Brief regering : Cybersecuritybeeld Nederland 2019 (CSBN 2019) en voortgangsrapportage NCSA

Nr. 614
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 12 juni 2019

Hierbij bied ik uw Kamer het Cybersecuritybeeld Nederland 2019 (CSBN2019)1 en mijn reactie hierop aan en informeer ik u over de voortgang van de Nederlandse
Cybersecurity Agenda (NCSA).2

Het CSBN2019 schetst een zorgwekkend beeld. Er is sprake van een toenemende digitale
dreiging. De dreiging die uitgaat van statelijke actoren groeit. Landen als China,
Rusland en Iran hebben offensieve cyberprogramma’s gericht tegen onder meer Nederland.
Statelijke actoren zetten digitale middelen in voor spionage, verstoring en sabotage.
Bovendien behoeft de blijvende dreiging die uitgaat van criminele actoren onverminderd
onze aandacht. Laagdrempelige toegankelijkheid van digitale aanvalscapaciteit en de
makkelijke schaalbaarheid zorgen voor een verhoging van de dreiging die uitgaat van
beroepscriminelen, terwijl de opsporing en vervolging van daders complex is.3 Daarbij zijn vrijwel alle vitale processen en diensten afhankelijk van ICT. Door
het bijna volledig verdwijnen van analoge alternatieven en de afwezigheid van terugvalopties
is de afhankelijkheid van gedigitaliseerde processen en systemen groot geworden. De
digitale weerbaarheid dreigt bij deze ontwikkelingen achter te lopen.

Het CSBN2019 en andere rapporten4 laten een beeld zien dat om actie vraagt. Cybersecurity is een complex grensoverschrijdend
vraagstuk en dus is een kabinetsbrede inzet nodig. Met de implementatie van de eerste
NCSA-maatregelen is een goede start gemaakt. Vanaf begin dit jaar is gestart met het
aanwenden van de structurele aanvullende middelen van 95 miljoen euro voor cybersecurity
die dit kabinet bij het Regeerakkoord (bijlage bij Kamerstuk 34 700, nr. 34) beschikbaar heeft gesteld. Bovendien heeft het kabinet eind 2018 incidenteel 30
miljoen euro extra vrijgemaakt, waarvan 10 miljoen voor cybersecurity en 20 miljoen
voor de aanpak van digitale criminaliteit met speciale aandacht voor cybercrime en
ondermijning. Door het nemen van maatregelen ontstaat steeds beter zicht op de aard
en omvang van de dreiging. Dit bevestigt dat de voortzetting van de aanpak zoals aangekondigd
in de NCSA en extra inspanning hard nodig zijn. Daarom wordt gezamenlijk met de betrokken
vakdepartementen en onder mijn regie voor alle vitale sectoren ingezet op structurele
en adaptieve risicobeheersing. Hiermee wordt verder invulling gegeven aan ambitie
7 van de NCSA om de regie op de kabinetsbrede aanpak te versterken. Concreet betekent
dit:

1. Awareness – bewustwording van de risico’s en het noodzakelijke niveau van de digitale
weerbaarheid worden vergroot;

2. Beheersmaatregelen en toezicht – de digitale weerbaarheid wordt structureel verhoogd
en het toezicht wordt versterkt;

3. Oefenen en testen – inzicht in de effectiviteit van genomen maatregelen;

4. Regie en interventie – partijen nemen hun verantwoordelijkheid en waar nodig wordt
ingegrepen.

Om dit te realiseren werken de vakdepartementen en mijn ministerie (NCTV en NCSC)5 intensief samen met de vitale aanbieders, toezichthouders en de inlichtingen- en
veiligheidsdiensten. Hierbij hebben overheid en bedrijfsleven een gedeeld belang vanuit
de continuïteit van de dienstverlening.

Awareness: bewustwording van risico’s en weerbaarheid

De Nationale Veiligheid Strategie (NVS), waarover uw Kamer op 7 juni 2019 is geïnformeerd,
laat zien dat digitale dreigingen alle nationale veiligheidsbelangen raken, omdat
we vrijwel geheel afhankelijk geworden zijn van digitale middelen. Dreigingen in de
digitale ruimte hebben ook een impact op de fysieke wereld. De toenemende digitale
dreiging, onderlinge afhankelijkheden en de opkomst van nieuwe technologieën vereisen
een risicogestuurde benadering van wat beschermd moet worden. De NCTV gaat vanuit
mijn ministerie samen met de vakdepartementen opnieuw beoordelen welke belangen in
de digitale ruimte het meest van invloed zijn op de nationale veiligheid en onderzoeken
of organisaties voldoende bewust zijn van de kwetsbaarheden. Bovendien zal deze beoordeling
periodiek plaatsvinden en waar nodig leiden tot aanpassing van of aanvulling op de
NCSA of de NVS, waaronder bij de voorziene evaluatie van de NCSA in 2021.

Beheersmaatregelen en toezicht: verhoging veiligheidsniveau

Het veiligheidsniveau van vitale processen moet op orde zijn. Voor deze processen
worden op basis van het meest actuele dreigingsbeeld beveiligingsdoelen opgesteld
door de departementen, toezichthouders, inlichtingen- en veiligheidsdiensten en het
NCSC in samenwerking met de vitale sectoren. Voor alle vitale processen wordt een
basisniveau van fysieke en digitale beveiligingsdoelen vastgesteld en periodiek beoordeeld.
Daarnaast werken alle sectorale toezichthouders vanuit de eigen expertise samen met
het NCSC aan sectorspecifieke beveiligingsdoelen. Uitgangspunt hierbij is het meest
actuele beeld van dreigingen en risico’s van de NCTV, waarbij informatie van een groot
aantal partners waaronder de opsporings-, inlichtingen- en veiligheidsdiensten gebruikt
wordt. Hiermee ontstaat een dynamische werkwijze waarbij de beveiliging van vitale
processen en daarmee de nationale veiligheid voorop staan. Voor de telecomsector zijn
hiervoor in het 5G-traject van de Taskforce Economische Veiligheid reeds stappen gezet
met betrokkenheid van telecombedrijven. Deze vorm van samenwerking kan als uitgangspunt
dienen voor andere sectoren. Over het 5G-traject van de Taskforce Economische Veiligheid
wordt uw Kamer apart geïnformeerd. Met deze werkwijze worden vitale partijen onder
meer in staat gesteld om nadere invulling te geven aan de zorgplicht die uit onder
andere de Wet beveiliging netwerk- en informatiesystemen (Wbni) volgt. Zo wordt geborgd
dat vitale aanbieders, zowel publiek als privaat, hun verantwoordelijkheid kunnen
nemen om de digitale weerbaarheid van Nederland naar een substantieel hoger niveau
te brengen. Om ervoor te zorgen dat organisaties ook daadwerkelijk hun verantwoordelijkheid
nemen en passende maatregelen treffen is effectief toezicht op digitale veiligheid
noodzakelijk. Toezicht vormt een krachtig impuls voor vitale aanbieders om blijvend
te werken aan een hoog niveau van digitale weerbaarheid en continuïteit. Toezichthouders
moeten in staat gesteld worden om hun rol optimaal te kunnen vervullen. Vanuit mijn
stelselverantwoordelijkheid, zal ik er samen met mijn collega ministers zorg voor
dragen dat het geheel aan beveiligingsdoelen optimaal bijdraagt aan de nationale veiligheid.
De NCTV heeft vanuit mijn ministerie daarin een adviserende rol. De Inspectie Justitie
en Veiligheid draagt samen met andere Rijksinspecties zorg voor een samenhangend inspectiebeeld
en onderlinge kennis en expertise tussen inspecties.

Oefenen en testen: inzicht in de effectiviteit van maatregelen

Dit kabinet stelt een breed, publiek-privaat, oefen- en testprogramma op.

Door gezamenlijk te oefenen en te testen zorgen we ervoor dat onze digitale weerbaarheid
structureel van voldoende niveau is. Met dit programma wordt inzichtelijk gemaakt
welke best-practices relevant zijn voor andere sectoren. Hiermee kan maximaal leereffect
bereikt worden. Door te oefenen en testen wordt duidelijk of de genomen maatregelen
ook in de praktijk volstaan. Dat dit een effectief middel is om de sectorale weerbaarheid
te verhogen bewijst bijvoorbeeld het Threat Intelligence Based Ethical Red Teaming
(TIBER) project van De Nederlandsche Bank. Met het TIBER-testraamwerk worden geavanceerde
hacktests gedaan met realistische scenario’s op basis van actuele dreigingsinformatie.
Daarnaast zorgt het programma ervoor dat organisaties en mensen in staat zijn om bij
een daadwerkelijk incident snel en adequaat te kunnen handelen. De weerbarstigheid
van cybersecurity maakt namelijk dat risico’s nooit volledig kunnen worden weggenomen.
Door goed voorbereid te zijn kan de impact van een incident echter worden beperkt.
Zo wordt dit jaar voor de derde keer de grootschalige cyberoefening ISIDOOR met publieke
en private partijen georganiseerd. Hiermee wordt het Nationaal Crisisplan ICT (NCP-ICT)
in de praktijk getest. Het NCP-ICT wordt geactualiseerd en aangepast aan de hand van
de huidige inzichten en dreigingen. Het NCSC draagt vanuit zijn expertise bij aan
de kwaliteit van het oefen- en testprogramma.

Regie en interventie: duidelijke verantwoordelijkheden en ingrijpen waar nodig

Het maatschappelijke belang van cybersecurity is voor zowel overheid als bedrijfsleven
zo groot dat er op moet worden toegezien dat vitale organisaties hun verantwoordelijkheid
nemen. Met het oog op de nationale veiligheid wordt onder regie van de NCTV de integraliteit
van de genomen maatregelen bewaakt. De beoordeling hiervan dient samen met het actuele
dreigingsbeeld als input voor de risicobeoordeling. Hierdoor kunnen nieuwe beheersmaatregelen
worden getroffen daar waar ze het meest nodig zijn. Als stelselverantwoordelijke zal
ik er samen met mijn collega bewindspersonen zorg voor dragen dat de betrokken partijen
hier adequate opvolging aan geven. Indien dit onvoldoende gebeurt kan interventie
nodig zijn. Wanneer vanuit mijn ministerie vitale partijen geadviseerd zijn maatregelen
te nemen en geconstateerd wordt dat er onvoldoende of geen opvolging aan wordt gegeven
en daardoor risico’s op maatschappelijke ontwrichting aanwezig blijven, informeer
ik op basis van de Wbni de voor de betrokken sector verantwoordelijke Minister of
toezichthouder. Dit stelt vakdepartementen in staat om in het uiterste geval – na
overleg – partijen op grond van hun wettelijke bevoegdheden via bijvoorbeeld een bindende
aanwijzing alsnog maatregelen te laten nemen. Bij de evaluatie van de Wbni zal de
effectiviteit van deze werkwijze worden bezien.

Nederlandse Cybersecurity Agenda

Met de implementatie van de eerste NCSA-maatregelen is een goede start gemaakt. Zoals
ook aangekondigd in de «Geïntegreerde Buitenland- en Veiligheidsstrategie» wordt op
Europees en internationaal niveau actief samengewerkt om de dreiging te verminderen,
waar nodig met offensieve middelen.6 Ook is op Nederlands initiatief een EU sanctieregime opgesteld.7 Om de weerbaarheid verder te verhogen zet het kabinet in op extra inspanning voor
de realisatie van de in de NCSA aangekondigde maatregelen en zal het bezien welke
aanvullende maatregelen eventueel nodig zijn. Hieronder is uiteengezet hoe langs de
ambities van de NCSA wordt gewerkt aan het structureel verhogen van de digitale weerbaarheid.
In de bijlage bij deze brief is een rapportage op hoofdlijnen opgenomen over de voortgang
van de NCSA sinds april 2018.

Schematisch overzicht Voortgang Nederlandse Cybersecurity Agenda

1 – Digitale slagkracht op orde

Terugblik

Gestart met extra investeringen in capaciteit en expertise bij onder meer NCSC, inlichtingen-
en veiligheidsdiensten, opsporingsdiensten en Defensie.

De inlichtingen- en veiligheidsdiensten zetten in op het verstoren van cyberoperaties
gericht op Nederland.

Uitbreiding detectiecapaciteit met Nationaal Detectie Netwerk (NDN).

NCSC kan als informatieknooppunt binnen Landelijk Dekkend Stelsel informatie over
kwetsbaarheden en dreigingen breder delen.

Digital Trust Center (DTC) operationeel als «one stop cybersecurityshop» voor niet
als vitaal aangemerkt bedrijfsleven.

CSIRT voor digitale dienstverleners operationeel.

Aan de hand van de in 2018 gelanceerde «Defensie Cyber Strategie» investeert Defensie
in cybercapaciteiten om op te kunnen treden tegen ernstige digitale bedreigingen.

Vooruitblik

Voortzetting investeringen in en werving van personeel en expertise betrokken organisaties.

Er zal een verkenning worden uitgevoerd naar strafbaarstelling van spionage, waaronder
in het digitale domein.

Onder leiding van de AIVD wordt in interdepartementaal verband gewerkt aan de Nationale
Cryptostrategie voor veilige communicatie.

Komend jaar werkt defensie aan een nieuwe Defensienota 2020 die ingaat op de rol van
defensie in het digitale domein in de toekomst.

2 – Internationale vrede en veiligheid in het digitale domein

Terugblik

Ontwikkeling Diplomatiek Responskader.

Defensie investeert in militaire cybercapaciteiten.

EU-Cyber Diplomacy Toolbox doorontwikkeld/bestendigd.

Cyberdiplomatennetwerk NL uitgebreid.

Internationale uitwisseling van kennis en expertise actief bevorderd, onder meer via
het Global Forum on Cyber Expertise.

Het beschermen van mensenrechten online wordt gestimuleerd, onder meer via de Freedom
Online Coalition.

Vooruitblik

Inwerkingtreding Europees cybersanctieregime.

Kamerbrief internationale vrede en veiligheid in het digitale domein.

3 – Digitaal veilige hard- en software

Terugblik

De EU Cyber Security Act is aangenomen.

Cybersecurity risicomodel ontwikkeld voor bedrijven door Centrum voor Criminaliteitspreventie
en Veiligheid (CCV).

Vooruitblik

Impact assessment van de Radio Equipment Directive opgeleverd door Europese Commissie.

De ontwikkeling van Europese certificeringschema’s zal naar verwachting dit jaar starten.

4 – Weerbare digitale processen en infrastructuur

Terugblik

Inwerkingtreding Wet beveiliging netwerk- en informatiesystemen (WBNI), met daarin
onder meer een zorg- en een meldplicht voor aanbieders van essentiële diensten en
digitale dienstverleners.

Self-assessment vertegenwoordigers vitale processen uitgevoerd om intersectorale afhankelijkheden
in beeld te brengen.

Baseline Informatiebeveiliging Overheid (BIO) voor harmonisering normenkaders informatiebeveiliging
voor Rijk en medeoverheden.

Gestart met opstellen Cybersecurity-eisenpakket voor overheidsinkoopbeleid om de digitale
veiligheid van ICT-producten te bevorderen.

Vooruitblik

Nadere invulling zorgplicht Wbni.

Vernieuwd Nationaal Crisisplan ICT wordt opgeleverd.

Grootschalige oefening ISIDOOR III met private partijen om het Nationaal Crisisplan
ICT in de praktijk te testen.

In oktober organiseert BZK een cyberoefening voor de overheidslagen Rijk, provincies,
gemeenten en waterschappen.

Ontwikkeling en inrichting van een gezamenlijke faciliteit voor vulnerability scanning
in samenwerking met CIO Rijk. Met als doel het controleren van alle systemen van de
Rijksdienst die met het internet zijn verbonden op bekende kwetsbaarheden (onder coördinatie
BZK).

Uitwerking van eisen op het terrein van cybersecurity die relevant zijn voor het inkoopbeleid
van alle overheidslagen.

Versterkte bescherming vitale infrastructuur onder Nationale Veiligheid Strategie
kabinet (NVS).

