Digital Trust Center gaat security-informatie delen met niet-vitale industrie

Het Digital Trust Center (DTC) werd in 2018 opgericht door het ministerie van Economische Zaken en Klimaat, met als doel Nederlandse bedrijven weerbaarder te maken tegen toenemende cyberdreigingen. Maar de organisatie geeft nu vooral algemene informatie, en geen specifieke dreigingsinformatie aan niet-vitale bedrijven in Nederland.

Daar moet in het najaar dus verandering in komen, schrijft staatssecretaris Mona Keijzer van Economische Zaken en Klimaat in een brief aan de Tweede Kamer. Volgens Keijzer is er vanwege toenemende dreigingen een "dringend belang om verdere stappen te zetten om ondernemend Nederland te informeren over specifieke digitale dreigingen en kwetsbaarheden".

Die informatiedeling moet vanaf het derde kwartaal van dit jaar op gang komen met een nieuwe informatiedienst, die intensief samenwerkt met het Nationaal Cyber Security Center (NCSC) en andere beschikbare bronnen. 

Wetsvoorstel in de maak

Om de informatiedeling mogelijk te maken, werkt de staatssecretaris aan een wetsvoorstel om de taken en bevoegdheden van het DTC verder uit te breiden. Dat is onder meer nodig om te zorgen dat het NCSC specifieke kwetsbaarheids- en dreigingsinformatie mag delen. Het NCSC mag die informatie namelijk alleen delen met vitale infrastructuur, het Rijk, CERT's en OKTT's. Maar het DTC is op dit moment geen CERT of OKTT.

Om een OKTT-status te krijgen, moet er een wettelijke grondslag komen voor het DTC om dreigingsinformatie van het NCSC waar persoonsgegevens toe (kunnen) behoren, te kunnen ontvangen, verwerken en delen. Die grondslag wordt volgens staatssecretaris Keijzer via het wetsvoorstel dat in de maak is geregeld. Pas daarna kan het DTC een OKTT-status krijgen en mag het NCSC zijn informatie met de organisatie delen. Het DTC mag die informatie vervolgens weer delen met bij hun aangesloten partijen. 

Het wetsvoorstel wordt deze zomer in consultatie genomen. Naar verwachting kan het DTC dan in het derde kwartaal van dit jaar de aanwijzing OKTT krijgen. In datzelfde kwartaal start dus de informatiedienst, die ook zonder OKTT-status al "binnen de grenzen van de bestaande (juridische) mogelijkheden" kwetsbaarheids- en dreigingsinformatie delen met niet-vitale Nederlandse bedrijven.