realiseren. Als een departement vaststelt dat bepaalde doelen niet gehaald worden, moeten we kijken wat eraan gedaan kan worden. Onze minister zal er extra op sturen als doelen in de knel komen, maar het is een gezamenlijke verantwoordelijkheid.” Bestuurlijk convenant Alle departementen mogen dan ‘aan boord’ zijn, juist de 344 gemeenten hebben te maken met ernstige legacy in combinatie met een gebrek aan standaardisatie in IT. Wat dat betekent, is te zien bij de Informatiebeveiligingsdienst (IBD) van de VNG, die tot oktober 2022 al tweemaal zo vaak werd ingeschakeld als in 2021. Het aantal ernstige incidenten groeide van 24 (2019) naar 45 (2020) naar 90 in 2021. NCTV-directeur Cybersecurity Hester Somsen gaat zich bezighouden met de samenvoeging van het Nationaal Cybersecurity Center, het Digital Trust Center en het Nationale Cyber Security Incident Response Team. beeld: phil nijhuis Volgens Somsen kunnen de gemeenten terugvallen op de IBD. Verder komt er een zogenaamd bestuurlijk convenant tussen Rijk en de gemeenten (zie kader). Of dat voldoende is en de juiste prikkels bevat om bijvoorbeeld legacy aan te pakken, is de vraag. En hoewel regelgeving in de maak is, staat nog ter discussie in hoeverre lagere overheden gaan vallen onder de aangescherpte NIS2-richtlijn die vanuit de EU gaat komen. Het tekort aan cybersecurityexperts is een afbreukrisico Somsen reageert: “We hebben wel al de Baseline Informatiebeveiliging Overheid, die een verplichtend karakter heeft voor gemeenten om naar hun legacy te kijken. Het feit dat er legacy is, geldt voor heel veel overheidsorganisaties. Het bestuurlijk convenant dat we opstellen is ook bedoeld als kader voor waar het Rijk op dit vlak kan ondersteunen.” Is het een idee om een overheidsinstelling onder curatele te plaatsen als er niet kan worden voldaan aan de eisen rondom cybersecurity? “Dat is iets voor de minister van Binnenlandse Zaken. Wat we allemaal moeten beseffen is dat dit iets is waar we ons veel beter op moeten voorbereiden. Het legacyrisico hoort onderdeel te zijn van een risicoanalyse. En voor wat betreft dat verplichtend karakter: het is de bedoeling dat een gemeente zijn eigen huis op orde heeft.” Somsen ziet dat de dreigingen alleen maar toenemen en dat de professionaliteit van cybercriminelen steeds vaker niet te onderscheiden is van die van statelijke actoren zoals Rusland en China die cyber als middel inzetten om hun eigen geostrategische doelen te bereiken. “Tegelijkertijd zien we dat de weerbaarheid bij met name kleinere organisaties afneemt. Dat is zorgwekkend en zal moeten worden aangepakt met wet- en regelgeving rondom software.” Maar juist die afgenomen weerbaarheid speelt ook bij gemeenten, zo is uit het laatste tweejaarlijkse Dreigingsbeeld van de IBD (rapport van november 2022) naar voren gekomen. Digitaal rijbewijs Dan de veiligheid van digitale producten (hardware en software), waar de NLCS uitvoerig aandacht aan besteedt. “Regelgeving op dit vlak moet van Europees niveau zijn, want anders ontbreekt de marktmacht”, stelt Somsen. “De Europese Commissie heeft een voorstel gedaan voor de Cyber Resilience Act, die de veiligheid van hardware en software naar een hoger niveau tillen. Je moet dan denken aan het concretiseren van de verantwoordelijkheid voor de technische levensduur, bijvoorbeeld via software- of beveiligingsupdates, waarbij duidelijk is gedurende welke periode de leverancier hiervoor zorgt. Daarnaast wordt bekeken of certificering iets kan toevoegen; van producten maar bijvoorbeeld ook van processen van een leverancier. Verder heeft het 14
15 Online Touch Home