Nederlandse Cybersecurity Agenda - Rijksoverheid.nl · Cybersecurity Agenda een cruciale stap naar...

Nederland digitaal veilig Nederlandse Cybersecurity Agenda |

Nederlandse Cybersecurity AgendaNederland digitaal veilig

Nederland digitaal veilig Nederlandse Cybersecurity Agenda | 3

InhoudsopgaveVoorwoord 5

Samenvatting 7

Cybersecurity: het fundament voor economische kansen en maatschappelijke waarden 9

Spionage, sabotage en beroepscriminaliteit: dreigingen in het digitale domein 11

Strategische uitgangspunten 13

De Nederlandse Cybersecurity Agenda 171. Nederland heeft zijn digitale slagkracht op orde 192. Nederland draagt bij aan internationale vrede en veiligheid in het

digitale domein 233. Nederland loopt voorop in het bevorderen van digitaal veilige hard- en

software 274. Nederland beschikt over weerbare digitale processen en een robuuste

infrastructuur 315. Nederland werpt door middel van cybersecurity succesvol barrières op

tegen cybercrime 356. Nederland is toonaangevend op het gebied van cybersecurity

kennisontwikkeling 397. Nederland beschikt over een integrale, publiek-private aanpak van

cybersecurity 43


Voorwoord

Veiligheid in het digitale domein is voor het kabinet eentopprioriteit. Daarom hebben we in het regeerakkoordeen structurele investering van 95 miljoen euro incybersecurity vastgelegd. De afgelopen maanden is doorverschillende departementen, in nauwe samenwerkingmet partijen uit de publieke én private sector, dewetenschap en de samenleving, hard gewerkt aan eenambitieuze kabinetsbrede Nederlandse CybersecurityAgenda. Als coördinerend minister voor cybersecurityben ik trots om het product van deze vruchtbaresamenwerking te mogen presenteren!

We hebben zeven stevige ambities opgesteld, die insamenhang zullen bijdragen aan een veilig digitaalNederland. Cruciaal in dit geheel is dat Nederland zijndigitale slagkracht op orde heeft. Overheidspartijen enprivate organisaties in Nederland moeten goedsamenwerken aan een integrale aanpak vancybersecurity. Als alle partijen hun verantwoordelijkheidnemen en over adequate capaciteiten en middelenbeschikken, kunnen we daadkrachtig reageren opdigitale dreigingen.

Voor de overheid betekent dat vooral: een krachtigeregierol, stimuleren en voorwaarden scheppen. Zodatbedrijfsleven en burgers hun eigen digitale veiligheid enweerbaarheid kunnen vormgeven. Want daar blijven zeuiteraard zelf verantwoordelijk voor. Om de kansen vandigitalisering te kunnen blijven benutten, is hetnoodzakelijk dat we ons veilig in de digitale wereldkunnen bewegen. Cybersecurity is het fundament voorsuccesvol ondernemen en besturen en voor hetvertrouwen in het digitale domein: dit gedeelde belangmaakt dat we wederzijds afhankelijk zijn en eengezamenlijke verantwoordelijkheid dragen voor denationale veiligheid. Omdat landsgrenzen in decyberwereld nauwelijks een rol spelen, zal die aanpakook sterk internationaal georiënteerd moeten zijn. Ookin EU- en NAVO-verband blijft Nederland daaromwerken aan versterking van de digitale veiligheid.

De komende maanden zullen we de ambities uit deNederlandse Cybersecurity Agenda, in nauwesamenwerking met de betrokken departementen enoverige partners, nader uitwerken in concretemaatregelen.

En uiteraard is deze agenda niet in beton gegoten. Dekomende jaren blijft het zaak de vinger goed aan de polste houden en technologische en maatschappelijkeontwikkelingen nauwgezet te volgen, om te zien waarzich mogelijk nieuwe digitale kwetsbaarheden endreigingen voordoen.

We zetten met de presentatie van deze NederlandseCybersecurity Agenda een cruciale stap naar een veiligerdigitaal Nederland. De basis waarop we verder kunnenbouwen aan een veilig cyberdomein, waarin burgers,bedrijfsleven en overheden de economische enmaatschappelijke kansen die de digitalisering biedt, ookecht kunnen verzilveren!

Ferd GrapperhausMinister van Justitie en Veiligheid


Nederland beschikt over een uitstekende uitgangspositieom de economische en maatschappelijke kansen vandigitalisering te verzilveren. Tegelijkertijd nemenkwetsbaarheden en dreigingen in het digitale domeintoe. De dreiging vanuit beroepscriminelen groeit en blijftzich verder ontwikkelen. Statelijke actoren richten zich opdigitale economische en politieke spionage en het treffenvan voorbereidingen op digitale sabotage. Niet alleen hetaantal landen dat digitale aanvalscapaciteiten ontwikkeltneemt toe, de ingezette aanvallen worden ook steedscomplexer. Dit vormt een directe dreiging voor onzeeconomische belangen en de nationale veiligheid.

Dit vraagt om extra inspanningen om de cybersecurityaanpak te versterken en zo de vitale belangen vanNederland beter te beschermen. In de NederlandseCybersecurity Agenda (NCSA) worden de kaders gesteldvoor de volgende noodzakelijke stap in cybersecurity. Degezamenlijke koers wordt aangegeven en verschillendemaatregelen worden in samenhang bezien. Dit versterktde impact van publieke en private acties. Hierbij zijn devolgende uitganspunten leidend:• Cybersecurity is onlosmakelijk verbonden met

nationale veiligheid: door digitalisering zijn nationaleveiligheidsbelangen kwetsbaar voor digitaleaanvallen.

• Veiligheid in het digitale domein kan alleen insamenwerking met en deels ook door hetbedrijfsleven worden vormgegeven. Publiek-privatesamenwerking staat daarom aan de basis van deNederlandse cybersecurity aanpak.

• De overheid is er voor de publieke belangen: eendigitaal veilig Nederland, door onderkenning vandreigingen tegen vitale belangen en versterking vande weerbaarheid. Bedrijfsleven en burgers wordengestimuleerd om zo goed mogelijk hun eigenverantwoordelijkheid en veiligheid vorm te geven.Ook is de overheid, als publiek orgaan, gehouden decybersecurity van de eigen processen op orde tehebben en als launching customer het goede voorbeeldte geven.

• Kennis is cruciaal voor cybersecurity: het publiek enprivaat delen van beschikbare kennis en het

Samenvatting

bevorderen van informatiedeling is nodig omcybersecurity in de breedte te versterken. Daarnaast ishet noodzakelijk om zowel fundamenteel alstoegepast onderzoek naar cybersecurity te (blijven)entameren, om de Nederlandse cybersecuritykennispositie te ontwikkelen.

• Het mainstreamen van cybersecurity is het doel: dedigitale veiligheid moet in iedere organisatieonderdeel zijn van de dagelijkse processen.

• Het digitale domein is niet gebonden aanlandsgrenzen. Een Nederlandse aanpak voorcybersecurity moet zich rekenschap geven van deinternationale dimensie van data, verbindingen,internet governance en actoren die digitale aanvallenuitvoeren. Een veiliger digitaal domein is daarom eenvan de speerpunten van Nederland in onder meerNAVO- en EU-verband.

• Tot slot: waardenspanning tussen vrijheid, veiligheiden economische groei is inherent aan de ontwikkelingvan cybersecurity. Door ons hier rekenschap van tegeven willen we dilemma’s in cybersecurity scherperwegen, en op basis van transparante en gefundeerdebesluitvorming richting bepalen.

De NCSA valt uiteen in zeven ambities die bijdragen aande volgende doelstelling: Nederland is in staat om op eenveilige wijze de economische en maatschappelijke kansen vandigitalisering te verzilveren en de nationale veiligheid in hetdigitale domein te beschermen.

1. Nederland heeft zijn digitale slagkracht op orde.2. Nederland draagt bij aan internationale vrede en

veiligheid in het digitale domein.3. Nederland loopt voorop in het bevorderen van

digitaal veilige hard- en software.4. Nederland beschikt over weerbare digitale processen

en een robuuste infrastructuur.5. Nederland werpt door middel van cybersecurity

succesvol barrières op tegen cybercrime.6. Nederland is toonaangevend op het gebied van

cybersecurity kennisontwikkeling. 7. Nederland beschikt over een integrale, publiek-private

aanpak van cybersecurity.

8 | Nederlandse Cybersecurity Agenda Nederland digitaal veilig

Deze zeven ambities zijn uitgewerkt in doelstellingen enmaatregelen, die in nauwe publiek-privatesamenwerking zullen worden uitgevoerd. Hiertoe wordteen cybersecurity alliantie gesloten, metoverheidspartijen en bedrijven die zich committeren aanhet gezamenlijk versterken van de cybersecurity aanpakin Nederland.

Cybersecurity het fundament voor economische kansen en maatschappelijke waarden in het digitale domein


Nederland is een van de meest gedigitaliseerde landenter wereld. We beschikken daarmee over uitstekendevoorwaarden om internationaal koploper te zijn, in hetveilig en in vrijheid snel nieuwe technologieën uitrollenen gebruiken. Die nieuwe technologieën spelen eensteeds belangrijkere rol in ons dagelijks leven. Denkbijvoorbeeld aan e-commerce, maar ook aan digitalecommunicatie met de dokter, de school en de overheid.Verdergaande digitalisering in de zorg (e-health),mobiliteit (e-automotive), toename vangebruiksvoorwerpen met een internetverbinding (Internetof Things), sleuteltechnologieën als big data, 5G,kwantumcomputers, en kunstmatige intelligentie zorgener bovendien voor dat het cyberdomein en het fysiekedomein meer met elkaar vervlochten raken. Dezeontwikkelingen brengen ook ethische kwesties aan hetlicht ten aanzien van privacy en omgang met data. Hetbeschermen van waarden en grondrechten in het digitaledomein is eveneens een belangrijk onderdeel vancybersecurity. Burgers moeten er op kunnen rekenen dathun grondrechten zowel online als offline gewaarborgdzijn en dat hun privacy ook in het digitale domeingegarandeerd is.

