Het kabinet onthult de nieuwe Nederlandse cybersecuritystrategie. De strategie biedt een overzicht van de initiatieven die de overheid tussen nu en 2028 neemt om de cyberweerbaarheid van inwoners, bedrijven en overheidsinstellingen te verbeteren.

De Nederlandse overheid werkt sinds 2011 met een kabinetsbrede cybersecuritystrategie. Het plan geeft een beeld van de initiatieven die de overheid neemt om de landelijke cybersecurity te verbeteren. De strategie werd twee keer eerder vernieuwd: in 2013 en in 2018. Inmiddels is de derde vernieuwing bekend.

Het nieuwe document maakt duidelijk hoe het kabinet de cyberweerbaarheid van inwoners, bedrijven en overheidsinstellingen tussen nu en 2028 aanpakt. Alle Nederlandse ministeries werken samen aan het plan. De strategie is in vier pijlers verdeeld. Elke pijler beschrijft een of meerdere doelen, evenals de initiatieven die het kabinet neemt om de doelen te bereiken. In dit artikel vatten we de pijlers samen.

1. Digitale weerbaarheid

De eerste pijler draait om de digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties. Het kabinet wil dat organisaties zicht hebben op cyberincidenten, -dreigingen en -risico’s, en weten hoe zij hiermee om moeten gaan.

Om dat te realiseren creëert het kabinet een enkele instelling waar organisaties kunnen aankloppen voor advies en ondersteuning. Securityinstellingen NCSC, DTC en CSIRT-DSP worden samengevoegd. We verduidelijkten de fusie in een eerder artikel.

Daarnaast werkt het kabinet aan een overheidsplatform voor dreigingsinformatie (threat intelligence). De eerste stappen worden in 2022 en 2023 gezet, maar de releasedatum van het platform is onbekend. Het kabinet wil de publieke en private sector bij het project betrekken.

Ook benadrukt het kabinet dat de NIB2-meldplicht voor cyberincidenten van 200 organisaties naar 5.000 organisaties wordt uitgebreid. We verduidelijkten het plan in een eerder artikel. Naar verwachting is de uitbreiding in 2024 rond.

2. Veilige digitale producten en diensten

De tweede pijler draait om de veiligheid van digitale producten en diensten. Het kabinet wil meer veiligheid onder de producten en diensten die Nederlandse organisaties ontwikkelen en gebruiken.

Om dat doel te bereiken spreekt het kabinet steun uit voor de Cyber Resilience Act. De Europese Commissie introduceerde het wetsvoorstel in 2022. Fabrikanten van producten worden wettelijk verplicht om kwetsbaarheden op te lossen, patches te leveren en veiligheidsmaatregelen te nemen. Het kabinet is van plan om voor het wetsvoorstel stemmen en de regels in de komende jaren in de Nederlandse wet te verwerken.

Daarnaast wil het kabinet hogere eisen stellen aan de inkoop van software en hardware voor overheidsinstellingen. Door een checklist van de eisen beschikbaar te maken hoopt het kabinet leveranciers te motiveren om aan de eisen te voldoen, met veiligere IT-producten als gevolg.

3. Tegengaan van digitale dreigingen

De derde pijler draait om het tegengaan van digitale dreigingen van staten en criminelen. Het kabinet wil meer zicht en grip op digitale dreigingen van overheden en hackers.

Om dat te realiseren investeert het kabinet tussen 2022 en 2026 “fors” in de onderzoekscapaciteit van inlichtingendiensten. De hoogte van de investeringen werd niet vermeld. “Hierdoor ontstaat breder zicht in huidige
en voorstelbare digitale dreiging”, beschreef het kabinet. Verdere details zijn onbekend.

Daarnaast liet het kabinet weten dat de politie en het Openbaar Ministerie tussen 2023 en 2026 ‘niet-strafrechtelijke’ methodes ontwikkelen om cybercrime als ransomware aan te pakken. Naar verwachting zoekt het kabinet naar manieren om cybercriminelen sneller aan te pakken dan de huidige wetgeving toestaat.

4. Arbeidsmarkt, onderwijs en burgers

De vierde pijler draait om het stimuleren van de arbeidsmarkt voor cybersecurity, het onderwijs van securityprofessionals en de digitale weerbaarheid van burgers. Het kabinet wil dat de Nederlandse arbeidsmarkt voldoet aan de toenemende vraag naar securityprofessionals. Daarnaast wil het kabinet dat burgers adequaat reageren op cyberincidenten en goed beschermd zijn tegen digitale risico’s.

Om die doelen te bereiken werkt het kabinet tussen 2022 en 2026 samen met onderwijsinstellingen om de security-expertise van werknemers te vergroten via bij- en omscholingsprogramma’s. Daarnaast investeert het kabinet tussen 2023 en 2029 in hbo-opleidingen in de bètatechniek, waaronder cybersecurity.

Verder heeft Stichting Leerplan Ontwikkeling (SLO) de opdracht gekregen om een securitycurriculum te ontwikkelen voor basisscholen en middelbare scholen. Naar verwachting wordt het curriculum in 2025 via een wetsvoorstel aan de Tweede Kamer voorgelegd.

Tot slot maakt het kabinet tussen 2022 en 2024 meerdere informatiepunten beschikbaar voor burgers en midden- en kleinbedrijven. “De Informatiepunten Digitale Overheid worden gefaciliteerd om hulpvragen van burgers te beantwoorden en waar nodig door te verwijzen naar bestaande steunpunten en informatieloketten”, aldus het kabinet.

Actieplan

De details van de nieuwe Nederlandse cybersecuritystrategie zijn in twee documenten gepubliceerd: de strategie en het actieplan. De strategie biedt een samenvatting van de doelen en initiatieven voor de komende jaren. Het actieplan gaat dieper in op de inhoud van de initiatieven, verantwoordelijke partijen en verwachte doorlooptijd. De data in dit artikel zijn afkomstig uit het actieplan van 2022. De daadwerkelijke doorlooptijd kan afwijken.