Cybersecurity

Het gebruik van digitale technologieën wordt steeds groter. Onder andere de vervoerssector, energiesector en gezondheidssector worden er steeds afhankelijker van. Digitale technologieën bieden oplossingen en kansen voor problemen, maar zijn niet geheel zonder risico’s. De Europese Commissie is al jaren bezig met het ontwikkelen van een cyberdefensiebeleid om burgers, bedrijven en overheden te beschermen tegen cybercriminaliteit.

Maar wat is nu precies cybersecurity? Cybersecurity is een verzamelnaam voor de verschillende soorten handelingen die bedoeld zijn om netwerk- en informatiesystemen en de gebruikers daarvan te beschermen tegen cybercriminaliteit. Cybercriminaliteit is criminaliteit met het internet en ICT als middel én als doelwit, zoals malware, hacking of phishing mails.

Op deze pagina vindt u informatie over het Europese en nationale beleid met betrekking tot cybersecurity. Daarnaast wordt uiteengezet hoe decentrale overheden zich weerbaar kunnen maken tegen cybercriminaliteit.

Europees beleid voor cybersecurity

De Europese Unie is al lang bezig met het ondernemen van acties ter bescherming tegen cybercriminaliteit. Er zijn binnen Europa verschillende initiatieven ondernomen. Zo heeft de EU verschillende strategieën en richtlijnen gepubliceerd met als doel de digitale veiligheid van burgers, bedrijven en overheden te waarborgen.

Europese cybersecuritystrategie

In 2013 ontwikkelde de Commissie de Europese strategie voor cybersecurity met als doel om cybercriminaliteit drastisch te verminderen. Sindsdien heeft de Commissie haar inspanning op het gebied van cybersecurity opgevoerd. Cybersecurity was ook één van de drie speerpunten in de Europese veiligheidsagenda uit 2015. Samen met deze EU-veiligheidsagenda zorgde de cybersecuritystrategie er destijds voor dat er nadruk werd gelegd op de vorming en uitvoering van een passend beleid inzake cyberbeveiliging.

In december 2020 heeft de Commissie een nieuwe cybersecuritystrategie gepresenteerd. Deze strategie heeft als doel om Europa beter bestand te maken tegen cyberdreigingen zodat burgers, bedrijven en overheden kunnen profiteren van betrouwbare digitale instrumenten. De strategie omvat 3 doelstellingen:

  1. Weerbaarheid, technologische soevereiniteit en leiderschap;
  2. Operationele capaciteit opbouwen om te voorkomen, te ontmoedigen en te reageren op cybercriminaliteit;
  3. Een mondiale en open cyberspace bevorderen via een intensievere samenwerking.

Met de strategie wil de Commissie internationale normen en standaarden in de cyberspace promoten. De strategie kondigt bovendien een nieuwe richtlijn aan: de Richtlijn inzake de veerkracht van kritieke entiteiten (CER). Deze richtlijn moet ervoor zorgen dat iedere lidstaat een nationale strategie vaststelt om de weerbaarheid van kritieke entiteiten te waarborgen. Daarnaast moet de richtlijn ervoor zorgen dat er regelmatig risicobeoordelingen worden uitgevoerd.

De Raad van de Europese Unie publiceerde in maart 2021 haar conclusies over de cybersecuritystrategie. Hieruit blijkt dat de Raad positief is, maar dat het de Commissie wel aanmoedigt om een gedetailleerder uitvoeringsplan op te stellen. Zo kunnen de ontwikkeling, uitvoering en monitoring van de voorstellen in de cybersecuritystrategie gegarandeerd worden. Europa decentraal schreef hier eerder een nieuwsbericht over.

NIS-richtlijn

Om tot een succesvol Europees cybersecuritybeleid te komen is een goede samenwerking tussen de lidstaten op het gebied van cybersecurity hard nodig. De eerste concrete uitwerking van het Europese cybersecuritybeleid was de richtlijn netwerk- en informatiesystemen (NIS-richtlijn). Deze trad in augustus 2016 in werking. De richtlijn bevat beveiligingsverplichtingen voor aanbieders van digitale diensten en moet zorgen voor een verbetering van de veerkracht van netwerk- en informatiesystemen in de EU-lidstaten. De Europese regels uit de NIS-richtlijn zijn in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen. In april 2022 is een wetsvoorstel van minister Yeşilgöz-Zegerius (Justitie en Veiligheid) ter wijziging van de Wbni naar de Tweede Kamer gestuurd. Hiermee kan informatie over digitale dreigingen of over andere incidenten van vitale aanbieders en organisaties waarover het Nationaal Cyber Security Centrum beschikt gedeeld worden met andere aanbieders die tot taak hebben om te informeren over dreigingen en incidenten, terwijl dat niet kan in de huidige Wbni.

