Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 28 juni 2021

Hierbij bied ik uw Kamer het Cybersecuritybeeld Nederland 2021 (CSBN2021)1 en mijn reactie hierop aan en informeer ik u over de voortgang van de Nederlandse Cybersecurity Agenda (NCSA).

Cybersecuritybeeld Nederland 2021

In het CSBN2021 wordt opnieuw een ernstig beeld geschetst van de risico’s voor de nationale veiligheid op het gebied van cybersecurity. Er zijn een aantal belangrijke nieuwe bevindingen:

• – COVID-19 heeft het belang van veilige digitale processen vergroot.

• – Cybercriminelen kunnen een risico vormen voor de nationale veiligheid.

• – Experts signaleren grote verschillen in de weerbaarheid van organisaties. Zij vrezen dat deze weerbaarheidskloof steeds groter zal worden.

• – Aanvallen schenden de veiligheid van de digitale ruimte, die kwetsbaar is voor uitval en misbruik. Het gaat hier bijvoorbeeld om het inbouwen van kwetsbaarheden in software die vervolgens via ICT-leveranciersketens wereldwijd verspreid wordt.

Het afgelopen jaar toonde wederom dat de digitale dreiging continu in ontwikkeling is. De digitalisering van onze samenleving en economie heeft met COVID-19 een vlucht genomen om op afstand te kunnen blijven werken, leren en ondernemen. Dit heeft onze afhankelijkheid van digitale processen verder vergroot. Deze ontwikkelingen bieden ook kansen voor kwaadwillenden. Zoals uit het CSBN2021 blijkt, zijn voorzieningen die gebruikt worden om op afstand met elkaar te kunnen werken en communiceren doelwit van digitale aanvallen. Zo waarschuwde het Nationaal Cyber Security Centrum (NCSC) in 2020 meerdere malen voor misbruik van kwetsbaarheden in VPN-verbindingen (vaak gebruikt voor thuiswerken) door statelijke en criminele actoren. Ook het hinderen van digitale processen, door het op slot zetten van systemen of bestanden met gijzelsoftware, vindt plaats met soms langdurige gevolgen voor de continuïteit van processen binnen bedrijven, maatschappelijke organisaties en overheidsorganisaties. In december 2020 werd bijvoorbeeld de gemeente Hof van Twente getroffen door een ransomware-aanval, waardoor een deel van de dienstverlening van de gemeente tot stilstand kwam. Het uitvoeren van ransomware-aanvallen vormt al jaren een aantrekkelijk en solide verdienmodel voor criminelen. In het CSBN2021 wordt geconcludeerd dat cybercriminelen de nationale veiligheid kunnen raken, bijvoorbeeld wanneer zij vitale processen ontoegankelijk maken door middel van ransomware. Hoewel ze nog steeds andere intenties hebben, beschikt een aantal criminele groepen inmiddels over capaciteiten op een niveau dat niet onder doet voor het niveau van statelijke actoren. In de Kamerbrief Integrale Aanpak Cybercrime, die tegelijk met deze brief aan uw Kamer wordt aangeboden, wordt ingegaan op de aanpak van cybercriminaliteit.

Daar waar het statelijke actoren betreft is de digitale ruimte anno 2021 het speelveld van een geopolitieke krachtenstrijd. Digitalisering speelt een steeds belangrijkere rol in de verhouding tussen landen. Dit komt ook terug in het door de AIVD, MIVD en NCTV in februari 2021 gepubliceerde Dreigingsbeeld Statelijke Actoren2. Mede door deze geopolitieke strijd ontstaat een groeiende behoefte aan strategische autonomie. Wanneer kwaadwillenden aanvallen uitvoeren die de veiligheid van de digitale ruimte schenden heeft dit grote gevolgen voor het functioneren van alle digitale processen. Zo zijn er opnieuw geavanceerde aanvallen in de ICT-leveranciersketen met een mondiale impact aan het licht gekomen en zijn kwetsbaarheden in mondiaal gebruikte producten misbruikt. Er is vaak geen zicht op de mate van weerbaarheid van verschillende onderdelen van ICT-leveranciersketens, wat dit probleem weerbarstig maakt. Hoewel het CSBN2021 positieve ontwikkelingen in de verhoging van de weerbaarheid van Nederland signaleert, staat deze te vaak niet in verhouding tot de gesignaleerde dreiging. Er bestaan grote verschillen in weerbaarheid tussen organisaties, waardoor duurzame inzet op het verkleinen van deze verschillen van belang blijft. In het CSBN2021 wordt risicomanagement als relevant instrument gepresenteerd om de weerbaarheid van organisaties beter in kaart te brengen en aan de hand daarvan passende maatregelen te nemen.

Het belang van basismaatregelen

Uit het CSBN2021 blijkt opnieuw dat basismaatregelen bij veel organisaties ontbreken of nog onvoldoende zijn geïmplementeerd. Het gaat dan bijvoorbeeld om het gebruik van multifactorauthenticatie, tijdige patching en logging van netwerkverkeer. Het NCSC publiceert dit jaar gelijktijdig met het CSBN de Handreiking Cybersecuritymaatregelen, waarin belangrijke (basis)maatregelen worden beschreven die organisaties kunnen treffen. Dit biedt organisaties handvatten om hun weerbaarheid te verhogen. De handreiking wordt door het NCSC op zijn website gepubliceerd en is daarmee voor iedereen toegankelijk. De AIVD en de MIVD hebben daarnaast een brochure cyberspionage opgesteld, die ingaat op de maatregelen die genomen kunnen worden tegen spionage door statelijke actoren. Ook op de website van het Digital Trust Center (DTC) van EZK is informatie en advies beschikbaar die bedrijven helpt om beveiligingsmaatregelen te nemen.

De basis van de Nederlandse cybersecurityaanpak: de Nederlandse Cybersecurity Agenda

Cybersecurity is in het Regeerakkoord (Bijlage bij Kamerstuk 34 700, nr. 34) door het kabinet aangemerkt om met prioriteit te worden opgepakt. Om de digitale weerbaarheid van Nederland te verhogen en daadkrachtig te kunnen reageren op digitale dreigingen heeft het kabinet de NCSA opgesteld3. De NCSA geldt sinds 2018 als de basis voor de Rijksbrede inzet op het gebied van cybersecurity en is gekoppeld aan een structurele investering van 95 miljoen euro. In de NCSA werden zeven ambities gepresenteerd, met de volgende overkoepelende doelstelling: Nederland is in staat om op een veilige wijze de economische en maatschappelijke kansen van digitalisering te verzilveren en de nationale veiligheid in het digitale domein te beschermen. De formulering van de zeven ambities van de NCSA laat ruimte om de agenda onderweg aan te vullen met extra maatregelen als de ontwikkeling van kennis, techniek en het dreigingsbeeld daarom vragen. Dit is dan ook op verschillende momenten gebeurd, onder andere naar aanleiding van het CSBN2019 en het WRR-rapport «Voorbereiden op digitale ontwrichting».

De afgelopen kabinetsperiode is hard gewerkt om invulling te geven aan deze ambities. U bent jaarlijks geïnformeerd over de voortgang van de uitvoering van de NCSA, maar ik licht er graag een aantal resultaten uit:

• – In 2018 is de Wet beveiliging netwerk- en informatiesystemen (Wbni) in werking getreden. Hiermee is onder meer geregeld dat aanbieders van essentiële diensten (AED’s) en digitale dienstverleners een plicht hebben om passende en evenredige technische en organisatorische maatregelen op het gebied van cybersecurity te nemen. Ook geldt voor hen een meldplicht voor incidenten met aanzienlijke gevolgen voor hun dienstverlening bij zowel de toezichthouder als het NCSC.

• – In 2018 is bij het Ministerie van EZK het Digital Trust Center (DTC) opgericht. Met het DTC hebben bedrijven die geen vitale aanbieder zijn een aanspreekpunt op het gebied van cybersecurity. Het DTC deelt kennis en geeft advies en informatie waar bedrijven zelf mee aan de slag kunnen. Daarnaast ontwikkelt het DTC tools voor bedrijven zoals de basisscan en stimuleert het DTC samenwerkingsverbanden4 op het terrein van cybersecurity.

• – Met de Strategische I-agenda Rijksdienst 2019–2021, is ingezet op versterking van de rijksbrede informatiebeveiligingskolom5. Hiervoor is een nieuwe functie toegevoegd: Chief Information Security Officer Rijk (CISO Rijk). Daarnaast is met het Besluit CIO-stelsel Rijksdienst ingezet op het versterken van het CIO-stelsel6.