Met deze technologische en maatschappelijkeontwikkelingen zijn ook de kwetsbaarheden in hetdigitale domein toegenomen, een trend die zich naarverwachting de komende jaren zal voortzetten. Juistomdat elk aspect van de samenleving - maatschappelijken economisch - in toenemende mate afhankelijk is vandigitale processen, kunnen digitale aanvallen directe

schade toebrengen aan onze economie en de nationaleveiligheid bedreigen. Maatschappelijke processenkunnen immers makkelijker op grote schaal verstoordraken. De toegenomen kwetsbaarheid blijkt uit deopeenvolgende Cybersecuritybeelden Nederland, waarinNederlandse inlichtingen- en veiligheidsdiensten, deNationaal Coördinator Terrorismebestrijding enVeiligheid (NCTV), het Nationaal Cybersecurity Centrum(NCSC) en de politie een zorgwekkende toename vandigitale dreigingen signaleren. Bovendien blijft deweerbaarheid achter ten opzichte van de ontwikkelingvan de dreiging. Deze situatie vraagt om extrainspanningen van overheden, bedrijfsleven en burgersom de belangen van Nederland te beschermen en deNederlandse cybersecurity aanpak te versterken tenbehoeve van de nationale veiligheid.

Tegelijkertijd biedt cybersecurity als sector ookeconomische en maatschappelijke kansen: een sterkeNederlandse cybersecurity sector stimuleertkennisontwikkeling, de arbeidsmarkt enwerkgelegenheid, en draagt bij aan het internationaleprofiel van Nederland op economisch, militair enveiligheidsgebied. Bovendien draagt een sterke

Definitie van cybersecurityCybersecurity is het geheel aan maatregelen omschade door verstoring, uitval of misbruik van ICT tevoorkomen en, indien er toch schade is ontstaan,het herstellen hiervan.


Nederlandse cybersecurity sector bij aan digitaleautonomie: overheden en bedrijfsleven kunnen rekenenop eigen oplossingen voor digitale veiligheid enstimuleren door afname van cybersecuritydienstverlening voor de eigen processen ook digitaleveiligheid in den brede. Deze stimulans bevordertbovendien de export van Nederlandse waarden als eenopen, vrij en veilig internet. Nederland versterkt op dezewijze ook internationaal zijn positie als gekende enerkende samenwerkingspartner en cybersecurityautoriteit.

De SCope VAN CyberSeCurity: NeDerlANDDiGitAAl VeiliGDe minister van Justitie en Veiligheid is coördinerendbewindspersoon voor cybersecurity en voert regie op deuitvoering van de NCSA. Daarbinnen houdt iedere partijzijn eigen taken en verantwoordelijkheden. Daarbij geldtdat ook in het digitale domein 100% veiligheid nietrealistisch is. Deze brede Nederlandse cybersecurityaanpak krijgt vorm als onderdeel van het beschermenvan de nationale veiligheid, dat gecoördineerd wordtdoor de NCTV.

beleiDSVerANtwoorDelijkheDeN iN het DiGitAleDomeiNHet beleidsterrein cybersecurity richt zich op hetvoorkomen van schade door verstoring, uitval enmisbruik van ICT. Hieraan zijn verschillende beleids -thema’s verwant die onder verantwoordelijkheid vanandere bewindspersonen worden vormgegeven. In hetbijzonder gaat het om het ministerie van BinnenlandseZaken en Koninkrijksrelaties (BZK) vanwege deverantwoordelijkheid voor de digitale overheid en deAlgemene Inlichtingen- en Veiligheidsdienst (AIVD), hetministerie van Economische Zaken en Klimaat (EZK) inverband met digitalisering, het ministerie vanBuitenlandse Zaken (BZ) vanwege de coördinerende rolop internationale vrede en veiligheid en tot slot hetministerie van Defensie (Def), aangaande degrondwettelijke taken van de krijgsmacht in het digitaledomein. De NCSA is nauw verbonden met de volgendestrategische documenten: de Digitaliseringsstrategie (inwording), de Brede Agenda Digitale Overheid (inwording), de Defensienota en de GeïntegreerdeBuitenland- en Veiligheidsstrategie en de InternationaleCyberstrategie en Defensie Cyberstrategie (in wording).

Van Nationale Cybersecurity Strategie 2011 totNederlandse Cybersecurity Agenda 2018De NCSA bouwt voort op de effecten die gerealiseerdzijn bij de eerdere Nationale Cybersecuritystrategieën uit 2011 en 2013. De visie uit dezestrategieën blijft leidend: ”Nederland zet samen met zijninternationale partners in op een veilig en open cyberdomein,waarin de kansen die digitalisering onze samenleving biedt,volop worden benut, waarin aan dreigingen het hoofd wordtgeboden en waarin fundamentele rechten en waardenworden beschermd.” De agenda geeft een gezamenlijkekoers aan, waardoor het voor overheids- en privatepartijen inzichtelijker wordt waarop zij hun(afgestemde) activiteiten kunnen richten. De NCSAbeziet verschillende maatregelen in samenhang,verbindt ze in richtinggevende doelstellingen enversterkt zo de impact ervan.


Digitale sabotage of verstoring kan direct leiden totaantasting van de nationale veiligheid. De grootstedreiging op het digitale vlak wordt gevormd doorcriminelen en statelijke actoren. Digitalisering isdoorgedrongen tot in de haarvaten van de Nederlandsemaatschappij en economie. Hierdoor is onze samenlevingvolledig afhankelijk geworden van digitale middelen. Hetongestoord functioneren van deze middelen is essentieelvoor vitale processen binnen bedrijfsleven en overheid,het verdienvermogen van ondernemingen en hetdagelijks leven van burgers. Incidenten in de afgelopenjaren hebben duidelijk gemaakt dat digitale aanvallen eengrote impact op de samenleving kunnen hebben enkunnen leiden tot aantasting van de fysieke en nationaleveiligheid. De dreiging vanuit beroepscriminelen neemttoe en blijft zich verder ontwikkelen. Hierbij wordensuccesvolle criminele verdienmodellen, zoals ransomwareverder ontwikkeld en uitgebreid. De vrijwel kostelozeschaalbaarheid van digitale aanvallen is extra interessantvoor criminelen.

Niet alleen consumenten zijn het slachtoffer. Ookbedrijven en financiële instellingen zijn het doelwit vancriminelen. Complexere aanvalsmethoden wordensteeds breder beschikbaar, onder meer doorontwikkelingen als cybercrime-as-a-service. Hierdoorkunnen steeds meer actoren met beperkte kennis enmiddelen aanvallen uitvoeren die in voorkomendegevallen direct maatschappelijke effecten hebben.

Nederlandse overheidsinstellingen en in Nederlandgevestigde bedrijven zijn structureel doelwit van digitalespionage door statelijke actoren. Zo zijn bijvoorbeeld

multinationals en onderzoeksinstellingen in de energie-,hightech-, en chemische sector het slachtoffer gewordenvan digitale spionage. Bij deze digitale inbraken zijnterabytes aan vertrouwelijke gegevens gestolen die eensubstantiële economische waarde vertegenwoordigen.Statelijke actoren richten zich op digitale economischeen politieke spionage, en treffen voorbereidingen opdigitale sabotage. Niet alleen het aantal landen datdigitale aanvalscapaciteiten ontwikkelt neemt toe, degebruikte aanvallen worden ook steeds complexer.Daarnaast hebben statelijke actoren zich het afgelopenjaar ook gericht op digitale beïnvloeding vandemocratische processen voor geopolitiek gewin. Omgeopolitieke belangen te behartigen investeren staten inciviele en militaire cybercapaciteiten.

Spionage, sabotage en beroepscriminaliteit dreigingen in het digitale domein

Voorbeeld: Cybercrime-as-a-service en ransomwareCybercriminelen voeren lang niet alle stappen vaneen aanval zelf uit. Vaak kopen ze diensten enexpertise bij elkaar in. Een voorbeeld daarvan isransomware: een type schadelijke software datsystemen en/of informatie daarop blokkeert enalleen tegen betaling van losgeld weer toegankelijkmaakt. Als een crimineel ransomware wil verspreiden,betaalt hij bijvoorbeeld iemand om die teontwikkelen en iemand anders om de ransomware viae-mail onder miljoenen geadresseerden teverspreiden. Deze diensten worden zeerprofessioneel en compleet geleverd: van technischehulpmiddelen tot infrastructuur enhelpdeskfunctionaliteit.


Cyberaanvallen hebben hun weerslag op onzemaatschappij. Burgers krijgen bijvoorbeeld te makenmet de gevolgen van identiteitsdiefstal of het verlies vanpersoonlijke foto’s door een ransomware besmetting. Inpotentie ondermijnt dit het vertrouwen in de digitalesamenleving. Cyberaanvallen door criminele of statelijkeactoren kunnen de Nederlandse economie ondermijnendoor diefstal van gevoelige of kostbare informatie endaarmee het vertrouwen in het economisch verkeerschaden.

Voorbeeld: NotPetyaDe casus NotPetya is een voorbeeld van een digitaleaanval met aanzienlijke gevolgen voor Nederlandsebedrijven. In juni 2017 werden organisatieswereldwijd het slachtoffer van een aanval metransomware. In Nederland heeft deze ransomwareonder meer de bedrijfsvoering van decontainerterminal van APM en pakketbezorger TNTaangetast. Bij APM heeft de afhandeling vancontainers dagenlang stilgelegen. Ook TNT heeftdoor de aanval vertragingen bij de bezorginggekend. Hoewel Oekraïne het primaire doelwit vandeze aanval leek te zijn, waren de gevolgen voorNederlandse bedrijven aanzienlijk.


Een effectieve cybersecurity aanpak houdt rekening metde dynamiek die het digitale domein eigen is. Dit vraagtom strategische uitgangspunten voor het bepalen van deambities en maatregelen.

CyberSeCurity iS iNteGrAAl oNDerDeel VAN DeNAtioNAle VeiliGheiDCybersecurity is onlosmakelijk verbonden aan nationaleveiligheid en het ongestoord functioneren van demaatschappij. Door digitalisering wordt demaatschappij kwetsbaar voor verstoringen door digitaleaanvallen. Door de connectiviteit van de digitalesamenleving kunnen eenvoudige digitale aanvallen sneldigitale processen verstoren. Om de weerbaarheidhiertegen te vergroten is een basisniveau vancybersecurity noodzakelijk. Burgers, bedrijven enoverheden moeten inspanningen leveren om hundigitale veiligheid te vergroten. Ook moet de overheidzijn beschermende taak in het digitale domein kunnenwaarmaken. Capaciteiten en middelen om dreigingenhet hoofd te bieden op orde te zijn. Tot slot dient ooknationale veiligheid en cybersecurity eenbasisoverweging te zijn bij verdere ontwikkeling vandigitale processen van de overheid. Dit betekent dat deoverheid nadere cybersecurity eisen zal ontwikkelenvoor inkoop van eigen ICT-middelen. Bij deze eisenzullen ook economische veiligheidsoverwegingenworden meegenomen om de weerbaarheid tegenstatelijke actoren te verhogen.

publieke-priVAte SAmeNwerkiNG iS De bASiSVeiligheid in het digitale domein kan alleen insamenwerking met, en voor een belangrijk deel ookdoor, het bedrijfsleven worden vormgegeven. Publiek-private samenwerking staat daarom aan de basis van deNederlandse cybersecurity aanpak. De huidige praktijkvan deze samenwerking laat zien dat er behoefte is aaneen heldere verdeling van verantwoordelijkheden in hetdigitale domein. Deels zullen die

verantwoordelijkheden hun basis hebben in debestaande weten regelgeving over veiligheid,leveringszekerheid en marktordening. Echter, erontstaan ook nieuwe vraagstukken waar deverantwoordelijkheden tussen overheid, bedrijfslevenen burger (opnieuw) bepaald moeten worden. Daaromzet deze agenda in op een integrale cybersecurityaanpak, die gezamenlijke inzet vraagt van hetbedrijfsleven, maatschappelijke organisaties en vanverschillende overheidspartijen.

oVerheiD StAAt Voor De publieke belANGeN,Stimuleert De eiGeN VerANtwoorDelijkheiD eNGeeFt het GoeDe VoorbeelDEen kerntaak van de overheid is het voortouw te nemenbij het streven naar een veilig en stabiel Nederland doordreigingen tegen vitale belangen te onderkennen en deweerbaarheid van die belangen te versterken. Datbetekent dat de overheid zorgt voor een adequateaanpak van en voorbereiding op crises en incidenten,waar de maatschappelijke continuïteit in het geding is.Hoewel 100% veiligheid ook in het digitale domeinonmogelijk is. Van de vitale infrastructuur is circa 80%in private handen. De overheid wil daarom hetbedrijfsleven en burgers stimuleren om zo goedmogelijk hun eigen verantwoordelijkheid en veiligheidvorm te geven. Waar nodig worden er stimuli gebodenof kaders ingericht om de randvoorwaarden tescheppen voor veilig gedrag in het digitale domein. Hetopen karakter van het internet kan leiden totwijdverspreide kwetsbaarheden. Daar waar misbruikvan producten, diensten of processen de continuïteitvan de maatschappij in gevaar kan brengen, stelt deoverheid bijzondere eisen aan producenten, afnemers,consumenten en dienstverleners. Tot slot is deoverheid, als publiek orgaan, gehouden decybersecurity van de eigen processen op orde te hebbenen daarmee ook als launching customer het goedevoorbeeld te geven.

Strategische uitgangspunten


keNNiSoNtwikkeliNG eN iNFormAtieDeliNG iSCruCiAAlKennis is cruciaal voor cybersecurity: het publiek enprivaat delen van beschikbare kennis en het bevorderenvan informatiedeling is nodig om breed de weerbaarheidop cybersecurity te versterken. Daarnaast is hetnoodzakelijk om zowel fundamenteel als toegepastonderzoek naar cybersecurity te (blijven) entameren, omde Nederlandse cybersecurity kennispositie teontwikkelen. Wanneer we kunnen beschikken over eigenhoogwaardige wetenschappelijke kennis entoepassingen dan draagt dit bij aan de digitaleautonomie van Nederland en/of Europa.

mAiNStreAmeN VAN CyberSeCurity iS eeNVoorwAArDeDigitalisering dringt door in alle facetten van demaatschappij. Cybersecurity staat aan de basis vansuccesvol ondernemen, besturen en veilig deelnemenaan het maatschappelijke verkeer. Het is noodzakelijkdat overheden en bedrijven beter in staat zijn of wordengesteld om hun digitale veiligheid te organiseren en diedigitale veiligheid onderdeel maken van hun dagelijkseprocessen, producten en diensten (het mainstreamen vancybersecurity). Ook burgers en/of eindgebruikers hebbeneen verantwoordelijkheid in het beschermen van huneigen digitale veiligheid: in het dagelijks leven hoort eenbasisniveau van cybersecurity onderdeel te zijn van veiliggedrag.

het DiGitAle DomeiN iS Niet NAtioNAAl beGreNSDHet digitale domein is per definitie niet gebonden aanlandsgrenzen. Een Nederlandse aanpak voorcybersecurity moet zich rekenschap geven van deinternationale dimensie van data, verbindingen, internetgovernance en actoren die digitale aanvallen uitvoeren.Daarom is een veiliger digitaal domein een van despeerpunten van Nederland in EU- en NAVO-verband.Een bondgenootschap dat zijn collectieveverdedigingstaak ook vorm kan geven in het digitaledomein, levert immers een directe en essentiële bijdrageaan de nationale (digitale) veiligheid van de lidstaten.Daarnaast zal een aantal doelstellingen van de NCSAslechts bereikt kunnen worden door middel vaninternationale wetgeving, coalitievorming ofinternationale ontwikkeling van normen en standaarden,in het bijzonder in Europees verband. Hetgrensoverschrijdende karakter van dreigingen maakt hetnoodzakelijk sterk in te zetten op internationalesamenwerking. De Nederlandse Cybersecurity Agenda

zal, in verbinding met de Geïntegreerde Buitenland- enVeiligheidsstrategie en de Defensienota, bij de verdereuitwerking dan ook richtinggevend zijn voor deNederlandse inzet in internationale gremia. Enerzijdsgeldt dat voor die effecten en resultaten die alleen ininternationaal verband kunnen worden bereikt,anderzijds zullen de internationale ontwikkelingen ook inacht worden genomen bij het effectief vormgeven vanhet Nederlandse beleid. Belangrijke voorbeelden zijn deEuropese ontwikkelingen op het gebied van certificering,standaard-ontwikkeling en het stimuleren van deEuropese Digitale Eengemaakte Markt, waarvancybersecurity een onderdeel is. Nederland blijft oponderwerpen als fragiliteit van vrije software zijn rol alsinternetpionier vervullen.

wAArDeNSpANNiNG VrAAGt om zorGVulDiGeweGiNGDe verregaande digitalisering zet regelmatig de balanstussen de kernwaarden veiligheid, vrijheid eneconomische groei onder druk. Nederland zet in op eenheldere afweging van de belangen bij het maken van(beleids)keuzes en betracht hierover transparantie. Inbrede maatschappelijke en politieke debatten overdigitalisering, wordt cybersecurity niet geïsoleerdbenaderd maar nadrukkelijk bezien in samenhang metonderwerpen als fundamentele rechten en waarden enmaatschappelijke groei. Een duidelijke en transparanteafweging van waardenspanning leidt tot beterebesluitvorming.

Nederland is in staat om op eenveilige wijze de economische enmaatschappelijke kansen vandigitalisering te verzilveren en denationale veiligheid in het digitaledomein te beschermen


De Nederlandse aanpak van cybersecurity heeft hetvolgende doel: Nederland is in staat om op een veilige wijze de economischeen maatschappelijke kansen van digitalisering te verzilverenen de nationale veiligheid in het digitale domein tebeschermen.

We zetten daarbij in op de volgende ambities:1. Nederland heeft zijn digitale slagkracht op orde.2. Nederland draagt bij aan internationale vrede en

veiligheid in het digitale domein.3. Nederland loopt voorop in het bevorderen van

digitaal veilige hard- en software.4. Nederland beschikt over weerbare digitale processen

en een robuuste infrastructuur.5. Nederland werpt door middel van cybersecurity

succesvol barrières op tegen cybercrime.6. Nederland is toonaangevend op het gebied van

cybersecurity kennisontwikkeling.7. Nederland beschikt over een integrale, publiek-

private aanpak van cybersecurity.

De impact van technologische en maatschappelijkeontwikkelingen en digitale dreiging, ontwikkelt zich metverschillende snelheden en vraagt om een dynamischemeerjarige cybersecurity aanpak. Veel van dezemaatregelen vragen om overheidsinzet. Sommigeandere maatregelen kunnen alleen met of doormarktpartijen worden vormgegeven. Dit vraagt omnauwe samenwerking in de uitwerking van de NCSA. Demaatregelen zijn niet uitputtend. Er is ruimte vooraanvulling. Daarmee ontstaat er een dynamischeaanpak die aangepast kan worden aan de ontwikkelingvan de dreiging. Daarom zal jaarlijks bij het‘Cybersecuritybeeld Nederland’ bezien worden of dezeaanpak herijking behoeft en of beleidsinstrumentenbijdragen aan de verwezenlijking van de ambities. In2021 wordt de agenda geëvalueerd en waar nodigherzien.

regeerakkoordEr wordt een ambitieuze cybersecurity agendaopgesteld met onder meer standaarden voor Internetof Things apparaten, software aansprakelijkheid,versterken van het NCSC, het stimuleren vancybersecurity onderzoek en het verbeteren vanvoorlichtingscampagnes.

