26 643 Informatie- en communicatietechnologie (ICT)

Nr. 545 BRIEF VAN DE STAATSSECRETARIS VAN ECONOMISCHE ZAKEN EN KLIMAAT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 26 juni 2018

Digitalisering van de economie biedt grote kansen voor ondernemend Nederland. Een belangrijke randvoorwaarde is wel dat we erin slagen veilig digitaal te ondernemen. In de brief aan de Tweede Kamer van 23 september 2017 (Kamerstuk 26 643, nr. 488) is dan ook aangekondigd dat het Ministerie van Economische Zaken en Klimaat (EZK), in nauwe samenwerking met het Ministerie van Justitie en Veiligheid (J&V) een Digital Trust Center (hierna: DTC) zal oprichten om het niet als vitaal aangemerkte bedrijfsleven weerbaarder te maken tegen cyberdreigingen. Aan u is toegezegd dat u in het voorjaar nader wordt geïnformeerd over de voortgang en verdere vormgeving van het DTC. Met deze brief informeer ik u mede namens de Minister van J&V hierover.

DTC op hoofdlijnen

In samenspraak met de belangrijkste stakeholders is als missie van het DTC geformuleerd: «bedrijven in staat stellen zichzelf weerbaar te maken tegen cyberdreigingen». Dit is een grote en nieuwe opgave die vraagt om alle creativiteit en flexibiliteit in een zeer dynamische digitale wereld. Samenwerking is daarbij cruciaal. Voor het DTC zijn daarbij de volgende twee hoofdlijnen vastgesteld:

  • 1. Informatie en advies uitbrengen: voor preventie, actualiteiten en bij incidenten

  • 2. Samenwerkingsverbanden tot stand brengen: onder meer om kennis en best practices te delen.

Beleidskaders

Het DTC is een bouwsteen in een groter bouwwerk. Enerzijds wordt dit bouwwerk gevormd door de beleidskaders die beogen de kansen voor bedrijven in een digitale economie te vergroten, zoals onder meer vastgelegd in de Nederlandse Digitaliseringsstrategie en het MKB-actieplan. Anderzijds door de beleidskaders inzake cybersecurity, die in belangrijke mate zijn neergelegd in de Nederlandse Cyber Security Agenda (NCSA), en wetgeving betreffende andere organisaties op het terrein van cybersecurity (bijvoorbeeld Wet gegevensverwerking en cybersecurity).

Informatie en advies

Het DTC helpt het bedrijfsleven om zelf cyberrisico’s in kaart te brengen en de mogelijke maatregelen te kunnen beoordelen op de relevantie voor het eigen bedrijf. Daarmee kunnen deze risico’s worden verminderd en ontstaat er handelingsperspectief en meer zelfredzaamheid. Gegeven de grote omvang en diversiteit van de doelgroep zal het DTC de doelgroep segmenteren en gefaseerd benaderen. Het DTC staat individuele partijen niet één op één bij, maar stimuleert en faciliteert ondernemers om zelfstandig of in een samenwerkingsverband aan de slag te gaan met het verbeteren van hun digitale veiligheid. Het is uiteindelijk aan bedrijven zelf om maatwerk te implementeren of in te kopen via een IT-bedrijf.

Om bedrijven te helpen is op 8 juni 2018 de DTC-website1 live gegaan met onder meer de vijf basisprincipes voor veilig digitaal ondernemen. Deze principes zijn gebaseerd op expertise in de markt en ervaringen in het Verenigd Koninkrijk. Deze principes bieden zzp’ers en mkb’ers de mogelijkheid de basisbeveiliging op orde te krijgen. Op de site is binnenkort ook de bestaande inhoud van veiliginternetten.nl (zakelijk deel) en van de campagne «veilig zakelijk internetten» te vinden, maar er is en wordt ook nieuwe inhoud toegevoegd. Het is een eerste stap, de komende maanden en jaren zal de inhoud samen met de doelgroep verder uitgebouwd worden om zo goed mogelijk aan te sluiten bij de behoeften. Hierbij zal onder meer gedifferentieerd worden naar het niveau van volwassenheid van een bedrijf. Met deze eerste stap wordt ervoor gezorgd dat informatie en tools die voorheen op diverse plekken te vinden was, nu online op één centrale plek te vinden is voor bedrijven. Bedrijven met een relatief laag volwassenheidsniveau kunnen zo de basismaatregelen vinden die zij moeten treffen voor veilig digitaal ondernemen. De inhoud van de site is in nauwe samenwerking met de partners van DTC (NCSC, NCTV, VNO-NCW/MKB Nederland, ECP, Nederland ICT, CIO Platform en KvK) tot stand gekomen. Ook Stichting DINL, de Betaalvereniging, de branchevereniging Cyberveilig Nederland en verschillende individuele bedrijven hebben hieraan meegewerkt. Deze bereidheid om samen te werken zal ook benut worden voor de verdere uitbouw van de site, zodat de ondernemer beter op weg geholpen kan worden. Nauwe samenwerking met branche- en regionale organisaties is de sleutel om dit zoveel mogelijk vraaggericht te blijven doen.

Aan het eind van dit jaar zal het DTC een interactief platform lanceren. Op dit platform kunnen bedrijven, samenwerkingsverbanden en experts hun kennis delen en vermeerderen. Ook komen er via het platform mogelijkheden middels communities (sectoraal, regionaal, thematisch) om informatie afgeschermd te delen. Tenslotte zullen in de komende jaren, vraaggestuurd en gebruikmakend van feedback, facts en figures, richtsnoeren, tools en scans en best practices worden toegevoegd welke als doel hebben het bedrijfsleven te voorzien van concreet handelingsperspectief. Het platform kan zo uitgroeien tot een dynamisch en interactief informatieknooppunt voor het niet-vitale bedrijfsleven. Het Digital Trust Center zal zich hiermee doorontwikkelen tot een one-stop-shop voor het niet-vitale bedrijfsleven. Groot voordeel is dat het wiel niet telkens opnieuw hoeft te worden uitgevonden en partijen gebruik kunnen maken van elkaars ervaringen en expertise.

Samenwerkingsverbanden

De ambitie om samenwerkingsverbanden tot stand te brengen past in de door de Minister van J&V ingezette lijn om in de komende jaren een landelijk dekkend stelsel van samenwerkingsverbanden voor de versterking van cyberweerbaarheid van ondernemingen tot stand te helpen brengen. Enerzijds door het versterken en verder uitbouwen van bestaande samenwerkingsverbanden, anderzijds door uitbreiding met nieuwe samenwerkingsverbanden. In april dit jaar is hiertoe door mij een subsidieregeling opengesteld voor bedrijven die op het terrein van cybersecurity willen samenwerken. Bij sluiting van de subsidieregeling op 31 mei jl. bleken 15 aanvragen te zijn ingediend. De voorstellen zullen in de zomer worden beoordeeld door een onafhankelijke adviescommissie. Naar verwachting zal in augustus 2018 bekend zijn welke aanvragen gehonoreerd gaan worden. De start van deze samenwerkingsverbanden moet bijdragen aan het ontstaan van best practices waarmee andere initiatieven hun voordeel kunnen gaan doen. Het DTC zal de ervaringen actief gaan delen met andere partijen en, waar gevraagd en nodig, hand- en spandiensten verlenen om de samenwerkingsverbanden te helpen hun ambities waar te maken.

Eveneens met het oog op het realiseren van best practices heeft het DTC zich verbonden met Brainport Eindhoven, waarmee ook de toezegging is afgedaan dat er een cybersecurity pilot komt voor de kennisintensieve industrie2. Bij deze pilot wordt samengewerkt met TNO en NCSC om de opgedane ervaringen om te kunnen zetten in een toolbox die voor meerdere regio’s en sectoren bruikbaar is.

Relatie tot het NCSC

Het DTC heeft als doelgroep het niet-vitale bedrijfsleven. Het NCSC heeft als doelgroep de rijksoverheid en de vitale sectoren. Het NCSC beschikt, naast kennis over het opzetten van samenwerkingsverbanden, over een netwerk, diensten en dreigingsinformatie die ook voor de doelgroep van het DTC relevant kunnen zijn. Met het NCSC is het afgelopen half jaar dan ook nauw samengewerkt om het DTC vorm te geven. Het komend half jaar zal de samenwerking verder uitgewerkt worden. Het DTC en het NCSC zullen, met inachtneming van de voor hen geldende wettelijke kaders, producten ontwikkelen en dreigingsinformatie zo beschikbaar stellen dat ze aansluiten bij de informatiebehoefte van het bedrijfsleven. Ook in 2019 wordt intensief samengewerkt door NCSC en DTC.

Richtlijn Netwerk- & Informatiebeveiliging en CSIRT DSP’s

De richtlijn Netwerk- en Informatiebeveiliging (NIB) verplicht Nederland om voor aanbieders van essentiële diensten (AED’s) en digitale dienstverleners (DSP’s, digital service providers) één of meerdere CSIRT’s (Computer Security Incident Response Teams) te hebben. Het wetsvoorstel ter implementatie van de NIB-richtlijn (Wet beveiliging netwerk- en informatiesystemen)(Kamerstuk 34 883) is eind mei 2018 door uw Kamer aangenomen (Handelingen II 2017/18, nr. 86, item 16) en ligt momenteel in de Eerste Kamer.

Een CSIRT monitort onder andere incidenten, reageert op incidenten en zorgt voor vroegtijdige waarschuwingen, bijvoorbeeld over nieuwe risico’s en dreigingen. AED’s en DSP’s krijgen krachtens bovengenoemd wetsvoorstel ook de verplichting om ICT-incidenten met aanzienlijke gevolgen voor de continuïteit van hun diensten te melden bij een CSIRT. Het NCSC is nu al het «computer emergency response team» (CERT) voor de rijksoverheid en vitale sectoren en wordt daarmee ook het CSIRT voor de aanbieders van essentiële diensten. Bij DSP’s gaat het echter om niet-vitale bedrijven zoals clouddiensten, zoekmachines en onlinemarktplaatsen. Het Ministerie van EZK is verantwoordelijk voor de DSP’s en zal voor deze sector een CSIRT oprichten. Deze wordt momenteel in nauwe samenhang met het DTC vormgegeven.

Institutionalisering

Eind 2019 is er een evaluatie van het DTC voorzien, die ook de basis zal vormen voor een voorstel voor institutionalisering. Het DTC is nu als programma van het Ministerie van EZK, in nauwe samenwerking met het Ministerie van J&V, vormgegeven met een looptijd van drie jaar. Na de evaluatie zal een definitieve organisatorische inbedding worden gekozen.

Conclusie

Het DTC heeft de eerste stappen gezet. De koers is helder: bevorderen van veilig digitaal ondernemen. Partners zijn aangesloten en werken eendrachtig mee. Informatie is gebundeld, op één centrale plek te vinden en wordt continu verrijkt. Via de samenwerkingsverbanden die aan het ontstaan zijn, is stevig bijgedragen aan het ontstaan van een landelijk dekkend stelsel. Er is nog een lange weg te gaan. Het gaat bij de doelgroep van 1,6 miljoen bedrijven niet alleen om veel bedrijven, maar ook om bedrijven verschillend in bewustzijn, kennisniveau en bereidheid om te investeren in cyberweerbaarheid. De eerste resultaten zijn hoopgevend. Samen met het NCSC en andere partners zal in 2019 krachtig doorgepakt worden op wat nu in de steigers staat.

De volgende mijlpalen voor het DTC zijn:

  • Informatie en advies: website verbreed, verdiept en druk bezocht, interactief platform in gebruik;

  • Samenwerkingsverbanden: realiseren eigen ambities en versterken elkaar in een landelijk dekkend stelsel van informatieknooppunten voor het bedrijfsleven op het gebied van veilig digitaal ondernemen.

De ervaringen opgedaan met het DTC zal ik, zoals toegezegd in het vragenuurtje van 5 juni (Handelingen II 2017/18, nr. 89, Vragenuur), inbrengen in de rapportage over de Algemene Verordening Gegevensbescherming (AVG) die eind van dit jaar voorzien is. Ik zal u tevens begin 2019 opnieuw informeren over waar het DTC staat.

De Staatssecretaris van Economische Zaken en Klimaat, M.C.G. Keijzer

Naar boven