Nederlandse Cybersecurity Agenda geëvalueerd

In 2018 is de overheid gestart met de Nederlandse Cyber Security Agenda (NCSA). De NCSA wil middels allerlei maatregelen bereiken dat Nederland in staat is om op een veilige wijze de economische en maatschappelijke kansen van digitalisering te verzilveren en de nationale veiligheid in het digitale domein te beschermen. Dialogic analyseerde in opdracht van het WODC de opbouw en de meetbaarheid van de effecten van de beleidsmaatregelen in de NCSA.

De onderzoekers komen tot de conclusie dat de NCSA een duidelijk gelaagd karakter heeft met een overkoepelende doelstelling die uiteenvalt in zeven ambities. Deze ambities sluiten goed aan bij de overkoepelende doelstelling, maar zijn gelijksoortig noch wederzijds uitsluitend. Onder deze zeven ambities vallen in totaal 42 maatregelen. Door de bank genomen is de opbouw van de ambities logisch, maar er zijn substantiële verschillen tussen de ambities.

Haalbaarheid van proces- en effectevaluatie

Hoewel in enkele gevallen rekening moet worden gehouden met de slechte meetbaarheid van bepaalde aspecten is het volgens de onderzoekers voor alle ambities mogelijk om een procesevaluatie uit te voeren. Waar het gaat om de meetbaarheid van het doelbereik zien de onderzoekers flinke verschillen tussen maatregelen en ambities. De meetbaarheid van de effectiviteit, tot slot, is het laagste. Vanuit een breder perspectief is het bovendien zeer lastig om te bepalen of de ambities behaald zijn en wat de rol van de NCSA daarin was. Hetzelfde geldt voor de overkoepelende doelstelling van de NCSA.

Beleidstheorie en toegevoegde waarde

De onderzoekers constateren dat er in feite twee realiteiten zijn als het gaat om het doel van de NCSA. Het eerste perspectief draait om de beleidstheorie, die zij in termen van doelen, effecten en effectiviteit hebben beschreven. Het tweede perspectief draait vooral om de toegevoegde waarde van de NCSA als geheel: Wat heeft de NCSA toegevoegd aan de situatie met betrekking tot cybersecurity(beleid) in Nederland? Of omgekeerd: Hoe had Nederland eruitgezien als we geen NCSA hadden gehad? Uit het onderzoek komt naar voren dat onderlinge afstemming binnen de publieke sector een duidelijke meerwaarde van de NCSA is. Het hele proces rond het opstellen van de NCSA heeft gezorgd voor meer begrip bij betrokken partijen over welke zaken voor andere partijen belangrijk zijn. Veel geïnterviewden geven aan dat de NCSA ervoor heeft gezorgd dat er een gezamenlijk referentiepunt met betrekking tot cyber-security(beleid) is ontstaan.

Toekomstige agenda

Voor slechts een deel van de NCSA is het mogelijk om een hoogwaardige effectevaluatie uit te voeren. De onderzoekers doen dan ook een aantal aanbevelingen hoe waardevolle input kan worden verkregen voor de opzet van een mogelijke toekomstige agenda. Die zou explicieter moeten zijn over de achterliggende doelen, de koppeling tussen doelen en maatregelen zou duidelijker moeten zijn en er zou meer aandacht moeten zijn voor de meetbaarheid van de agenda.