Over cybersecurity zijn de laatste tijd weer heel wat meningen in de media verschenen. SIDN pleitte in een open brief voor een proactieve en collectieve DDoS-bestrijdingsstrategie voor de Nederlandse vitale infrastructuur. Minister Grapperhaus van Justitie en Veiligheid had het over digitale dijkbewaking. Het klinkt geweldig – maar concreet verandert er nog weinig.

Net als het Nationaal Cyber Security Centrum in hun rapport ‘Cybersecuritybeeld Nederland 2017’ waarschuwde Grapperhaus in april dit jaar dat de weerbaarheid van Nederland achterblijft bij de groeiende digitale dreiging. Toch blijft de houding van Nederlandse bedrijven ten aanzien van cybersecurity tamelijk laconiek.

Het lijkt erop dat noch onze kennisinstituten, noch de industrie, noch de overheid in staat zijn af te dwingen dat we met zijn allen een actief cybersecuritybeleid gaan voeren. Dat is zorgwekkend, want niet alleen onze koelkasten en cv-ketels zijn steeds vaker met het internet verbonden, maar ook grote industriële machines, nutsbedrijven zoals onze gas-, water- en energievoorzieningen, en grote delen van onze infrastructuur.

Bewezen model

Gelukkig heeft minister Grapperhaus een bewezen model waarop hij zou kunnen teruggrijpen. In defensiekringen is het nu al zo dat bedrijven die iets willen met een zogenaamd ‘te beschermen belang’ (een TBB: materieel, goederen, objecten of gegevens die onder Defensie vallen), moeten voldoen aan een reeks zeer heldere en praktische regels die zijn samengevat in de Algemene Eisen voor Defensieopdrachten (de ABDO). Sinds de ABDO 2017 staan daar tevens heel heldere eisen in over cybersecurity.

Als het om ons leger gaat, vinden we het normaal dat de overheid regels oplegt. Op dezelfde manier zouden we ook minimale eisen moeten stellen aan de digitale wereld buiten Defensie. Tenslotte is onze privacy net zo goed een ‘te beschermen belang’ en raakt de beveiliging van onze vitale infrastructuur net zo goed aan onze nationale veiligheid.

Zonder wetgeving lukt het in Nederland kennelijk niet de maatregelen te nemen die nodig zijn om ons digitale Nederland te beschermen. Maar niets doen bedreigt onze privacy, onze economie, onze infrastructuur en besluitvorming, in het kort: onze welvaart en ons welzijn.

Minimale normen opgelegd

De enige manier om die dreiging het hoofd te bieden is door in actie te komen. De kennis en kunde is aanwezig, zo niet binnenshuis, dan wel bij ervaren externe specialisten. Maar het vergt wel een investering in tijd en geld, die kennelijk niemand bereid is te doen totdat via wetgeving bepaalde minimale normen worden opgelegd.

De Algemene Verordening Gegevensbescherming (AVG) dwingt ons nu minimale maatregelen te nemen om onze privacy te beschermen. Een maatregel als ABDO, maar dan voor álle initiatieven die raken aan ons collectieve belang, kan hetzelfde doen voor onze veiligheid in bredere zin. Als regels nodig zijn om Nederland in beweging te krijgen, laten we daar dan snel werk van maken.

LAAT EEN REACTIE ACHTER

Laat alsjeblieft een reactie achter!
Laat hier je naam achter