• – Door het opbouwen en versterken van een landelijk dekkend stelsel van cybersecurity-samenwerkingsverbanden kan informatie steeds breder, efficiënter en effectiever worden gedeeld tussen schakelorganisaties en organisaties in hun onderscheidenlijke doelgroepen. Verschillende schakelorganisaties zijn inmiddels krachtens de Wbni aangewezen als computercrisisteam of als een organisatie die objectief kenbaar tot taak heeft andere organisaties of het publiek te informeren (OKTT), waardoor zij meer informatie over dreigingen en incidenten die relevant is voor hun doelgroepen kunnen ontvangen van het NCSC. Daarnaast heeft het NCSC in enkele specifieke gevallen organisaties geïnformeerd en geadviseerd die geen deel uitmaken van de rijksoverheid of vitale infrastructuur om hen te beschermen tegen digitale dreigingen (bijv. politieke partijen gedurende de Tweede Kamerverkiezingen; de Minister van Binnenlandse Zaken en Koninkrijkrelaties heeft u recent hierover geïnformeerd7).

• – Door middel van de extra investeringen in de inlichtingen- en veiligheidsdiensten is een beter beeld verkregen van de intenties, capaciteiten en activiteiten van statelijke actoren. Hierdoor is het inzicht in de dreiging gegroeid. De concrete dreigingsinformatie die dit oplevert is essentieel voor het bestrijden van kwaadwillende actoren.

• – In 2020 is de Cyber Info/Intel Cel (CIIC) ingesteld, waarbinnen AIVD, MIVD, NCSC, OM en Politie dreigingsinformatie bijeenbrengen en medewerkers van deze organisaties deze informatie op één fysieke locatie bij het NCSC structureel gezamenlijk beoordelen. Hierdoor kan sneller een beeld worden gevormd van nieuwe dreigingen en kunnen belanghebbende organisaties meer en sneller van handelingsperspectief worden voorzien.

• – Nederland heeft een leidende rol gespeeld bij het opzetten van het EU-cybersanctieregime in 2019 en de verlenging hiervan in 2021, om zo gezamenlijk de kosten van onwenselijk gedrag in cyberspace te verhogen.

• – In 2019 is de Europese Cybersecurity Act in werking getreden. Deze verordening creëert een Europees stelsel van cybersecurity certificering voor ICT-producten, -diensten en -processen. De eerste Europese cybersecuritycertificeringschema’s zijn in ontwikkeling. Nederland draagt met de Online Trust Coalitie, onder gebruikmaking van publieke en private expertise, bij aan de ontwikkeling van het certificeringsschema voor clouddiensten. Nederland implementeert de Cybersecurity Act via het wetsvoorstel Uitvoeringswet cyberbeveiligingsverordening voor het inrichten van het certificeringstelsel in Nederland en wijst Agentschap Telecom aan als de nationale autoriteit en toezichthouder. Het wetsvoorstel is aan uw Kamer aangeboden.

• – De Europese richtlijnen over de verkoop van goederen en over de levering van digitale inhoud en digitale diensten zijn ook in 2019 aangenomen. Voor wat betreft cybersecurity is opgenomen dat consumenten recht krijgen op (veiligheids-)updates zolang zij die redelijkerwijs mogen verwachten. De richtlijnen zijn omgezet in het wetsvoorstel «Implementatiewet richtlijnen verkoop goederen en levering digitale inhoud» en is 16 februari 2021 (Kamerstuk 35 734, nr. 3) aan uw Kamer aangeboden.

• – Via diverse impulsen is de kennisontwikkeling en innovatie op het gebied van cybersecurity versterkt. Op basis van investeringen van diverse ministeries en NWO is voor 26 miljoen euro aan calls gerealiseerd en toegekend aan onderzoeks- en innovatieprojecten. Er is ook een nieuw publiek-privaat samenwerkingsplatform voor kennis en innovatie met betrekking tot cybersecurity opgericht, DCypher, om de samenwerking in de hele valorisatieketen te versterken. In de EU is een verordening aangenomen voor het oprichten van een Europees Competence Centre en het bijbehorende netwerk. Als nationaal onderdeel van dit netwerk wordt in Nederland een National Coordination Centre opgericht, en aangesloten op het samenwerkingsplatform.

• – De Ministeries van JenV en EZK hebben diverse publiekscampagnes uitgevoerd, zoals «Eerst checken dan klikken» en «Doe je updates» om burgers bewust te maken van digitale risico’s en om handelingsperspectief te bieden.

In de voortgangsrapportage die als bijlage is toegevoegd aan deze brief vindt u een overzicht met de concrete resultaten die na het versturen van de voorgaande Kamerbrief over de NCSA zijn behaald8.

Resultaten evaluatie NCSA

De hierboven geschetste resultaten zijn erop gericht om de weerbaarheid van Nederland tegen cyberdreigingen te verhogen. Ontwikkelingen in het cyberdomein gaan echter snel en het is zaak om kritisch te blijven kijken naar wat we doen in het licht van de dynamische ontwikkelingen in het cyberdomein en aan de hand van nieuwe (wetenschappelijke) inzichten. Dat geldt ook voor de cybersecurityaanpak van dit kabinet in zijn geheel, zoals vastgelegd in de NCSA. Daarom heb ik het WODC gevraagd een evaluatie uit te voeren van de NCSA, zoals ook eerder aan uw Kamer is toegezegd9. Dit rapport van het WODC heb ik recent met uw Kamer gedeeld10.

Het uitgevoerde evaluatieonderzoek bestaat uit een kritische reflectie op de beleidstheorie achter de NCSA en een verkenning naar de mogelijkheden voor een effectevaluatie. Hoewel in het rapport wordt geconcludeerd dat de opbouw van de NCSA via doelstellingen, ambities en maatregelen in algemene zin logisch is, constateert het rapport ook een aantal tekortkomingen in de beleidstheorie. Aan de hand van deze observaties worden er in het rapport verschillende aanbevelingen gedaan om de opbouw van een toekomstige cybersecuritystrategie beter in te richten.

De aanbevelingen uit deze evaluatie vormen belangrijke leerpunten voor het opstellen van nieuwe cybersecuritystrategieën in de toekomst. Hierbij is het zaak om in de voorbereidende fase op een nieuwe cybersecurityaanpak expliciet stil te staan bij de meetbaarheid van de (verwachte) effecten van de strategie, zodat er bij een toekomstige evaluatie meer zicht kan worden verkregen op de effectiviteit van cybersecuritybeleid. Een besluit over de opvolging van de NCSA zal moeten worden genomen door het volgende kabinet.

Inspectiebeeld

Naar aanleiding van het CSBN2019 heeft de Inspectie Justitie en Veiligheid aangegeven de oplevering van een jaarlijks onafhankelijk inspectiebeeld te coördineren. In dit beeld worden bevindingen van de verschillende toezichthouders en inspecties die toezicht houden op de naleving door vitale aanbieders van wettelijke verplichtingen op het terrein van cyber security bijeengebracht. Dit geeft inzicht in de staat van het toezicht en de weerbaarheid van vitale processen. De betrokken inspecties hebben het eerste openbare inspectiebeeld afgerond. Dit zal met uw Kamer gedeeld worden.

Vooruitblik

Het huidige CSBN en voorgaande beelden laten zien dat de dreiging zich continu blijft ontwikkelen. Door de adaptieve opzet van de NCSA heeft het kabinet in de afgelopen kabinetsperiode kunnen inspelen op deze veranderingen in het dreigingsbeeld en op technologische, maatschappelijke en geopolitieke ontwikkelingen. Hoewel belangrijke stappen zijn gezet om de digitale weerbaarheid te verhogen laat het CSBN2021 zien dat de weerbaarheid nog steeds achterblijft bij de digitale dreiging. Het kabinet blijft zich daarom inzetten om de Nederlandse digitale weerbaarheid te versterken. Daarbij schets ik voor de nabije toekomst een aantal belangrijke ontwikkelingen:

• – Zoals vermeld in mijn antwoorden op vragen van het lid Yesilgöz-Zegerius van 29 maart 202111 werk ik aan een wetsvoorstel tot wijziging van de Wbni. Dit wetsvoorstel zorgt ervoor dat het NCSC meer dreigings- en incidentinformatie met betrekking tot de netwerk- en informatiesystemen van aanbieders (niet zijnde vitale aanbieders of aanbieders die deel uitmaken van de rijksoverheid) bij deze aanbieders terecht kan laten komen. Dit voorstel regelt dat het NCSC in bijzondere gevallen de hiervoor bedoelde informatie kan verstrekken aan deze aanbieders. Daarnaast regelt dit voorstel dat het NCSC ook aan OKTT’s vertrouwelijke herleidbare informatie over aanbieders kan verstrekken, zodat deze schakelorganisaties aanbieders in hun doelgroepen van deze informatie kunnen voorzien. Ik streef ernaar dit wetsvoorstel rond de zomer in consultatie te brengen.

