Meer informatie-uitwisseling nodig voor een sterk landelijk dekkend cybersecuritystelsel

Om de digitale slagkracht van publieke en private partijen in Nederland te versterken wordt er de afgelopen jaren gewerkt aan een landelijk dekkend stelsel van cybersecurity-samenwerkingsverbanden, waarbinnen informatie over cybersecurity breder, efficiënter en effectiever wordt gedeeld. Met het Nationaal Cyber Security Centrum (NCSC, onderdeel van het ministerie van Justitie en Veiligheid), het Digital Trust Center (DTC, onderdeel van het ministerie van Economische Zaken en Klimaat) en het toenemende aantal samenwerkingsverbanden wordt dit landelijk dekkend stelsel meer en meer de realiteit. Er zijn echter nog steeds doelgroepen in de niet-vitale sector (zoals het MKB), die bepaalde gewenste informatie niet mogen ontvangen of niet weten te vinden, en dat vormt een risico voor de cyberveiligheid van deze partijen. Onderzoeksbureau Dialogic onderzocht dit in opdracht van het WODC.

In het onderzoek is onderscheid gemaakt tussen twee typen informatie met betrekking tot cybersecurity: voorlichtingsinformatie (informatie en advies over cyberweerbaarheid) en dreigingsinformatie (informatie over dreigingen of kwetsbaarheden met betrekking tot bepaalde bedrijven of software). De doelgroepen van, behoeften aan en juridische beperkingen bij deze twee typen informatie zijn niet gelijk, waardoor ook de conclusies en mogelijke maatregelen verschillen.

Behoefte aan voorlichtingsinformatie

Uit het onderzoek blijkt dat er onder MKB’ers en zzp’ers behoefte is aan informatie en advies over cybersecurity, zoals bijvoorbeeld een basisscan van hun cybersecurity. Ook blijkt dat het DTC momenteel al in een aanzienlijk deel van deze behoefte kan voorzien, maar dat partijen hier niet van op de hoogte zijn. Een van de aanbevelingen in het onderzoek is daarom om een communicatiestrategie te ontwikkelen om te werken aan de bekendheid en vindbaarheid van het DTC als centraal loket voor cybersecurity.

Behoefte aan dreigingsinformatie

Het delen van dreigingsinformatie is vaak problematisch vanwege de juridische beperkingen aan het delen van persoonsgegevens en herleidbare vertrouwelijke informatie. Dreigingsinformatie die relevant is voor de niet-vitale sector blijft daardoor ‘hangen’ bij het NCSC. Uiteindelijk wordt met name de groep niet-vitale cybermature bedrijven op het moment niet goed voorzien van de gewenste informatie. Deze groep heeft beperkt toegang tot de informatie die zij nodig achten om cyberweerbaar te kunnen functioneren.

Juridische ontwikkelingen

Het DTC kan op termijn de primaire actor voor dreigingsinformatie voor niet-vitale partijen worden, door ervoor te zorgen dat het DTC de informatie van het NCSC ontvangt en deze doorzet naar de relevante bedrijven en samenwerkingsverbanden. Het is echter onduidelijk wanneer de benodigde wettelijke grondslag van het DTC rond is en de informatie-uitwisseling echt kan starten: begin 2021 is mogelijk haalbaar, maar een jaar later is niet ondenkbaar. Dreigingsinformatie kan ook direct van het NCSC naar andere samenwerkingsverbanden worden doorgezet, zonder tussenkomst van het DTC, maar ook hier spelen juridische obstakels en onzekerheden. Naar verwachting zal hier op de korte tot middellange termijn meer duidelijkheid over ontstaan en zal informatie-uitwisseling makkelijker worden.