'Digitale brandweer' blijft bij crisis buiten de poort maar mag inbreken
"De netwerk- en informatiesystemen [van bedrijven in vitale sectoren, red] zijn dusdanig complex, gelaagd en uitgebreid dat gedetailleerde kennis nodig is om ook daadwerkelijk bijstand te kunnen verlenen", schrijft minister Ferd Grapperhaus van Justitie en Veiligheid aan de Tweede Kamer in reactie op het rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) over overheidsoptreden in tijden van digitale ontwrichting. De WRR schetste in september een beeld dat de Nederlandse samenleving onvoldoende is voorbereid op dergelijke digitale rampen.
De WRR dringt in het advies aan op het instellen van 'digitale hulptroepen' die in geval van nood bij getroffen vitale aanbieders zouden kunnen inspringen om een IT-crisis te bezweren. Verschillende experts zagen dat niet zo snel gebeuren omdat de IT'ers van zo'n organisatie vaak zelf het best weten wat er mis gaat en hoe het systeem in elkaar zit. Externen zouden eerst veel tijd moeten steken in zich vertrouwd maken met het getroffen systeem en mogelijk bij hun pogingen te helpen makkelijk extra schade veroorzaken.
Meer aandacht in audits voor naleving
De minister gaat dus mee in die kritiek op de WRR zo blijkt uit de kabinetsreactie op het rapport waar ook de evaluatie van de Citrix-crisis is meegenomen. Dat neemt echter niet weg dat de vitale aanbieders moeten luisteren naar de adviezen van het Nationaal Cybersecurity Center (NCSC). Daartoe wil de minister dat er tijdens de periodieke audits meer aandacht komt voor het naleven van de zorgplicht die deze aanbieders hebben ten aanzien van hun IT-systemen en of aanwijzingen van de NCSC of andere toezichthouders wel worden nageleefd. Grapperhaus wil daarvoor het pas-toe-of-leg-uit-principe hanteren.
Mocht na oordeel van de NCSC of andere 'gemandateerde' organisaties, blijken dat de uitleg over het niet nakomen van de adviezen onvoldoende is, zijn er volgens Grapperhaus in de huidige wetgeving voldoende mogelijkheden om in te grijpen. De verantwoordelijk minister is in dat geval de aangewezen persoon om zo'n actie in gang te zetten met een 'bindende maatregel' of in uiterste geval noodwetgeving. Grapperhaus gaat de betreffende wetgeving 'Besluit beveiliging netwerk en informatiesystemen' (Wbni) wel aanpassen op die zorgplicht. Een nieuw ontwerpbesluit is 'in procedure'.
Kritisch kijken naar instrumentarium
Grapperhaus benadrukt dat cybersecurity een prioriteit is van dit kabinet. "Naast op preventie moeten we ons richten op onze respons bij ernstige incidenten en crises. Onze fysieke en economische veiligheid zijn dermate afhankelijk van onze digitale veiligheid dat we ons hier geen vrijblijvendheid bij kunnen permitteren. Voor alle sectoren moet gekeken worden naar wet- en regelgeving om uitvoering, toezicht, verantwoording en evaluatie op cybersecurity mogelijk te maken." Bovendien, zo vindt hij, moet bij een dreiging voor de nationale veiligheid in noodgeval, de overheid in het uiterste geval kunnen ingrijpen. "Om onze digitale weerbaarheid te borgen zal de komende periode over de hele breedte meer geïnvesteerd moeten worden om de ontwikkelingen bij te kunnen houden. We zullen bovendien steeds kritisch moeten bekijken of het huidige instrumentarium en stelsel voldoende zijn."
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee