Brief regering : Voortgang Digital Trust Center en het Computer Security Incident Response Team voor digitale diensten (CSIRT-DSP).

Nr. 1143 BRIEF VAN DE MINISTER VAN ECONOMISCHE ZAKEN EN KLIMAAT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 8 maart 2024

Zoals toegezegd in mijn Kamerbrief van 23 februari 2023,1 informeer ik u hierbij over de voortgang van het Digital Trust Center (hierna: DTC)
en het Computer Security Incident Response Team voor digitale diensten (hierna: CSIRT-DSP).

In deze brief wordt aan de hand van vier speerpunten ingegaan op de ambities van 2023
en de realisatie daarvan. In de voornoemde Kamerbrief zijn de vier speerpunten benoemd:
van weten naar doen, de basis op orde, synergie in samenwerkingsverbanden en instrumenten,
en tot slot het vergroten van bereik en impact. Alle activiteiten die het DTC ontplooit
zijn opgehangen aan een of meerdere van deze speerpunten. Het DTC draagt ook bij aan
de uitvoering van de Nederlandse Cybersecuritystrategie (NLCS)2 en Pijler 5 van de Strategie Digitale Economie (SDE).3

Daarnaast zal deze brief stilstaan bij onder andere de moties van Kamerlid Rajkowski
over een keurmerk voor het midden- en kleinbedrijf (hierna: mkb) en een structurele
oefenagenda voor het niet-vitale bedrijfsleven,4 het wetsvoorstel bevordering digitale weerbaarheid bedrijven (hierna: Wbdwb), de
voortgang bij het CSIRT-DSP en de integratie van het DTC en het CSIRT-DSP met het
Nationaal Cyber Security Centrum (hierna: NCSC).

Resultaten 2023

Het DTC heeft het afgelopen jaar weer meer ondernemers bereikt dan het jaar ervoor,
door de inzet van een breed scala aan activiteiten, waaronder de inzet van tools,
een aanvullende subsidieregeling en professionalisering van de dienstverlening. Een
belangrijk onderdeel hiervan is het delen van informatie over specifieke cyberdreigingen
en incidenten met bedrijven. De gestelde ambities van 2023 zijn behaald. Ook dit jaar
zal het DTC deze activiteiten voortzetten en verder uitbreiden om bedrijven te ondersteunen
in het verhogen van hun digitale weerbaarheid. Aan de hand van de vier speerpunten
worden de ambities van 2023 en de realisatie daarvan uiteengezet.

Speerpunt 1: Van weten naar doen

Het DTC heeft veelvuldig ingezet op het onder de aandacht brengen van de basismaatregelen
waarmee ondernemers hun cyberweerbaarheid kunnen vergroten. De basismaatregelen zijn
een belangrijke eerste stap voor ondernemers om meer digitaal weerbaar te worden.
Zoals aangegeven in de voortgangsbrief van 23 februari 20235 zet ik ook in op een gedragsverandering zodat ondernemers ook daadwerkelijk maatregelen
treffen om digitaal weerbaar te worden.

Om meer inzicht te krijgen in de factoren die een ondernemer aanzet of weerhoudt om
cybersecuritymaatregelen te nemen, heeft het DTC op 1 september 2023 TNO de opdracht
gegeven om een onderzoek te starten naar gedrag. Vanwege de grootte van de doelgroep
is besloten hier een onderverdeling in aan te brengen. Hierbij is een tweetal zaken
onderzocht. Allereerst wat de behoeften zijn van bedrijven ten aanzien van producten
en diensten vanuit het DTC. Ten tweede, op welke manier zij het beste benaderd en
ondersteund kunnen worden. De resultaten worden verwacht in Q2 2024.

Voor kleine ondernemers die het nemen van cybermaatregelen uitstellen of niet nemen,
bijvoorbeeld wegens financiële knelpunten, is de subsidieregeling Mijn Cyberweerbare Zaak6 gerealiseerd met een totaalbudget van € 300.000. Deze regeling is een pilot. Van
de aanschafwaarde en/of implementatiekosten werd maximaal 50% gedekt tot een maximum
van € 1.250. De subsidieregeling was na drie weken overtekend en wordt geëvalueerd.
In de evaluatie wordt onderzocht of de subsidieregeling in 2024 opnieuw beschikbaar
kan worden gesteld. De resultaten worden eveneens in Q2 verwacht.

Voortgang informatiedienst

In de brief van 23 februari 20237 bent u geïnformeerd over het delen van specifieke dreigingsinformatie door de informatiedienst
van het DTC. Het afgelopen jaar heeft er een significante groei plaatsgevonden van
het aantal kwetsbaarheden waarop genotificeerd wordt. Het totaal aantal notificaties
dat de informatiedienst sinds de start in juni 2021 verstuurde aan bedrijven (gevraagd
en ongevraagd) is ruim 156.000. Dit komt vooral op het conto van de «ongevraagde»
waarschuwingen over kwetsbaarheden bij het bedrijfsleven. Het DTC notificeerde over
bijna 140.000 bedrijfsspecifieke cyberdreigingen in 2023.

Speerpunt 2: Basis op orde

Om ondernemers te ondersteunen in het nemen van basismaatregelen is aan het begin
van 2023 de Cyberveilig Check voor zzp en mkb gelanceerd. De Cyberveilig Check voor zzp en mkb is gericht op ondernemers die nog niet veel kennis en ervaring hebben op het gebied
van cybersecurity. Deze laagdrempelige tool geeft ondernemers een concrete actielijst
met basismaatregelen waarmee zij zélf direct aan de slag kunnen. De Cyberveilig Check voor zzp en mkb is in 2023 in totaal 6.842 keer ingevuld. Het DTC blijft ook in 2024 De Cyberveilig Check voor zzp en mkb onder de aandacht brengen zodat zo veel mogelijk ondernemers deze tools benutten.

Ondersteunende campagnes

Om de verschillende DTC-initiatieven kracht bij te zetten zijn er het afgelopen jaar
verschillende doelgroepgerichte bewustwordingscampagnes gevoerd. De campagnes waren
gericht op online fraude, ervaringsverhalen van gehackte bedrijven, starten met je
cybersecurity en de nieuwe subsidieregeling Mijn Cyberweerbare Zaak voor kleine ondernemingen. De DTC-campagnes zijn erop gericht om ondernemers met
laagdrempelige producten en tools te bereiken, bewust te maken en aan te zetten tot
actie.

Informeren en adviseren over NIS2

De implementatiedeadline voor de nieuwe Europese richtlijn voor Netwerk- en Informatiebeveiliging
(de NIS2-richtlijn)8 is 17 oktober 2024. Uw Kamer is op 31 januari 2024 geïnformeerd over de stand van
zaken van de implementatie.9 Zoals gemeld wordt, gelet op de benodigde vervolgstappen in het wetgevingstraject,
de deadline niet gehaald. Het streven is de wetsvoorstel in het najaar van dit jaar
aan uw Kamer aan te bieden.

Meer organisaties zullen onder de reikwijdte van de NIS2 gaan vallen en er komt een
zorgplicht tot het nemen van beveiligingsmaatregelen en een meldplicht van incidenten.
Het DTC werkt samen met de Nationaal Coördinator Terrorismebestrijding en Veiligheid
(NCTV), het NCSC en de Rijksinspectie Digitale Infrastructuur (RDI) om bedrijven te
informeren die met de NIS2 te maken krijgen. Zo is op 5 oktober 2023 het webinar «De
impact van NIS2 op jouw organisatie» georganiseerd. In 2024 gaat het DTC door met
het bieden van handvatten, informatie en advies aan de bedrijven.

