eerste naar. Als ze binnenkomen en zien dat dat goed geregeld is, gaan ze vaak niet verder. Dan zoeken ze een makkelijker doelwit.” Kan ieder bedrijf of instelling die boete straks krijgen? “In Europa vallen er straks zo’n 160.000 instellingen onder de wetgeving. Dat gaat om vitale bedrijven als ziekenhuizen en energiebedrijven, maar ook over bedrijven in de maakindustrie. Die 160.000 instellingen kunnen inderdaad een boete krijgen. Overigens moet in de onderhandelingen de scope nog precies vastgesteld worden; het Europees Parlement en de lidstaten zijn het niet over alles met elkaar eens. Zo wil ik dat regionale overheden ook binnen de scope komen te vallen, maar daar hebben de lidstaten geen zin in.” Hoe wilt u dat laatste regelen? “Ik vind dat de overheid een voorbeeldfunctie heeft: ‘leading by example’. Wat wij vragen van onze bedrijven, moeten we ook als overheid op de mat leggen. En als het daar niet op orde is, dan mag daar wat het Europees Parlement betreft een maatregel tegenover staan. Wellicht zelfs een boete, maar het is aan de lidstaten zelf om het boetesysteem voor hun overheden in te richten. Gemeenten vallen daar overigens buiten.” Gaat uw cyberbeveiligingswetgeving aanvallen voorkomen of genezen? “Je probeert in ieder geval iets te doen aan de grote golf van ransomware; de politie zag in 2019 een verdubbeling en de FBI in 2020 zelfs een verdrievoudiging. Veel kun je met eenvoudige maatregelen voorkomen, wat ook gunstig zou zijn voor de politie die de aangiftes maar nauwelijks aankan.” Welk beeld heeft u van de cybersecurity in organisaties in Nederland? “Alles waar ‘Koninklijke’ voor staat heeft moeite om zich aan te passen, in tegenstelling tot relatief nieuwe bedrijven als bol.com of coolblue.nl. Die laatste bedrijven hebben een chief information officer in hun raad van bestuur en IT is core business, cyberveiligheid vaak ook. Veel overheden zijn ‘koninklijk’ in het kwadraat. En gemeenten kampen met hun eigen belangenafwegingen. Die staan voor de keuze: investeer ik in cybersecurity, of in bijzondere bijstand, of in voetbalvelden? Maar cybersecurity is geen niche meer. Als je dat niet goed regelt, staan niet alleen je data op het spel, maar ook de dienstverlening aan je burgers en je betrouwbare imago. En wil je echt belastinggeld besteden om criminelen te betalen om weer in bedrijf te komen? Dat bedoel ik met chefsache.” Een wetgevingstraject duurt lang, implementatie van wetgeving duurt lang, zeker Europese wetgeving. Hoe 76 snel bent u met dit wetgevingspakket? “Ik wil zo snel mogelijk wetgeving. Ik wijs nog een keer naar de VS waar Biden met spoedwetgeving komt. We zitten echter met al die vaste procedures. Ik rond liefst in het eerste halfjaar van 2022 de onderhandelingen af. Ik hoop dat vervolgens de implementatie snel gaat, het liefst binnen 18 maanden. We hebben geen tijd te verliezen.” Moeten bestuurlijke organisaties daarop wachten? “Zeker niet. Als je wacht op wetgeving, ben je te laat. In de gemeentelijke begroting bijvoorbeeld kun je nu al maatregelen nemen. Ook in de coalitieakkoorden na de gemeentelijke verkiezingen kun je erop inzetten. En vraag in de lokale driehoek om digitale expertise bij politie en justitie om zaken op te lossen. Organisaties als de VNG en het IPO weten ook wat er speelt. Laat je als gemeente of provincie ook daar informeren.” Wil je echt belastinggeld besteden om criminelen te betalen om weer in bedrijf te komen? Wat zijn de nieuwe vereisten, wat moet je als organisatie bestuurlijk wanneer doen? Groothuis: “Als je binnen de scope van de wetgeving kom te vallen, moet je kunnen aantonen dat je cybersecuritymaatregelen neemt en is er de verplichting om cybersecurity-incidenten te melden. Daar tegenover staat dat je assistentie van het nationaal cybercentrum mag verwachten. Het goede nieuws is: vaak zijn het eenvoudige en niet al te dure maatregelen die criminele hackers al afschrikken. En denk je: hoe kom ik in vredesnaam in control, zijn we niet te laat? Denk dan aan dit Chinese spreekwoord: De beste dag om een boom te planten is dertig jaar geleden. De een na beste dag is vandaag.” Deze publicatie is mede mogelijk gemaakt door een bijdrage van het mediafonds van de Europese Unie.
77 Online Touch Home