Investeringen en onderzoek nodig in cybersecurity en beveiliging van de vitale infrastructuur
De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) moet onderzoek doen naar en investeren in een meer proactieve aanpak van cybersecurity, waarmee risico’s of calamiteiten kunnen worden voorkomen. Dat is een aanbeveling naar aanleiding van het onderzoek Cybersecurity - a state-of-the-art-review: phase 2 van RAND Europe in opdracht van het WODC. In het onderzoek is gekeken hoe de wijze waarop cybersecurity in Nederland georganiseerd is kan worden verbeterd. Ook werd onderzocht hoe de beveiliging van vitale infrastructuur kan worden verbeterd.
In de Nederlandse aanpak van cybersecurity zijn veel verschillende partijen betrokken die hun eigen rollen en verantwoordelijkheden hebben. Deze decentrale organisatie leidt ertoe dat er onduidelijkheid is over de functies en verantwoordelijkheden. Ook heeft dit volgens de onderzoekers als gevolg dat er een gebrek is aan proactiviteit in de beleidsvorming op het gebied van cybersecurity. Dit kan leiden tot een gebrek aan samenhang in de regelgeving met soms tegenstrijdige vereisten die de inspanningen om de cybersecurity te bevorderen, kunnen ondermijnen. Een afdwingbare standaard op het gebied van cybersecurity voor alle overheidsorganisaties zou daarom een goede stap zijn, bepleiten de onderzoekers. De onderzoekers bevelen daarnaast aan om verder te onderzoeken of het Nationaal Cyber Security Centrum (NCSC) verdergaande bevoegdheid kan krijgen om toezicht te houden op de naleving daarvan.
Beveiliging van de vitale infrastructuur
Met de vitale infrastructuur worden zaken bedoeld die noodzakelijk zijn voor het functioneren van de samenleving, zoals energiecentrales, watervoorzieningssystemen, vervoersinfrastructuur en democratische instellingen. In het onderzoek is gekeken naar de risico’s en kansen die nieuwe technologie biedt voor de beveiliging van vitale processen. De onderzoekers stellen dat er spraken is van een vaardigheids- en kenniskloof op het gebied van vitale infrastructuur. Een risico is onder meer de kwetsbaarheid van de (internationale) supply chains van vitale infrastructuur. In het onderzoek worden suggesties genoemd voor de onderzoeksagenda die de NCTV gaat opstellen.
Lessen trekken en evalueren
In het onderzoek is ook gekeken welke lessen Nederland kan leren van hoe in Estland, Duitsland, Zweden, het Verenigd Koninkrijk en de Verenigde Staten cybersecurity is vormgegeven. Daarnaast worden verschillende kaders genoemd aan de hand waarvan de stand van cybersecuritybeleid in Nederland kan worden gemeten of geëvalueerd met het oog op betere informatiebeslissingen en beleidsvorming.