Het kabinet wil dat het Nationaal Cyber Security Centrum (NCSC) dreigingsinformatie in meer gevallen kan verstrekken aan andere organisaties dan vitale organisaties en de Rijksoverheid. Een wetsvoorstel hiervoor van minister Yeşilgöz-Zegerius (Justitie en Veiligheid) is naar de Tweede Kamer gestuurd. Een essentiële stap, die de digitale veiligheid van Nederland naar een hoger niveau tilt.
Het NCSC informeert en adviseert vitale aanbieders en onderdelen van de Rijksoverheid met actuele dreigings- en incidentinformatie over hun netwerk- en informatiesystemen. Momenteel is er voor het NCSC nog niet altijd de wettelijke basis om dreigings- en incidentinformatie te verstrekken aan andere organisaties dan vitale organisaties en de Rijksoverheid. Die andere organisaties weten daardoor niet dat hun systemen kwetsbaar zijn, terwijl het NCSC daar wel informatie over heeft. Het wetsvoorstel dat naar de Tweede Kamer is gestuurd moet hierin verandering brengen.
Yeşilgöz-Zegerius: “Vandaag nemen we een volgende en belangrijke stap om Nederland digitaal veiliger te maken. Dat is hard nodig. Veel organisaties missen nu cruciale informatie om zich goed en tijdig te kunnen beschermen tegen digitale aanvallen. We leven ons leven steeds meer online en dat hebben criminelen ook door. Daarnaast maakt ook de huidige situatie in de wereld dit wetsvoorstel actueler dan ooit: onze digitale weerbaarheid moet omhoog. Het delen van informatie door het NCSC speelt daarin een cruciale rol.”
Aanpassing Wbni
Het wetsvoorstel bevat een wijziging van de Wet beveiliging netwerk- en informatiesystemen (Wbni). De Wbni regelt (onder meer) de wettelijke taken van het NCSC op het terrein van cybersecurity. Primair heeft het NCSC tot taak om vitale aanbieders en organisaties binnen de rijksoverheid te informeren en adviseren over digitale dreigingen en incidenten én daarvoor analyses en technisch onderzoek te verrichten. Hierdoor beschikt het NCSC regelmatig ook over informatie over digitale dreigingen of incidenten die relevant is voor andere aanbieders. Het gaat dan bijvoorbeeld om distributeurs van voedselwaren, politieke partijen of containeroverslagbedrijven. Die informatie kan momenteel echter niet altijd worden verstrekt aan die andere aanbieders of hun schakelorganisaties, omdat de wet hier nog niet de basis voor biedt.
Minister Yeşilgöz-Zegerius stelt daarom voor om de Wbni aan te passen zodat deze informatie wel gedeeld kan worden. Hierdoor krijgt het NCSC de grondslag om in ruimere zin dreigings- en incidentinformatie te delen met zogeheten OKTT’s (organisaties die objectief kenbaar tot taak hebben om organisaties of het publiek te informeren over dreigingen en incidenten). OKTT’s fungeren als schakelorganisaties van andere aanbieders. Deze schakelorganisaties kunnen daarmee vervolgens organisaties in hun achterban van die informatie en advies voorzien. Daarnaast bevat het wetsvoorstel een grondslag voor het NCSC om in bijzondere gevallen dreigings- of incidentinformatie met andere aanbieders zelf te delen. Van een bijzonder geval is sprake als er geen schakelorganisatie (zoals een OKTT) is die de aanbieder van de informatie kan voorzien én de informatie over een dreiging of incident gaat met aanzienlijke gevolgen voor de continuïteit van de dienstverlening van de aanbieder.
Petra Claessen, CEO van BTG en BTG Services: “Het NCSC beschikt vaak over informatie die ook relevant is voor niet-vitale bedrijven. Het wetsvoorstel van minister Yeşilgöz-Zegerius om dergelijke informatie breder te delen tilt de digitale veiligheid van Nederland dan ook naar een hoger niveau. Aangezien de informatie al beschikbaar is dankzij het werk dat het NCSC al langer verricht, is het niet delen van deze informatie zonde en een gemiste kans. De bredere informatiedeling door het NCSC is dan ook een belangrijke stap, die BTG ondersteunt.”