Een nieuw model voor cyberverdediging: minder hiërarchie, meer veerkracht

Geïnspireerd door veranderingen in militaire strategieën, stappen Europese overheden en instellingen steeds vaker af van een centraal aangestuurde aanpak in cyberverdediging. In plaats van één controlerend hoofdkwartier komt er een model waarin wendbaarheid, samenwerking en veerkracht centraal staan: gecentraliseerd commando met gedecentraliseerde uitvoering. Volgens Raymond Bierens, voorzitter van de Nederlandse Connect2Trust Foundation, is dat geen luxe, maar pure noodzaak. “Geen enkele autoriteit kan volledig zicht of controle hebben over elk knooppunt in dit enorme digitale ecosysteem”, zegt hij. “We moeten leren samenwerken in vertrouwen, over grenzen en organisaties heen.” De stichting deelt dreigingsinformatie met Security Operations Centers (SecOps) van grote publieke dienstverleners in Europa. Die uitwisseling weerspiegelt een groeiend besef: het cyberdomein vraagt niet alleen om betere technologie, maar ook om een slimmer operationeel model.

Van centraal bevel naar gedeelde uitvoering

Het nieuwe model grijpt terug op militaire principes van command and control (C2) – de manier waarop leiders besluiten nemen en anderen die uitvoeren. Waar in het verleden bevelvoering top-down verliep, verschuift het evenwicht nu naar lokale autonomie binnen een gemeenschappelijke strategie. “Als we kijken naar het Napoleontische tijdperk, was het commando en de aansturing volledig gecentraliseerd”, vertelt Dan Snape, voormalig officier bij de Royal Air Force en nu managing director van het Londense cybersecurityadviesbureau Kaze. “Soldaten kregen simpelweg bevelen; nadenken was niet de bedoeling.”

Door de eeuwen heen veranderde dat. “Tijdens moderne conflicten leerden militairen zelf inschattingen maken en te handelen binnen vooraf vastgestelde regels”, vervolgt hij. “Dat was in feite gedelegeerde autoriteit: vertrouwen op mensen in het veld om de juiste beslissingen te nemen.” Volgens Snape kunnen beveiligingsteams vandaag veel leren van dat principe. “Als je volwassen en sterk presterende teams wilt ontwikkelen, geef je hen de autonomie om snel te reageren. De processen, technologie en data zijn daarbij hun wapensystemen.”

Het motto van de Special Forces vat het samen: “Slow is smooth, smooth is fast.” In cybersecurity betekent dat: neem weloverwogen beslissingen, oefen je procedures, en snelheid volgt vanzelf. Een effectief C2-proces houdt in dat informatie uit lokale bronnen wordt geanalyseerd in een centraal SecOps-centrum en direct wordt teruggekoppeld naar alle betrokken partijen. Zo ontstaat een continue leercyclus van detectie, besluitvorming en actie.

De valkuil van fragmentatie

Toch brengt decentralisatie ook risico’s met zich mee. “Twee afdelingen die allebei risicoanalyses uitvoeren, leveren niet automatisch dezelfde of zelfs maar vergelijkbare resultaten op”, waarschuwt Bierens. “Je hebt interoperabiliteit nodig, niet alleen binnen je organisatie, maar ook tussen organisaties, om collectieve paraatheid te bereiken.” Culturele factoren spelen daarin een grote rol. Veel civiele instanties missen de missiegedreven mentaliteit die in defensie vanzelfsprekend is. “Er heerst nog te vaak het idee dat cybersecurity iemand anders zijn probleem is”, zegt Dan Jones, voormalig hoofd van het cyber delivery team bij het Britse Ministerie van Defensie en nu senior security adviser bij Tanium. “Die houding doorbreken vraagt om voortdurende educatie en sterk leiderschap.”

Toch ziet Jones vooruitgang. “De recente geopolitieke spanningen en statelijke dreigingen hebben veel organisaties wakker geschud. Ze beseffen dat samenwerking, binnen en buiten de overheid, niet langer een optie is maar pure noodzaak.”

De kracht van een hybride model

In de praktijk kiezen veel overheden voor een hybride vorm: strategische functies blijven gecentraliseerd, terwijl operationele teams lokaal handelen. Dat zorgt voor consistentie én flexibiliteit. “Het hoeft niet allemaal van bovenaf te worden geregeld”, zegt Snape. “Definieer eerst de dreiging, beoordeel je eigen capaciteiten, en zoek dan het evenwicht tussen centraal toezicht en lokale snelheid.”