Speerpunt 3: Synergie in samenwerkingsverbanden en instrumenten

In 2023 is de onderlinge samenwerking tussen samenwerkingsverbanden (regionaal en
sectoraal) vergroot. Er is onder meer gewerkt aan de gezamenlijke ontwikkeling van
informatieproducten die passen bij de behoefte van de doelgroep. Dit heeft als doel
het creëren van kennisrijke netwerken waar ondernemers terecht kunnen. Het totale
aantal samenwerkingsverbanden dat nu is aangesloten bij het DTC komt begin dit jaar
uit op 60.10 Daarnaast wordt onderling kennis uitgewisseld tussen ondernemers in de online DTC-community
waarbij 3.540 leden zijn aangesloten.

In 2024 wordt extra ingezet op het vergroten van de synergie tussen de bestaande samenwerkingsverbanden.
Zo heeft bijvoorbeeld de samenwerking van Agrifood met de MKB Cvber Campus geleid
tot de Agro Cyberscan, die specifiek is ontwikkeld voor de agrarische sector. Momenteel
wordt door het DTC in samenwerking met vier samenwerkingsverbanden (Samen Digitaal
Veilig, de MKB Cyber Campus, CYRA en The Cyber Partners) en het Ministerie van Infrastructuur
en Waterstaat een Cybertools hulpkaart ontwikkeld. Hierop staan de verschillende tools
die de DTC samenwerkingsverbanden aanbieden.

Het afgelopen jaar is de subsidieregeling Cyberweerbaarheid weer opengesteld om samenwerkingen tussen ondernemers op het gebied van cybersecurity
te stimuleren. De onafhankelijke beoordelingscommissie heeft hierbij specifiek gelet
op het versterken van bestaande initiatieven met nieuwe projecten en daarnaast is
gekeken naar sectoren waar extra samenwerking wenselijk is. Er was in totaal € 800.000
beschikbaar met een maximum van € 200.000 per project. Van de 23 ingediende plannen
zijn dit jaar zes11 projecten gehonoreerd. Vanwege het feit dat er nog voldoende inbreng is van goede
projecten zal de subsidieregeling ook in 2024 worden voortgezet. In 2024 zal een totaalbedrag
van € 600.000 beschikbaar komen met een maximumbedrag van € 150.000 per project. Deze
wijziging van de subsidieregeling biedt ruimte om samenwerkingsverbanden te blijven
stimuleren en om nieuwe instrumenten te ontwikkelen zoals Mijn Cyberweerbare Zaak.

Naast de subsidieregelingen is in september 2023 een pilot gestart waarmee projecten
die in de DTC samenwerkingsverbanden ontstaan worden ondersteund. Drie opdrachten
hebben een bedrag ontvangen van € 20.000 om hun projectvoorstellen in het kader van
«van weten naar doen: activeer de ondernemer» uit te voeren. Dit heeft onder meer
geresulteerd in interactieve klikbare video’s op verschillende basis cybersecurity
onderwerpen. Vanwege de grote belangstelling vanuit de samenwerkingsverbanden wordt
het budget van de pilot van opdrachtverstrekkingen in 2024 verder uitgebreid naar
een budget van € 400.000.

Speerpunt 4: Bereik en impact vergroten: het DTC als katalysator

Het DTC zet in op het vergroten van het bereik en de impact van producten, diensten
en tools die het DTC aanbiedt om zo steeds meer ondernemers te helpen cyberweerbaar
te worden. Het streven voor 2023 was 300.000 bezoeken op de website. De website is
in 2023 meer dan 330.000 keer bezocht. Deze doelstelling is daarmee ruimschoots behaald.
Met 20.573 ingevulde zelfscans en tools is het gebruik ervan door bedrijven ten opzichte
van het jaar ervoor verdubbeld. De in april 2023 gelanceerde CyberVeilig Check voor zzp en mkb had met 33% het grootste aandeel in het gebruik van de 11 interactieve tools. Op
dit platform wordt niet alleen informatie gebracht, maar wordt ook input gehaald waar
het DTC mee aan de slag kan. Denk aan het aanvullen van tips en adviezen en het verkrijgen
van input op producten, diensten en kanalen van het DTC. Ook wordt er inzicht verkregen
in het situationeel beeld vanuit de leden. Door middel van de antwoorden kan het DTC
analyseren wat de impact was van deze ernstige kwetsbaarheid in het bedrijfsleven
en in hoeverre de handelingsperspectieven hebben geholpen de impact ervan te beperken.

