Cyberveiligheid ondernemend Nederland

Sinds de hack van DigiNotar in 2011 is er in Nederland nagedacht over de digitale bescherming van vitale onderdelen van de Nederlandse samenleving. Sinds 1 januari 2012 heeft het Nationaal Cyber security Centrum (NCSC) de taak om te waken over de cyberveiligheid van vitale onderdelen van de samenleving. Die taken zijn daarna vastgelegd in de ‘Cybersecuritywet’ en vervolgens uitgebreid in de opvolger daarvan; de Wet beveiliging netwerk- en informatiesystemen (Wbni). Zie voor een overzicht van deze wet op hoofdlijnen dit artikel.

In dit overzicht zal worden aangegeven hoe de rest van ondernemend Nederland wordt beschermd door de Nederlandse overheid.

Digital Trust Center

Wat doet de Nederlandse overheid aan digitale dreiging en bedreiging van ondernemingen? En hiermee is de vraag wanneer door de overheid informatie over dreiging wordt gedeeld met het Nederlandse bedrijfsleven, én wanneer de Nederlandse overheid te hulp schiet bij een concrete bedreiging?

Het Digital Trust Center (DTC) heeft hier een taak in. Het DTC is in 2018 opgericht naar aanleiding van een aangenomen motie in de Tweede Kamer. In de Tweede Kamer werd de behoefte uitgesproken voor de oprichting van een centrum (DTC) dat:

“bedrijven en maatschappelijke organisaties kan informeren en adviseren over én concrete hulp en ondersteuning kan bieden bij het verbeteren van hun cybersecurity en bij het afslaan van aanvallen door hackers”. (Kamerstukken II, 26 642, nr. 474 – Motie Hijink/ Tellegen)

Het DTC valt onder het Ministerie van Economische zaken en Klimaat (EZK).

(Nog) geen wettelijke grondslag voor het ontvangen van specifieke dreigingsinformatie

Eind 2021 is er nog geen wettelijke grondslag die specifiek voorziet in de taakstelling van het Ministerie van EZK en in de mogelijkheid om persoonsgegevens te ontvangen, te verwerken en te delen. En dat is belangrijk omdat persoonsgegevens vaak deel uitmaken van concrete en specifieke dreigingsinformatie. Zonder wettelijke grondslag om persoonsgegevens te verstrekken is het dus vaak niet mogelijk om dreigingsinformatie uit te wisselen.

Wetsvoorstel – taken DTC

Daarom is er nu een wetsvoorstel ‘Wet bevordering digitale weerbaarheid bedrijven’. Een heel belangrijk punt van dit wetsvoorstel is dat hiermee wordt beoogd om een wettelijke grondslag te bieden voor het delen van persoonsgegevens als onderdeel van dreigingsinformatie.

Het wetsvoorstel legt de taken vast van het DTC. De twee hoofdtaken van het DTC zijn i) informeren en adviseren, en ii) het faciliteren van samenwerking tussen private partijen.

Situatie eind 2021 voor ‘niet vitale bedrijven’

Op dit moment is het daarmee niet eenvoudig voor Nederlandse ondernemingen om zich te (laten) informeren over concrete dreigingen. Bovendien heeft de overheid in de Memorie van Toelichting al aangegeven dat het niet de bedoeling is dat de overheid zal gaan optreden als ‘digitale brandweer’. Er ligt dus zeker een flinke uitdaging voor ondernemend Nederland om op tijd de juiste informatie te krijgen over cyberdreigingen.

In september 2021 heeft het DTC al wel de Objectief Kenbaar Tot Taak (OKTT) status gekregen van het Nationaal Cybersecurity Centrum (NCSC). En dat wil zeggen dat het DTC al wel concrete dreigingsinformatie kan ontvangen van het NCSC. Het is dus niet alleen van belang om goed op de hoogte te zijn van de wettelijke mogelijk- en onmogelijkheden, maar ook zeker om de actualiteiten goed te volgen.

Quick scan

Bij Ploum helpen wij u en uw onderneming graag bij het vinden van de juiste informatie om uw onderneming te beschermen tegen cybersecurity incidenten. Zo kunnen wij voor bijvoorbeeld een Quick Scan doen om een overzicht te geven welke mogelijkheden er voor uw bedrijf zijn, én welke regels er op uw onderneming van toepassing zijn op het gebied van cybersecurity.

Lees meer over cybersecurity.