Samenwerking is daarbij cruciaal. Via Connect2Trust wisselen chief information security officers informatie uit in een vertrouwelijke omgeving. Bierens: “We hebben Europese regelgeving zoals NIS2, maar elke lidstaat vertaalt die anders. Dat maakt coördinatie moeilijk. Alleen door kennis te delen, kunnen we sneller en slimmer reageren.” Snape verwijst naar het Team of Teams-concept van de Amerikaanse generaal Stanley McChrystal. “McChrystal ontdekte in Irak dat hiërarchische structuren niet konden meekomen met de snelheid van decentrale netwerken. Hij brak silo’s af en creëerde een cultuur van gedeeld bewustzijn. Wij passen dat toe door kleine, zelfstandige teams te vormen die hun missie kennen, dezelfde tools gebruiken en autonoom kunnen handelen.”

Die benadering beperkt zich niet tot de publieke sector. Bedrijven als Allianz, BASF, Bayer en Volkswagen richtten in 2015 samen de Deutsche Cyber-Sicherheitsorganisation (DCSO) op, om industriële spionage en georganiseerde cybercriminaliteit te bestrijden. Volgens Bierens zullen zulke coalities alleen maar toenemen. “Bedreigingen stoppen niet bij landsgrenzen, dus onze verdediging mag dat ook niet doen.”

Grenzen van controle

In een gedecentraliseerd model ligt een van de grootste uitdagingen in het toewijzen van bevoegdheden. “Als je te veel voorschrijft, verstik je initiatief”, waarschuwt Jones. Europa kiest daarom vaker voor ‘zachte structuren’: coalities van bereidwillige partijen, gebaseerd op vertrouwen en wederzijds voordeel. Bierens sluit zich daarbij aan: “De meest succesvolle projecten ontstaan van onderaf. Je hoeft alleen de mensen te vinden die durven delen wat werkt en wat niet, zodat anderen kunnen leren.” Volgens hem is te veel focus op naleving en controle juist een rem op vooruitgang. “Digitale risico’s managen is iets heel anders dan compliance managen”, zegt hij. “Compliance haalt eigenaarschap weg bij de mensen die dagelijks het werk doen.” In defensiekringen bestaat een gezegde dat ook hier geldt: doorgaan tot je wordt tegengehouden. Bierens: “Een pragmatische houding leidt vaak tot betere resultaten dan wachten op toestemming.”

Technologie als versneller

Automatisering en kunstmatige intelligentie zullen het hybride C2-model verder versterken. Snape voorziet een toekomst waarin AI de besluitvorming versnelt en operationele teams ondersteunt. “Als AI incidenten kan groeperen, scenario’s kan simuleren en acties kan aanbevelen, verkort je de besluitcycli drastisch”, zegt hij. “Dat is de enige manier om gelijke tred te houden met tegenstanders die zich niet aan dezelfde regels houden.” Toch vervangt technologie menselijk leiderschap niet. “AI vraagt juist om beter leiderschap”, benadrukt Snape. “Beslissers moeten genoeg technische kennis hebben om te begrijpen hoe zo’n hybride model werkt en hoe het effectief gebruikt kan worden.”

Europese context, mondiale impact

Wat in Europa gebeurt, heeft wereldwijde gevolgen. In een onderling verbonden wereld kan cyberweerbaarheid alleen bestaan door samenwerking tussen publieke en private sectoren, en door de juiste balans tussen centrale coördinatie en lokale actie. “Elk bedrijf opereert grensoverschrijdend, net als het internet zelf”, zegt Bierens. “Toch reageren we nog steeds met nationale wetten en instellingen. Dat past niet meer bij de realiteit.” Het Verenigd Koninkrijk erkent dat ook in zijn Strategic Defence Review 2025, die het model van gecentraliseerd commando met gedecentraliseerde uitvoering tot officiële doctrine verheft. Het nieuwe Cyber & Electromagnetic Command moet nauwere samenwerking tussen overheid en industrie stimuleren - over technologie, operaties en mensen heen. Snape vat het pragmatisch samen: “Wacht niet op het perfecte model. Denk groot, begin klein en handel snel om waarde te leveren en vertrouwen op te bouwen. Actie is de enige echte maatstaf voor succes.”