NIS2-richtlijn

In december 2020 stelde de Commissie een herziening van de NIS-richtlijn (NIS2) voor. De Commissie vindt dat de huidige NIS-richtlijn door een veranderende manier van cyberdreiging en de digitale transformatie van de samenleving niet meer up-to-date is. De nieuwe richtlijn moet ervoor zorgen dat de veiligheidsvereisten versterkt worden. Denk hierbij aan de invoering van strengere toezichtmaatregelen voor nationale autoriteiten of het uitbreiden van informatie-uitwisseling en samenwerking. In mei 2022 hebben de Raad van de EU en het Europees Parlement een voorlopig akkoord omtrent NIS2 bereikt. De richtlijn moet nu nog definitief worden goedgekeurd door beiden.

Cyberbeveiligingsverordening

Een EU-breed kader voor certificeringsregelingen is belangrijk voor het garanderen van hoge cybersecuritynormen voor ICT-producten, -diensten en -processen overal in de EU. De Cyberbeveiligingsverordening uit 2019 zorgt daarvoor. Het certificeringskader in de verordening bevat technische eisen, normen en procedures voor de gehele EU en garandeert dat alle gecertificeerde ICT-producten en -diensten zijn geëvalueerd en aan specifieke beveiligingsvoorschriften voldoen. Ook zorgt dit kader ervoor dat er een EU-breed standaard is waar (decentrale) overheden op kunnen vertrouwen wanneer zij nieuwe ICT inkopen.

Daarnaast zorgde de verordening voor een sterker mandaat voor het EU-agentschap voor cybersecurity (ENISA). Dit agentschap is opgericht om lidstaten en belanghebbenden te ondersteunen op het gebied van cybersecurity. Daarnaast draagt het actief bij aan het Europese cyberveiligheidsbeleid en reageert het op grensoverschrijdende cyberincidenten.

Financiering en onderzoek

Onderzoek naar digitale veiligheid is belangrijk om oplossingen te vinden die ons kunnen beschermen tegen de nieuwste cyberdreigingen. Daarom is cybersecurity een belangrijk onderdeel van Horizon Europe. Daarnaast is 1,6 miljard euro uitgetrokken voor de investering in de cyberbeveiligingscapaciteit onder het programma Digital Europe. Hierbij moet ook worden gekeken naar de invoering van een betere cyberbeveiligingsinfrastructuur en -instrumenten in de gehele EU.

Bescherming van 5G-netwerken

De uitrol van 5G-netwerken is in gang gezet in de hele EU. 5G-netwerken bieden voordelen, maar er zijn ook risico’s aan verbonden. Door de minder gecentraliseerde aard van 5G-netwerken, door het grotere aantal antennes, en door de grotere afhankelijkheid van software zijn er meer toegangspunten voor cybercriminelen. De Commissie heeft daarom een 5G Toolbox Cyberveiligheidsrisico’s gepresenteerd. Meer over deze toolbox en over 5G in Europa en Nederland leest u op deze pagina.

cyberweerbaarheidswet

In september 2021 kondigde Commissievoorzitter Von der Leyen de cyberweerbaarheidswet aan. Deze verordening zal beveiligingsregels bevatten die voor digitale producten en diensten op de Europese markt zullen gelden. Het doel van de verordening is om consumenten en de markt te beschermen tegen cyberincidenten. De Commissie heeft voor het opstellen van de cyberweerbaarheidswet om feedback gevraagd. Het wetsvoorstel wordt in de tweede helft van 2022 verwacht.

Nederlands beleid voor cybersecurity

Ook in Nederland is een goed cybersecuritybeleid van belang. De Nederlandse overheid heeft daarom verschillende initiatieven ondernomen om ervoor te zorgen dat burgers en bedrijven veilig online kunnen zijn.

Nederlandse cybersecurity agenda

De Nederlandse overheid heeft in 2018 de Nederlandse Cybersecurity Agenda gepubliceerd. Het doel is de nationale veiligheid in het digitale domein te beschermen en tegelijkertijd de economische en maatschappelijke kansen van digitalisering op een veilige wijze te verzilveren. De agenda is onderverdeeld in zeven ambities die bijdragen aan de bovengenoemde doelstelling.