Het doel is om de website actueel te houden en aan te vullen met informatie en hulpmiddelen
waar bedrijven behoefte aan hebben. Het eerdergenoemde onderzoek van TNO zal aanknopingspunten
bieden hoe het DTC bedrijven nog beter kan ondersteunen.

Uitvoering moties (mkb-keurmerk en cyberoefenen)

Op 18 september 202312 is de Kamer geïnformeerd over de voortgang van de motie Rajkowski inzake een eenduidig
mkb-keurmerk om het mkb beter te ondersteunen bij hun cybersecuritybeleid en de motie
Rajkowski over het ontwikkelen van een structurele cyberoefenagenda voor het niet-vitale
bedrijfsleven in samenwerking met het DTC.13

Voor de motie over het mkb-keurmerk is ondersteuning gezocht bij het initiatief Kwaliteitspreventie
van het Centrum voor Criminaliteitspreventie en Veiligheid (CCV), een onafhankelijke
instantie. De verwachting is dat de ontwikkeling van het keurmerk een doorlooptijd
van 2 jaar zal hebben en eind 2025 gereed zal zijn. Het spreekt daarbij voor zich
dat intensieve samenwerking met cybersecurityexperts, brancheorganisaties en overheidsinstanties
zoals het DTC cruciaal is, om ervoor te zorgen dat het keurmerk nauwkeurig aansluit
op de behoeften en uitdagingen van mkb organisaties.

In het kader van de motie over een structurele cyberoefenagenda is een informatiepagina
online gezet met meer informatie over de verschillende soorten cyberoefeningen die
bedrijven kunnen doen.14 Naast informatie over wat cyberoefeningen zijn en waarom het van belang is om regelmatig
te oefenen, worden er ook aanbevelingen gedaan aan ondernemers over hoe ze kunnen
beginnen met oefenen. Ook is in de voortgangsbrief van het DTC op 23 februari 202315 toegezegd dat het DTC de mogelijkheid verkent om een eigen cyberoefening aan te bieden
die partijen zelf – zonder begeleiding – kunnen uitvoeren. De verwachting is dat deze
oefening, ondersteund door de tevens toegezegde campagne, in de eerste helft van dit
jaar gelanceerd zal worden.

Voortgang wetsvoorstel bevordering digitale weerbaarheid bedrijven

Het wetsvoorstel bevordering digitale weerbaarheid bedrijven (hierna: Wbdwb) is op
9 december 2022 aan de Kamer aangeboden (Kamerstuk 36 270). Door de Kamer is op 20 januari 2023 verslag uitgebracht over dit wetsvoorstel.
Hier heb ik op gereageerd door op 8 maart 2023 door u de nota naar aanleiding van
het verslag aan te bieden.16

Het wetsvoorstel is een belangrijke voorwaarde om de doelstelling in het coalitieakkoord
Rutte IV te realiseren om vanuit de overheid sneller en makkelijker informatie te
delen met niet-vitale bedrijven over digitale kwetsbaarheden en «hacks». Daarnaast
is de Wbdwb voorwaardelijk om vanuit de nieuwe nationale cybersecurityorganisatie,
die ontstaat na de integratie van het DTC, het CSIRT-DSP en het NCSC, te borgen dat
het niet-vitale bedrijfsleven voorzien blijft van algemene en specifieke informatie
over cyberdreigingen en incidenten. Ik zie uit naar een spoedige behandeling van het
wetsvoorstel door uw Kamer. De Kamerbehandeling is voorzien in de tweede week van
maart 2024.

CSIRT voor digitale diensten

Met deze brief wil ik u ook informeren over de voortgang van het CSIRT-DSP.17 Het CSIRT-DSP zet zich in om uitval van netwerk- en informatiesystemen van deze digitale
dienstverleners te voorkomen, de gevolgen van een uitval te beperken en te ondersteunen
om de weerbaarheid van systemen te verhogen. Deze digitale dienstverleners moeten
incidenten met aanzienlijke gevolgen voor hun dienstverlening melden.

In 2023 heeft het CSIRT-DSP 81 incidenten behandeld. Deze zaken betreffen bijvoorbeeld
incidentele informatie over kwetsbare, gecompromitteerde of onjuist geconfigureerde
systemen, maar ook vrijwillige meldingen van incidenten door organisaties uit de doelgroep
van het CSIRT-DSP. In 2023 heeft het CSIRT-DSP twee verplichte meldingen ontvangen.
Informatie die het CSIRT-DSP heeft ontvangen wordt doorgezet naar de digitale dienstverleners
om deze te waarschuwen over de (potentiële) dreiging en te voorzien van een handelingsperspectief.
Door automatisch te notificeren heeft het CSIRT-DSP een groter aantal kwetsbaarheden
in systemen genotificeerd dan de jaren ervoor. Afgelopen jaar waren dit er 417.561.

Voortgang integratie DTC, CSIRT voor digitale dienst en NCSC

In juni 2023 is uw Kamer geïnformeerd over de voortgang van de integratie van het
DTC, het CSIRT-DSP en het NCSC.18 Het afgelopen jaar heeft de integratie van het DTC met het NCSC steeds verder vorm
gekregen. Belangrijke ontwikkelingen waren het aanstellen van een transitiemanager
en het opstellen en verder vormgeven van de transitieopgave. Daarnaast wordt er onderling
tussen het DTC en het NCSC al op verschillende manieren samengewerkt. Er wordt in
teams, waarin alle disciplines van het DTC en het NCSC zijn vertegenwoordigd, langs
vier werkstromen aan de transitie naar de vernieuwde cybersecurityorganisatie gewerkt.
Tevens is de medezeggenschapsraad voor de vernieuwde nationale cybersecurityorganisatie
ook op een gezamenlijke manier ingericht.

Daarnaast zijn het afgelopen jaar stappen gezet voor de integratie van het CSIRT-DSP
en het NCSC. De securityspecialisten van het CSIRT-DSP zijn in 2023 voornamelijk werkzaam
geweest op locatie bij het NCSC en hebben daar de samenwerking tussen beide partijen
geïntensiveerd. Dit heeft bijvoorbeeld geleid tot een detachering van twee medewerkers
van het CSIRT-DSP bij het NCSC om volledig als NCSC-medewerker mee te kunnen draaien
gedurende de nationale cybercrisis oefening ISIDOOR IV die plaatsvond in november
2023. Deze detachering is succesvol verlopen en is een mooie proef voor de integratieplannen
in 2024.

Voor zowel het DTC als het CSIRT-DSP geldt dat ook in het aankomende jaar de samenwerking
met het NCSC steeds verder geïntensiveerd zal worden. Dit wordt beoogd middels de
start van een cultuurtraject en het werken naar gezamenlijke producten. Uw Kamer wordt
periodiek geïnformeerd over de voortgang van de transitie. Dit zal in de rapportage
over de voortgang van de NLCS gebeuren.

Tot slot

In 2023 zijn de nodige stappen door het DTC en het CSIRT-DSP gezet om bedrijven te
ondersteunen in het verhogen van hun digitale weerbaarheid. In 2024 blijven de organisaties
zich hiervoor inzetten. Het DTC blijft nauw samenwerken met bedrijven om te zorgen
dat zij producten en diensten biedt waar bedrijven behoefte aan hebben en gebruik
van maken. Ik ben voornemens om de Kamer begin volgend jaar weer te informeren over
de voortgang van het DTC.

De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens