Nieuwe cybersecuritystrategie van kabinet: wat betekent dit voor de sector?
Het ministerie van Justitie en Veiligheid heeft de afgelopen maanden hard gewerkt aan een nieuwe cybersecuritystrategie. Deze strategie moet het beleid voor cybersecurity de komende zes jaar richting geven. Via inspraaksessies en onze zetel in de Cyber Security Raad hebben we meegedacht over deze strategie. De minister presenteerde gisteren het resultaat. Het laat een brede blik zien met een enorm vergrote nieuwe inzet op cybersecurity. Dit komt voort uit het regeerakkoord en de EU. Hieronder een eerste beschouwing van wat er aankomt voor onze sector. De impact zal groot zijn.
Regeerakkoord en nieuwe EU-wetgeving
In het regeerakkoord heeft het kabinet veel geld vrijgemaakt voor cybersecurity. Het budget zal tijdens de looptijd van deze strategie vervijfvoudigen. Van 22 miljoen in 2022 naar 111 miljoen per jaar in 2027 en daarna. Dit bedrag is noodzakelijk voor de uitvoering en implementatie van grote nieuwe wetgeving vanuit de EU. Daarbij denken we met name aan de vernieuwde netwerk- en informatiebeveiliging richtlijn (NIB2, of NIS2 in het Engels) en de Cyber Resilience Act (CRA), die de Commissie recent aankondigde. Door deze wetten vallen veel meer leveranciers van hard- en software onder zwaardere regelgeving. En er zullen nieuwe cybersecurityeisen voor individuele digitale producten worden opgelegd. De impact van deze wetgeving is groot (in potentie vergelijkbaar met de Avg/GDPR). We vinden het belangrijk dat het mkb hierin goed wordt meegenomen. Daarom organiseren we binnenkort een webinar voor leden over de tijdlijn en impact. Meer informatie volgt snel op onze website.
Eén cybersecurityorganisatie
De samenvoeging van Digital Trust Center (DTC), het Cyber Security Incident Response Team voor Digital Service Providers (CSIRT-DSP) en het Nationaal Cyber Security Centrum (NCSC) is één van de belangrijkste keuzes die in aanloop naar deze strategie is aangekondigd. In potentie zou dit inefficiënties en onhandigheden uit de huidige situatie kunnen laten verdwijnen. Het lijkt ook een goede aanpak om met de schaalvergroting van verantwoordelijkheden om te gaan die volgt uit de NIS2. Tegelijkertijd maken wij ons ook zorgen. Deze fusie moet een echte fusie zijn, waarbij de kwaliteiten van de verschillende organisaties behouden blijven. Ook zien wij deze organisatie het liefst zo onafhankelijk mogelijk. De belangen van cybersecurity zouden altijd voor andere belangen vanuit een individueel ministerie moeten gaan.
Arbeidsmarkttekort als grote uitdaging
In haar voorwoord benoemt minister Yeşilgöz-Zegerius terecht de behoefte aan meer cybersecurityspecialisten. Dit is één van de grootste uitdagingen voor de uitvoering van deze strategie. De overheid zelf zal veel meer specialisten nodig hebben. Maar ook de leveranciers die aan nieuwe hogere eisen moeten voldoen zullen meer medewerkers nodig hebben op dit vlak. Er is op dit moment al een groot tekort. Dat zorgt dus voor grote uitdagingen bij de uitvoering. In de actieagenda wordt de Human Capital Agenda ICT van het ministerie van Economische Zaken en Klimaat aangewezen als dé plek om hieraan te werken. NLdigital is als uitvoerder nauw betrokken bij dit programma. Onze directeur Lotte de Bruijn is ambassadeur van de Human Capital Agenda ICT.
Zorgplicht en aansprakelijkheid
Uitbreiding van de zorgplicht van leveranciers is één van de hoofdpunten van deze inzet. Het kabinet geeft zelfs aan hier actief voor te lobbyen in de EU. Dit is uiteraard een onderwerp dat NLdigital op de voet volgt en waar we zeer kritisch op zijn. De vraag hoe dit wordt vormgegeven is essentieel voor de werkbaarheid en effectiviteit. Het mkb zal onmogelijk kunnen ondernemen in deze markt als leveranciers een onaanvaardbaar risico op zich moeten nemen. Dit zou moeten gaan om duidelijke regels op Europees niveau die werkbaar zijn in de praktijk en behapbaar voor het mkb. Wij zien ook een risico op vergaande juridisering. Dit leidt vooral tot grotere contracten zonder extra veiligheid te bewerkstelligen in praktijk. Er zijn ook geluiden geweest om leveranciers verantwoordelijk te maken voor schade die volgt uit cyberaanvallen. Dit zien dat wij als een onbegaanbare weg. We volgen de ontwikkelingen en houden je hiervan op de hoogte via deze site.
Het laatste nieuws
Beveiliging, hacks en verzekeringen: lessen uit de praktijk
NLdigital stuurt inbreng digitale sector aan informateurs
NLdigital en overheid starten dialoog over soevereine cloud voor Nederland
ABRO: Nieuwe beveiligingseisen voor leveranciers aan Rijksoverheid en Politie