Er wordt structureel 95 miljoen euro gereserveerdvoor cybersecurity. De middelen worden onderandere ingezet voor de uitbreiding van personelecapaciteit en ICT-voorzieningen en verdeeld over dedepartementen Justitie en Veiligheid (NCTV),Defensie (MIVD), Binnenlandse Zaken enKoninkrijksrelaties (AIVD), Buitenlandse Zaken,Infrastructuur en Milieu en Economische Zaken.

De structurele cybersecurity intensivering isgeïntegreerd in de maatregelen van deze NCSA.

De Nederlandse Cybersecurity Agenda

Nederland heeft zijn digitaleslagkracht op orde


Om daadkrachtig te kunnen reageren op de toename vande digitale dreiging, moeten overheidspartijen en privateorganisaties in Nederland samenwerken en beschikkenover adequate capaciteiten en middelen. Diecapaciteiten zijn bij tal van deze organisaties nog volop inontwikkeling, waarbij een verschillend niveau vanvolwassenheid zichtbaar is. Waar sommige (grotere)bedrijven en organisaties een eigen security operationscenter of computercrisisteam organiseren, zijn andere(kleinere) bedrijven of organisaties zich nog maar net ofnog niet in voldoende mate bewust van digitale risico’s.De beveiliging van de eigen digitale systemen eninformatie van publieke en private partijen is daar nogniet vanzelfsprekend en basale beveiligingsvoorschriftenzijn nog niet geïmplementeerd.

Voldoende slagkracht behelst ook de capaciteiten vanveiligheidsorganisaties, die in staat moeten zijn om huntaken voor de nationale veiligheid ook in het digitaledomein vorm te geven. Dit hangt nauw samen met deoffensieve capaciteiten van Defensie, die ook onderambitie 2 aan de orde komen.

Er is dringend behoefte aan opbouw van capaciteiten,aan meer en beter toegesneden informatie over digitaledreigingen, die sneller beschikbaar is vooroverheidspartijen en private organisaties en aanhandelingsperspectief om die dreigingen te mitigeren.De informatie-uitwisseling tussen organisaties enbedrijven is in Nederland de afgelopen jaren sterkverbeterd, door samenwerking bij incidenten of omdatde partijen elkaar hebben leren kennen en elkaar zijngaan vertrouwen. Dat is een stap voorwaarts, maar hetbiedt nog niet voldoende garanties dat we nu en in detoekomst digitale dreigingen het hoofd kunnen bieden.De volgende stap is om informatie-uitwisseling enbestaande samenwerking structureel te borgen entegelijkertijd breder in te richten, bijvoorbeeld door hetbevorderen van cross-sectorale analyses. Het isnoodzakelijk om de detectie- en responscapaciteiten van

overheidsorganisaties en vitale aanbieders te versterken.Daarmee versterken we ook de digitale slagkracht vandeze partijen. We moeten komen tot een praktijk waarinklanten en toeleveranciers elkaar onderling stimulerenom hun digitale veiligheid te organiseren. Zo werken wetoe naar een cyber-ecosysteem waarin alle partijencapaciteiten opbouwen en informatie delen; vanbedrijfsleven tot overheid en van burger totinformatiebeveiliger.

DoelStelliNGeN• Overheden en bedrijven zijn in staat een adequate

respons te bieden op digitale dreigingen en aanvallen.Ze nemen hiervoor de benodigde (preventieve)maatregelen en ze hebben de basis op orde.

• Nederland is voorbereid op grootschaligecyberincidenten die de nationale veiligheid bedreigen.

• Organisaties die van vitaal belang zijn voor denationale veiligheid hebben beter inzicht in digitaledreigingen en aanvallen, en zijn in staat om aanvallendie hen en daarmee de nationale veiligheidbedreigen, te detecteren.

• Er wordt een landelijk dekkend stelsel vancybersecurity samenwerkingsverbanden ingerichtwaarbinnen informatie over cybersecurity breder,efficiënter en effectiever wordt gedeeld tussenpublieke en private partijen. Dit dekkende stelselheeft tot doel de slagkracht van publieke en privatepartijen te versterken.

• Het juridisch instrumentarium om slagvaardig op tetreden in het digitale domein blijft op orde en wordtgeactualiseerd in het licht van de dreiging en detechnologische ontwikkelingen.

mAAtreGeleNo Om snel te kunnen handelen bij ICT-inbreuken die de

nationale veiligheid bedreigen, worden deincidentresponscapaciteiten van onder andere deinlichtingen- en veiligheidsdiensten, DefensieComputer Emergency Response Team (CERT), NCSC en

1. Slagkracht op orde


Rijkswaterstaat versterkt. Ook wordt de oprichtingvan meer private sectorale computercrisisteamsaangemoedigd, zoals Z-CERT (voor de zorgsector) enI-CERT (voor de verzekeringssector).

o De vitale processen in onze samenleving vragen omextra bescherming en versneld herstel bij uitval ofschade. Daarom is het belangrijk dat dezeorganisaties zorgen voor een eigen adequateresponscapaciteit of dat ze hiervoor afspraken makenmet een vertrouwde derde partij. Hiertoe zal metprivate partijen de ontwikkeling worden verkend vaneen certificeringsstelsel voor cybersecuritydienstverleners bij wie veilig dienstverlening kanworden afgenomen.1

o Nederland moet voorbereid zijn op grootschaligecyberincidenten die de nationale veiligheid bedreigen.Hiertoe wordt het Nationaal Crisisplan ICTgeactualiseerd. Daarnaast zal een integraal ICT-crisisoefenbeleid worden opgesteld. Daarin wordenafspraken gemaakt tussen overheidspartijen enprivate organisaties over een gezamenlijkeoefenagenda en beschikbare capaciteiten hiervoor bijde betrokken partijen.

o De capaciteiten van de inlichtingen- enveiligheidsdiensten, DefCERT en het NCSC om inzichtte krijgen in dreigingen en digitale aanvallen, deze tesignaleren, te verstoren en de weerbaarheid teverhogen, worden structureel versterkt. Hiertoe heefthet kabinet de afgelopen jaren en in het huidigeregeerakkoord extra middelen vrijgemaakt. HetNationaal Detectie Netwerk (NDN) zal de komendejaren nog verder worden versterkt zodat er eentoekomstbestendig netwerk ontstaat.

o Het landelijk situationeel beeld wordt versterkt metde inrichting van een samenwerkingsplatform2 methet oogmerk om binnen de wettelijke kaders meer ensneller handelingsperspectief met belanghebbendeorganisaties te kunnen delen. Hierbij dient ookaandacht te worden besteed aan de eisen op hetgebied van informatiebeveiliging. Ontvangendepartijen moeten een voldoendevolwassenheidsniveau hebben om informatiedelingmogelijk te maken.

o Onder coördinatie van de NCTV wordenrondetafelgesprekken georganiseerd waarmee hetlandelijk dekkend stelsel van cybersecuritysamenwerkingsverbanden vorm kan krijgen. Deervaringen van bestaande publieke en privatecybersecurity samenwerkingsverbanden wordenhierbij betrokken.

o Het Nationaal Cyber Security Centrum (NCSC) en hetDigital Trust Centre3 (DTC) zullen de oprichting endoorontwikkeling van cybersecuritysamenwerkingsverbanden voor overheden, hetbedrijfsleven en maatschappelijke organisatiesstimuleren, en – waar nodig – ondersteuning bieden.Ook wordt hierbij aandacht gegeven aan het opstellenvan een set van basisbeveiligingsmaatregelen voorbedrijfsleven en maatschappelijke organisaties.

o Bezien wordt of de wetgeving gericht op hetbeschermen van nationale veiligheid voldoendehandvatten biedt om deze veiligheid ook in hetdigitale domein te bevorderen, met behoud vanfundamentele waarden en privacy.

1 Zie ook de doelstellingen en maatregelen op pagina 27-28.

2 De mogelijkheden met welke partijen en in welke vorm dit samenwerkingsplatform kan worden vormgegeven, worden nader onderzocht.

3 Kamerstuk ‘Oprichting Digital Trust Centre’ 23 september 2017.

Nederland draagt bij aaninternationale vrede en veiligheidin het digitale domein


Statelijke actoren zetten steeds vaker digitale middelen invoor spionage-, beïnvloedings- en sabotagedoeleindenals integraal onderdeel van hun machtsinstrumentarium,of in concrete conflictsituaties. Ook is er een toename vanhet aantal landen dat aan een offensieve, militairecybercapaciteit bouwt. Deze dreiging is de afgelopen jarensterk toegenomen en vormt een ernstige internationaleveiligheidsdreiging.

In internationaal verband is er sprake van scherpetegenstellingen tussen verschillende landen in debenadering van het cyberdomein. Er bestaat verschil vaninzicht over de toepassing van internationaal recht,(gedrags)normen in cyberspace, en de afhankelijkheid vanen toegang tot digitale middelen. Het decentrale karaktervan het internet en de mogelijkheden die het internetbiedt voor anoniem optreden, bemoeilijken daarnaast hethandhaven en controleren van gemaakte afspraken.Mede doordat attributie moeilijk is in het cyberdomein,kunnen dergelijke cyberoperaties de internationalerechtsorde bedreigen. Nederland dient ook zelf tebeschikken over capaciteiten en instrumenten om digitaleaanvallen op onze nationale belangen resoluut te kunnenafweren en – in het uiterste geval – proportioneel tekunnen vergelden.

DoelStelliNGeN• Nederland bevordert de internationale rechtsorde in

het digitale domein, waaronder de waarborging vanmensenrechten.

