Met input van de werkgroep Public Affairs heeft CVNL input gegeven aan Kamerleden ten behoeve van het Commissiedebat Online Veiligheid en Cybersecurity.
Graag geeft Cyberveilig Nederland (CVNL) u voor het Commissiedebat Online Veiligheid en Cybersecurity een aantal aandachtspunten mee:
Crisispreparatie versterken met een afwegingskader
In het afgelopen jaar is er een aantal (internationale) incidenten geweest die gelukkig niet zijn uitgemond in een cybercrisis. Crowdstrike en NAFIN zijn hiervan een goed voorbeelden. In de meeste gevallen bleek dat de impact van zo’n incident in Nederland relatief beperkt bleef. Een mogelijke reden hiervan kan zijn dat vitale organisaties relatief goed voorbereid zijn op een incident. De tweejaarlijkse cybersecurityoefening ISIDOOR draagt hier in positieve mate aan bij. Echter, vanuit de evaluatie van deze ISIDOOR-oefening is gebleken dat bij grootschalige incidenten en crisis er beperkte capaciteit beschikbaar is in Nederland. Dit roept de vraag op welke organisaties het eerst geholpen moeten worden als in de toekomst zo’n capaciteitsgebrek daadwerkelijk optreedt. Omdat elke crisis anders is en daardoor de behoefte aan bepaalde soorten dienstverlening kan wisselen, is het niet mogelijk om een standaard verdringingsreeks vanuit de overheid voor te bereiden. Echter, momenteel zijn er ook geen duidelijke afwegingskaders die kunnen helpen met het bepalen welke sectoren en organisaties andere mogen ‘verdringen’ met prioritaire bijstand en waar cybersecuritybedrijven zich dan aan moeten houden als deze situatie zou optreden. Een denkrichting zou bijvoorbeeld kunnen zijn dat aanbieders onder de komende Cyberbeveiligingswet (Cbw) met voorrang geholpen dienen te worden.
CVNL vraagt de Minister van Justitie en Veiligheid een afwegingskader op rijksniveau te maken. Deze moet bepalen welke organisaties of sectoren voorrang krijgen in het geval van beperkte cybersecurity capaciteit in de cybersecuritysector bij een (nationale) crisis. Input van essentiële en belangrijke sectoren onder de Cbw zou hierin moeten worden meegenomen.
Herbezinning op de Europese inzet op child sexual abuse material
Via chat-apps wordt veel illegale inhoud, waaronder online kinderporno, verspreid. Dat is een breed erkend probleem dat moet worden aangepakt. Vanuit de Europese Commissie is inmiddels meerdere malen een wetsvoorstel voorbereid om de verspreiding van online kindermisbruik, child sexual abuse material (CSAM), tegen te gaan. Onderdeel van het voorstel is het zogenaamde Client-Side Scanning (CSS), waarbij de inhoud van chatberichten van burgers op hun telefoon mag worden gecontroleerd. Cyberveilig Nederland en diverse andere belangenorganisaties zien dit als een aantasting van end-to-end encryptie hetgeen ernstige negatieve gevolgen voor de cyberweerbaarheid van Europa. Immers moet op elk apparaat software worden geïnstalleerd die het mogelijk maakt voor de overheid om berichten mee te lezen. Daarmee wordt encryptie omzeild én een kwetsbare toegang gecreëerd voor kwaadwillenden op de apparaten van Europeanen. Immers software kan kwetsbaarheden bevatten die door kwaadwillenden kan worden misbruikt.
CVNL vraagt de Minister van Justitie en Veiligheid om een herbezinning van het Nederlandse standpunt op het CSAM dossier waarbij encryptie wordt verzwakt. Wij pleiten voor een aanpak waarbij de controversiële maatregelen worden vervangen door een set van breed geaccepteerde maatregelen die zich richt op burgers (en niet op organisaties) waarbij de cyberveiligheid van deze individuele Europeanen niet mag worden verzwakt. Wij moedigen het kabinet aan hierin een stap naar voren te zetten en samen met andere kritische lidstaten het voortouw te nemen door het bieden van een goed alternatief. Kinderen en jongeren zijn geholpen met bewezen effectieve oplossingen die op korte termijn technisch en juridisch duurzaam te realiseren zijn. Door daarop in te zetten wordt de aanpak versterkt en biedt het een vernieuwende manier om sneller tot resultaten te komen en seksueel misbruik van kinderen en jongeren actief te bestrijden.
Evaluatie van Project Melissa inzetten als blauwdruk voor PPS-en op gebied van informatiedelen binnen het cybersecuritydomein
Om Nederland een onaantrekkelijk doelwit te maken voor digitale aanvallen is het essentieel dat publieke en private partijen sneller (onderling) informatie delen over digitale dreigingen en incidenten. Hierdoor ontstaat een breed gedragen inzicht in actuele problematiek en wordt handelingsperspectief gecreëerd waardoor incidenten elders kunnen worden voorkomen of de impact wordt verminderd. Om dit te versnellen is vanuit de Rijksoverheid onder andere programma Cyclotron gestart. Daarnaast werken diverse publieke en private organisaties al meerdere jaren samen aan de bestrijding van ransomware in het project Melissa. Recent is dit project door de Universiteit Leiden geëvalueerd.
