Cyberstrategie 2022-2028: meer samenwerking en verantwoordelijkheid
Afgelopen maand was het cybersecurity maand en is door de minister van justitie de cyberstrategie van 2022-2028 gepresenteerd. Dit rapport geeft inzicht in hoe door middel van samenwerking de samenleving weerbaar gehouden kan worden tegen cyberdreigingen. Daarnaast wordt er in dit rapport een nieuwe cyberautoriteit geïntroduceerd: het nationale Cyber Security Incident Response Team. Meer hierover vertellen wij in deze blog.
Meer leiding door de overheid
Een eerste belangrijk punt van het document is dat de overheid meer regie wil nemen. De bestaande organisaties NCSC, DTC en CSIRT-DSP worden samengebundeld tot één organisatie. De huidige NCSC zal veranderen in het Cyber Security Incident Response Team (CSIRT). Het is dan ook de bedoeling dat dit het enige CSIRT is, alleen als er echte gerichte toegevoegde waarde is zal er nog een CSIRT opgericht worden. Het werken vanuit een centrale organisatie moet tot overzicht leiden en vooral tot het verspreiden van praktisch uitvoerbare informatie onder de doelgroep.
Leveranciers krijgen meer verantwoordelijkheid
De Nederlandse overheid geeft in het plan aan zich meer te gaan focussen op de zorgplicht van leveranciers voor het leveren van veilige producten en diensten tijdens de gehele levenscyclus van de producten.
Het plan gaat er verder vanuit dat de leverancier via het gebruikelijke aansprakelijkheidsrecht aanspreekbaar is op het naleven van de normen. Echter moet nog blijken hoe realistisch dit is, als het aansprakelijkheidsrecht in de kern regelend recht blijft, is het denkbaar dat leveranciers hun aansprakelijkheid ''wegcontracteren''.
Ook organisaties krijgen meer verantwoordelijkheid
De bedoeling is dat naast leveranciers ook organisaties zich bewuster bezig gaan houden met cyberveiligheid. Organisaties moeten maatregelen nemen gebaseerd op de risico's die hun organisatie loopt.
Vooral van bestuurders wordt in dit opzicht veel verwacht. Zo moet er rekening worden gehouden met risico's die voortkomen uit (inter)sectorale afhankelijkheden en het belang en veiligheid van anderen. De gehele keten moet dus kortweg worden overzien.
Sommige organisaties zullen daarnaast ook te maken krijgen met aangescherpte regels uit Europa, alhoewel hier ook nog nationale aanvullende regels bij kunnen komen. Hierbij krijgen organisaties dus te maken met meerdere toezichthouders.
Kennis delen
Centraal in het rapport staat het delen van kennis over kwetsbaarheden en over ervaringen met incidenten. Dit is begrijpelijk maar ook ingewikkeld voor sommige organisaties, omdat veel organisaties bang zijn voor de kritiek die ontstaat wanneer zijn melden dat zij gehackt zijn.
Burgers meer verantwoordelijkheid
Tot slot zullen ook burgers met dit plan te maken krijgen. Zo wil de overheid dat burgers veilig werken, bijvoorbeeld door middel van tweefactorauthenticatie. Daarnaast wil de overheid sneller begrijpelijke informatie met burgers delen en het mogelijk te maken voor burgers om makkelijk aangifte te doen van cybercriminelen.
Ook dit kan een uitdaging worden omdat onderzoeken aantonen dat consumenten niet altijd ondersteunende versies van bijvoorbeeld Windows gebruiken en hetzelfde wachtwoord gebruiken voor meerdere accounts. Er is dus niet bij iedereen evenveel motivatie of mogelijkheden voor cyberbeveiliging.
Meer vragen?
Heeft u vragen over cyberveiligheid en hoe je dit het beste kan aanpakken bij jouw organisatie? Dan helpen wij graag! Je kunt ons mailen via info@heeres.nl of bellen via 0299-393322 en dan zoeken wij naar de beste oplossing voor uw situatie.
Heeft u een vraag of wilt u persoonlijk advies?
Heeft u naar aanleiding van informatie op deze pagina een vraag of wilt u persoonlijk advies? Vul dan het onderstaande reactieformulier in of neem contact met ons op.