Hoe voorkomen we dat alle CERTs, het Europees Centrum voor Cybercrimebestrijding, het NCSC molochs worden vol van goede bedoelingen, maar verlamd door politieke gevoeligheden.
Onverwacht kwam eind april een telefoontje van de fractievoorzitter. Of ik naar de Eerste Kamer wilde. Er kwam een plek vrij. “Denk maar over na, je zult er wel van schrikken”, zei hij. Mijn antwoord was duidelijk: Nee, ik ben juist blij.
En dus legde ik afgelopen dinsdag de eed af en verdiepte mij snel in de stukken. Ik val met mijn neus in de boter. Voor ligt een richtlijn betreffende maatregelen die een hoog gemeenschappelijk niveau van netwerk- en informatieveiligheid waarborgen in de EU E130011 (hijg). Een pak papier om door te worstelen, ware het niet dat de Eerste Kamer de gehele papierstroom gedigitaliseerd heeft. En op een uitermate gebruikersvriendelijke wijze!
Na het leeswerk, wat mailtjes en telefoontjes heb ik voldoende beeld om een inbreng te maken. Vragen genoeg om te stellen over concrete zaken, maar ergens bekruipt me een gevoel dat ik niet zo goed in deze inbreng kan vertalen. Een enorm pak papier met een heel verhaal over iets wat van groot belang is, namelijk hoe houden we onze vitale informatiesamenleving veilig? Met de afgelopen Ddos-aanvallen in mijn achterhoofd en de voorgestelde acties in de richtlijn op tafel, vraag ik me af hoe we gaan voorkomen dat alle CERTs, het Europees Centrum voor Cybercrimebestrijding, het NCSC molochs worden vol van goede bedoelingen, maar verlamd door politieke gevoeligheden. Het cruciale element in de richtlijn is de publiek-private samenwerking. Dat deze moeizaam tot stand komt, heeft te maken met vele aspecten en historie. Dat kan alleen opgelost worden door uitermate transparant te zijn. Hoe transparanter, hoe veiliger.
Het is juist die transparantie waar de overheid zich nog ongemakkelijk bij voelt. Het Clean IT project, waar HCC aan heeft meegewerkt, is een uitstekend voorbeeld van hoe het wel kan. Samen om tafel, alles tot in de details uitdiscussiëren. Dat project leidde tot enorm veel begrip voor elkaar. Maar mooier nog, de partijen leerden elkaars standpunten begrijpen. Dat betekent dat we niet altijd tot consensus kwamen en juist daardoor wisten waar voor ieder de grenzen lagen.
Zou de EU het aandurven een dergelijk project nogmaals op te zetten rondom netwerk- en informatieveiligheid?
Zoals met veel beleid rondom ICT is ‘the proof of the pudding in the eating’. Alle ingrediënten zijn daar, maar wie zorgt dat ze in de juiste verhouding gemengd worden?