Nederland is door de Europese Commissie voor de rechter gesleept. De reden: het kabinet heeft de richtlijn voor de bescherming van vitale sectoren als energie, vervoer, zorg en digitale infrastructuur nog altijd niet omgezet in nationale wetgeving. Het ministerie van Justitie en Veiligheid antwoordt dat er “eerst een goed fundament nodig is”. Dat antwoord verdient een nadere blik.

Het normenkader voor informatieveiligheid waarop dit leunt, ISO 27001, bestaat in de vorm van zijn voorgangers sinds de jaren negentig. De Europese richtlijn ligt al jaren op tafel. Wetgeving begint bovendien in Brussel en Nederland is lid en mag gewoon meedoen, niet pas zodra de tekst definitief is. Een fundament had er allang kunnen en ook moeten liggen. Hoeveel tijd wil het kabinet nog?

Het kabinet kent zijn eigen kroonjuwelen niet

Tijdens het debat over de overname van Solvinity bleek het kabinet niet te kunnen aangeven wat de kroonjuwelen van de Rijksoverheid zijn. Die lijst werd nog opgesteld. Tegelijkertijd roept datzelfde kabinet nu vitale organisaties op zich te wapenen tegen dreiging. Een opmerkelijke volgorde: eerst anderen aansporen, daarna pas zelf inventariseren wat beschermd moet worden.

De praktijk is intussen ontluisterend. De Belastingdienst krijgt zijn eigen e-mail niet op orde en moet het maar uitbesteden. Kritieke voorzieningen als DigiD en de Berichtenbox laten zich niet binnen maanden verhuizen. Incidenten bij het Openbaar Ministerie, het ministerie van Financiën, Odido, Rituals en Bevolkingsonderzoek Nederland legden telkens de kwetsbaarheid bloot.

“Andere landen lopen ook achter”

De woordvoerder benadrukt dat Nederland niet alleen staat: ook Bulgarije, Frankrijk, Luxemburg, Polen, Spanje en Zweden zijn gedagvaard. Dat is het argument van de automobilist die wijst naar andere hardrijders die ook een bekeuring kregen. Het verandert niets aan het feit dat landen zoals Griekenland, Italië, Kroatië, Cyprus, Hongarije, Malta, Roemenië, Slovenië en Slowakije de richtlijn wél hebben ingevoerd. Wij lopen achter op landen waaraan Den Haag zich graag spiegelt, én achter op landen waaraan het zich liever niet spiegelt.

Niet complex, een kwestie van willen

Het kabinet noemt het traject “omvangrijk en complex”. Maar de kern is bekend: houd je aan standaarden, begin met implementatie zodra Brussel de richting bepaalt, en zorg dat vitale processen bestand zijn tegen uitval. En wat wordt gevraagd zijn de basics van informatieveiligheid en die zijn totaal niet nieuw. Dat is geen bijzondere expertise. Dat is bestuurlijk handwerk. Of, in Rotterdamse termen: niet lullen, maar poetsen.

Deze versturen we 3-4x per jaar.