Scenariodenken als tweede natuur
De verschillende organisaties die vanaf 2026 samen het NCSC vormen, gaan zo veel mogelijk agile opereren. Daarmee hopen ze aan snelheid en weerbaarheid te winnen en beter in staat te zijn om een antwoord te bieden aan de dreigingen waarmee Nederland te maken heeft. Een interview met NCSC-directeur Matthijs van Amelsfort.
De nieuwe naam van het Nationaal Cyber Security Centrum wordt… (trommelgeroffel)… het Nationaal Cyber Security Centrum (NCSC). Er is overwogen om een nieuwe naam te kiezen, vertelt NCSC-directeur Matthijs van Amelsfort, maar internationaal is NCSC nu eenmaal een bekend fenomeen. Bovendien dekt de naam goed de lading van de vernieuwde organisatie in wording. Per 2026 gaan het NCSC (voor organisaties die – in de nabije toekomst – onder de Cyberbeveiligingswet vallen), het Digital Trust Center (DTC, voor ondernemers) en het Cyber Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP) op in één loket. Bij het NCSC, ooit begonnen met twintig man, is in 2026 naar verwachting meer dan 400 fte werkzaam.
Familiegevoel
In de aanloop naar de samenvoeging ziet Van Amelsfort veel synergie en samenwerking tussen de verschillende organisaties. ‘Natuurlijk zijn er ook cultuurverschillen. Het DTC is maar een kleine groep mensen die ineens in een grotere organisatie terechtkomt.’ Om de samenvoeging te vergemakkelijken, vond er een cultuuronderzoek plaats, waarbij medewerkers konden aangeven wat ze graag wilden behouden uit hun organisatiecultuur, wat niet en wat ze belangrijk vonden om als nieuwe cultuur in de organisatie te hebben. Van Amelsfort somt op: ‘Het familiegevoel, wat je bij een DTC, maar ook bij het NCSC nog wel ziet, vinden we allemaal belangrijk. Elkaar kennen, oog hebben voor elkaar. Tegelijkertijd willen we graag besluitvaardiger zijn, goed samenwerken en niet verkokerd te werk gaan.’
Agile werken
Daarom kiest de nieuwe organisatie voor een agile manier van werken. De eerste pilots hebben ten tijde van het interview net plaatsgevonden. Voor de IT-organisatie binnen het NCSC is deze werkwijze al gesneden koek, maar voor de CSIRT-taken, in de operatie en over de hele organisatie heen, is het nieuw. Het betekent onder meer een nieuw besturingsmodel, waarbinnen medewerkers werken in resultaatteams en in competentieclusters. Geen stroperige vergaderingen meer maar werken in sprints, snel resultaten behalen in de vorm van minimum viable products (MVP’s) en die vervolgens uitbreiden en verbeteren. Van Amelsfort wordt zichtbaar enthousiast als hij erover vertelt. ‘Op deze manier zijn we wendbaarder als organisatie en geven we sneller een antwoord op mogelijke dreigingen die op Nederland afkomen.’
Matthijs van Amelsfort is sinds 1 september 2024 directeur van het Nationaal Cyber Security Centrum (NCSC-NL) bij het Ministerie van Justitie en Veiligheid. De afgelopen tien jaar gaf hij leiding aan verschillende afdelingen bij Politie Nederland. Eerst als Afdelingshoofd Dienst Landelijke Recherche, later als Afdelingshoofd Team High Tech Crime en Kinderpornografie en Kindersekstoerisme. Van Amelsfort was vier jaar lang wekrzaam op Curaçao als digitaal-forensisch specialist. Zijn eerdere ervaringen hiermee deed hij op bij de Landelijke Eenheid Politie.
Binnen het ministerie van Justitie en Veiligheid (JenV) is deze manier van werken nog vrij zeldzaam. Het NCSC dient als een proeftuin, waarbij de directeur meteen benadrukt dat niet alles van agile werken een-op-een valt over te nemen van de IT-industrie. ‘Je zult best wat tweaks nodig hebben om het voor het NCSC goed werkend kunnen krijgen. Het zou mooi zijn als we hiermee het Rijk helpen aan een manier waarop een overheidsinstelling agile georganiseerd kan zijn.’
Vakontwikkeling
Een transitiemanager afkomstig uit de eigen organisatie begeleidt de overgang. Uit de eerste pilots blijkt alvast een groot voordeel. ‘Als je constant bezig bent met allerlei nieuwe dreigingen, komt vakontwikkeling vaak op de tweede plaats’, zegt Van Amelsfort. ‘Door deze manier van werken hebben we meer mogelijkheden om mensen even uit de operatie te halen, zodat ze iets aan vakontwikkeling kunnen doen, of om dat wat ze geleerd hebben op papier te zetten, zodat het goed geborgd is.’ Uit de eerste testen blijkt de kracht van het multidisciplinair werken. ‘Je zorgt dat je met een resultaatteam alles dicht bij elkaar hebt zitten wat je nodig hebt om het resultaat te behalen, waardoor je minder afhankelijkheden creëert van anderen om jouw resultaten te bereiken.’
Datagedreven werken
Onder Van Amelsfort verandert het NCSC steeds meer in een datagedreven organisatie. ‘We moeten wel, omdat we van alle kanten informatie krijgen, die we zo snel mogelijk moeten analyseren om daarna te handelen.’ Als de Cyberbeveiligingswet, de Nederlandse implementatie van de Europese NIS2-richtlijn, in werking treedt, zijn 8.000 tot 10.000 entiteiten wettelijk verplicht om ernstige incidenten bij het NCSC te melden. Daarnaast ontvangt de organisatie nog eens vele vrijwillige meldingen die zo snel mogelijk moeten worden verwerkt. Veel te veel informatie om allemaal met het menselijk brein te analyseren. Daarom spelen large language models (LLM’s) een belangrijke rol binnen het NCSC. De computeranalyses worden altijd gecontroleerd door medewerkers. Van Amelsfort verwacht dat er in de toekomst ook vaker generatieve AI zal worden ingezet, bijvoorbeeld om vragen van organisaties over cybersecurity te beantwoorden. Dat zullen er naar verwachting alleen maar meer worden.
Wetgeving
Hij roept alle organisaties die straks moeten voldoen aan NIS2 op om vooral niet af te wachten tot de wetgeving is geïmplementeerd in Nederland. ‘De eerste wetteksten zijn ingestuurd, dus je kunt al bekijken wat er ongeveer in komt te staan en bedenken wat dat voor jouw organisatie gaat betekenen. Bereid je zo goed mogelijk voor, alsof de wetgeving er al is.’
In 2023 zei de voormalig NCSC-directeur Hans de Vries in een interview met iBestuur dat hij heel weinig urgentiebesef zag bij bestuurders. Dat ligt inmiddels anders, zegt zijn opvolger, met dank aan de hoofdelijke aansprakelijkheid in NIS2 (bestuurders kunnen persoonlijk verantwoordelijk worden gesteld voor cyberincidenten). ‘Ik merk dat mensen steeds meer vragen stellen: “Maar wat betekent die Cyberbeveiligingswet nu voor ons?” Het urgentiebesef is echt wel daar. Tegelijkertijd hoop ik dat de toezichthouders niet veel boetes hoeven uit te delen, maar dat de aansprakelijkheid een stimulans vormt voor intrinsieke motivatie om de weerbaarheid van je organisatie echt omhoog te krijgen en te houden.’
Weten wat de risico’s zijn
Bedrijven hebben veel eigen verantwoordelijkheid als het gaat om cyberweerbaarheid. Buiten de verplichtingen uit de Cyberbeveiligingswet, die alleen gelden voor de entiteiten die eronder vallen, kan het NCSC organisaties niet dwingen om de vijf basisprincipes voor digitale weerbaarheid in acht te nemen die het NCSC en het DTC gezamenlijk uitbrachten. Vandaar dat Van Amelsfort er de voorkeur aan geeft om geen directe waardeoordelen uit te delen, maar veel vragen te stellen, in de hoop dat hij daarmee een besef aanwakkert bij de bedrijven in kwestie.
‘Organisaties vragen bijvoorbeeld steeds vaker of het veilig is om hun spullen in Amerika op een server te hebben staan. Ja, ik kan niet zeggen dat je dat niet zou moeten doen. Voor een bakker op de hoek betekent data in de cloud nu eenmaal heel iets anders dan voor een multinational die veel internationaal samenwerkt. Je moet vooral weten wat de risico’s zijn. Als je al je data in de cloud zet, is het verstandig om ook een exit-strategie te hebben. Stel dat je moet uitwijken, heb je dan back-ups offline staan, zodat je dat kan doen? Het gaat om de risico’s die jij loopt met jouw bedrijf. Ben je je daarvan bewust? Dus zal ik toch altijd vragen blijven stellen.’
Wat als…?
Het is zijn tweede natuur geworden om te denken in scenario’s. Wat kan er misgaan? En wat wordt dan de respons vanuit de overheid? Ook privé doet het iets met je als je jezelf aanleert om zo te denken. ‘Ik heb vijf jaar op Curaçao gewoond, waar stroomuitval iets normaals is. Toen ik net terug was in Nederland, vloog er toevallig een Apache helikopter door een hoogspanningslijn, waardoor er plaatselijk even geen stroom was. Mijn gezin en ik staken kaarsjes aan en gingen verder met wat we aan het doen waren. Pas toen er op de deur werd geklopt door buren die in paniek waren, realiseerden we ons dat dat niet vanzelfsprekend is. Een mooi voorbeeld van hoe je zelf weerbaar wordt naarmate iets vaker gebeurt.’
Lees ook:
