar kwetsbaarheden en exploits in applicaties om de interne bedrijfssystemen binnen te dringen. Daarnaast zegt het kabinet er alles aan te doen om “jong digitaal talent” binnen te halen en te behouden.
Verder investeert de overheid in kennis en expertise op de werkvloer. Ambtenaren die voor de Rijksoverheid werken krijgen van 2024 een verplichte basistraining over digitale weerbaarheid (7). Ook wil het kabinet meerdere vormen van spionage strafbaar stellen (8). De Raad van State heeft echter zijn bedenkingen bij het huidige wetsvoorstel dat dit moet regelen (9).
Een ander belangrijk instrument van het kabinet om de digitale weerbaarheid van ons land te versterken, is de ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’ aan, of kortweg de Tijdelijke wet (10).
De wet geeft de veiligheidsdiensten meer vrijheden om hun bevoegdheden in te zetten, zoals de onderzoeksopdrachtgerichte interceptie (OOG-I) en hackbevoegdheid. Het toezicht op de diensten wordt door de wet beperkt en verschoven naar controle achteraf. Het is de bedoeling dat de wet vier jaar na de inwerkingtreding komt te vervallen.
Een laatste maatregel die het kabinet wil uitvoeren om de digitale weerbaarheid van ons land te versterken, is het uitbreiden van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze wet bepaalt dat het NCSC actuele dreigingsinformatie alleen mag delen met bedrijven en organisaties die actief zijn in de vitale infrastructuur, zoals financiële instellingen, internetproviders en leveranciers van nutsvoorzieningen.
Om dit obstakel te omzeilen, wil het kabinet de Wbni uitbreiden. Hoewel het parlement hier nog niet officieel mee heeft ingestemd, mag het NCSC desondanks nu al relevante dreigings- en incidentinformatie delen met niet-vitale bedrijven en organisaties.
Meerdere Tweede Kamerleden gaven maandag bij het debat aan dat ze zich zorgen maken over de privacy van burgers. Ze vrezen onder meer dat er persoonsgegevens gedeeld worden die mogelijk voor andere doeleinden worden gebruikt. Marieke Koekkoek (Volt) is bang dat deze gegevens onder meer in de rechtszaal gebruikt worden, terwijl ze niet met dat doel zijn gedeeld.
Ook de SP maakt zich grote zorgen over mogelijke privacyinbreuk. “Met informatie die je ooit een keer vanuit een waarschuwing hebt gekregen kunnen ook hele lelijke dingen gebeuren”, zo zei Renske Leijten maandag tijdens het debat. Ze vroeg minister Yeşilgöz-Zegerius om in de wet vast te leggen welke gegevens gedeeld mogen worden en wanneer deze data verwijderd moeten worden. Tot slot vroeg de SP’er om de wet permanent te evalueren. Ze diende hier een motie over in (12).
Queeny Rajkowski (VVD) vroeg aan de minister van Justitie en Veiligheid welke organisatie met welke partijen dreigingsinformatie deelt. Verder kwam ze met het voorstel om het Dutch Institute for Vulnerability Disclosure (DIVD) een grotere en formelere rol te geven bij het digitaal beschermen van Nederland door voortdurend het internet te scannen op kwetsbaarheden. De precieze bewoording van haar verzoek vind je in deze motie.
Dat het kabinet bereid is in de buidel te tasten om de digitale weerbaarheid van ons land te verbeteren, bleek wel op Prinsjesdag. VPNGids.nl bestudeerde de begrotingsstukken van het ministerie van Justitie en Veiligheid, Binnenlandse Zaken en Koninkrijksrelaties, en Economische Zaken en Klimaat. Uit de stukken bleek dat de overheid de komende jaren miljoenen euro’s gaat investeren in cybersecurity (14).
De begroting van het NCTV loopt volgend jaar op tot 54,9 miljoen euro. Het NCSC krijgt er dit jaar nog 16 miljoen euro bij. De komende jaren loopt dat bedrag op naar 42 miljoen euro. Het Openbaar Ministerie krijgt er 12 miljoen euro bij om “de kennis en capaciteit voor de aanpak van cybercrime (15) op niveau te brengen”.
Het budget voor de Autoriteit Persoonsgegevens stijgt tussen 2024 en 2027 van 37,8 miljoen euro tot 41,4 miljoen euro. De nog te verschijnen algoritmetoezichthouder wordt bij de privacywaakhond ondergebracht. De begroting van de AIVD loopt op tot 86,5 miljoen euro in 2027. Het budget van de MIVD stijgt van 17,2 miljoen euro naar 35,8 miljoen euro in 2023. In 2024 komt de begroting van de MIVD uit op 71,7 miljoen euro.
Het ministerie van EZK krijgt er in 2023 6,6 miljoen euro bij om de cybersecurity in ons land te verbeteren. Vanaf 2027 loopt dat bedrag op tot 16,1 miljoen euro. Agentschap Telecom krijgt volgend jaar 41,4 miljoen euro uit de Rijksbegroting. In 2027 daalt dit bedrag naar 39,5 miljoen euro.
1) https://www.tweedekamer.nl/debat_en_vergadering/commissievergaderingen/details?id=2022A06034
2) https://www.vpngids.nl/nieuws/kans-op-ontwrichting-door-hackers-is-groot/
3) https://www.vpngids.nl/nieuws/havenbedrijf-rotterdam-bezorgd-over-potentiele-cyberaanvallen/
4) https://www.vpngids.nl/nieuws/cbl-supermarkten-zien-groter-dreigingsniveau-door-cybercriminelen/
5) https://www.vpngids.nl/privacy/
6) https://www.vpngids.nl/nieuws/cybersecurity-en-privacy-krijgen-prioriteit-bij-nieuw-beleid/
7) https://www.vpngids.nl/nieuws/ambtenaren-krijgen-verplichte-basistraining-digitale-weerbaarheid/
8) https://www.vpngids.nl/nieuws/kabinet-wil-meer-vormen-van-spionage-strafbaar-stellen/
9) https://www.vpngids.nl/nieuws/raad-van-state-kritisch-over-uitbreiding-strafbaarheid-spionage/
10) https://www.vpngids.nl/nieuws/aivd-nederland-stond-vorig-jaar-continu-bloot-aan-cyberaanvallen/
11) https://www.vpngids.nl/nieuws/overheid-gaat-ook-niet-vitale-bedrijven-dreigingsinformatie-verstrekken/
12) https://www.tweedekamer.nl/kamerstukken/moties/detail?id=2022Z17706&did=2022D37577
13) https://tweedekamer.nl/kamerstukken/moties/detail?id=2022Z17705&did=2022D37576
14) https://www.vpngids.nl/nieuws/kabinet-investeert-miljoenen-in-cybersecurity/
15) https://www.vpngids.nl/veilig-internet/cybercrime/
