Minister Yeşilgöz-Zegerius van Justitie en Veiligheid heeft onlangs een wetsvoorstel naar de Tweede Kamer gestuurd waarin het idee centraal staat dat het Nationaal Cyber Security Centrum (NCSC) in meer gevallen informatie en advies kan verstrekken aan organisaties over hun ICT-systemen en eventuele beveiligingsrisico’s en cybergevaar die hierin aanwezig zouden kunnen zijn.
Cyberveiligheid
Van groot belang is het digitaal veilig maken en houden van Nederland. Op dit moment zijn veel mensen van verschillende leeftijdscategorieën slachtoffer van cybercriminaliteit. Het openen van je mail op een openbaar wifinetwerk kan al leiden tot digitaal onveilige situaties en dit is iets wat men zich niet altijd realiseert. Het is daarom belangrijk dat er maatschappelijke bewustwording wordt gecreëerd over dit onderwerp. Inmiddels is er een gratis initiatief ontwikkeld voor overheidsprofessionals en bestuurders die zich bezighouden met ICT-systemen en cyberveiligheid. Ook is dit sinds kort weer beschikbaar voor mensen uit het bedrijfsleven. Door hieraan deel te nemen wordt men bewust van crisissituaties en kan de afhandeling van een crisissituatie gestuurd worden. Het is de bedoeling dat deze overheidsprofessionals, bestuurders en mensen uit het bedrijfsleven een beter beeld krijgen van hoe een crisissituatie eruitziet, zodat zij in de praktijk beter een dergelijke situatie kunnen afhandelen.
Het OVV
Eind 2021 heeft de Onderzoeksraad voor Veiligheid (OVV) een kritisch rapport uitgebracht waarin zij stelt dat het van belang is dat de overheid informatie over digitale veiligheidsrisico’s openbaar maakt, omdat Nederland erg verstoord kan worden door een cyberaanval. De zogenoemde Citrixaffaire heeft bijvoorbeeld duidelijk gemaakt dat zo’n aanval grote gevolgen heeft voor de Nederlandse maatschappij. Het gevolg van deze cyberaanval was namelijk dat onder andere de software van Schiphol, de ziekenhuizen van Amsterdam UMC en de Nederlandsche Bank werd uitgeschakeld.. Deze aanval had invloed op de dienstverlening en het heeft een week geduurd voordat dit probleem hersteld kon worden. Deze situatie schetst een beeld van hoe cruciaal het is voor de maatschappij dat ICT-systemen veilig zijn. Volgens het OVV ontstond deze aanval ook door het feit dat NCSC alleen cruciale organisaties en overheidsdiensten waarschuwde, waardoor andere organisaties geen idee hadden dat ze gevaar liepen.
Het NCSC
Het Nationaal Cyber Security Centrum (NCSC) draagt zorg voor een digitaal veilig Nederland en is onderdeel van het ministerie van Justitie en Veiligheid. De voornaamste taak van het NCSC is het adviseren en informeren van instanties van de Rijksoverheid en vitale organisaties betreffende digitale dreigingen en incidenten die zich eventueel zouden kunnen voordoen binnen hun ICT-systemen. Het NCSC heeft de capaciteit om op dit gebied onderzoek en analyses te verrichten. Door het verrichten van dit onderzoek ontvangt het NCSC vaak weg informatie die van belang is voor andere aanbieders, welke niet tot vitale organisaties en de Rijksoverheid behoren. Echter, het NCSC kan deze informatie vaak niet verstrekken omdat hiervoor op dit moment nog een wettelijke basis mist. Daarom wil onze minister van Justitie en Veiligheid de wet op dit gebied willen uitbreiden.
De aanpassing
De Wet beveiliging netwerk- en informatiesystemen (Wbni) is de wet die van belang is voor het regelen van de wettelijke taken van het NCSC op het terrein van cybersecurity. Het idee van minister Yeşilgöz-Zegerius is om deze wet aan te vullen, zodat het NCSC een wettelijke grondslag krijgt om aan meer organisaties informatie betreffende dreiging en incidenten die eventueel aanwezig zouden kunnen zijn aan meer organisaties informatie te geven betreffende eventuele dreiging en incidenten die eventueel aanwezig zouden kunnen zijn in hun ICT-systemen. De organisaties waaraan het NCSC deze informatie, na het invoeren van het wetsvoorstel, dan zou verstrekken zijn zogenaamde OKTT’s (het NCSC legt OKTT’s uit als ‘organisaties die objectief kenbaar tot taak hebben om organisaties of het publiek te informeren over dreigingen en incidenten’). OKTT’s zijn dus organisaties die als taak hebben om te informatie over incidenten en dreigingen aan organisaties in hun achterban te geven. Het zijn als het ware dus een soort schakelorganisaties. Een andere mogelijkheid na het instellen van de nieuwe wet zou zijn dat het NCSC, in bijzondere gevallen, zelf aan andere aanbieders informatie van dreiging of incidentinformatie mag overhandigen. Men spreekt van een dergelijke bijzondere situatie wanneer er geen schakelorganisatie bestaat die de informatie aan de aanbieder kan doorgeven en deze informatie van aanzienlijk groot belang is voor de aanbieder en haar dienstverlening. Met het invoeren van dit wetsvoorstel wordt beoogd het digitale Nederland veiliger te maken.
Naar verwachting zal de wetswijziging binnen een half jaar door de Tweede Kamer worden geloodst. Wanneer de wet is aangepast, zullen bredere lagen van de maatschappij op de hoogte kunnen worden gesteld van digitale dreigingen in ICT-systemen. Tot die tijd kunnen we in de maatschappij bewustzijn creëren van het feit dat er altijd een digitale dreiging aanwezig kan zijn, zodat we ons als maatschappij beter kunnen aanpassen op het moment dat er toch een digitaal onveilige situatie ontstaat.
Bronnen