Recent cybernieuws stemt ongerust: geen geld voor de bescherming van zeekabels, minder dreigingsinformatie en falende overheidsorganisaties. Het gaat niet goed met de strategische digitale veiligheid van Nederland. Het lukt veel overheidsorganisaties maar niet om goed om de zaken op orde te krijgen, constateert het Adviescollege ICT-toetsing. De nationale informatiepositie dreigt te verslechteren doordat de Verenigde Staten zich terugtrekken uit internationale cyberorganisaties. Ondertussen onthult NRC dat de internet- en elektriciteitskabels in de Noordzee er al jaren onbeschermd bij liggen.

Cyclus voor risicobeheer

Het aantal cyberincidenten neemt toe en de strategische digitale veiligheid van Nederland staat steeds meer onder druk. Het Adviescollege ICT-toetsing (AcICT) merkt dat veel overheidsorganisaties moeite hebben de juiste maatregelen uit te voeren. Daarom brengt het een handreiking strategische digitale veiligheid uit, gevuld met adviezen gebaseerd op recente onderzoeken van het AcICT en uit publieke casussen. Ze sluiten aan bij bestaande informatiebeveiligingsrichtlijnen, zoals de Baseline Informatiebeveiliging Overheid (BIO-2).

Effectief risicobeheer voor digitale veiligheid moet onderdeel uitmaken van de bedrijfsvoering, is de kern van de boodschap. Het AcICT adviseert te werken op basis van actuele inzichten en vervolgens concrete maatregelen te implementeren om de strategische digitale veiligheid te verbeteren. Zorg dat alle medewerkers hun verantwoordelijkheid nemen en stel bij op basis van periodieke evaluaties, luidt het advies in het kort.

De werkwijze is een cyclus, die regelmatig moet worden herhaald, want kwaadwillenden zijn ook niet gek en passen hun strategieën aan. Bovendien zijn er altijd weer veranderingen in processen, software en hardware van een organisatie. ‘Maatregelen van gisteren zijn vandaag achterhaald en risico’s moeten voortdurend opnieuw worden ingeschat,’ aldus het AcITC.

Integrale benadering

De beknopte handreiking oogst naast veel lof ook kritiek, omdat strategische digitale veiligheid niet in verband wordt gebracht met gegevensbescherming vanuit de naleving van de algemene verordening gegevensbescherming (AVG) en de Wet politiegegevens (Wpg). ‘Een hack is nog steeds ook een datalek dus laten we aandacht vragen voor een integrale benadering zodat de bestuurders zo volledig mogelijk geïnformeerd besluiten kunnen nemen,’ schrijft Functionaris gegevensbescherming en Binnenlands Bestuur-columnist Marjolein Louwerse op LinkedIn.

Het denken in silo’s is een reële beperking in de strijd tegen cyberaanvallers. Een Chief Information Security Officer (CISO) moet niet alleen goed samenwerken met de functionaris gegevensbescherming (FG) en de bestuurders van de organisatie, maar ook met CISO’s van andere organisaties en het relevante Computer Security Incident Response Team (CSIRT). Als er één ding duidelijk wordt uit het net verschenen jaaroverzicht 2025 van de Informatiebeveiligingdienst (IBD) van de gemeenten, dan is het dat landelijke samenwerking hard nodig is om de cyberweerbaarheid van Nederland te versterken – en dat de IBD daar gelukkig ook volledig op ingericht is.

Cyberinformatie delen zonder de VS

Voor snelle informatiedeling en ondersteuning is actuele dreigingsinformatie daarbij onontbeerlijk. Maar de ‘America First’-strategie van president Donald Trump dreigt de informatiepositie van Nederland momenteel te verslechteren. 

Deze versturen we 3-4x per jaar.