Cybersecurity-Crossroads: Steden aan de frontlinie van internationale cyberconflicten
Steeds vaker staan steden aan de frontlinie van conflicten die zich in het digitale domein afspelen. Simone Hefting onderzocht hoe Nederlandse gemeenten omgaan met cyberaanvallen en in hoeverre zij zich laten leiden door internationale normen rondom vrede en veiligheid. De bevindingen zijn verhelderend en zorgwekkend tegelijk: steden worden steeds vaker doelwit in wereldwijde cyberconflicten, terwijl hun verdedigingsstrategieën grotendeels los blijven staan van internationale juridische kaders.
Terwijl gemeenten nieuwe technologieën inzetten om hun dienstverlening te verbeteren en efficiënter te besturen, vergroten zij tegelijkertijd hun kwetsbaarheid voor cyberaanvallen – ook van buitenlandse actoren. Hoewel internationale wetgeving waardevolle richtlijnen zou kunnen bieden voor gemeentelijk cyberbeleid, blijft deze grotendeels buiten het lokale arsenaal.
Dit blijkt uit onderzoek waarin in kaart gebracht is hoe Nederlandse steden omgaan met cyberaanvallen en in hoeverre hun respons wordt beïnvloed door internationale regels inzake vrede en veiligheid – een stukje recht voornamelijk vastgelegd in het Handvest van de Verenigde Naties. Het onderzoek bevat daarnaast aanbevelingen om gemeenten beter te positioneren in het wereldwijde netwerk van cyberweerbaarheid.
Smart Cities
Digitale technologieën veranderen steden in razendsnel tempo. Van slim verkeersbeheer en sensornetwerken tot gedigitaliseerde veiligheidssystemen en openbare diensten: Smart Cities herdefiniëren de manier waarop stedelijk leven wordt georganiseerd. Nederland heeft, met haar vooruitstrevende houding ten aanzien van digitale innovatie, deze ontwikkeling volledig omarmd. Tegelijkertijd brengen IT- en OT-gestuurde strategieën nieuwe, grensoverschrijdende risico’s met zich mee. Deze kwetsbaarheden manifesteren zich in een domein waar juridische en politieke grenzen nog grotendeels ongebaand terrein zijn.
Van Stadsmuren tot Firewalls
Historisch gezien was het de taak van de stad om haar burgers fysiek te beschermden met stenen muren en vestingwerken. Veiligheid was tastbaar en zichtbaar: vijanden worden buiten de deur gehouden en het stedelijk leven werd binnen veilig gewaarborgd. Tegenwoordig moeten fysieke barricades worden aangevuld met digitale linies, zoals firewalls en detectiesystemen. In een wereld waarin bijna elk aspect van het dagelijks leven verbonden is via netwerken en data, moeten al deze digitale diensten en essentiële infrastructuur beschermd blijven.
Neem bijvoorbeeld Rotterdam, de thuisbasis van Europa’s grootste haven. Een gerichte cyberaanval van een buitenlandse (aan een staat gelieerde) actor zou de stad logistiek kunnen ontwrichten en een kettingreactie van economische en maatschappelijke gevolgen veroorzaken. Dit illustreert hoe lokale kwetsbaarheden snel nationale en zelfs internationale impact kunnen krijgen en waarom robuust gemeentelijk cyberbeleid essentieel is.
Volgens de Nederlandse Cybersecuritystrategie 2022-2028 zien we niet alleen een toename in internationale cyberdreigingen, maar zijn deze ook steeds vaker politiek geladen. Steden zijn vaak de eersten die de impact voelen en snel moeten reageren. In tegenstelling tot nationale overheden beschikken lokale besturen echter niet over de middelen of juridische instrumenten om zulke aanvallen als meer dan routinecrises te behandelen, zelfs wanneer kenmerken van hybride oorlogsvoering aanwezig zijn.
Cyberincidenten in de praktijk
Cyberincidenten zijn inmiddels dagelijkse realiteit voor Nederlandse gemeenten. Deze studie combineerde juridische analyse, theorie in internationale betrekkringen en praktijkervaringen gebaseerd op interview met gemeentelijke cyberstrategen en nationale cybersecurity-experts. Uit die gesprekken blijkt dat vooral phishing, ransomware en distributed denial-of-service (DDoS)-aanvallen veelvuldig voorkomen. Toch bereiken deze incidenten zelden de drempel van een ‘gewapende aanval’ in de zin van het internationaal recht.
Wat daarnaast aan het licht komt, is een beeld van ongelijke capaciteit en coördinatie. De meeste steden beschikken niet over de forensische expertise om aanvallen zelfstandig te herleiden en zijn daardoor afhankelijk van private partijen of nationale inlichtingendiensten. Crisisbeheer vindt plaats binnen het GRIP-kader, dat gericht is op continuïteit van vitale diensten, maar nauwelijks aansluit bij internationale juridische kaders rond vrede en veiligheid.
Problemen met handhaving van het Internationaal recht
Formeel gezien is het mogelijk om het internationale recht inzake vrede en veiligheid, zoals vastgelegd in het Handvest van de Verenigde Naties, ook toe te passen in cyberspace. Steeds meer landen erkennen dat principes zoals het verbod op geweld en het recht op zelfverdediging ook in de digitale sfeer gelden. In de praktijk blijft de naleving echter ernstig beperkt. Het grootste obstakel is attributie: vaststellen wie verantwoordelijk is voor een cyberoperatie is technisch complex, politiek gevoelig en juridisch veeleisend.
Daar waar zelfs staten worstelen met het toepassen van internationaal juridische kaders, is voor gemeenten de kloof nog veel groter. Omdat zij opereren op een ander juridisch en geografisch niveau, beschikken zij noch over de bevoegdheid, noch over de middelen om internationale normen toe te passen. Dit maakt internationaal recht vrijwel afwezig in hun werkmethoden, waardoor lokale ambtenaren afhankelijk blijven van crisisbeheersingsinstrumenten zoals GRIP en juridische vervolging buiten bereik ligt.
Gefragmenteerd bestuur, toenemende risico’s
Naast het vraagstuk van attributie bracht dit onderzoek een breder probleem aan het licht: gefragmenteerd bestuur. De gemeenten die werden gesproken, beschreven de coördinatie met nationale autoriteiten vooral als inconsistent en vaak reactief. Sommigen pleitten zelfs voor ingrijpende structurele hervormingen, zoals de oprichting van een Ministerie van Digitalisering.
Hoewel kaders zoals de EU-richtlijn NIS2 en de Nederlandse BIO2-norm richting geven, blijft lokale implementatie gefragmenteerd en ongelijkmatig. Experts waarschuwen bovendien dat alleen cyberaanvallen van uitzonderlijke ernst het gebruik van internationaal recht zouden rechtvaardigen. De combinatie van attributieproblemen en politieke gevoeligheden maakt het vrijwel onmogelijk om deze drempels te overschrijden
Mondiale implicaties
De implicaties reiken verder dan Nederland. Terwijl stedelijk leven wereldwijd steeds afhankelijker wordt van digitale technologieën, verschijnen steden als cruciale knooppunten in geopolitieke cyberconflicten. Landelijk instabiele regio’s lopen extra risico: zwakke bestuursstructuren en kwetsbare infrastructuren maken steden bijzonder gevoelig voor digitale aanvallen. Veel gemeenten zijn hier onvoldoende op voorbereid, zowel technisch als juridisch.
Deze kloof raakt niet alleen direct getroffen gebieden, maar heeft ook gevolgen voor de internationale juridische en beleidswereld. Gemeentelijke veerkracht wordt een hoeksteen van mondiale stabiliteit. Steden zijn geen perifere actoren meer; hun vermogen om cyberdreigingen te weerstaan kan wereldwijde impact hebben. Tegelijk blijft het strategische potentieel van steden binnen het globale stedelijke veiligheidskader grotendeels onbenut.
Het bijstellen van bestuur
De studie benadrukt de noodzaak van betere coördinatie tussen nationaal en lokaal niveau, een uitgebreidere forensische capaciteit en duidelijkere juridische kaders voor cyberincidenten. Beleidsmakers worden aangespoord de rol van steden in de mondiale veiligheidsarchitectuur opnieuw te bekijken. Hoewel gemeenten geen ondertekenaars van het VN-Handvest zijn, zijn zij diep verweven met het vredes- en veiligheidsstelsel dat het handvest beoogt te handhaven.
Het overbruggen van de kloof tussen internationale normen en lokale realiteiten is urgent. Het versterken van de rol van steden in cybergovernance vergroot niet alleen de lokale veerkracht, maar benadrukt ook de praktische relevantie van internationaal recht in een tijdperk waarin onzichtbare digitale aanvallen samenlevingen net zo diepgaand kunnen destabiliseren als conventionele oorlogsvoering.
Onderzoekscontext
Deze studie is uitgevoerd als onderdeel van een masterthesis in Law and Politics of International Security aan de Vrije Universiteit Amsterdam. Het onderzoek werd uitgevoerd in samenwerking met de Impact Coalition Safety and Security en maakt deel uit van het Smart Secure Societies-programma van HSD. Een volledig overzicht van het onderzoek, samen met aanvullende aanbevelingen die bedoeld zijn om de kloof tussen internationaal recht en lokale operationele praktijk te overbruggen, is hier te vinden.
Lees ook:
