Grapperhaus werkt aan nieuwe wet zodat NCSC eerder dreigingsinformatie kan delen

Glasvezelkabels die aangesloten zijn op een server in een datacenter

Minister van Justitie en Veiligheid Ferd Grapperhaus vindt het belangrijk dat het Nationaal Cyber Security Centrum (NCSC) in staat is om informatie over cyberaanvallen en -dreigingen ook met bedrijven uit de niet-vitale sector te delen. Het zo breed mogelijk delen van deze dreigingsinformatie is van groot belang voor de Nederlandse veiligheid en weerbaarheid. Een nieuwe wet die dit moet regelen wil de minister aankomende zomer in consultatie brengen.

Dat schrijft minister Grapperhaus in een brief aan de Tweede Kamer.

NCSC mag geen dreigingsinformatie met niet-vitale bedrijven delen

Het NCSC is een adviesorgaan dat in 2012 in het leven is geroepen door toenmalig minister van Justitie en Veiligheid Ivo Opstelten. De taak van de instantie is om organisaties die onderdeel uitmaken van de overheid en bedrijven die actief zijn in de vitale infrastructuur te informeren en adviseren over digitale dreigingen, en het bewustzijn over de gevaren van cyberaanvallen te verhogen.

Op papier klinkt dat heel mooi, maar in praktijk werkt het niet altijd zoals bedoeld. De Wet beveiliging netwerk- en informatiesystemen (Wbni) bepaalt namelijk dat het NCSC alleen de Rijksoverheid en bedrijven uit de vitale sector -zoals financiële instellingen en telecombedrijven- over ransomware-aanvallen en andere cyberdreigingen mag inlichten. Door deze beperking wisten meer dan 900 Nederlandse bedrijven afgelopen jaar niet dat de gebruikersnamen en wachtwoorden van hun computersystemen online stonden. Een hacker wist deze te bemachtigen door een lek in de VPN-software van Pulse Secure.

Beveiligingsdeskundigen stelden dat de nationale veiligheid van ons land gevaar loopt door deze beperking in de Wbni. “Er liggen nu allerlei wachtwoorden van medewerkers op straat, terwijl dat voorkomen had kunnen worden. Ik snap dat het NCSC prioriteiten moet stellen, maar dat is geen argument om bij ernstige kwetsbaarheden niets te doen”, zo zei securityexpert Matthijs Koot destijds.

CSR vraagt om ‘spoedreparatie’ om wetswijziging sneller te implementeren

Vorige maand schreef minister Grapperhaus in een brief aan de Tweede Kamer dat een optimale uitwisseling van informatie over digitale dreigingen, kwetsbaarheden en incidenten tussen de overheid, vitale en niet-vitale organisaties van groot belang is. Om dat te realiseren werkt hij aan een Landelijk Dekkend Stelsel (LDS). Dat is een platform  waar informatie over cyberdreigingen kan worden uitgewisseld tussen de Rijksoverheid, commerciële bedrijven en organisaties die in de vitale infrastructuur werkzaam zijn.

Het LDS is nog altijd in aanbouw. De Cyber Security Raad (CSR) steunt het voorstel van minister Grapperhaus, maar vreest dat het nog minimaal twee jaar duurt voordat het plan daadwerkelijk gerealiseerd is. In een open brief vroeg de organisatie aan de minister om te onderzoeken of de wetswijziging niet via een ‘spoedreparatie’ versneld kan worden.

“Gezien de urgentie van de vorming van het LDS is de raad verder van oordeel dat niet kan worden gewacht met het delen van de incident informatie met de OKTT’s [Organisaties die Kenbaar Tot Taak, red.] totdat de gehele wetswijzigingsprocedure doorlopen is. Er is alle aanleiding de Wbni toe te passen zoals deze is bedoeld”, aldus de CSR.

Grapperhaus werkt aan wetsvoorstel voor ruimere bevoegdheden NCSC

Voor Tweede Kamerlid Dilan Yesilgöz-Zegerius (VVD) was dit aanleiding om begin maart schriftelijk vragen te stellen aan minister Grapperhaus. In een gedetailleerde brief beantwoordt de minister deze vragen. Grapperhaus erkent dat het NCSC op dit moment nog geen dreigingsinformatie met niet-vitale bedrijven mag delen en dat dit een onwenselijke situatie is. Hij deelt de zorgen van de CSR dat dit een gevaar vormt voor de digitale veiligheid en weerbaarheid van Nederland. Hij zegt dat hij werkt aan een wetsvoorstel “om ervoor te zorgen dat meer van de hiervoor genoemde gegevens bij die andere aanbieders terecht kunnen komen”.

In het wetsvoorstel is een belangrijke rol weggelegd voor Organisaties die Kenbaar Tot Taak (OKTT’s). Zij fungeren als schakelorganisaties of tussenpersoon tussen publieke organisaties en niet-vitale organisaties om relevante dreigings- en incidenteninformatie door te geven. Verder staat er in het wetsvoorstel dat het NCSC ‘in bijzondere gevallen’ dreigingsinformatie aan individuele organisaties kan verstrekken die geen overheidsinstanties zijn of tot de vitale infrastructuur behoren. Daarvoor is een aanpassing van de Wbni nodig.

Minister Grapperhaus wil het wetsvoorstel om meer dreigings- en incidentinformatie met niet-vitale organisaties te delen deze zomer in consultatie brengen. Op korte termijn kunnen ondernemers een beroep doen op het Digital Trust Center (DTC). Deze instantie verstrekt informatie, adviezen en tools aan niet-vitale bedrijven om hun informatiebeveiliging op orde te brengen. Daarnaast kunnen niet-vitale organisaties voor beveiligingsadviezen ook terecht bij het NCSC. Tot slot kunnen zij een computercrisisteam in het leven roepen, of zich aansluiten bij een schakelorganisatie of OKTT om dreigingsinformatie van het NCSC te ontvangen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen