Brief regering : Sturingsmodel Nederlandse Cybersecuritystrategie (NLCS)

Nr. 1025
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 15 mei 2023

Op 10 oktober 2022 is de kabinetsbrede Nederlandse Cybersecuritystrategie (NLCS) aangeboden
aan uw Kamer (Kamerstuk 26 643, nr. 925). Hierin is aangegeven dat begin 2023 een model wordt ingericht om integraal te kunnen
sturen op een voortvarende implementatie van de strategie in nauwe samenwerking tussen
publieke, wetenschappelijke en private partijen. In het debat van 15 december 2022
met de Commissie voor Digitale Zaken van uw Kamer heb ik toegezegd uw Kamer te informeren
over dit sturingsmodel.1 Met deze brief voldoe ik aan deze toezegging.

Cybersecurity is een belangrijke randvoorwaarde voor een veilige, veerkrachtige en
steeds verder digitaliserende en innoverende maatschappij. In de NLCS staan de doelstellingen
van het kabinet om te komen tot een digitaal veilig Nederland en de acties die nodig
zijn om deze te bereiken. Vrijwel alle bewindspersonen hebben een verantwoordelijkheid
om bij te dragen aan de realisatie van de NLCS en zijn (mede)eigenaar van acties om
dit te bereiken. Zij zijn ook verantwoordelijk om dit samen te doen met (mede)overheden,
wetenschap, burgers en private partijen, daar waar dit kan bijdragen aan de realisatie
van de NLCS.

Sturingsmodel en regie

Digitale veiligheid behoeft prioriteit op het hoogste niveau. Leiderschap, regie en
eigenaarschap zijn daarbij cruciaal. De sturing op de implementatie van de NLCS is
daarom belegd in de Raad Defensie, Internationale, Nationale en Economische Veiligheid
(RDINEV) als onderraad van de ministerraad. Cybersecurity is daar een vast thema dat
in samenhang besproken wordt met andere veiligheidsvraagstukken en strategische thema’s
zoals open strategische autonomie en digitalisering. De voorbereiding van deze sturing
en bespreking op ministerieel niveau wordt gedaan in de ambtelijke Commissie Defensie,
Internationale, Nationale en Economische Veiligheid (CDINEV).

Als coördinerend bewindspersoon op cybersecurity ben ik verantwoordelijk voor een
optimale werking van het cybersecuritystelsel en voer ik regie op de implementatie
van de strategie door te faciliteren, te ondersteunen en te stimuleren. Ik treed daarbij
vanzelfsprekend niet de in verantwoordelijkheid van andere bewindspersonen. U kunt
van mij verwachten dat ik over grenzen heen verbinding legen de samenhang bewaak tussen
de verschillende thema’s en verantwoordelijkheden. Ik heb onder voorzitterschap van
de NCTV een ambtelijke sturing ingericht, met mede eigenaren van de acties. Deze stuurgroep
zet zich gezamenlijk in, vanuit structureel inzicht in de voortgang, voor een voortvarende
implementatie van de strategie en effectieve samenwerking tussen publieke, wetenschappelijke
en private partijen.

Jaarlijkse bijstelling en rapportage over de voortgang

Om in te kunnen spelen op trends, actuele dreigingen en risico’s, worden de acties
uit de NLCS in de loop van de tijd uitgewerkt, aangepast of versterkt. Het actieplan
kan daarom jaarlijks op punten worden geactualiseerd, waardoor adequaat ingespeeld
kan worden op de snelle ontwikkelingen in relatie tot digitale veiligheid en bijgestuurd
kan worden als daar aanleiding toe is.

Mogelijke aanleidingen kunnen gesignaleerd worden door het jaarlijkse Cybersecuritybeeld
Nederland (CSBN) wat een actueel beeld geeft van de digitale dreiging, de belangen
die daardoor kunnen worden aangetast, de weerbaarheid en digitale risico’s. Daarnaast
kunnen inzichten van publieke, private- en wetenschapspartijen ook reden zijn voor
bijsturing. Zij worden jaarlijks betrokken bij een toets of zij ontwikkelingen zien
die aanleiding kunnen vormen voor bijstelling. Dit kan daarnaast verwoord zijn in
nationale dan wel internationale rapporten of adviezen die gedurende de looptijd van
de NLCS worden uitgebracht. Tot slot wordt de Cyber Security Raad (CSR) jaarlijks
om advies gevraagd over strategische ontwikkelingen die volgens hen meegewogen moeten
worden.

Uw Kamer wordt jaarlijks geïnformeerd over de eventuele bijstelling van de NLCS en
de voortgang. De eerste voorgangsrapportage ontvangt u in het najaar van 2023. Uw
Kamer wordt jaarlijks geïnformeerd over de eventuele bijstelling van de NLCS en de
voortgang. De eerste voorgangsrapportage ontvangt u in het najaar van 2023. Ik ben
voornemens in deze eerste voortgangsrapportage de acties waar nodig en mogelijk meer
uit te werken, te verbinden aan een concreter tijdpad en/of de meetbare realisatie
van de doelstellingen.

