De digitale weerbaarheid van Nederlandse organisaties moet omhoog, maar de overheid kan op dit moment niet integraal meten hoe weerbaar die organisaties daadwerkelijk zijn. Dat blijkt uit onderzoek van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC), uitgevoerd door RAND Europe in opdracht van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).

Volgens de onderzoekers ontbreekt een breed toepasbare, gestandaardiseerde methode om digitale weerbaarheid op organisatieniveau volledig, betrouwbaar en valide in kaart te brengen. In de Nederlandse Cybersecuritystrategie 2022–2028 van het Rijk geldt het bevorderen van digitale weerbaarheid als speerpunt. Maar zonder meetinstrument is het lastig om systematisch vast te stellen waar organisaties staan, of beleid effect sorteert en of de weerbaarheid in de tijd toeneemt. 

Digitale weerbaarheid wordt in het rapport breed gedefinieerd: het vermogen van organisaties om cyberrisico’s te reduceren, incidenten te voorkomen en te detecteren, schade te beperken en herstel te organiseren, zodat zij ondanks digitale verstoringen kunnen blijven functioneren. 

Organisaties met elkaar verweven

Juist die breedte van het begrip maakt meten ingewikkeld. Digitale weerbaarheid bestaat uit meerdere samenhangende componenten die elkaar beïnvloeden, bovendien veranderen digitale dreigingen voortdurend. Organisaties opereren niet geïsoleerd, maar zijn verweven met externe partijen. Dit bemoeilijkt het afbakenen van ‘eigen’ weerbaarheid..

De onderzoekers inventariseerden achttien bestaande benaderingen en raamwerken die onderdelen van digitale weerbaarheid meten. Die bieden aanknopingspunten, maar geen totaalbeeld. Veel instrumenten richten zich op specifieke aspecten, zoals basisbeveiligingsmaatregelen of incidentherstel, en zijn vaak kwalitatief van aard. Een integraal en empirisch gevalideerd meetinstrument ontbreekt.

Deze versturen we 3-4x per jaar.