Baseline Informatiebeveiliging Overheid

Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor (decentrale) overheden. Hierdoor is er één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid. De BIO is te vinden via deze pagina. Gemeenten kunnen voor meer informatie ook kijken op de website van de Informatiebeveiligingsdienst van de VNG.

Cybersecurity in Nederland: stand van zaken

Uit onderzoek van de Cyber Security Raad (CSR) blijkt dat er in Nederland meer samenhang, slagkracht en snelheid nodig is als het gaat om cybersecurity. Op aanvraag van het ministerie van Justitie en Veiligheid bracht de CSR een adviesrapport uit over de benodigde investeringen in cyberweerbaarheid. Uit het rapport blijkt dat de Nederlandse digitale veiligheid en autonomie onder druk staat. Er moet een investering van ruim 800 miljoen euro voor onder meer kennis, onderzoek en innovatie worden gedaan om de cyberweerbaarheid in Nederland verder te versterken.

Cybersecurity organisaties

De Nationaal Coördinator Terrorismebestrijding en Veiligheid is binnen de Rijksoverheid verantwoordelijk voor de coördinatie van terrorismebestrijding, cybersecurity, nationale veiligheid en crisisbeheer. Om deze coördinatie uit te voeren heeft de overheid het Nationaal Cyber Security Centrum (NCSC) opgezet. Dit is het expertisecentrum voor cybersecurity in Nederland. Het NCSC geeft een waarschuwing bij cyberdreigingen, zoals virussen of cyberaanvallen op een website, en geeft daarbij ook beveiligingsadvies. Daarnaast adviseert de NCSC overheden hoe ze zich kunnen beschermen tegen cyberaanvallen.

Heeft mijn gemeente, provincie of waterschap met cybersecurity te maken?

Cybercriminaliteit kent verschillende vormen en er is een kans aanwezig dat decentrale overheden ook de dupe worden van cybercriminaliteit. Decentrale overheden verwerken bijvoorbeeld veel persoonsgegevens en cybercriminelen kunnen dit gebruiken om online fraude te plegen. Doordat decentrale overheden steeds meer digitale diensten aanbieden, moeten zij hun beleid omtrent cybersecurity actueel hebben. Het is daarom belangrijk voor decentrale overheden dat hun netwerk op de juiste manier is beveiligd. Daarnaast draagt een goed beveiligde cyberspace bij tot het draaiende houden van de online economie en het waarborgen van de welvaart. Het is daarom goed dat uw gemeente, provincie of waterschap nagaat wat het kan doen voor een zo goed mogelijk beveiligde cyberspace. Meer informatie over cybersecurity en de impact voor decentrale overheden kunt u lezen in deze praktijkvraag.

Wat kan de EU voor onze overheidsorganisatie betekenen op het gebied van cyberveiligheid?

Hoe pak je cybersecurity als decentrale overheid aan?

  • Het aanvragen van een Europees cyberbeveiligingscertificaat: het EU-agentschap ENISA helpt de Commissie bij het uitgeven van EU-cyberbeveiligingscertificaten. Als decentrale overheid is het handig een cyberbeveiligingscertificaat te hebben om zeker te weten dat de ICT-producten, -diensten en -processen voldoen aan de Europese cyberveiligheidsstandaarden.
  • Het veilig verwerken en opslaan van persoonsgegevens: doordat decentrale overheden steeds meer digitale diensten aanbieden, moeten zij hun beleid omtrent cybersecurity ook actualiseren. Veel kritische processen, zoals de BRP, worden dan ook digitaal beheerd. Meer informatie over het verwerken van persoonsgegevens vindt u op deze webpagina.
  • Het uitvoeren van een cyberoefening: het is belangrijk dat decentrale overheden weten hoe ze moeten handelen bij een cyberincident. De toolbox cyberincidenten bevat hulpmiddelen bij de voorbereiding op en de aanpak van een cyberincident. Het bevat scans en hulpmiddelen, tools voor bestuurders, bewustwording en interactieve spellen om te oefenen met cyberincidenten. Daarnaast is er ieder jaar een Overheidsbrede Cyberoefening, waarin alle partners in de publieke sector oefenen op crisispreparatie.
  • Het vervullen van een adviserende rol: gemeenten hebben een adviserende sleutelfunctie wat betreft het bedrijfsleven. Om gemeenten te helpen bij het stimuleren van veilig digitaal ondernemen heeft het Digital Trust Center van het ministerie van Economische Zaken en Klimaat een cybersecurity toolkit samen gesteld. De toolkit bevat praktische informatie en hulpmiddelen om effectief met digitale veiligheid aan de slag te gaan.