• Nederland is in staat, al dan niet in coalitieverband,onverwijld en adequaat te reageren bij digitaleaanvallen door statelijke actoren en beschikt overoffensieve capaciteiten die een bijdrage leveren aanhet vermogen tot afschrikking.

• Nederland draagt bij aan het mitigeren van

cyberdreigingen afkomstig van criminele en statelijkeactoren, door te investeren in capaciteitsopbouw vande mondiale cybersecurity keten.

mAAtreGeleNo Nederland zal de toepassing van het internationaal

recht in cyberspace bestendigen, aanvullende normenstimuleren en vertrouwen tussen staten en anderepartijen creëren. Nederland zet in op het vergroten vande internationale coalitie die de visie van een open, vrijen veilig internet onderschrijft. Dat zal Nederland doendoor verdere interpretatie en toepassing van hetinternationaal recht in het digitale domein testimuleren, bijvoorbeeld op het gebied vanmensenrechten, humanitair recht en het kader voorbestrijding van cybercriminaliteit. En voor beschermingvan telecommunicatie en kritieke infrastructuren.Daarnaast worden vertrouwenwekkende maatregelentussen staten en verdere normontwikkelinggestimuleerd. De Global Commission on the Stability ofCyberspace heeft hier reeds een belangrijke bijdrage aangeleverd.

o Nederland ontwikkelt een breed strategisch kader tenbehoeve van respons op digitale aanvallen. Daarin zijnalle beschikbare instrumenten opgenomen, waaronder(publieke) attributie, afschrikking, inzet van offensievecapaciteiten en bredere respons in het cyberdomein.Daartoe versterkt Nederland onder andere dediplomatieke en politieke reactie op verstorende ofdestructieve cyberoperaties van statelijke actoren. Hetkader wordt opgevolgd met een geschiktinstrumentarium voor een diplomatieke respons. Ditsluit aan op het cyberdiplomatennetwerk en de toolboxvoor diplomatieke actie bij cyberincidenten, die doorde Europese Unie is ontwikkeld. Nederland speeldehierin een voorstrekkersrol.

2. Internationale vredeen veiligheid in hetdigitale domein


o Ter afschrikking van (potentiële) tegenstanders bouwtNederland de offensieve cybercapaciteiten bij dekrijgsmacht verder uit. Wij dragen zo ook bij aan hetontwikkelen en operationaliseren van hethandelingsvermogen in NAVO- en EU-verband in hetdigitale domein. Hetgeen ook dient ter ondersteuningvan militaire missies en operaties in het fysiekedomein.

o Nederland levert een intensieve bijdrage aan een vrij,open en veilig internet, en bevordert een adequatebescherming van mensenrechten online, onderandere door normontwikkeling. Dit zal mede vormkrijgen door de doorontwikkeling van de FreedomOnline Coalitie.

o Nederland versterkt de mondiale cybersecurity ketendoor het cybersecurity niveau van derde landen teverhogen en de digitale kloof tussen technologischmeer en minder ontwikkelde landen te verkleinen.Middels het Global Forum on Cyber Expertise (GFCE)worden strategische capaciteitsopbouw projectengefaciliteerd en wordt de internationale multi-stakeholder coalitie voor een open, vrij en veiliginternet verbreed.

Nederland loopt voorop in hetbevorderen van digitaal veilige hard- en software


Door de opmars van het Internet of Things worden steedsmeer apparaten aan het internet verbonden. In 2020gaat het naar verwachting om 20,4 miljard apparaten.Minstens 63% daarvan zullen consumentenapparatenzijn.4 De overige 37% betreft apparaten die doorbedrijven worden gebruikt en waarvan de impact (opeigen bedrijfsprocessen, maar ook verderop in de keten)bij verstoring of misbruik in potentie nog veel groter isdan bij particulier gebruik.

Het is belangrijk dat iedereen deze producten digitaalveilig en vertrouwd kan gebruiken, niet alleen voor deeigen digitale veiligheid, maar ook voor onzesamenleving als geheel. Door kwetsbaarheden in hard-en software van een apparaat, kunnen kwaadwillendepartijen zich daar namelijk eenvoudig toegang toeverschaffen, en via dat apparaat tot het netwerk waarhet deel van uitmaakt.

Gebruikers en aanbieders van digitale producten houdenvaak geen of onvoldoende rekening met de potentieelschadelijke effecten voor anderen, als gevolg van huneigen handelen. Met alle gevolgen van dien, zoals hetmisbruik van het apparaat voor DDoS-aanvallen, hetmanipuleren van de werking van het apparaat of dediefstal van informatie die erop is opgeslagen.

Digitale veiligheid van hard- en software komt nietvanzelf tot stand. Aanbieders van hard- en softwarelossen niet altijd alle digitale veiligheidsrisico’s op diemet hun processen en productie gepaard gaan.Gebruikers hebben nauwelijks middelen om een goedeinschatting te kunnen maken van het digitaleveiligheidsniveau van een apparaat dat aan het internetis verbonden. Zelfs als ze deze kennis wel hebben, blijfthet lastig om deze inschatting te kunnen maken. Het isvoor gebruikers bijvoorbeeld moeilijk om de

langetermijnimpact van hun beslissingen te overzien.Ook is er vaak specialistische kennis nodig om de digitaleveiligheid van het apparaat te kunnen doorgronden.Gebruikers moeten daarom door middel van het biedenvan instrumenten die inspelen op het gedrag vangebruikers, in staat worden gesteld (“empowered”worden) om de digitale veiligheid van hard- en softwarete kunnen doorgronden. Hierbij speelt onderzoek naarde effectiviteit van voorlichtingscampagnes op veiliggedrag van een gebruiker een belangrijke rol.

DoelStelliNGeN Om de digitale veiligheid van hard- en software tebevorderen is een samenhangende set van maatregelennodig om de digitale veiligheid op een gebalanceerdewijze te bevorderen, waarbij diverse partijen eenverantwoordelijkheid hebben. Daarom zet Nederland inop de (door)ontwikkeling en uitvoering van de RoadmapDigitaal Veilige Hard- en Software.5 Daarbij gelden devolgende doelstellingen:• Nederland zet in op het voorkomen van digitale

veiligheidsrisico’s in hard- en software door hetstimuleren van standaardisatie- encertificeringsinitiatieven en het versterken vantoezicht en handhaving.

• Nederland zet in op het detecteren van digitaleveiligheidsrisico’s, door het testen van digitaleproducten en het inzichtelijk maken van digitaleveiligheidsrisico’s.

• Nederland zet in op het mitigeren van digitaleveiligheidsrisico’s door het aansprakelijkheidsregime,en het versterken van het bewustzijn enhandelingsperspectief voor burgers en bedrijven.

• Nederland zet in op het realiseren van een set vanbasisbeginselen om de digitale veiligheid van hard- ensoftware te bevorderen.

4 https://www.gartner.com/newsroom/id/3598917.

5 Roadmap Digitaal Veilige Hard- en Software, ministerie van EZK 2018.

3. Digitaal veiligehard- en software


mAAtreGeleN o Standaarden en certificering leveren een belangrijke

bijdrage aan de digitale veiligheid van hard- ensoftware.

o Nederland dringt in de onderhandelingen in Brusselaan op snelle vaststelling van de Cyber Security Act (CSA),en een voortvarende ontwikkeling van een Europeesraamwerk Beveiligingscertificering voor ICT-productenen -diensten. Op korte termijn dringt het kabinet aanop verplichte certificering vast te stellen voorspecifieke productgroepen. Dat wil zeggen voorproducten waarmee het risico het grootst is ofwaarmee veel problemen zijn in de praktijk. Op delangere termijn moet door geleidelijke uitbreiding eenverplichte certificering of het voldoen aan een CE-markering voor alle met internet verbonden productengaan gelden.

o Daarnaast stimuleert Nederland de toepassing vaninternationale standaarden, samenwerkingsverbandenen raamwerken. Nederland wil proactief op relevanteEuropese en mondiale standaardisatie- en certificatie-initiatieven aansluiten via het standaardisatieplatformNEN. Ook gaat Nederland werk maken vanmultilaterale samenwerking rond Internet of Things-standaardisatie, onder meer via het Global Forum onCyber Expertise (GFCE).

o Het kabinet gaat met publieke en private partijen eenmonitor ontwikkelen met informatie over de digitaleveiligheid van digitale producten, met specifiekeaandacht voor Internet of Things-apparaten. Hierbijbetrekt het kabinet internationale ervaringen.

o Het kabinet gaat in gesprek met de aanbieders vaninternettoegang over hoe zij - analoog aan desuccesvolle aanpak van botnets - gaan bijdragen aande bestrijding van onveilige Internet of Things-apparaten. Het testen van producten is cruciaal omzekerheid te verkrijgen over de digitale veiligheiddaarvan. Er komt een pilot om aan de hand van diversesectorale use cases ervaring en kennis op te doen metwat een gedeeld testplatform kan bieden.

o Het ontwikkelen en marktrijp maken van innovatieveoplossingen kan een belangrijke bijdrage leveren aanhet digitaal veilig maken van hard- en software.Nederland zet in op het ontwikkelen van cybersecurityonderzoek via de NCSRA III (publicatie beoogd in 2018)

dat zich richt op het ontwikkelen en marktrijp makenvan innovatieve oplossingen. Ook lopen via detoepassing van het Small Business InnovationResearch (SBIR)6 verschillende tenders voor onderzoekdie bijdragen aan nieuwe innovatieve, digitaal veiligehard- en software. Daarnaast stimuleert het kabinetopen source encryptie door extra middelen hiervoorvrij te maken in het kader van de NCSRA III. Tot slotgaat het kabinet dialoogsessies organiseren overinnovatieve oplossingen om hard- en software digitaalveilig te houden of af te voeren. Zie ook dedoelstellingen onder ambitie 5.

o Aansprakelijkheid vormt een belangrijke financiëleprikkel voor aanbieders om hun hard- en softwareveilig te maken én te houden. Het kabinet is metstakeholders en wetenschappers in gesprek overaandachtspunten rond de aansprakelijkheid bij digitaalonveilige hard- en software, en over welkeverbeterpunten en oplossingen zij zien. Daarnaastneemt Nederland actief deel aan de expertgroep overaansprakelijkheid en nieuwe technologieën en betrektdaarbij de inbreng van Nederlandse stakeholders.Verder stelt Nederland in de onderhandelingen overhet ‘Richtlijnvoorstel digitale inhoud en digitalediensten’, voor om in alle gevallen een verplichting opte nemen veiligheidsupdates te verplichten als het gaatom software die is geleverd aan een consument.

o Met het stellen van minimumveiligheidseisen kunnenonveilige producten van de markt geweerd worden.Het kabinet onderzoekt welke minimaleveiligheidseisen kunnen worden gesteld aan apparatenvia de Europese Radio Equipment Directive.7

o Het kabinet gaat onderzoeken welke aanvullendemaatregelen nodig en gewenst zijn bij inkoop binnende Rijksoverheid, voor de digitale veiligheid van hard-en software.

o Toezicht en handhaving geven aanbieders een prikkelom zich aan weten regelgeving te houden. Hetkabinet organiseert een nationale dialoogsessie voortoezichthoudende instanties, om te bezien welke rol zijde komende periode kunnen spelen om de digitaleveiligheid van hard- en software te bevorderen,synergie te creëren tussen de verschillende acties vantoezichthouders en te kijken hoe samenwerking tussentoezichthouders kan worden verbeterd.

6 SBIR benut de creativiteit van ondernemers om maatschappelijke problemen op te lossen en daagt ondernemers uit om nieuwe producten te ontwikkelen en op de

markt te brengen, zie https://www.rvo.nl/subsidies-regelingen/sbir.

7 Kamerstuk 26643, nr. 467 en Kamerstuk 24095, nr. 415.


o Bewustwording en empowerment leveren eenbelangrijke bijdrage aan de digitale veiligheid vanhard- en software, onder meer omdat aanbiedershierdoor rekening kunnen houden met digitalekwetsbaarheden en gebruikers zich bewust zijn vanmogelijke risico’s. Als onderdeel van de cybersecuritybewustwordingscampagnes van veiliginternetten.nllanceert de overheid een of meer beleidsonder -steunende publiekscampagnes voor digitaal veiligehard- en software.

10 Kamerstuk 26643, nr. 467 en Kamerstuk 24095, nr. 415

Nederland beschikt over weerbaredigitale processen en een robuusteinfrastructuur


ICT is steeds meer verweven met de Nederlandsesamenleving. Een gevolg hiervan is dat bedrijven enoverheden via slimme toepassingen in toenemendemate datagedreven gaan functioneren. Organisaties zijnvaak niet meer in staat om alle taken zelf uit te voeren.Zij opereren in ketens. Ze zijn afhankelijk van andereorganisaties voor onder andere het leveren van degegevens of voor het uitvoeren of ondersteunen van hungegevensverwerking. Dat is niet zonder risico. Wanneerde gegevensuitwisseling met andere organisaties nietveilig en betrouwbaar verloopt, kan het bedrijfsprocesverstoord raken. Wanneer dit gebeurt in de ketens vanvitale aanbieders dan kan dit leiden tot verregaandeuitval, aantasting van de fysieke veiligheid enmaatschappelijke ontwrichting. Er kunnen problemenzijn met de fysieke infrastructuur of met de protocollenen de software voor de gegevensuitwisseling. Ten slottekan de partij die voorziet in diensten ten behoeve vangegevensverwerking, wegvallen of tekortschieten.

Vanwege het belang van de beschikbaarheid (ofcontinuïteit) van datacommunicatienetwerken wordenspecifieke eisen gesteld aan de aanbieders van zulkenetwerken, onder meer via de Telecommunicatiewet enhet wetsvoorstel voor de Cybersecuritywet (Csw).8 Diezijn erop gericht dat dergelijke aanbieders hun systemenen netwerken weerbaar maken tegen verschillendedreigingen en incidenten, waaronder die, welke kunnenleiden tot uitval van fysieke infrastructuur. Met de Cswontstaat daarnaast voor alle aanbieders van eenessentiële dienst en digitale dienstverleners deverplichting om passende technische en organisatorische

maatregelen te treffen. Op de invulling hiervan wordttoegezien door sectorale toezichthouders. Hiermeewordt het beveiligingsniveau van aanbieders verderverhoogd en ontstaat de mogelijkheid om stevig op tetreden tegen kwetsbare (niet passend beveiligde)informatiesystemen. De Csw vervangt en vult aan op dereeds in werking getreden Wet gegevensverwerking enmeldplicht cybersecurity (Wgmc), waarin onder meer al isgeregeld dat de NCSC de taak heeft om het Rijk en devitale aanbieders te adviseren over cybersecurity. Dezewet biedt ook de mogelijkheid om een vakminister teinformeren in die gevallen waar door een rijksorgaan ofvitale aanbieder niet adequaat wordt omgesprongenmet adviezen van het NCSC. De Nederlandse overheidvraagt van alle organisaties om adequaat te kunnenreageren wanneer de continuïteit van hundienstverlening in gevaar komt. Ook is het van belangdat verouderde soft- en hardware tijdig wordt vervangen(legacy-problematiek).

Voor effectieve en storingsvrije gegevensuitwisselingvereisen ook de software en protocollen voorwereldwijde gegevensuitwisseling aandacht enonderhoud. Vaak gaat het om zogenoemde vrijesoftware, die in de regel wordt ontwikkeld doorcommunities waarin vrijwilligers samenwerken. Daardoorontbreken vaak de capaciteiten of middelen vooronderhoud en/of professioneel onderzoek naar dekwaliteit ervan. Ook andere softwareontwikkelaarsgebruiken vrije software als bouwsteen voor hun werk,waardoor de afhankelijkheid van deze software verdertoeneemt.

8 De Cybersecuritywet vloeit voort uit de NIB-richtlijn en is in februari 2018 aangeboden aan de Tweede Kamer.

4.Weerbare digitaleprocessen en eenrobuuste infrastructuur


De kwaliteit van niet-vrije software en de veiligheid vanhardware-onderdelen is evenzeer belangrijk vooreffectieve en storingsvrije gegevensuitwisseling. Ditkomt aan de orde bij ambitie 3. Sommige populaireprotocollen voor gegevensuitwisseling via het internetzijn decennia oud en niet meer bestand tegenhedendaagse aanvallen. Verbeterde versies van oudeinternetstandaarden (zoals IPv6 of HTTPS) worden zeerlangzaam in gebruik genomen, waardoor de nadelen vanoude versies (IPv4 en HTTP) nog lang blijven spelen.

Bedrijven en overheden zijn voor hungegevensverwerking afhankelijk van andere organisaties,waaronder cloudleveranciers en hun klanten, overhedendie open data beschikbaar stellen encertificaatleveranciers die de integriteit vangegevensuitwisseling garanderen. Nederland streefternaar belangrijke (keten)afhankelijkheden tussenorganisaties inzichtelijk te krijgen, maar realiseert zichdat het onhaalbaar is om die altijd geheel in beeld tehebben. De Nederlandse overheid vraagt daarom vanalle organisaties dat ze adequaat kunnen reagerenwanneer de continuïteit van hun dienstverlening ingevaar komt. Het Digital Trust Centre in oprichting wil, insamenspraak met het NCSC, partijen, waaronder hetmidden- en kleinbedrijf, hierbij helpen, door hetbewustzijn te vergroten en handelingsperspectief tebieden. En daar waar organisaties gebruik willen makenvan de diensten van cybersecurity dienstverleners, is hetvan belang dat ook zij op professionele en integere wijzeomgaan met computernetwerken en gevoeligeinformatie. Veel Nederlandse organisaties zijnafhankelijk van een beperkt aantal buitenlandseaanbieders van digitale infrastructuurdiensten,waardoor de impact bij verstoring groot is.

Voorbeeld: HeartbleedHeartbleed was een kwetsbaarheid in deprogrammeerbibliotheek OpenSSL die in 2014 werdonthuld. De kwetsbaarheid was toen al twee jaar indeze veelgebruikte software aanwezig. Veelwebservers, VPNservers, mailservers en andereapplicaties maken gebruik van OpenSSL ombeveiligde verbindingen op te zetten. Ook andereapparaten kunnen OpenSSL gebruiken. Voorbeeldenzijn appliances, routers, WiFi-accesspoints en sommigeapplicaties op clientsystemen. Door misbruik te makenvan Heartbleed, konden aanvallers op afstand hetinterne geheugen van systemen uitlezen. Ditvoorbeeld onderstreept dat een kwetsbaarheid invrije software grote gevolgen kan hebben voor decybersecurity van bedrijfsleven, overheden enburgers.

DoelStelliNGeN• Alle relevante partijen worden betrokken bij het

waarborgen van de continuïteit en de digitaleweerbaarheid van vitale processen, waardoor deweerbaarheid van de gehele keten wordt versterkt.

• Nederland zet in op het versterken van de kwaliteitvan vrije software en de versnelde adoptie vanmoderne internetprotocollen en internetstandaarden.

• De Nederlandse overheid stimuleert een innovatiefcybersecurity klimaat waarin veilige ICT-productenen -diensten worden ontwikkeld en gebruikt.

mAAtreGeleNo Naast de bestaande verplichtingen voor

telecomaanbieders in de Telecommunicatiewet wordtmet het voorstel voor de Cybersecuritywet het aantalvitale aanbieders dat zorgen meldplichten krijgt, forsuitgebreid. Sectorale toezichthouders gaan toezien opde cybersecurity in sectoren in de vitale infrastructuurwaar dat tot nu toe niet gebeurde en krijgen daarvoorde instrumenten aangereikt.

o Deze toezichthouders ontwikkelen in aanvulling opbovenstaande met de vakdepartementen eenmethodiek voor het identificeren vanafhankelijkheidsrelaties van vitale aanbieders voorhun datagedreven bedrijfsprocessen.


o Onderzocht wordt of aanvullende (Europese ofinternationale) maatregelen nodig zijn om de impactbij verstoring van de dienstverlening van een beperktaantal buitenlandse aanbieders van digitaleinfrastructuur, waar veel Nederlandse organisatiesvan afhankelijk zijn, te beperken.

o Vrije software vervult een centrale rol in degegevensuitwisseling tussen organisaties. Hetministerie van EZK zal, in nauwe samenwerking methet NCSC, bezien hoe de gemeenschappen die vrijesoftware ontwikkelen en onderhouden kunnenworden ondersteund, om de kwaliteit daarvan teverbeteren.

o De overheid zorgt ervoor dat leveranciers moderneinternetprotocollen en internetstandaardentoepassen in hun producten en diensten, mede dooragendering in Europa.

o De overheid als launching customer hanteertcybersecurity vereisten bij de inkoop van

ICT-producten en -diensten en geeft hieroverdringend advies aan vitale aanbieders.

o Met private partijen wordt verkend hoe eencertificeringsstelsel ontwikkeld kan worden voorcybersecurity dienstverleners, zodat overheid enprivate partijen weten bij wie ze veilig dienstverleningaf kunnen nemen.

Nederland werpt door middel vancybersecurity succesvol barrières optegen cybercrime


probleemVerkeNNiNGCriminelen ontplooien op grote schaal hun activiteiten viainternet. Zo was 1 op de 9 personen in 2017 slachtoffervan cybercrime. Achter de term cybercrime gaat een grotevariëteit aan verschijningsvormen schuil van zowelklassieke criminaliteit in digitale vorm als nieuwecriminaliteit. Het gaat bijvoorbeeld om het hacken vancomputers om geld naar criminele bankrekeningen overte schrijven, of het ongemerkt aanzetten van camera’s enmicrofoons om mensen in hun eigen omgeving te kunnenbespioneren. Beroepscriminelen hebben het vooralgemunt op private organisaties en burgers voor dediefstal van gegevens die vervolgens kunnen wordendoorverkocht of gepubliceerd.

Bedreigingen voor de nationale veiligheid in het kadervan cybersecurity zijn vaak strafbare feiten gericht tegende digitale infrastructuur en daarmee verbondenapparaten. De aanpak van deze feiten richt zichvoornamelijk op nieuwe criminaliteit, of cybercrime in engezin. De aanpak van cybercrime richt zich op het voorkómenen bestrijden van strafbare feiten en het beperken vanslachtofferschap, daderschap en recidive. Daarbij gaat hetom zowel hightech crime als veel voorkomendecriminaliteit. Digitale opsporing is ook van belang voormeer klassieke strafbare feiten waarbij het internetsteeds vaker een hulpmiddel is, zoals drugshandel enfraude. Dergelijke criminaliteit valt buiten het kader vandeze strategie.

De versterking van cybersecurity en de aanpak vancybercrime worden in samenhang met elkaarvormgegeven. De verwevenheid is het sterkst op hetgebied van preventieve maatregelen.

Veilige hard- en software vormen een belangrijke barrièrein het voorkomen van digitale dreigingen. Wanneer doorkwetsbaarheden deze hard- en software wordt misbruikt,speelt dit cybercrime in de hand. De veiligheid hiervan is

van groot belang en hier zal samen met de aanbiedersvan hard- en software invulling aan gegeven moetenworden. Dit staat meer uitgebreid omschreven in ambitie3 van de NCSA. Dat geldt evenzeer voor het veiligegebruik van burgers en bedrijven van dergelijke hard- ensoftware. Dit staat ook beschreven in ambitie 6.

Hiernaast hebben het Team High Tech Crime van depolitie en het Landelijk Parket van het OpenbaarMinisterie de afgelopen jaren ruime ervaring opgedaanmet het tegengaan van geavanceerde dreigingen voornationale veiligheid. De door hen opgedane kennis enexpertise zal worden benut ten behoeve van de aanpakvan cybercrime. Cybercriminelen blijven hun werkwijzenontwikkelen. Daar moeten de bevoegdheden van politieen Justitie gelijke tred mee kunnen houden.

DoelStelliNGeN • Er zijn effectieve barrières die cybercriminelen

tegenhouden. • De versterking van cybersecurity en de aanpak van

cybercrime worden in samenhang met elkaarvormgegeven. Hiervoor is samenwerking van deoverheid met het bedrijfsleven, burgers enmaatschappelijke organisaties van groot belang.

• Voor cybersecurity is het van belang datopsporingsbevoegdheden gelijke tred houden met deontwikkelingen in de werkwijze van cybercriminelenzodat dreigingen voor de nationale veiligheidgeadresseerd kunnen worden.

mAAtreGeleNo Na aanvaarding in de Eerste Kamer wordt de wet

Computercriminaliteit III voortvarendgeïmplementeerd. Daarmee worden deopsporingsmogelijkheden van politie en Justitie vandigitale aanvallen, op bijvoorbeeld vitale sectoren,door criminelen versterkt. De wet wordt twee jaar nade inwerkingtreding geëvalueerd.

5. Succesvolle barrièrestegen cybercrime


o Er worden voorstellen ontwikkeld om burgers enbedrijven digitaal meer vaardig te maken zodatcybercriminelen minder kans maken. Zie ook dedoelstellingen en maatregelen bij ambitie 6.

o Het gebruik van veilige hard- en software wordtgestimuleerd om cybercrime te voorkomen. Zie ook dedoelstellingen en maatregelen bij ambitie 3.

integrale aanpak cybercrime Het opsporen van cybercriminelen en het verstorenvan hun verdienmodel draagt bij aan cybersecurity.De huidige aanpak van cybercrime richt zich op hetopsporen, vervolgen en verstoren van strafbarefeiten, preventie en het versterken van de wet- enregelgeving. Deze wordt voortgezet engeïntensiveerd. Daarnaast worden er nieuweelementen aan toegevoegd, zoals preventievemaatregelen voor potentiële daders en slachtoffers,een mogelijk andere vorm van ondersteuning vanslachtoffers, een aanpak van daders ter voorkomingvan recidive en kennisontwikkeling voorbeleidsvorming op de langere termijn.

Nederland is toonaangevend op het gebied van cybersecuritykennisontwikkeling


Kennis is in Nederland een groot goed. Onzemaatschappij is afhankelijk van het ontwikkelen entoepassen van kennis. Dit geldt in het bijzonder voor eendigitaal veilige maatschappij en daarom zijn ambities ophet gebied van kennisontwikkeling onmisbaar in deNCSA.

Er is urgentie geboden om hoogwaardige cybersecuritykennisontwikkeling in Nederland in stand te houden ente verdiepen. Het versterken van voldoende enhoogwaardige ontwikkeling van zowel fundamenteel alstoegepast cybersecurity onderzoek is hiervoor cruciaal.Cybersecurity kennisontwikkeling is nodig ommaatregelen te kunnen treffen tegen bestaande ennieuwe digitale dreigingen. Bovendien voorkomt eenhoogwaardige eigen autonome kennispositie een tegrote afhankelijkheid van cybersecurity expertise encybersecurity oplossingen uit andere landen.Cybersecurity kennisontwikkeling geldt niet alleen voorbètawetenschappen, maar ook voor alfa en gamma. Hetgaat om zowel gericht als interdisciplinair onderzoek,waarbij wordt gekeken naar oplossingen voor de korteen de lange termijn en. Het is hierbij van het grootstebelang dat wordt gekeken naar de gehele kennisketen.

Cybersecurity onderzoek in Nederland is van hoogniveau. Daarin wordt door meerdere partijen, zoalsuniversiteiten, hogescholen, NWO, bedrijven en ook hetRijk, geïnvesteerd. Opeenvolgende edities van deNationale Cyber Security Research Agenda (NCSRA)hebben de afgelopen jaren een belangrijk kadergevormd voor cybersecurity onderzoek. Door deinvesteringen in omringende landen in cybersecurityonderzoek, is het wenselijk dat er in Nederland een(meerjarige) impuls komt voor cybersecurity onderzoekom zo talent, en daarmee onze cybersecuritykennispositie, te behouden.

Daarnaast is er een groeiende vraag vanuit hetbedrijfsleven en overheden naar innovatieveoplossingen op cybersecurity vraagstukken en goedopgeleid personeel. Deze krapte op de arbeidsmarktleidt tot schaarse cybersecurity kennis bij organisatiesdie daardoor mogelijk onvoldoende weerbaar zijn tegendigitale dreigingen.

Het is evenzeer van belang dat ook burgers en bedrijvenhun kennis blijven ontwikkelen om zich te kunnenbeschermen tegen digitale dreigingen. Het in 2016 doorde ministeries van JenV, OCW, EZK en NWO opgerichtedcypher9 kreeg naast een opdracht op het gebied vancybersecurity onderzoek ook een cybersecurity hogeronderwijs opdracht mee. Het heeft het hoger onderwijsin Nederland in kaart gebracht, waardoor onderlingevergelijking van opleidingen en beoordeling vanvaardigheden mogelijk is van pas afgestudeerden dietoetreden tot de arbeidsmarkt. Een volgende essentiëlestap is een verschilanalyse van onderwijscurricula(aanbod) en behoefte aan goed opgeleid personeel(vraag). Europese samenwerking op dit terrein wordtnagestreefd. Voldoende doceercapaciteit (in allebetrokken disciplines) vergt bijzondere aandacht.

Digitale geletterdheid maakt inmiddels deel uit van hetcurriculum van het primair en voortgezet onderwijsmaar gelet op de risico’s voor (jonge) kinderen is hetnoodzakelijk dat het onderwijs hierop blijft vernieuwenen anticiperen. Samen met onderwijzers, leerlingen,ouders, het vervolgonderwijs en het beroepenveldwordt de afgesproken herziening van het curriculum(waarbij digitale geletterdheid één van de thema’s is)doorgezet. Deze curriculumherziening wordt vanaf 2019wettelijk verankerd.

9 Dcypher is het platform dat onderzoekers, docenten, producenten, gebruikers en beleidsmakers in Nederland verenigt om kennis en kunde over cybersecurity te verbeteren.

6.Cybersecuritykennisontwikkeling


Voor de huidige generaties blijft een inhaalslag nodig.Uit onderzoek10 blijkt dat burgers en bedrijven zich nogonvoldoende bewust zijn van de gevaren van digitaalhandelen en de maatregelen die ze kunnen nemen omte voorkomen dat zij slachtoffer worden in het digitaaldomein. In de afgelopen jaren hebben het bedrijfslevenen de overheid al stevig ingezet op bewustwordingonder het algemeen publiek en kleinere bedrijven vandigitale dreigingen, en zijn handelingsperspectievenaangereikt, onder meer via veiliginternetten.nl en AlertOnline maar ook via campagnes alsmaakhetzeniettemakkelijk.nl (‘boefproof’) ofveiligbankieren.nl (‘hang op, klik weg’). De effecten van deverschillende inspanningen kunnen worden verbeterddoor meer publiek-private samenwerking ensamenhang aan te brengen in communicatiecampagnesin het publieke domein. Dit geldt ook voor deinspanningen van werkgevers om hun werknemersdigitaal vaardig te maken en up-to-date te houden.Daarbij is het noodzakelijk om zowel ten behoeve vanburgers als kleinere bedrijven een handreiking teontwikkelen met basisveiligheidsmaatregelen. Deze setvan veiligheidsmaatregelen biedt geen beschermingtegen alle denkbare digitale dreigingen, maar is eenbelangrijke stap waarmee burgers en kleine bedrijvenhun digitale vaardigheden verder kunnen ontwikkelen.

DoelStelliNGeN • Nederland verricht hoogwaardig cybersecurity

onderzoek.• Nederland beschikt over een meerjarig

kennisontwikkelingsprogramma waarbinnen dewetenschap hoogwaardige kennis ontwikkelt envergroot, en er voldoende wetenschappersbeschikbaar zijn om een eigenstandige kennispositieop cybersecurity te verwerven.

• Burgers en bedrijven zijn in staat en zien het belangom veel voorkomende digitale dreigingen het hoofdte bieden en meer weerbaar te zijn tegen cybercrime.

mAAtreGeleN o Nederland zal structureel investeren in fundamenteel

en toegepast cybersecurity onderzoek. Dit zal in eenmeerjarige publiek-private aanpak wordenvormgegeven, als impuls voor hoogwaardigecybersecurity kennisontwikkeling. Hiertoe wordtverkend hoe verschillende initiatieven, trajecten eninstrumenten met betrekking tot cybersecurityonderzoek beter op elkaar aan kunnen sluiten. Hierinzal de motie Verhoeven/Rutte11 worden meegenomen.Vooruitlopend op de verkenning zal een eerstefinanciële impuls worden georganiseerd ten behoevevan cybersecurity onderzoek.

o Digitale vaardigheden, waaronder mediawijsheid encybersecurity, zijn nadrukkelijk aandachtspunten in deintegrale curriculumherziening in het primair envoortgezet onderwijs. In 2018 zullen hiervoorvoorstellen worden ontwikkeld, die vanaf 2019 inwet- en regelgeving uitgewerkt zullen worden.Scholen worden door Kennisnet (dat wordtgefinancierd door het ministerie van OCW)ondersteund om hierop te anticiperen.

o De overheid stimuleert het bedrijfsleven enmaatschappelijke organisaties om de digitalevaardigheden van burgers en werknemers verder teontwikkelen, en zorgt voor continuïteit en samenhangtussen verschillende bewustwordingscampagnes omhet effect daarvan te vergroten. Daarbij wordtrekening gehouden met de meest recentegedragswetenschappelijke inzichten.

10 Nationaal cybersecurity bewustzijnsonderzoek 2017, Alert Online en HM Government et. al. A call to action: The Cyber Aware perception gap, 2018.

11 De motie Verhoeven/Rutte verzoekt de regering de mogelijkheid te onderzoeken om een instituut voor onderzoek op het gebied van cybersecurity op te richten

(Kamerstukken II, 2017/18, 34 775 VI, nr. 68).


Nederland beschikt over eenintegrale, publiek-privateaanpak van cybersecurity


Afgelopen jaren zijn vanuit publieke, private en depubliek-private sectoren diverse initiatieven genomenom cybersecurity in Nederland te versterken. Om dierichting te bewaken is regie nodig op de koers en op desnelheid van de aanpak. Die regie kan en moet stevigeren die ligt nadrukkelijk bij de overheid. De NCTV neemtals coördinator het voortouw om de versterking opcybersecurity op samenhangende wijze en inverbondenheid met alle betrokken partijen (overheid,bedrijfsleven, wetenschap, maatschappelijkmiddenveld) stevig vorm te geven. Tegelijkertijd geldtdat de overheid dit niet alleen kan doen. Voor een veiligklimaat in het digitale domein mag en moet van allepartijen verwacht worden dat zij hunverantwoordelijkheid nemen en hun bijdrage leverenom Nederland samen digitaal veilig te maken en tehouden. De aanpak kan alleen succesvol zijn als zij innauwe publiek-private samenwerking wordtvormgegeven, doorontwikkeld en geëvalueerd. Detoenemende complexiteit en breedte van hetcyberdomein vragen om continue verheldering van dierolverdeling en de verantwoordelijkheden. Het is daarbijzaak om de succesvolle marktinitiatieven ook in beeld tekrijgen en aan deze agenda te verbinden. Zo iscybersecurity opgenomen in de corporate governance codeen als zodanig onderwerp van audits en reviews. Ookaan private kant moet er meer in samenhang gewerkt(gaan) worden aan de integrale Nederlandsecybersecurity aanpak.

Het belang van informatiebeveiliging en cybersecuritybij de overheid neemt toe, doordat burgers en bedrijvende dienstverlening bij de overheid steeds meer digitaalafnemen. Uitval, sabotage of verstoring van de digitaledienstverlening zal daarom direct leiden tot aantastingvan vitale dienstverleningsprocessen. Om de digitaledienstverlening door overheden aan burgers enbedrijven te optimaliseren en hoogwaardige

dienstverlening te kunnen garanderen, is het zaak dathet openbaar bestuur blijvend investeert ininformatiebeveiliging en cybersecurity. Het borgen vande beschikbaarheid en de continuïteit vandienstverlening hebben daarbij prioriteit. Digitaliseringheeft naast dienstverlening ook een impact op depublieke waarden en de mensenrechten en dewaarborging hiervan in de informatiesamenleving.Naast veilige dienstverlening aan burgers en bedrijven ishet ook noodzakelijk de eigen informatiebeveiliging vande overheid op orde te hebben en te houden, enweerbaar te zijn tegen digitale aanvallen. In de bredeagenda Digitale Overheid (BZK) wordt nader ingegaanop onder meer deze onderwerpen, alsook op demaatregelen om als overheid interbestuurlijk verder inte zetten op informatiebeveiliging en cybersecurity.

DoelStelliNGeN • De regierol van de overheid op de integrale aanpak

van cybersecurity wordt versterkt. • Nederlandse bedrijven, burgers en

overheidsorganisaties geven invulling aan hunverantwoordelijkheden, rechten en plichten tenaanzien van cybersecurity.

• Voor informatiebeveiliging van de digitale overheidbestaat een samenhangend pakket van maatregelen,ter verhoging van de informatiebeveiliging van dedigitale basisinfrastructuur, het verder uniformerenen harmoniseren van normenkaders opinformatiebeveiliging, waaronder de totstandkomingen implementatie van een BaselineInformatiebeveiliging Overheid. Hierbij is aandachtvoor het terugbrengen van de administratieve lastenvoor gemeenten op informatiebeveiliging en hetbundelen van audits en assessments in éénverantwoordingstraject. Verankering vaninformatiebeveiliging en cybersecurity in de WetDigitale Overheid is hier onderdeel van.

7. Publiek-private aanpakvan cybersecurity


mAAtreGeleN o De versterkte regie op de integrale aanpak is belegd

bij de NCTV.o Er komt een cybersecurity alliantie, die publieke en

private partijen verbindt om de maatregelen uit deNCSA vorm te geven.

o De voortgang van de cybersecurity aanpak zal ondercoördinatie van de NCTV en in samenwerking met allebetrokken partijen worden gemonitord en waar nodigworden herijkt aan de hand van technologische enmaatschappelijke ontwikkelingen. In 2021 wordt deuitvoering van de agenda integraal geëvalueerd.

o De samenwerking tussen overheid en bedrijfslevenwordt versterkt door de inrichting van het landelijkdekkend stelsel van cybersecuritysamenwerkingsverbanden. Het groot-helpt-kleinprincipe wordt hierin geoperationaliseerd. Er is ruimtevoor verschillende modaliteiten in publiek-privatesamenwerking.

o Een samenhangend pakket van maatregelen voorinformatiebeveiliging en cybersecurity in hetopenbaar bestuur wordt geadresseerd in de bredeagenda Digitale Overheid. De sturing hierop vindtplaats vanuit het Overheidsbrede BeleidsoverlegDigitale Overheid (OBDO).

Deze publicatie is een uitgave van de NCtV namens de rijksoverheid. [email protected]

Nederlandse Cybersecurity Agenda - Rijksoverheid.nl · Cybersecurity Agenda een cruciale stap naar...

Documents

Transcript of Nederlandse Cybersecurity Agenda - Rijksoverheid.nl · Cybersecurity Agenda een cruciale stap naar...