Het nieuwe kabinet moet meer doen om Nederland digitaal veiliger te maken. Dit schrijft de Cyber Security Raad (hierna de raad) in een brief aan de informateur. De raad waarschuwt dat de huidige inspanningen en investeringen voor cybersecurity niet genoeg zijn om de groeiende digitale dreigingen vanuit statelijke actoren en cybercriminelen het hoofd te bieden. Dit raakt onze nationale veiligheid en zet onze vrijheid, democratie en welvaart steeds meer onder druk.
Het jaarlijkse Cybersecuritybeeld Nederland (CSBN) laat zien dat cyberrisico´s steeds meer toenemen. Recente waarschuwingen vanuit de NAVO over fysieke dreigingen, gelden evengoed voor risico’s in onze digitale infrastructuur en processen. De opkomst van generatieve artificiële intelligentie (AI) levert, naast mogelijkheden voor geautomatiseerde beveiliging, ook grote nieuwe risico’s op. Digitale aanvallen worden op nog grotere schaal mogelijk en phishing-aanvallen worden steeds realistischer en daardoor kansrijker.
Extra inspanning en investeringen nodig
In zijn brief aan de informateur pleit de raad voor stevige centrale regie vanuit de overheid, gezamenlijk optrekken met het bedrijfsleven en de wetenschap, en meer vaart in de uitvoering van de Nederlandse Cybersecuritystrategie (NLCS). De raad schat in dat jaarlijkse investeringen vanuit het nieuwe kabinet nodig zijn van 200 miljoen euro in 2024, oplopend tot 550 miljoen in 2028 en daarna.
”Cybersecurity is een absolute voorwaarde om Nederland draaiend en veilig te houden”, zegt Theo Henrar, covoorzitter van de raad en voorzitter van ondernemersorganisatie FME. “Ons land is één van de meest gedigitaliseerde landen en daardoor extra kwetsbaar. Dat geldt voor de gehele digitale infrastructuur, van de procesindustrie, waterkeringen, de energiesector en ziekenhuizen, tot het midden- en kleinbedrijf. De gespannen geopolitieke situatie brengt reële digitale dreigingen met zich mee en intussen neemt ook de cybercriminaliteit steeds verder toe. Een strakke regie is noodzakelijk om Nederland digitaal veilig te houden.”
Hoge prijs
De afgelopen jaren zijn veel goede stappen gezet voor meer digitale veiligheid, met de NLCS als belangrijke basis, maar er is nog meer inspanning nodig, ook gezien de internationale samenhang en invoering van nieuwe EU-regelgeving zoals de NIS2-richtlijn.
”Voor bedrijven staat cybersecurity inmiddels in de top 3 van bedrijfsrisico’s. Ook het nieuwe kabinet moet onomwonden inzetten op meer digitale veiligheid”, zegt Lokke Moerel, raadslid vanuit haar rol als hoogleraar Global ICT Law aan de Universiteit Tilburg. “De kosten die daarbij horen, zijn zowel voor bedrijven als voor de overheid onvermijdelijk; de prijs van te weinig investeren in cybersecurity zal uiteindelijk vele malen hoger zijn.”
“We moeten haast maken met het treffen van de cyber risicomanagement maatregelen zoals genoemd in de NIS2,” zegt Moerel. “Deze verplicht een groter aantal bedrijven hun digitale veiligheid op orde te hebben en incidenten te melden, inclusief verzwaard toezicht en bestuurlijke verantwoordelijkheid. Ook gaat de EU strenge eisen stellen aan de digitale veiligheid van producten en diensten uit alle EU-lidstaten.”
De raad roept het kabinet daarnaast op om kritisch te kijken naar risico’s in de digitale infrastructuur, zoals bij het gebruik van cloudtechnologie. Daarvoor moet Nederland eigen technische capaciteit opbouwen en de kennispositie op het gebied van cybersecurity versterken.