Verkiezingsprogramma’s veel concreter over cybersecuritybeleid
Kees Verhoeven schreef in het FD over het gebrek aan aandacht voor digitale thema’s zoals cyberveiligheid. Hij vreest dat digitalisering een marginaal thema blijft ‘voor enkele backbenchers’. Verhoeven waarschuwt voor ‘opnieuw een aantal jaren stilstand’. Zijn pessimisme doet weinig recht aan het werk dat is verricht om cybersecurity een prominente plek te geven in de meeste verkiezingsprogramma’s.
Ik ben het eens met Verhoeven dat er nu te weinig geld en prioriteit voor cybersecuritybeleid is. Ook is het beleid te veel versnipperd over verschillende departementen die niet optimaal samenwerken, en het is onduidelijk wie de leiding heeft. Zo is er bijvoorbeeld een Digital Trust Center (DTC) dat MKB’ers moet helpen met hun cyberweerbaarheid, maar teveel MKB’ers kennen het DTC nog niet.
Verhoeven stelt dat we nu net als na de vorige verkiezingen weinig van ‘mooie woorden in partijprogramma’s’ kunnen verwachten om deze problemen aan te pakken. Hij gaat eraan voorbij dat er nu juist concreter, dieper en uitgebreider over cybersecurity geschreven wordt dan in de verkiezingsprogramma’s voor de Tweede Kamerverkiezingen in 2021. Partijen schrijven in 2023 uitgebreid over de noodzaak tot strategische onafhankelijkheid op het gebied van cybersecurity, end-to-end encryptie, en het quantumproof maken van staatsgeheimen.
Uit de verkiezingsprogramma’s
De partijen lijken dus goed geluisterd te hebben naar nationale adviseurs zoals Cyber Security Raad Nationaal Coördinator Terrorismebestrijding en Veiligheid. Die pleiten voor het integraal aanpakken van cybersecurity en het afbouwen van de afhankelijkheid van buitenlandse partijen.
Een kleine greep uit de programma’s van de drie grootste partijen in de peilingen:
- GroenLinks/PvdA benoemt de dominatie van buitenlandse techbedrijven en streeft naar een alternatief digitaal ecosysteem: “een veilige publieke digitale ruimte zoals nu ook wordt verbeeld door de coalitie PublicSpaces”.
- NSC stelt onder andere dat “de overheid werk moet maken van de migratie van overheidssystemen naar quantumveilige cryptografie, met bijzondere aandacht voor verouderde systemen die een lange levensduur hebben en onze vitale processen waarborgen.”
- De VVD wil een MKB-keurmerk voor IT-leveranciers, om ondernemers weerbaarder te maken tegen serieuze vormen van cybercrime.
Maar scherpe voorstellen komen ook van kleiner gepeilde partijen:
- D66 een nationaal datalekregister waarin de gemelde datalekken centraal inzichtelijk worden gemaakt.
- Volt wil naar Belgisch voorbeeld het recht op ongevraagd ethisch hacken wettelijk vastleggen.
- Het CDA wil strikte eisen stellen aan cloud- en communicatiediensten die door de overheid worden gebruikt op het gebied van cybersecurity en privacy.
- De Partij voor de Dieren wil investeren in voldoende cyberbewustzijn en dus digitale geletterdheid van burgers.
Politieke partijen bleven drie jaar geleden juist vaag: De PvdA stelde destijds bijvoorbeeld dat Nederland ‘prioriteit’ moet geven omdat cyberaanvallen aan de orde van de dag zijn. De VVD schreef dat ‘versterking van de samenwerking’ tussen de overheid en het bedrijfsleven op het gebied van cybersecurity nodig is. Het CDA schreef dat Nederland zich beter moet voorbereiden op een cyberaanval.
Paragraaf in Regeerakkoord
De huidige verkiezingsprogramma’s zijn dus veel concreter dan drie jaar geleden. Veel voorstellen zijn complementair en hoeven ook niet tegen elkaar uitgeruild te worden in een formatie. Je kan bijvoorbeeld end-to-end encryptie waarborgen én een MKB-keurmerk voor IT leveranciers introduceren.
Onze volgende premier gaat met een aan zekerheid grenzende waarschijnlijkheid meer aandacht hebben voor cybersecurity. Rutte leek cybersecurity (en de strategische afhankelijkheid van buitenlandse partijen) niet of nauwelijks te interesseren. Niet gek als je het liefst een oude Nokia bedient. Waar Ursula von der Leyen in haar State of the Union het keer op keer heeft over cybersecurity, digitale autonomie en kunstmatige intelligentie, werd cybersecurity de afgelopen vier jaar niet één keer in de troonrede genoemd.
Timmermans, Omtzigt als Yesilgöz (de grootste kanshebbers voor een plek in het torentje) lijken allen juist wel affiniteit te hebben met de schaduwkanten van digitalisering. Timmermans vanwege zijn Europese blik, Omtzigt vanwege de toeslagenaffaire en Yesilgöz was de afgelopen jaren chef cybersecurity als minister van Justitie en Veiligheid. Onze nieuwe premier kan dus met grote bevlogenheid een regeerakkoord met een concrete paragraaf over cybersecurity gaan uitvoeren. Geen stilstand dus, maar vooruitgang.
Het wordt hoog tijd om ‘cyber’ uit het technische nerd hoekje te halen en het dan gek te vinden dat een politicus of doorsnee Bestuurder dat ziet als Hollywood in de Machine Kamer. Cyber is gewoon een functie van Data Governance en als je dat anno 2024 niet op orde hebt, ben je “TOAST”. Er zijn al verschillende wetten en regelgevingen in de EU die persoonlijke (!) verplichtingen opleggen aan bestuurders en die bij niet-naleving kunnen leiden tot hele echte boetes. Bijvoorbeeld:
Algemene Verordening Gegevensbescherming (AVG/GDPR): Deze Europese regelgeving legt strenge verantwoordelijkheden op aan organisaties en hun leiders voor de bescherming van persoonsgegevens. Bij niet-naleving kunnen boetes oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van een bedrijf, afhankelijk van welk bedrag hoger is. Als overheid sta je in je hemd als je niet ‘bij bent’.
Netwerk- en Informatiesystemen (NIS) Richtlijn en NIS2: Deze Europese regelgeving legt beveiligings- en meldplichteisen op aan exploitanten van essentiële diensten en digitale dienstverleners. NIS2, momenteel in voorstel, beoogt deze verplichtingen verder te versterken en uit te breiden. Sancties variëren per lidstaat, maar kunnen aanzienlijke financiële boetes omvatten.
EU Cybersecurity Act: Deze wet geeft het Europees Agentschap voor Cyberbeveiliging (ENISA) een permanent mandaat en introduceert een gecertificeerd kader voor cybersecurity in de hele EU. Hoewel er geen specifieke sancties in de wet zijn opgenomen, kunnen bedrijven en hun leiders die niet voldoen aan de certificeringseisen onderworpen zijn aan nationale straffen.
Markt Misbruik Verordening (MAR): Deze Europese regelgeving beoogt marktmisbruik te voorkomen en eerlijke marktcondities te bevorderen. Het legt bepaalde verplichtingen op aan personen die toegang hebben tot gevoelige marktinformatie. Bij niet-naleving kunnen sancties oplopen tot 5 miljoen euro voor individuen.
Aankomende EU Data Act: Hoewel deze wet momenteel nog in voorstel is, beoogt het regels te stellen voor het delen van niet-persoonlijke data binnen de EU. Afhankelijk van de definitieve inhoud kunnen er mogelijk persoonlijke verplichtingen en sancties worden opgenomen.
Wedden dat politici dit best interessant gaan vinden als Bestuurders voortaan ook persoonlijk verantwoordelijk kunnen worden gehouden onder nationale wetten en regels, afhankelijk van de jurisdictie. Dat staat nog los van de relevante industriestandaarden, zoals die van het SANS Institute, waaraan samenwerkende waardeketens moeten gaan voldoen. Het is alleen al cruciaal geworden voor bestuurders en organisaties om juridisch advies in te winnen om hun verplichtingen volledig te begrijpen. Laat staan dat politici daar iets van moeten gaan vinden. Dit is al maatschappelijke realiteit.