Pompen of verzuipen

‘Digitaal droge voeten’ is een toepasselijke titel, maar gezien de securitysituatie zou ‘Digitaal pompen of verzuipen’ nog beter zijn. Want ook dit rapport windt er geen doekjes om: onze nationale digitale mainport doet in belang niet onder voor Schiphol en de Rotterdamse haven. Voor de zoveelste keer wordt vastgesteld dat cybercriminaliteit toeneemt en een steeds grotere bedreiging vormt voor onze veiligheid en voor de Nederlandse economie. Het versterken van cybersecurity in Nederland is geen luxe, maar noodzaak. Ja, allicht. Die noodzaak onderschrijft zo onderhand iedereen wel. Maar nog noodzakelijker is het in actie komen. Pompen dus, en dat gebeurt onvoldoende.

Zo stelt het rapport dat de politieke verantwoordelijkheid voor de bescherming van die digitale mainport te veel versnipperd is. Er moet meer sturing vanuit de overheid komen om de maatschappij en het bedrijfsleven te beschermen tegen cyberaanvallen. Een eenduidige politieke coördinatie en sturing ontbreekt echter.

Hoe waarschijnlijk is het dat dit ook echt gebeurt?

Het rapport is in opdracht van de Cyber Security Raad opgesteld en het is sterk dat de situatie nu onafhankelijk kaart is gebracht. De kracht van dit rapport ligt niet zozeer in de observaties, de werkelijke waarde zit in het appel aan de overheid: er is een actieprogramma nodig en een investeringsagenda. Deze zouden door een nieuw kabinet in samenwerking met het bedrijfsleven en decentrale overheden opgesteld moeten worden. Er moet ook een functionaris komen die er voor zorgt dat er ook echt actie wordt ondernomen. Prima adviezen!

Allemaal voor na 15 maart volgend jaar? Gelukkig niet, Mark Rutte is overtuigd van de urgentie en heeft bij het in ontvangst nemen van het rapport laten weten dat hij niet wil wachten. Dat maakt ook de kans aanzienlijk groter dat de politieke partijen die straks een nieuw kabinet vormen het belang ervan inzien. Het zal ongetwijfeld ook een kwestie van geld zijn en die investeringsagenda is wel erg dik. Tien procent van het IT-budget naar cybersecurity? Dat betekent een groei van pakweg € 500 miljoen tot € 3,6 miljard op jaarbasis. Een verzevenvoudiging! Mij hoor je niet klagen, maar hoe waarschijnlijk is het dat dit ook echt gebeurt?

Het gevaar is bovendien dat het idee ontstaat dat security een kwestie is van er veel geld tegenaan gooien. Gezien de ernst van de dreigingen gaat het echt om kwaliteit, niet om kwantiteit. En over wat die kwaliteit inhoudt bestaat in de securitywereld een opmerkelijke eensgezindheid. Dat vormt een solide basis voor het actieprogramma waarmee het nieuwe kabinet een flinke bijdrage kan leveren aan een betere security in ons land.