Samenwerking rondom de implementatie van de NLCS

Voor een voortvarende implementatie van specifieke acties en deelonderwerpen is het
van belang dat er samengewerkt wordt met (mede)overheden, wetenschap, burgers en private
partijen. Zij worden niet alleen betrokken bij de afweging of bijstelling van het
actieplan aan de orde is. De samenwerking rondom de acties kent verschillende vormen
en varieert in intensiteit. Zo wordt bijvoorbeeld voor het programma Cyclotron een
governance board ingericht waar zowel publiek, privaat en wetenschap medeverantwoordelijk
zijn voor de ontwikkeling van het informatiedelings- en samenwerkingsplatform en de
uitwerking van juridische en technische vraagstukken hieromheen.2 Private partijen nemen deel aan de nationale oefening ISIDOOR en in aanvulling daarop
aan diverse sectorale en lokale oefeningen. Een laatste belangrijk voorbeeld is dcypher.
Dat is het samenwerkingsplatform voor onderzoek en innovatie op het gebied van cybersecurity
in Nederland. Dcypher brengt publieke, private partijen en kennisinstellingen bij
elkaar evenals middelen en expertise om effectief te kunnen inzetten op cybersecurity
onderwijs, onderzoek, innovatie voor de ontwikkeling van concrete toepassingen. Per
actie uit het actieplan wordt dus, daar waar relevant, gekeken naar de wijze waarop
de samenwerking met de private sector en andere partijen het beste vorm gegeven kan
worden.

Met de uitvoering van de voorloper van de NLCS, de Nederlandse Cybersecurity Agenda
(NCSA), is binnen de Cybersecurity Alliantie (CSA) in publiek-privaat verband samengewerkt
rondom cybersecurity thema’s en grote en kleine organisaties zijn met diverse tools
en producten ondersteund. Enkele mooie voorbeelden zijn onder andere het cybersecurity
woordenboek, de oefentool en een checklist voor industriële controlesystemen die maatregelen
beschrijft tegen de meest voorkomende kwetsbaarheden en adviezen geeft hoe beveiligingsproblemen
kunnen worden aangepakt en voorkomen (de ICS-SCADA tool). De Cybersecurity Alliantie
is afgesloten met het oog op de vernieuwde samenwerking rondom de NLCS. De positieve
ervaringen en producten van de Alliantie worden hierin meegenomen en geborgd.

Met de NLCS samenhangende strategieën

Naast dat de NLCS de kabinetsdoelstellingen en de acties op dit terrein weergeeft
vormt het ook een duidelijk kader aan de hand waarvan het cybersecuritybeleid zich
op alle niveaus samenhangend en gestructureerd ontwikkelt. Diverse bewindspersonen
hebben de NLCS vertaald naar specifiek (sectoraal) beleid ten behoeve van bijvoorbeeld
het verhogen van de digitale weerbaarheid van de organisaties en processen waar zij
een systeemverantwoordelijkheid voor dragen of om nadere invulling te geven aan hun
specifieke verantwoordelijk op het gebied van of rakend aan cybersecurity.

Cybersecuritybeleid maakt ook soms onderdeel uit van bredere strategieën. Een aantal
van deze strategieën of plannen heeft uw Kamer reeds ontvangen, zoals de Werkagenda
Waardengedreven Digitaliseren van de Staatssecretaris voor Digitalisering en Koninkrijksrelaties
(Kamerstuk 26 643, nr. 940) en de Strategie Digitale Economie van de Minister van Economische Zaken en Klimaat
(Kamerstuk 26 643, nr. 941). Binnenkort ontvangt uw Kamer van de Minister van Buitenlandse Zaken ook de Internationale
Cyberstrategie waarin de internationale component van de NLCS verder wordt uitgewerkt.

Tot slot wil ik nog kort stil staan bij de Cyber Security Raad (CSR). Het afgelopen
decennium hebben de adviezen van de CSR ten gevolge van technologische, maatschappelijke
en bestuurlijke ontwikkelingen een bredere scope gekregen, waardoor de advisering
niet beperkt is gebleven tot de uitvoering van (eerdere) Nederlandse cybersecuritystrategieën,
maar ook beleid van het Rijk en wetgeving op het terrein van cybersecurity is gaan
betreffen. Hierdoor functioneert de CSR als ware het een adviescollege waarvan het
instellen dient plaats te vinden met inachtneming van de Kaderwet Adviescolleges.
Momenteel wordt, in samenspraak met de raad, gewerkt aan het creëren van een governance
structuur ten behoeve van deze bredere scope, die recht doet aan de behoefte aan advies
over de implementatie van de NLCS en het actieplan, een platform biedt voor de succesvolle
tripartite samenwerking tot nu toe, en recht doet aan de vereisten conform de Kaderwet
Adviescolleges.

De Minister van Justitie en Veiligheid,
D. Yeşilgöz-Zegerius