9-1-2020

Informa­tie-uitwis­se­ling landelijk dekkend stelsel cyberse­cu­ri­ty

Om de digita­le slagkracht van publie­ke en private partij­en in Nederland te verster­ken wordt er de afgelo­pen jaren gewerkt aan een landelijk dekkend stelsel van cyberse­cu­ri­ty-samenwer­kings­ver­ban­den, waarbin­nen informa­tie over cyberse­cu­ri­ty breder, effici­ën­ter en effectie­ver wordt gedeeld. Met het Nationaal Cyber Securi­ty Centrum (NCSC, onderdeel van het ministe­rie van Justitie en Veilig­heid), het Digital Trust Center (DTC, onderdeel van het ministe­rie van Economi­sche Zaken en Klimaat) en het toenemen­de aantal samenwer­kings­ver­ban­den wordt dit landelijk dekkend stelsel meer en meer de realiteit. Er zijn echter nog steeds doelgroe­pen in de niet-vitale sector (zoals het MKB), die bepaal­de gewens­te informa­tie niet mogen ontvan­gen of niet weten te vinden, en dat vormt een risico voor de cybervei­lig­heid van deze partij­en. Dialogic onderzocht dit in opdracht van het WODC.

In het onderzoek is onderscheid gemaakt tussen twee typen informa­tie met betrek­king tot cyberse­cu­ri­ty: voorlich­tings­in­for­ma­tie (informa­tie en advies over cyberweer­baar­heid) en dreigings­in­for­ma­tie (informa­tie over dreigin­gen of kwetsbaar­he­den met betrek­king tot bepaal­de bedrij­ven of softwa­re). De doelgroe­pen van, behoef­ten aan en juridi­sche beperkin­gen bij deze twee typen informa­tie zijn niet gelijk, waardoor ook de conclu­sies en mogelij­ke maatre­ge­len verschil­len.

Behoef­te aan voorlich­tings­in­for­ma­tie Uit het onderzoek blijkt dat er onder MKB’ers en zzp’ers behoef­te is aan informa­tie en advies over cyberse­cu­ri­ty, zoals bijvoor­beeld een basisscan van hun cyberse­cu­ri­ty. Ook blijkt dat het DTC momenteel al in een aanzien­lijk deel van deze behoef­te kan voorzien, maar dat partij­en hier niet van op de hoogte zijn. Een van de aanbeve­lin­gen in het onderzoek is daarom om een communi­ca­tie­stra­te­gie te ontwik­ke­len om te werken aan de bekend­heid en vindbaar­heid van het DTC als centraal loket voor cyberse­cu­ri­ty.

Behoef­te aan dreigings­in­for­ma­tie Het delen van dreigings­in­for­ma­tie is vaak proble­ma­tisch vanwege de juridi­sche beperkin­gen aan het delen van persoons­ge­ge­vens en herleid­ba­re vertrou­we­lij­ke informa­tie. Dreigings­in­for­ma­tie die relevant is voor de niet-vitale sector blijft daardoor ‘hangen’ bij het NCSC. Uitein­de­lijk wordt met name de groep niet-vitale cyberma­tu­re bedrij­ven op het moment niet goed voorzien van de gewens­te informa­tie. Deze groep heeft beperkt toegang tot de informa­tie die zij nodig achten om cyberweer­baar te kunnen functi­o­ne­ren.

Juridi­sche ontwik­ke­lin­gen Het DTC kan op termijn de primai­re actor voor dreigings­in­for­ma­tie voor niet-vitale partij­en worden, door ervoor te zorgen dat het DTC de informa­tie van het NCSC ontvangt en deze doorzet naar de relevan­te bedrij­ven en samenwer­kings­ver­ban­den. Het is echter onduide­lijk wanneer de benodig­de wettelij­ke grondslag van het DTC rond is en de informa­tie-uitwis­se­ling echt kan starten: begin 2021 is mogelijk haalbaar, maar een jaar later is niet ondenk­baar. Dreigings­in­for­ma­tie kan ook direct van het NCSC naar andere samenwer­kings­ver­ban­den worden doorge­zet, zonder tussen­komst van het DTC, maar ook hier spelen juridi­sche obstakels en onzeker­he­den. Naar verwach­ting zal hier op de korte tot middel­lan­ge termijn meer duidelijk­heid over ontstaan en zal informa­tie-uitwis­se­ling makkelij­ker worden.

Het onderzoeks­rap­port is op 17 november 2020 naar de Tweede Kamer gestuurd. Lees hier de betref­fen­de Kamerbrief.