• – Door het Ministerie van EZK wordt gewerkt aan het laten voldoen van het DTC aan de voorwaarden waardoor het DTC krachtens de Wbni als OKTT kan worden aangewezen, onder meer door het versterken van de juridische basis met een wetsvoorstel. Na aanwijzing zal het DTC gaan beschikken over meer dreigings- en incidentinformatie die met het niet-vitale bedrijfsleven kan worden gedeeld.

• – Eind vorig jaar heeft de Europese Commissie de EU Cyber Strategy gepubliceerd, waarin onder andere een voorstel wordt gedaan voor een herziening van de Netwerk- en informatiebeveiligingsrichtlijn (NIB, in Nederland geïmplementeerd in de Wbni). Daaraan gerelateerd heeft de Commissie ook een voorstel gedaan voor een nieuwe richtlijn voor de veerkracht van kritieke entiteiten (Critical Entities Resilience Directive; CER). Gezamenlijk richten deze voorstellen zich op het beschermen van voornamelijk vitale aanbieders tegen zowel digitale als fysieke dreigingen. Ook heeft de Commissie een voorstel gedaan om de cyber diplomatie toolbox verder te ontwikkelen. Dit voorstel richt zich op het aanpakken van onwenselijk gedrag in cyberspace dat grote gevolgen heeft voor de samenleving. U bent over deze voorstellen geïnformeerd via BNC-fiches.12 In de komende periode zullen de lidstaten, het Europees Parlement en de Commissie deze voorstellen verder uitwerken.

• – Zoals eerder gemeld13 heeft het kabinet besloten voor de telecomsector een structureel proces in te richten waarin doorlopend nieuwe dreigingsinformatie kan worden gedeeld en op risico’s worden beoordeeld door overheidsorganisaties en telecomaanbieders. Hierdoor kunnen snel en effectief maatregelen worden genomen als veranderingen in het dreigingsbeeld of technologische ontwikkelingen daarom vragen. Daarnaast zien we dat vanuit deze kennis en ervaring ook de sectoroverstijgende expertise kan worden versterkt, bijvoorbeeld op het gebied van risicoanalyses, strategische afhankelijkheden en informatiedeling. De komende periode wordt in kaart gebracht wat er nodig is (qua mensen, middelen en expertise) om deze vorm van structurele samenwerking op telecom te verbreden naar andere vitale processen, zoals landelijk transport, distributie en productie van elektriciteit (dat sterke intersectorale afhankelijkheden kent) en digitale overheid.

In het CSBN2021 komen daarnaast een aantal onderwerpen aan bod die in de komende periode aandacht zullen vragen. Het gaat dan onder meer om het vervagen van het onderscheid tussen de capaciteiten van een aantal groepen cybercriminelen en die van statelijke actoren, risico’s die voortvloeien uit kwetsbaarheden met betrekking tot ICT-leveranciersketens, het vergroten van het inzicht in de digitale weerbaarheid van organisaties, het feit dat de digitale ruimte onderwerp is geworden van een geopolitieke krachtenstrijd en de bijbehorende roep om digitale soevereiniteit14. Gelet op deze ontwikkelingen, de permanente digitale dreiging en de toenemende afhankelijkheid van digitale middelen zal stevige inzet op het blijven versterken van de Nederlandse digitale veiligheid onder een nieuw kabinet noodzakelijk zijn. Dat wordt ook benadrukt in het rapport van de Cyber Security Raad «Integrale aanpak cyberweerbaarheid»15, waarin een advies wordt gegeven over benodigde investeringen in cybersecurity aan het volgend kabinet.

Tot de beëdiging van een nieuw kabinet zullen wij onze acties blijven uitvoeren op basis van de NCSA en de latere aanvullingen daarop, waar uw Kamer over geïnformeerd is.

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus