Regels voor cybersecurity zijn er genoeg; het schort aan de naleving ervan

Basismaatregelen geen vanzelfsprekendheid

Tijdens het rondetafelgesprek zijn experts het erover eens dat eenvoudige basismaatregelen zoals goede back‑ups, netwerksegmentatie en (phishing‑resistente) multifactorauthenticatie cruciaal zijn, maar in de praktijk nog te vaak ontbreken of niet zijn meegegroeid met moderne aanvalsvormen. Dit geldt juist voor organisaties die veel persoonsgegevens verwerken, maar (nog) niet onder de Cyberbeveiligingswet vallen. Vanuit de experts klinkt daarom de oproep om verplichte basismaatregelen op te leggen aan alle organisaties die grote hoeveelheden data verwerken, ongeacht hun formele classificatie.

NCSC‑directeur Matthijs van Amelsfort wijst erop dat vrijwel alle ernstige incidenten terug te voeren zijn op het ontbreken van zulke basismaatregelen, terwijl volgens de EZK‑monitor 51 procent van de bedrijven aangeeft in 2026 géén stappen te hebben gezet om de eigen weerbaarheid of continuïteitsplannen te verbeteren. Dat acht hij, gelet op de dreigingssituatie en de verkorting van het “patch‑window” door onder meer inzet van AI door aanvallers, onacceptabel.

Ketenafhankelijkheid en kwetsbare groepen

De keten- en leveranciersrisico’s springen vooral in de zorgsector in het oog: kritische processen leunen vaak op een klein aantal aanbieders van bijvoorbeeld zorgsoftware of systemen voor bloedplasma‑levering, waardoor een incident bij één partij meteen landelijke impact kan hebben. Tegelijkertijd bestaat er nog geen structureel mechanisme om per sector cruciale processen en vitale knooppunten systematisch in kaart te brengen en daar extra bescherming en toezicht op te organiseren.

De Digitale Dollemina’s benadrukken dat cyberveiligheid voor verschillende groepen heel verschillende uitkomsten heeft: voor sommigen is een datalek vooral “vervelend”, maar voor gestalkte vrouwen, LHBTI+‑personen, mensen met afgeschermde adressen of in een onveilige thuissituatie kan een gelekt adres direct levens- of veiligheidsrisico’s betekenen. Volgens hen en andere deelnemers houden beleid en praktijk nog te weinig rekening met deze ongelijkheid in impact, waardoor feitelijk geen gelijke digitale bescherming wordt gerealiseerd.

Zorgplicht in de AVG is te abstract

Zowel Kamerleden als genodigde experts vinden dat de huidige zorgplicht in de AVG te abstract is en met termen als “passende maatregelen” te veel ruimte laat voor vrijblijvendheid. Het gevolg is een praktijk waarin organisaties geneigd zijn meer gegevens te verzamelen en langer te bewaren dan nodig, met als logisch effect dat de impact van datalekken veel groter is dan noodzakelijk, juist voor kwetsbare groepen

Daar komt bij dat slachtoffers van hacks vaak laat en onvolledig worden geïnformeerd, stelt AP‑voorzitter Aleid Wolfsen, die aangeeft organisaties soms expliciet te moeten aansporen om “nu heel snel” slachtoffers te waarschuwen. Hij ziet een sterke neiging om de continuïteit van de eigen organisatie voorop te stellen, terwijl burgers juist snel moeten weten dat wachtwoorden zijn gelekt of dat zij phishing en sms‑fraude kunnen verwachten. Aan tafel ontstaat daarom brede steun voor het wettelijk verankeren van een expliciete nazorgplicht, met snelle, eerlijke, volledige en risicogerichte communicatie als norm.

Cultuurprobleem belangrijker dan regels

Wolfsen stelt dat de bestaande wet- en regelgeving in grote lijnen “op orde” is. Het echte probleem zit volgens hem in de naleving: achteloosheid, onderschatting en gebrek aan prioriteit in de bestuurskamer zorgen ervoor dat cyberveiligheid te veel wordt gezien als een IT‑aangelegenheid in plaats van een kernonderdeel van goed bestuur. Certificering “op papier” maskeert volgens de AP soms dat de feitelijke praktijk niet op orde is, terwijl incidenten en slachtoffers nog te vaak niet serieus genoeg worden genomen.

NCSC signaleert parallel daaraan een groot tekort aan kennis, capaciteit en praktische uitvoerbaarheid, vooral bij kleinere organisaties. Complexe normenstelsels, dubbele meldplichten (bij AP én NCSC/NCScH) en stapelende regelgeving zorgen voor extra administratieve lasten, waardoor schaarse middelen niet naar operationele hygiëne en weerbaarheid gaan. Van Amelsfort wijst bovendien op slecht beheerde “edge devices”, van routers en gateways tot camerasystemen, als grote stille aanvalsvector: zodra een aanvaller via zo’n randapparaat binnen is, ontbreekt netwerksegmentatie vaak en zijn grote delen van het netwerk met één set inloggegevens bereikbaar.

Politieke huiswerkopgave: basis, toezicht en governance

Zowel AP als NCSC formuleren richting politiek een concreet verlanglijstje. Voor de AP gaat het om het afdwingen van een hoog algemeen beveiligingsniveau via systematisch risicomanagement, harde eisen aan dataminimalisatie en bewaartermijnen, en serieuze borging van technische en organisatorische maatregelen als segmentatie, encryptie en multifactorauthenticatie. Cyberveiligheid moet daarmee “chef‑sache” worden: een vast onderwerp op het bord van bestuurders en topmanagement, niet iets wat kan worden weggedelegeerd naar de IT‑afdeling.

Wolfsen vraagt daarnaast om meer capaciteit en bevoegdheden voor preventief toezicht, zodat toezichthouders “met de handen op de rug” kunnen controleren of organisaties hun zaken op orde hebben vóórdat er een incident plaatsvindt. Boetes moeten een afschrikwekkend middel blijven, maar de nadruk ligt volgens hem op preventie, begeleiding en cultuurverandering – inclusief politieke druk richting bestuurders en interne toezichthouders. Zo pleit hij ervoor dat de Tweede Kamer bij grote incidenten niet langer alleen techneuten uitnodigt, maar nadrukkelijk ook de bestuurders zelf ter verantwoording roept, en hij steunt het idee om in raden van toezicht minimaal één lid met aantoonbare digitale expertise verplicht te stellen.

Vanuit NCSC klinkt de oproep om basismaatregelen en voorbereidingsplicht concreet en verplicht in te vullen, onder meer door gebruik te maken van de bestaande principes en stappenplannen die het centrum aanbiedt. NCSC vraagt de politiek bovendien om juridische en organisatorische belemmeringen voor snelle informatie‑uitwisseling tussen AP, NCSC en publieke en private partners weg te nemen, zodat waarschuwingen en gezamenlijke respons niet worden vertraagd. Ook ziet Van Amelsfort kansen om collectieve beschermingsvoorzieningen, zoals een anti‑phishing‑schild dat phishing‑sites via providers blokkeert, verder op te schalen en de internationale samenwerking met bijvoorbeeld buitenlandse CERT’s en partners als CISA te versterken.

Tussen de regels door tekent zich zo een duidelijke agenda af voor Den Haag: van nieuwe verplichtingen voor basismaatregelen en sterkere ketenregie tot expliciete nazorgplicht, meer preventief toezicht en een governance‑model waarin digitale veiligheid structureel in de bestuurskamer landt. Daarmee verandert cyberveiligheid van een technisch nicheonderwerp in een volwaardig publiek vraagstuk, met directe gevolgen voor rechtsstatelijke waarden en het vertrouwen van burgers in een digitale overheid.

Dit artikel is samengesteld met hulp van AI.