Evaluatierapport van de cyberoefening ISIDOOR 2023

Afgelopen maand informeerde de minister van Justitie en Veiligheid de Tweede Kamer over het evaluatierapport aan van de cyberoefening ISIDOOR 2023. Het evaluatierapport is door het Instituut voor Veiligheids- en Crisismanagement (COT) opgesteld, in opdracht van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum (NCSC). De ISIDOOR oefening is een nationale crisisoefening waarin een cybercrisis wordt gesimuleerd en de gezamenlijke respons wordt beoefend. 

In de Nederlandse Cybersecurity Strategie wordt expliciet aandacht besteed aan oefenen en het belang van effectieve voorbereiding op digitale crises. ISIDOOR draagt hieraan bij. Samenwerking, informatie-uitwisseling en coördinatie tussen de deelnemers staan tijdens de oefening centraal. Deelnemers interacteren in het verloop van de oefening volgens de structuren en afspraken die zijn vastgelegd in het Landelijk Crisisplan Digitaal. ISIDOOR IV telde 120 deelnemende organisaties en meer dan 3000 individuele deelnemers. De hoofdoefening vond plaats tussen 13 en 15 november en telde drie hoofddoelen:

1. het beoefenen van informatie-uitwisseling en samenwerking ten tijde van een cybercrisis,
2. het beoefenen van de nationale opschalingsstructuur tijdens een cybercrisis, tot en met het niveau van een Interdepartementale Commissie Crisisbeheersing,
3. het versterken van de onderlinge samenwerking tussen vitale en rijksoverheidsorganisaties.

De kern van de oefening betrof een wijdverspreide software kwetsbaarheid die misbruikt werd door een statelijke actor, met als gevolg verstoring van processen bij verschillende organisaties binnen en buiten de vitale sectoren. Verspreid over de oefendagen zijn verschillende dynamieken aan bod gekomen. Technische analyse van de kwetsbaarheid, signalering van (fysieke) gevolgeffecten in de buitenwereld, nationale opschaling en coördinatie, publiekscommunicatie, en attributie- en respons. 

De evaluatie van ISIDOOR IV

ISIDOOR IV blijkt uit de evaluatie een succesvolle oefening. Het evaluatierapport bevat aanbevelingen en constateringen, de opvolging waarvan zal bijdragen aan het versterken van onze digitale weerbaarheid en de voorbereiding op een digitale crisis. De volgende aanbevelingen worden in het rapport gedaan:

1. Grootschalig oefenen is waardevol gebleken, maar er kleven ook nadelen aan. Zorg voor een passend vervolg op ISIDOOR IV op basis van de ontwikkelingen binnen het cyberstelsel.
2. Sectoren moeten investeren in informatiedeling en zorgen dat zowel cyber gerelateerde informatie 
   (technisch/inhoudelijk) als informatie over de impact samenkomt en aansluit op landelijke 
   informatiestromen. Hoe de routing precies vormgegeven moet worden is ter nadere beoordeling.
3. Op rijksniveau is er een behoefte aan een scherp afwegingskader met een helder proces er omheen. Gecombineerd met een duidelijk beeld en advies vanuit de sectoren moet dit ertoe leiden dat het afwegingskader goed kan worden gevuld en benut.
4. We zien een groot verschil in de mate waarin organisaties zelf zijn voorbereid op cybercrises. Vanuit een perspectief van nationale weerbaarheid zou het goed zijn als die partijen die nu een achterstand hebben prioriteit geven aan hun eigen voorbereiding. Hiermee kan ook het beroep op, en de verwachting van, het NCSC realistischer worden.
5. Werk de rolbeschrijving en werkwijzen van sectorale CERTS, ISAC’s, OKTT’s, etc. beter uit zodat sprake is van een meer eenduidige rolinvulling en deze partijen vanuit een gedeeld kader opereren en een bepaalde kwaliteitsstandaard kunnen leveren.
6. Zorg dat de bestaande overlegstructuren beter worden benut en eventueel uitgebreid met relevante partners. Dit kan worden bereikt door enerzijds de bekendheid met de bestaande structuur te vergroten en anderzijds te onderzoeken waarin de bestaande structuur op dit moment niet voorziet.
7. Zorg voor meer bekendheid van de Wbni criteria en de meldingsprocedure.

Lees de kamerbrief  hier en het gehele evaluatierapport van de cyberoefening ISIDOOR 2023 hier.