In het onderzoek is onderscheid gemaakt tussen twee typen informatie met betrekking tot cybersecurity: voorlichtingsinformatie (informatie en advies over cyberweerbaarheid) en dreigingsinformatie (informatie over dreigingen of kwetsbaarheden met betrekking tot bepaalde bedrijven of software). De doelgroepen van, behoeften aan en juridische beperkingen bij deze twee typen informatie zijn niet gelijk, waardoor ook de conclusies en mogelijke maatregelen verschillen.
Behoefte aan voorlichtingsinformatie Uit het onderzoek blijkt dat er onder MKB’ers en zzp’ers behoefte is aan informatie en advies over cybersecurity, zoals bijvoorbeeld een basisscan van hun cybersecurity. Ook blijkt dat het DTC momenteel al in een aanzienlijk deel van deze behoefte kan voorzien, maar dat partijen hier niet van op de hoogte zijn. Een van de aanbevelingen in het onderzoek is daarom om een communicatiestrategie te ontwikkelen om te werken aan de bekendheid en vindbaarheid van het DTC als centraal loket voor cybersecurity.
Behoefte aan dreigingsinformatie Het delen van dreigingsinformatie is vaak problematisch vanwege de juridische beperkingen aan het delen van persoonsgegevens en herleidbare vertrouwelijke informatie. Dreigingsinformatie die relevant is voor de niet-vitale sector blijft daardoor ‘hangen’ bij het NCSC. Uiteindelijk wordt met name de groep niet-vitale cybermature bedrijven op het moment niet goed voorzien van de gewenste informatie. Deze groep heeft beperkt toegang tot de informatie die zij nodig achten om cyberweerbaar te kunnen functioneren.
Juridische ontwikkelingen Het DTC kan op termijn de primaire actor voor dreigingsinformatie voor niet-vitale partijen worden, door ervoor te zorgen dat het DTC de informatie van het NCSC ontvangt en deze doorzet naar de relevante bedrijven en samenwerkingsverbanden. Het is echter onduidelijk wanneer de benodigde wettelijke grondslag van het DTC rond is en de informatie-uitwisseling echt kan starten: begin 2021 is mogelijk haalbaar, maar een jaar later is niet ondenkbaar. Dreigingsinformatie kan ook direct van het NCSC naar andere samenwerkingsverbanden worden doorgezet, zonder tussenkomst van het DTC, maar ook hier spelen juridische obstakels en onzekerheden. Naar verwachting zal hier op de korte tot middellange termijn meer duidelijkheid over ontstaan en zal informatie-uitwisseling makkelijker worden.
Het onderzoeksrapport is op 17 november 2020 naar de Tweede Kamer gestuurd. Lees hier de betreffende Kamerbrief.