Het plan om dreigingsinformatie te delen met bedrijven die niet actief zijn in de vitale sector, is een stap dichterbij. Het Digital Trust Center (DTC) start in het derde kwartaal van dit jaar een nieuwe informatiedienst die zich hiermee gaat bezighouden. De dienst gaat nauw samenwerken met het Nationaal Cyber Security Centrum (NCSC).
Dat schrijft demissionair staatssecretaris van Economische Zaken en Klimaat Mona Keijzer in een voortgangsbrief aan de Tweede Kamer.
Waarschuwen voor cyberdreigingen niet altijd toegestaan
Vandaag de dag verwerken bedrijven steeds meer persoonsgegevens en andere privacygevoelige informatie. Cybersecurity en informatiebeveiliging maken om die reden een steeds belangrijker onderdeel uit van de dagelijkse werkzaamheden. Ondernemers willen immers niet dat concurrentiegevoelige data en gegevens van hun klanten in de verkeerde handen belanden. Voor hen is het daarom belangrijk dat ze op de hoogte zijn van de meest recente digitale dreigingen.
Om dat doel te realiseren, heeft de overheid allerlei instanties in het leven geroepen. Het NCSC en DTC hebben als taak om algemene beveiligingsadviezen te verstrekken, het bewustzijn over de gevaren van cyberaanvallen te vergroten en organisaties te waarschuwen voor concrete cyberdreigingen.
De laatstgenoemde doelstelling levert in praktijk meer dan eens problemen op. De Wet beveiliging netwerk- en informatiesystemen (Wbni) bepaalt namelijk dat het NCSC alleen de Rijksoverheid en bedrijven uit de vitale sector over ransomware-aanvallen en andere cyberdreigingen mag inlichten, zoals banken en telecombedrijven. Meer dan 900 Nederlandse bedrijven wisten hierdoor niet dat gebruikersnamen en wachtwoorden van hun computersystemen online stonden.
Concept wetsvoorstel over taakuitbreiding DTC deze zomer in consultatie
De huidige wetgeving schiet tekort als het gaat om het informeren van gedupeerde bedrijven. Via een open brief wees de Cyber Security Raad (CSR) het kabinet daar in februari op. De instantie steunt het plan van demissionair minister van Justitie en Veiligheid Ferd Grapperhaus om een Landelijk Dekkend Stelsel (LDS) in het leven te roepen om uitwisseling van dreigingsinformatie tussen vitale en niet-vitale beroepen te faciliteren. De CSR vreesde echter dat de realisatie van het plan enkele jaren in beslag neemt. Om ervoor te zorgen dat er geen kostbare tijd verloren gaat en onnodig slachtoffers vallen, pleitte de organisatie voor een ‘spoedreparatie’ in de huidige wetgeving.
Grapperhaus’ collega staatssecretaris Keijzer erkent dat de roep om informatie te delen met niet-vitale bedrijven nog altijd groot is. Het DTC kan volgens hier een belangrijke rol in spelen. “Vanwege toenemende dreigingen, dat onderstreept wordt door de bovengenoemde druk, is er een dringend belang om verdere stappen te zetten om ondernemend Nederland te informeren over specifieke digitale dreigingen en kwetsbaarheden. Dit vraagt een verdere inbedding van het DTC”, aldus de staatssecretaris van Economische Zaken en Klimaat.
Naast algemene informatie zou het DTC ook specifieke dreigingsinformatie moeten kunnen delen met het bedrijfsleven. Dat wil Keijzer vastleggen in een wetsvoorstel. Ze wil het concept wetsvoorstel deze zomer in consultatie brengen. Dat betekent dat alle Nederlanders via de website internetconsultatie.nl hun mening mogen geven over het wetsvoorstel.
DTC lanceert informatiedienst in derde kwartaal
In de tussentijd wil staatssecretaris Keijzer niet op haar handen zitten. Ze wil nu al de eerste stappen zetten om dreigingsinformatie te delen met niet-vitale bedrijven en organisaties. “Het belang van het waarschuwen van een individueel bedrijf voor een specifieke dreiging met grote impact en grote mogelijk schade weegt daarbij zwaar”, schrijft ze aan de Tweede Kamer. Daarvoor ziet ze nu al kansen.
Om specifieke kwetsbaarheids- en dreigingsinformatie te delen met niet-vitale Nederlandse bedrijven, start het Digital Trust Center in het derde kwartaal de Informatiedienst DTC. Daarbij gaat de dienst nauw samenwerken met het NCSC, maar ook met andere partijen zoals het Anti-Abuse Netwerk (AAN). “Bij het aangaan van een samenwerking wordt onder meer gekeken naar de betrouwbaarheid van de organisatie en de informatie, en worden passende afspraken gemaakt”, schrijft Keijzer.
Om de transparantie te garanderen, opereert de informatiedienst binnen de kaders en normen die momenteel gangbaar zijn bij de Rijksoverheid, waaronder Baseline Informatiebeveiliging Overheid (BIO).
OKTT aanwijzing
Tot slot zegt staatssecretaris Keijzer dat ze werkt aan de formulering van de randvoorwaarden wanneer een organisatie zich een OKTT mag noemen. ‘OKTT’ staat voor Organisatie die Kenbaar Tot Taak. Dit zijn partijen die als schakelorganisatie of tussenpersoon dienen om relevante dreigings- en incidenteninformatie uit te wisselen tussen publieke en niet-vitale organisaties. Keijzer verwacht dat dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het NCSC in het derde kwartaal OKTT’s kunnen aanwijzen.
