Brief aan NCTV over de Nederlandse Cybersecurity Strategie

Cyberveilig Nederland heeft officieel gereageerd op de onlangs gepubliceerde Nederlandse Cybersecurity Strategie (NLCS). Deze reactie is tot stand gekomen met input van de Werkgroep Public Affairs. Hieronder staat de brief, de volledigde brief met bijlage is hier te downloaden.

"Geachte mevrouw Somsen, beste Hester,

Recent heeft het kabinet de Nederlandse Cybersecurity Strategie (NLCS) naar de Tweede Kamer gestuurd. Cyberveilig Nederland, de belangenorganisatie van de cybersecuritysector in Nederland, is op verschillende momenten (inhoudelijk) betrokken geweest bij de totstandkoming van de NLCS.

Cyberveilig Nederland vindt het sterk dat Nederland nu een Cybersecurity Strategie heeft en dat niet, zoals in de voorliggende periode, is gekozen voor een agenda. Niet alleen geeft een strategie een duidelijke stip op de horizon, met prioriteiten, budget en keuzes, maar is deze ook minder vrijblijvend. Want actie op het onderwerp is noodzakelijk, zoals het Cybersecurity Beeld Nederland en diverse incidenten zoals die met Citrix en Log4j in de afgelopen jaren hebben laten zien.

In deze brief geven wij onze reactie op de NLCS én stellen wij voor hoe wij, als securitybranche, gaan bijdragen aan het slagen van de NLCS en daarmee aan het verhogen van de weerbaarheid van Nederland. In de bijlage geven wij aan waar Cyberveilig Nederland een rol voor zichzelf ziet weggelegd in de actiepunten, zoals deze zijn geformuleerd in de bijlage van de NLCS.

Het belang van een breed gedragen strategie

Het onderwerp cybersecurity is niet meer weg te denken. Discontinuïteit bij slachtoffers van cybercrime of hun ketenpartners is aan de orde van de dag. De huidige geopolitieke context zorgt voor een toenemende dreiging voor Nederland, waarbij niet alleen vitale sectoren doelwit zijn, maar ook het verwerven van hoogwaardige kennis een belangrijke doelstelling is van kwaadwillenden. Naast de IT-infrastructuur is ook de OT-infrastructuur (Operationele Technologie/Industrial Automation Control Systems)
kwetsbaar voor aanvallen en verstoring. En ga zo maar door. Kortom: Cyberveilig Nederland is verheugd dat er voor de komende jaren een cybersecuritystrategie is vastgesteld die gaat bijdragen aan het verhogen van de cyberweerbaarheid van Nederland en het verminderen van de dreiging.

Graag willen we als cybersecuritysector een actieve bijdrage leveren aan deze strategie.
In deze brief ga ik daarom in op zowel de sterke elementen van de strategie, als op de
aandachtspunten die we zien. Verder hebben we op een rij gezet bij welke actielijnen we
een rol voor onszelf en onze leden zien weggelegd om de overheid te helpen in het doen
slagen van de strategie.

Het proces om te komen tot een breed gedragen strategie is een weerbarstige geweest. Cyberveilig Nederland ziet dat de NCTV, als coördinator van de NLCS, goed heeft geluisterd naar de input van Cyberveilig Nederland en haar leden en deze heeft verwerkt in de strategie.

Sterke elementen in de NLCS

Graag willen we de belangrijkste positieve elementen uit de strategie benoemen:

  • We herkennen ons in de vier gekozen pijlers van de NLCS. Er is een duidelijke keuze in prioriteiten op hoofdlijnen voor wat de komende jaren voorrang heeft in het vergroten van de weerbaarheid en het tegengaan van dreigingen. Het is een goede zaak dat in de NLCS het uitgangspunt wordt gehanteerd dat de burger niet (meer) verantwoordelijk wordt geacht voor digitale veiligheid.
  • De NLCS is een overheidsstrategie én tegelijkertijd wordt de verbinding met private partners gemaakt. Wij zijn van mening dat voor een effectieve cybersecurity-aanpak publiek en privaat intensief moeten samenwerken en juichen deze verbinding toe en dragen er graag aan bij. We vinden het bovendien sterk dat in deze strategie nadrukkelijk andere departementen, naast het ministerie van JenV, aan de lat staan om de cyberrisico’s tegen te gaan en de weerbaarheid te vergroten.
  • We zijn positief gestemd dat gekozen is voor een strategietermijn van 6 jaar. Door deze langere termijn aanpak wordt er voor continuïteit in de uitvoering gezorgd, ook wanneer een ander kabinet aan de lat staat om Nederland te regeren.
  • De integratie van het DTC, CSIRT-DSP en het NCSC zien we positief tegemoet en we zijn van mening dat dit eigenlijk al veel eerder had moeten gebeuren. Wel vinden we het van belang dat er aandacht is voor het behouden van wendbaarheid en goede initiatieven van de kleinere organisaties die bij de integratie betrokken zijn. Verder hopen we dat de interne aandacht voor de integratie niet ten koste zal gaan van de belangrijke taak waar deze organisaties voor staan. 

Aandachtspunten

Naast de positieve elementen in de strategie zien we ook enkele aandachtspunten die we
willen meegeven:

  • De overheid heeft met de NLCS een ambitieuze strategie neergezet. Hoewel er op hoofdlijnen in de pijlers focus is aangegeven, mist die focus wat ons betreft in de uitwerking van de meer dan 100 (!) actielijnen. We maken ons daarom zorgen over de prioriteiten en de uitvoerbaarheid en daarmee samenhangend de resultaatgerichtheid van de NLCS. Ook is de koppeling tussen de NLCS en de actielijnen niet altijd duidelijk. Waarom is voor deze acties gekozen en hoe dragen ze bij aan de doelen die zijn gesteld? Ook liggen veel acties bij dezelfde organisaties of zelfs soms personen. Het lijkt ons goed als in de uitwerking een heldere roadmap wordt vastgesteld met haalbare doelen en beschikbare middelen voor de kortere termijn.
  • Op 17 plekken in de NLCS worden nadrukkelijk private organisaties genoemd om onderwerpen uit de NLCS (te helpen) op te pakken. De NLCS maakt echter onvoldoende duidelijk welke partijen hiermee worden bedoeld en wat de Nederlandse overheid gaat doen om te zorgen dat deze partijen ook daadwerkelijk uitvoering geven aan de gewenste acties. In de praktijk zien wij dat in de samenwerking met de overheid hooggespannen verwachtingen zijn van de inzet van private organisaties, bijvoorbeeld rondom het delen van (dreigings)informatie. Wij maken ons zorgen over de daadwerkelijke mogelijkheden die private organisaties hebben om de strategie te realiseren. Cyberveilig Nederland fungeert graag als gesprekspartner om namens de cybersecuritysector uit te werken hoe betrokkenheid vorm kan worden gegeven.
  • Het is positief dat er zoveel overheidsorganisaties deelnemen aan de NLCS. Hierin missen we echter voldoende aandacht voor Defensie en diens strategie. Ook zien we kansen om de samenwerking en afstemming tussen de ministeries te verbeteren zodat met één gezamenlijke stem wordt gesproken en duidelijk is wie welke onderwerpen onder zijn hoede heeft.
  • De NLCS legt zowel de nadruk op weerbaarheid verhogen als op het verminderen van de dreiging. Echter het tegengaan van dreigingen en het verhogen van weerbaarheid gaan hand in hand. In de NLCS worden deze vanuit aparte entiteiten beschreven, terwijl deze volgens Cyberveilig Nederland nadrukkelijk in samenhang moeten worden opgepakt.
  • Operational Technology/IACS is, wat Cyberveilig Nederland betreft, nog onderbelicht in de strategie. Dit terwijl niet alleen de vitale infrastructuur in Nederland afhankelijk is van een betrouwbaar, beschikbaar en integer IACS, maar heel Nederland ‘draait’ op IACS. Denk bijvoorbeeld aan bedrijven die betrokken zijn bij de productie, verwerking en distributie van levensmiddelen en aan bedrijven die betrokken zijn bij de productie, verwerking en distributie van chemische stoffen. We vragen daarom nadrukkelijke aandacht voor de opbouw van kennis en expertise in de uitvoering van deze strategie. Deze komt al wel aan bod in de NLCS, maar mist vanuit de mening van Cyberveilig Nederland aan urgentie en prioriteit.
  • We missen de positieve framing en kansen van cybersecurity in de NLCS. Onderwerpen als Security by design of Security by default, die kansen bieden voor het (innovatieve) bedrijfsleven komen weinig aan de orde, terwijl deze juist voor het structureel verhogen van weerbaarheid essentieel zijn.
  • Er zijn al diverse private initiatieven die ondersteunend kunnen zijn bij de implementatie van de NLCS. In plaats van het wiel opnieuw uit te vinden lijkt het ons goed als hiermee samenwerking wordt gezocht. Bijvoorbeeld rondom cybersecurity in het onderwijs. Het onderwijssysteem heeft tijd nodig om te bewegen. Tegelijkertijd zijn er al private initiatieven zoals HackShield die meermaals zijn gevalideerd, op impact en effect beoordeeld en breed worden gedragen bij publieke en private organisaties.
  • Het proces rondom de totstandkoming van de NLCS is, wat ons betreft, voor verbetering vatbaar. Het is prettig als vooraf de tijdslijnen en mogelijkheden tot het geven van input worden gedeeld, waardoor wij en onze leden ons beter inhoudelijk kunnen voorbereiden op wat er nodig is. Ook vonden veel meetings plaats in de zomerperiode en was het soms onduidelijk waarom ons op bepaalde onderwerpen wel om input werd gevraagd en op andere niet. Graag worden we actief betrokken bij het voorbereidingsproces voor de implementatie van de NLCS zodat we de benodigde input vanuit de cybersecuritysector op goede wijze kunnen organiseren.

Prioritering acties vanuit Cyberveilig Nederland

In de bijlage bij deze brief hebben wij concreet uiteengezet waar wij als branchevereniging met onze leden verwachten van meerwaarde te kunnen zijn bij de uitvoering van de strategie. Aangezien de strategie en de bijbehorende actielijnen een langere periode betreffen, zijn wat ons betreft prioritair:

  1. Informatieuitwisseling, met de focus op het Cyclotron-programma en het ontwikkelen van een register voor incidenten en kwetsbaarheden
  2. Implementatie NIB-richtlijn, inclusief voorlichting en communicatie
  3. Certificering, inclusief ontwikkelingen ABRO
  4. IACS-coalitie

Tenslotte: met de nieuwe strategie zullen er vanuit de overheid in de komende jaren verschillende nieuwe initiatieven rondom de uitvoering van de NLCS worden ontplooid. We vragen nadrukkelijk aandacht voor het gegeven dat er al veel is bereikt in de afgelopen jaren en er daardoor al veel zaken in de basis al zijn gerealiseerd. Juist door deze initiatieven te consolideren en eenduidigheid na te streven (bijvoorbeeld over ‘wat zijn de basismaatregelen’) kunnen met weinig inspanning al snel de eerste positieve resultaten worden geboekt.

Over deze onderwerpen en onze betrokkenheid bij de implementatie van de NLCS gaan we met plezier verder in gesprek. Graag maken we de strategie gezamenlijk tot een succes!

Met vriendelijke groet,

Petra Oldengarm
Directeur

 

Brief aan NCTV over de Nederlandse Cybersecurity Strategie