‘Nederland geeft niet genoeg uit aan cyberbeveiliging’

Volgens een rapport van NCTV heeft de Nederlandse overheid de juiste visie op cyberbeveiliging, maar zet in de praktijk niet genoeg middelen in.

Patricia Zorko, directeur Cyber Security van de NCTV. Foto Koen van Weel/ANP

De Nederlandse overheid heeft de juiste visie op digitale veiligheid, maar zet in de praktijk vaak niet genoeg middelen in om plannen ook te verwezenlijken. Dat staat in een rapport van het Potomac Institute for Policy Studies dat op dinsdag wordt aangeboden aan Patricia Zorko, directeur Cyber Security van de Nationaal Coordinator Terrorismebestrijding en Veiligheid (NCTV). Op het moment geeft Nederland minder dan 0,01 procent van het bruto binnenlands product uit aan cyberveiligheid, veel minder dan landen als Duitsland en het Verenigd Koninkrijk.

Er moet een “omslag in de mentaliteit komen”, aldus het rapport. Momenteel is Nederland zich bewust van de risico’s van nieuwe ontwikkelingen op het gebied van ICT, maar wordt er niet structureel geld en mankracht ingezet om het risico op cyberaanvallen te verminderen.

Ook wordt er in het rapport gewaarschuwd voor de huidige structuur van cyberbeveiligingsinstanties in Nederland. Er is momenteel geen overkoepelende autoriteit die op alle twintig instanties toezicht houdt, wat tot problemen kan leiden. Er moet bovendien meer samen worden gewerkt tussen civiele en militaire instanties.

Cybergereedheid

Nederland scoort op alle vlakken van de zogenoemde Cyber Readiness Index nog niet hoog genoeg om de classificatie ‘Cyber Ready’ te bereiken. Het gaat betrekkelijk goed met de digitale crisisbestendigheid, maar er kan nog veel gewonnen worden als er bijvoorbeeld stappen worden gezet om de manier waarop informatie gedeeld wordt te verbeteren.

Lees het artikel over de Diginotar-hack uit 2011: Donner: enkele overheidssites niet meer te vertrouwen

Ook op het gebied van de nationale strategie kan er nog veel beter. Dat heeft vooral te maken met de manier waarop de Nederlandse overheid haar visie in daden omzet. Het rapport wijst er onder andere op dat de overheid pas na de aanval op overheidsleverancier Diginotar in 2011 een eigen cyberveiligheidscentrum in het leven riep.

“De Nederlandse overheid heeft gezegd dat digitale veiligheid prioriteit heeft, maar geeft weinig geld uit aan de instanties die in het leven zijn geroepen om het beleid uit te voeren. In 2015 investeerde de overheid slechts 28 miljoen euro in digitale veiligheid voor civiele, militaire en politie-instanties.”

Van dat geld ging het leeuwendeel naar de Nationale Politie, zo’n 13,8 miljoen euro. In 2018 wordt een nieuwe cyberveiligheidsstrategie gepubliceerd.

Op andere gebieden, zoals respons op incidenten en de aanpak van online criminaliteit bevindt Nederland zich op het juiste pad, maar moeten er nog verdere stappen worden gezet. Zo moet de Nederlandse bevolking beter worden geïnformeerd over digitale dreigingen en moet er meer informatie worden verzameld over de exacte kosten van cybermisdaden.

“De Nederlandse overheid heeft een geweldige kans om zijn ambities te koppelen aan de kennis die binnen Nederland bestaat en zo cybercriminaliteit te lijf te gaan. Zo kan de overheid het vertrouwen in de digitale economie verbeteren en innovatie versnellen.”

Momenteel is er nog geen enkel land dat op elk vlak voorbereid is op digitale bedreigingen, concludeerde het Potomac Institute for Policy Studies.