104

er ruim 280 mensen. Sinds 2019 is het NCSC weer een zelfstandige organisatie. “Het was een turbulente groei”, blikt De Vries terug. “Van een fusie, verzelfstandiging tot het opbouwen van de huidige opdrachtgever-opdrachtnemer-eigenaar relatie met het NCTV en het ministerie van Justitie en Veiligheid. De afgelopen negen jaar is een mooie rit geweest.” Een van de dingen waar hij het meest trots op is, is de samenwerking die het NCSC heeft opgezet met allerlei partners. “Ik heb altijd de verbindingen met andere organisaties gezocht, ook internationaal. Of het nu een zelfstandig bestuursorgaan is of een maatschappelijke stichting. Als overheid moet je nederig zijn. We kunnen cyberveiligheid alleen in gezamenlijkheid met partners in publiek, privaat en non-profit organiseren.” “Ik merk dat we nu behoorlijk met elkaar in de pas lopen en dat de Tweede Kamer zich bewust is van de urgentie van dit vraagstuk.” De komende jaren gaat het NCSC samen met het Digital Trust Center (DTC) en het Cyber Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP) in één vernieuwde nationale cybersecurity organisatie. Dat centrum moet in samenwerking met publieke en private partners de digitale weerbaarheid van alle organisaties bevorderen, cyberincidenten en -crisis met een ontwrichtend karakter helpen te voorkomen en de impact ervan beperken. De naam van de vernieuwde organisatie is nog niet formeel bekend. Wetsaanpassing Ondanks dat cyberveiligheid steeds beter is georganiseerd liggen er nog genoeg uitdagingen. Een aandachtspunt dat De Vries graag nog meegeeft aan zijn opvolger, maar ook aan de collega-bestuurders, is hoe groot de afstand nog steeds is tussen beleid en uitvoering. “De politiek moet voordat ze beleid gaat maken eerst afstemmen met de uitvoering, anders gaat het fout. Wetgeving is een tijdrovend, nauwgezet proces. Daar moet je echt de tijd voor nemen met afstemming en publieke rondes, de hele mikmak. Een cyberdreiging is gewoon destructief, het probleem is acuut. Je moet er nu iets mee doen. En als de wet dan knelt, is er nog te weinig ruimte om er flexibel mee te kunnen omgaan. Wij liepen in de praktijk met een incident tegen de grenzen aan van wat je mag. Daar heb ik best wel veel tijd ingestoken en aandacht voor gevraagd, en met mij veel private partners.” Dat heeft geresulteerd in een wetsaanpassing afgelopen december. Zo mag het NCSC nu dreigingsinformatie delen met andere organisaties dan de overheid en vitale partijen. “De discussie van de wetgeving is voor mij grotendeels verleden 104 tijd. Ik merk dat we nu behoorlijk met elkaar in de pas lopen en dat de Tweede Kamer zich bewust is van de urgentie van dit vraagstuk.” De Vries hoopt dat het nieuwe kabinet straks cybersecurity prominent op de agenda zet en daar laat staan; en flink erin investeert. “De impact van die digitalisering is zo groot dat, als we dit verloochenen, de afstand tussen de dreiging en de maatregelen alleen nog maar groter wordt. Ik had destijds berekend dat het kabinet 300 miljoen euro zou moeten uitgeven aan cyberweerbaarheid. Die inzet is nog steeds nodig, denk ik. Het gaat echt om nationale veiligheid en om ons economisch verdienvermogen.” Single truth De unieke kracht van het NCSC is volgens De Vries dat ze, als een van de weinige organisaties, over alle verschillende sectoren heen kan kijken. Een voorbeeld daarvan zagen we eind 2021 toen er een ernstige kwetsbaarheid werd ontdekt in Apache Log4j, software die veel gebruikt wordt in webapplicaties en allerlei andere systemen. “Daar ben ik nog steeds supertrots op. Op vrijdagmiddag constateerden we het probleem. Op zaterdag hebben we er actie op genomen en op zondag organiseerden we twee grote Webex meetings met 90 bedrijven en 300 organisaties die aan ons gelieerd zijn om te praten over wat Log4J is en hoe we dat gaan organiseren. De weken daarna hadden wij een GitHub gebouwd, die al snel wereldwijd gebruikt werd als de single truth over Log4J. Van Canada tot Brazilië werd dit als één repository gebruikt. Dan merk je hoe krachtig zo’n organisatie als NCSC kan zijn. Ik heb dan ook de mooiste baan. Toch is het nu tijd om die aan iemand anders te gunnen. Iedereen heeft een beperkte houdbaarheid.” Wat De Vries straks gaat doen weet hij nog niet. “Ik vind het cyberwereldje echt heel interessant. Of ik het op een andere manier binnen de overheid ga doen, of dat ik naar een nonprofit, een commerciële, of internationale organisatie ga, daar ben ik nog niet over uit. Op dit moment ben ik nog vol verantwoordelijk voor de organisatie. Ik zorg eerst voor een warme overdracht met mijn opvolger. En dat vraagt nu alle aandacht met de veranderingen die op ons afkomen: de vernieuwde organisatie, de komst van NIS2. Die nieuwe organisatie moet zichzelf straks bewijzen en de samenwerking tussen publieke en private partijen moet minstens net zo sterk zijn als nu. We moeten het vooral met elkaar doen. Cybersecurity is niet iets waar je op moet concurreren. Daarvoor is het te belangrijk.”

105 Online Touch Home


You need flash player to view this online publication