Van beveiligingsadviezen, 24 uurs monitoring van incidenten en kwetsbaarheden en dreigingen in kaart brengen. Het Nationaal Cyber Security Centrum (NCSC) waakt over onze cyberveiligheid. Dat moet ze binnenkort doen zonder Hans de Vries, die na negen jaar stopt als directeur. Hij heeft de cyberdreigingen in die tijd een vlucht zien nemen. Toch mist hij nog de urgentie bij veel bestuurders. En hij heeft advies voor het nieuwe kabinet. oen ik negen jaar geleden startte in deze rol had digitalisering vooral te maken met een applicatie waar een probleem in zat”, kijkt De Vries terug. Inmiddels praten we over de impact van digitalisering op verkiezingen, of over desinformatie, grote gelddiefstallen of zelfs het platleggen van een land en infrastructuur. Het gaat over landsgrenzen heen. Het is van iets technisch ook tot iets geopolitieks geworden.” “T Natuurlijk brengt digitalisering vooral ook veel kansen met zich mee, benadrukt De Vries. De wereld is echter in zo’n rap tempo gedigitaliseerd, dat onze afhankelijkheid ervan enorm is geworden, waarschuwt hij tegelijkertijd. “Daardoor nemen ook de digitale dreigingen toe. Boeven realiseren zich hoeveel geld ze hiermee kunnen verdienen, maar ook statelijke actoren realiseren zich hoe makkelijk ze desinformatie kunnen verspreiden of kunnen interrumperen. Was het ooit Gemiddelde script kiddie kan online makkelijk tools vinden voor een DDoS aanval nog een noviteit hoe beroepshacker Kevin Mitnick liet zien hoe je in een systeem inbreekt, nu kan de gemiddelde script kiddie online makkelijk de tools vinden voor een DDoS aanval. Die kun je gewoon per creditcard bestellen. Je hebt er niet eens veel kennis voor nodig.” Daarom moeten we ons nog meer realiseren hoe groot onze afhankelijkheid van digitalisering is, adviseert De Vries. “Daar moet je als bestuurder bijna dagelijks mee bezig zijn, en risicoNummer 48, oktober 2023 management toepassen. Dat is mijn boodschap. De bewustwording in de hoofden van vele bestuurders is nog te klein. Terwijl juist eigenaarschap bij bestuurders onmisbaar is. Digitale veiligheid moet chefsache worden, je moet het bij elk besluit dat je neemt laten meewegen. Cyberdreigingen zijn geen IT-dingetje dat je bij je CIO wegstopt. Ze hebben vergaande consequenties voor je organisatie als je er de verkeerde keuzes voor maakt.” Dat komt dus straks ook terug in de NIS2, de Network and Information Security directive, die eind 2024 ingaat. Door deze nieuwe wet moeten overheden en andere organisaties aan veel meer eisen voldoen op security gebied en worden overheden een ‘regieorganisatie’ die input moet leveren aan hun leveranciers. Daarin is óók persoonlijke aansprakelijkheid opgenomen. “Als je als bestuurder de nodige maatregelen niet hebt genomen, zoals risicomanagement, updaten van contracten of cyberoefeningen, ben je aansprakelijk bij een cybercrisis.” Fusie en verzelfstandiging De toename van cyberdreigingen heeft ook de nodige impact gehad op het NCSC zelf. In 2014 was het als GovCert nog een kleine organisatie met ruim vijftig medewerkers, die onder leiding van De Vries fuseerde met de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Inmiddels werken 103
104 Online Touch Home