Om de impact van het programma Cyclotron te vergroten lijkt het ons goed deze te herijken, op basis van de uitkomsten van de evaluatie van project Melissa. De evaluatie geeft concrete aanknopingspunten die kunnen dienen als blauwdruk voor het programma Cyclotron en andere publiek-private samenwerkingen op gebied van informatiedelen binnen het cybersecuritydomein. De faciliterende rol van Cyclotron kan worden versterkt door het leveren van faciliteiten zoals een technisch platform, juridische randvoorwaarden, gezamenlijke communicatie en inzicht in relevante (betrokken) stakeholders. Hiermee kunnen concrete use cases gericht op informatiedelen worden ondersteund. Belangrijk voor deze use cases zijn autonomie, vertrouwen, wederkerigheid en een heldere scope essentieel voor het succesvol bereiken van resultaten.
CVNL vraagt de minister van Justitie en Veiligheid om een herijking van programma Cyclotron waarbij de faciliterende randvoorwaarden rondom informatiedelen goed worden geborgd en de uitkomst van de evaluatie van Project Melissa als blauwdruk wordt ingezet.
Aandachtspunten Cyberbeveiligingswet: toezicht, ketenafhankelijkheid en drempelwaarden
De verwachting is dat in het najaar de Cyberbeveiligingswet (Cbw) zal worden geïmplementeerd in Nederland. Alhoewel er naar aanleiding van de consultatie veel verbeteringen zijn aangebracht zijn er nog een aantal aandachtspunten. Ondanks dat deze mogelijk worden geadresseerd in de Algemene Maatregel van Bestuur van de Cbw, vindt CVNL het wel noodzakelijk deze nu al onder uw aandacht te brengen.
Toezicht. Met de Cbw neemt het aantal sectoren en ook het aantal entiteiten dat straks valt onder de Cbw significant toe. Er zijn verschillende toezichthouders die zullen toezien dat entiteiten zich aan de wet zullen houden. CVNL maakt zich zorgen over het gebrek aan coördinatie tussen de toezichthouders. Voor cybersecurity bedrijven wordt het daardoor lastig om goed advies te geven: immers de ene toezichthouder zal de wet mogelijk anders interpreteren dan de andere.
Daarom vragen we ten minste om een geharmoniseerd toezichtkader, zoals we ook al gevraagd hebben tijdens de internetconsultatie;
Ketenafhankelijkheid. Een belangrijke nieuwe maatregel in de Cbw wordt de verantwoordelijkheid van entiteiten om de cyberweerbaarheid van hun keten te vergroten. Dat vinden we vanuit CVNL een goede maatregel, omdat veel incidenten voortkomen uit zwakke schakels. Echter wij zien nu al bewegingen ontstaan dat entiteiten die vallen onder de Cbw deze verantwoordelijkheden contractueel afschuiven in hun keten. Ketenverantwoordelijkheid wordt zo vanuit de compliance ingevuld. Dat is een ongewenste ontwikkeling die echter ook niet direct te voorkomen is. Immers er is nog veel onduidelijkheid wie welke rollen en verantwoordelijkheden hebben, wat is het juridisch kader rondom verantwoordelijkheid? Hoe gaat het toezicht straks toezien op de ketenverantwoordelijkheid?
Een goede definiering van ketenverantwoordelijkheid is een belangrijke randvoorwaarde om de weerbaarheid van Nederland te vergroten.
Drempelwaarden. Een belangrijk onderdeel van de AMVB gaat het invullen van de drempelwaarden zijn: wanneer is een incident significant genoeg om te moeten melden aan de CSIRT en toezichthouder? Dat is een precair proces, want te veel meldingen is onwenselijk, maar te weinig eveneens. In het gezamenlijk inspectiebeeld cybersecurity vitale processen is te lezen dat in 2022 en 2023 geen enkel incident de drempelwaarde heeft gehaald, dus gemeld had moeten worden.
Een juiste invulling van de drempelwaarden is essentieel om de impact van de Cbw te vergroten. Hierbij vragen wij de drempelwaardes in alle sectoren gelijk te houden, niet alleen om praktische uitvoerbaarheid mogelijk te maken maar ook om te voorkomen dat na analyse van het incident bij her classificatie blijkt dat terecht of onterecht melding is gemaakt.
Breder uitdragen en stimuleren gebruik cybersecurity keurmerken
Eén van de belangrijkste doelstellingen bij de oprichting van Cyberveilig Nederland was het vergroten van de kwaliteit en transparantie van de sector. Hiertoe hebben we, met andere belanghebbende partijen aan het CCV gevraagd om te komen tot onafhankelijke kwaliteitsstandaarden voor cybersecurity dienstverlening. Hiertoe is in 2020 het certificeringsschema voor pentesten gelanceerd. Momenteel worden voor andere, veel gevraagde cybersecurity diensten, te weten monitoring & detectie, incident respons en awareness & gedrag, ook certificeringsschema’s en keurmerken ontwikkeld. In de brede doorontwikkeling naar deze onafhankelijke kwaliteitswaarborgen is rekening gehouden met de toenemende vraag van deze diensten als gevolg van de Cyberbeveiligingswet en andere wetten en regels. Om de kwaliteit van cybersecurity dienstverlening te vergroten is het essentieel dat het keurmerk vaker wordt uitgevraagd bij aanbestedingen. De (Rijks)overheid is een belangrijke vragen is van dit soort diensten.
Cyberveilig Nederland vraag de minister van Justitie en Veiligheid en de staatssecretaris van Digitalisering en Koninkrijksrelaties om ten minste de kwaliteitseisen die zijn gesteld in de certificeringsschema’s, maar bij voorkeur het keurmerk zelf, in aanbestedingen van de (Rijks)overheid uit te vragen.