IenW (her)beziet of sectoren transport over spoor en transport over weg als vitaal
aangemerkt zouden moeten worden. In de tweede helft van 2019 worden de resultaten
van deze vitaliteitsbeoordelingen verwacht.

Vanuit de samenwerking van het addendum van het Bestuursakkoord Water worden instrumenten
en technieken ontwikkeld om de watersector als geheel weerbaarder te maken tegen cyberdreigingen.

Rijkswaterstaat ontwikkelt in samenwerking met de waterschappen een Baseline Informatiebeveiliging
voor procesautomatisering.

5 – Barrières tegen cybercrime

Terugblik

Met de inwerkingtreding van de wet Computercriminaliteit III zijn de opsporingsmogelijkheden
van politie en justitie van cybercriminaliteit of dreigingen uitgebreid.

In het versterken van de preventie zijn het verbeteren van cybersecurity en de aanpak
van cybercrime het sterkst verweven. Bewustwordingscampagnes zoals Alert Online dragen
hier aan bij (zie ook ambitie 6). Als onderdeel van de integrale aanpak cybercrime
is in mei een bewustwordingscampagne over phishing gelanceerd.

Vooruitblik

In het najaar zal een vervolg aan deze campagne worden gegeven, waarbij de focus op
digitale veilige hard- en software zal liggen.

Een van de ambities van de NCSA is om succesvol barrières op te werpen tegen cybercrime.
Met een voortvarende inzet op bovenstaande maatregelen worden deze barrières meer
betekenisvol.

6 – Cybersecurity kennisontwikkeling

Terugblik

Lancering Digitaliseringsagenda Primair en Voortgezet Onderwijs (OCW).

Publicatie brede nationale cybersecurity onderzoeksoproep van 5,5 miljoen door Nederlandse
Organisatie voor Wetenschappelijk Onderzoek (NWO) (oktober 2018).

Bewustwordingscampagne Alert Online om veilig digitaal gedrag bij een breed publiek
te stimuleren.

Vooruitblik

Curriculumherziening in het onderwijs onder de naam Curriculum.nu (streven 2021 gereed).

Defensie voert samen met andere partijen een studie uit naar de opzet, vorm en organisatie
van een in 2019 op te richten Cyber Innovation Hub.

7 – Integrale, publiek-private aanpak van cybersecurity

Terugblik

Cybersecurity Alliantie gestart met concrete publiek private projecten (oktober 2018).

Vooruitblik

Herbeoordeling van welke belangen in (onder meer) de digitale ruimte het meest van
invloed zijn op nationale veiligheid (onder coördinatie JenV/NCTV).

Basislaag van fysieke en digitale beveiligingsdoelen wordt opgesteld voor de als vitaal
aangemerkte belangen ten behoeve van sectoraal toezicht en de advisering van het NCSC.

Het kabinet stelt een breed, publiek-privaat, oefen- en testprogramma op.

Conclusie

Het CSBN2019 schetst een zorgwekkend beeld. Cybersecurity is een complex grensoverschrijdend
vraagstuk dat vraagt om een gezamenlijke aanpak door publieke en private partijen.
De inzet van het kabinet is erop gericht dat Nederland op een veilige wijze de economische
en maatschappelijke kansen van digitalisering verzilvert en de nationale veiligheid
in het digitale domein beschermt. Door de eerste maatregelen van de NCSA ontstaat
meer zicht op de aard en omvang van de dreiging en op het weerbaarheidsniveau. Het
kabinet blijft met de NCSA werken aan een integrale aanpak van cybersecurity, zowel
nationaal als internationaal. Vanuit mijn coördinerende rol voor nationale veiligheid
en als stelselverantwoordelijke voor cybersecurity ga ik als onderdeel van de NCSA
met een aanvullend pakket maatregelen regie voeren op het verhogen van de weerbaarheid
en op verdere intensivering van de cybersecurity aanpak.

De ontwikkelingen van de afgelopen periode en het dreigingsbeeld laten zien dat dit
hard nodig is. Over de voortgang blijf ik u periodiek informeren.

De Minister van Justitie en Veiligheid,
F.B.J. Grapperhaus