Webinar: De staat van cybersecurity

Heb jij als organisatie zicht op de cyberincidenten, -dreigingen en -risico’s en weet jij hiermee om te gaan? Ben jij goed beschermd tegen digitale risico's? Zijn de basismaatregelen van jouw cyberweerbaarheid al op orde? Aan de hand van concrete praktijkvoorbeelden en prikkelende stellingen combineren de sprekers Raymond Bierens (Connect2Trust) en Remie Knecht (Digie) onder leiding van Brenno de Winter (Rijksoverheid) de laatste inzichten uit de wetenschap met ontwikkelingen uit de praktijk en de NIS-2.

Van harte welkom bij 'De staat van cybersecurity'.
Dit webinar is een initiatief
van de Rijksacademie voor Digitalisering en Informatisering Overheid,
of kortweg RADIO, wordt georganiseerd door adviesbureau INSPIR8ION
en we hebben vandaag twee gasten Raymond Bierens van Connect2Trust...
en Remy Knecht.
Ik begin bij jou, Raymond. Welkom.
-Dank je wel.
Wij kennen elkaar van de Rijksoverheid, maar wat is dat nou, Connect2Trust?
Connect2Trust is een stichting, een zogenaamde schakelorganisatie.
Een stichting die door het ministerie van Justitie en Veiligheid is aangewezen
om dreigingsinformatie, informatie over kwetsbaarheden,
over bedrijven die mogelijk geraakt zijn te delen met die bedrijven.
Ja, belangrijk. Is ook veel over te doen geweest.
Ja, en dat kan nu steeds beter gelukkig.
-En jij bent voorzitter van die stichting.
Remy, hartstikke welkom.
Jij komt uit België, daarom ben je ook even remote bij ons.
Jij werkt voor Digie.
Ja, ik ben medeoprichter van Digie en met Digie begeleiden wij
nationaal en internationaal ondernemingen en overheden
op het vlak van hun digitalisatieprojecten
naar een digitalere business, economie en overheid,
waar we vooral ook focus leggen op identitymanagement,
dataprivacy en -security.
Ja. En jij bent ook veel bezig voor de Europese Commissie.
Ja, dat klopt. Samen met Digie doen wij ook een aantal Europese projecten
voor de Europese Commissie, waar we ook inzetten op deze topics
op een aantal momenten.
En jij gaat ons in de tweede helft meenemen
in de ontwikkelingen in cybersecurity.
Wij gaan het eerst even hebben over de zin en de onzin van de NIS-2.
Daar is al veel over te doen.
En je hebt een poll meegenomen.
-Ja.
Hij is erg leuk.
'Voor het mitigeren van risico's die voortkomen uit 't gebruik van technologie
doet mijn organisatie het liefst: niets, zo min mogelijk, alles wat nodig is
om compliant te zijn of meer dan nodig is om compliant te zijn.'
En terwijl de mensen even de tijd krijgen om de poll in te vullen...
Het valt mij op dat we het steeds vaker hebben in wetgeving in Europa,
maar langzamerhand in Nederland, over dat woordje 'risico' inderdaad.
Is dat een nieuwe Europese hobby
om overal risicogedreven wetgeving te maken?
Het is in toenemende mate wel een thema
wat aansluit bij de snelle dynamiek van de technologische veranderingen.
Die gaan zo snel dat je eigenlijk niet meer kunt zeggen:
'De techniek is er, dus het risico is statisch, het risico wordt dynamisch.'
En dus om daar permanent mee om te gaan
is een van de meest gebruikte mechanismen in risicomanagement.
En dan moeten wij dus ook gaan nadenken elke keer,
in plaats van dat er een vinkenlijstje ingevuld wordt.
Ja, dat is de bedoeling.
-Dan ben ik wel heel benieuwd
wat tot nu toe de mensen hebben gezegd?
Er zijn twaalf reacties.
De meeste zeggen dat alles wordt gedaan wat nodig is om compliant te zijn.
Eén zegt 'gebeurt niet'
en één zegt dat er meer gebeurt dan nodig om compliant te zijn.
Herkenbaar beeld?
-Herkenbaar beeld.
Want de meeste organisaties zijn toch braaf.
De meeste organisaties willen in ieder geval braaf zijn.
Tussen wat je wil zijn en wat je bent, zit natuurlijk nog wel een delta tussen.
Tegelijkertijd is het ook de vraag:
Zijn we het allen eens wat compliant precies betekent voor je organisatie?
En daar ga ik in mijn slides op in.
Ik denk dat dat ook goed is,
maar het doet me altijd een beetje denken aan het 'wij voldoen aan de AVG'
en dan denk ik altijd: best wel knap als je dat zo zeker weet van jezelf.
Zeker, zeker.
Nou, neem ons mee in de zin en de onzin van de NIS-2, alsjeblieft.
Dank je wel, Brenno.
De titel is bewust gekozen. De NIS-2,
de nieuwe Europese wetgeving die eraan komt.
Tussen nu en 21 maanden dient die te zijn vertaald naar wetgeving
en gaat het daarmee starten.
Ik ben niet alleen voorzitter van Connect2Trust,
ik ben ook promotieonderzoeker aan de Vrije Universiteit in Amsterdam
en mag ook de Rijksoverheid af en toe adviseren op ditzelfde onderwerp.
Dus wat ik ga proberen, in een kort aantal minuten,
is wat van die ervaring met jullie te delen.
En waar ik mee wilde beginnen, omdat veel mensen dat niet zo goed weten,
is: waarom er eigenlijk een NIS-2 gekomen?
Dat begint eigenlijk met de oude NIS-2, zoals de titel zegt.
Tegelijkertijd, het is niet de oude NIS-2,
het is gewoon de NIS-2 die nu nog van toepassing is,
dus hij is nog steeds van kracht.
Wat we daar wel in merkten,
en dat zie je ook een beetje aan het jaartal bovenin deze slide:
Die wetgeving dateert uit 2016 en dan hebben we het over zes jaar geleden.
Dat betekent, kijk voor de grap eens naar uw iPhone of smartphone
of uw huishouden hoeveel er sinds die tijd veranderd is, geconnecteerd is.
En dat zie je ook staan bij de eerste reden voor een wijziging:
'Het dreigingslandschap is veranderd.' Nou, dat moge duidelijk zijn.
Dat is niet alleen in een huishouden, dat is ook,
zoals we recentelijk gezien hebben rondom de 5G-technologiebeveiliging,
hoe ga je daar als overheid mee om?
Tegelijkertijd merkten we ook dat NIS-1, het is niet voor niets het cijfer 1,
ook die heeft in zijn uitvoering de nodige uitdagingen aan het licht gebracht.
En met name had dat te maken met:
hoe ga je nou om met het
naar een nationaal niveau vertalen van deze wetgeving?
Dan heb je te maken met afbakening, je hebt te maken met afhankelijkheden.
En daarbovenop kwam ook nog dat er in het Hof van Justitie een casus kwam
waarbij de organisatie Vodafone heeft gevraagd, een casus is gestart,
omdat hij zei: ik wil in Europa... We hebben gemeenschappelijke regels.
Het zou ook makkelijk zijn als de cybersecurity regels worden geharmoniseerd.
Dus daar is de NIS-2 uitgekomen.
Alleen wat belangrijk is voor de mensen die je de Europese wetgeving volgen:
er komen heel veel regels, directives en acts aan vanuit Europa
en je ziet dat die op te delen zijn in vier doelgroepen.
Een deel is gericht op de bescherming van consumenten.
De AVG is daar het meest bekende voorbeeld van.
Ook die wordt continu aangescherpt. Je ziet ook een toenemende wetgeving
rondom de leveranciers van digitale diensten
en je ziet een groot aantal op dit moment in aantocht zijnde wetgeving
rondom de producenten.
Dat wordt gedaan omdat de derde categorie, de organisaties,
en dat is waar de NIS-2 zich op richt, met name ook als uitgangspunt hanteert:
het kan niet alleen aan die organisaties liggen om alle risico's te managen.
Het is een samenwerking van gebruikers, leveranciers van diensten,
leveranciers van producten met daarin connectiviteit
en uiteindelijk de organisaties.
En als je dan kijkt naar de NIS-2 zie je een aantal veranderingen tegelijkertijd.
We noemen dat de zorgplicht, meldplicht en toezicht.
Die bestonden al in de NIS-1,
alleen het toepassingsgebied daarvan wordt veel groter.
Er komen dus veel meer sectoren bij die allemaal worden gezien
in wat we als Nederland kennen als vitaal en wat in de NIS-2 wordt genoemd
'een aanbieder van essentiële diensten'
en tegelijkertijd is er ook steeds meer ruimte voor een soort tussencategorie
en die worden nu 'de belangrijke organisaties' genoemd.
Wat is daar nieuw in? Het verschil tussen die twee is dat voor een essentiële dienst
actief toezicht wordt gehouden.
Dat betekent: daar wordt proactief door een toezichthouder
vanuit de overheid gekeken hoe het daar is ingericht.
Voor de belangrijke organisaties is dit passief.
Ook de andere, het nieuwe daarin staat centraal in die drie
is de component 'aansprakelijkheid'
en die is zowel voor publiek als privaat van kracht,
waarbij bestuurders, zoals dat zo mooi is geformuleerd,
invloed kunnen uitoefenen op de inrichting van cybersecurity.
Lees daar maar: de invulling van de zorgplicht en de meldplicht,
aansprakelijk gesteld kunnen worden als het niet goed is gedaan.
Uiteindelijk kan het zelfs leiden tot boetes,
maar de aansprakelijkheid alleen is al nieuw.
Ik heb in deze slide even kort weergegeven
wat straks allemaal wordt gezien als een aanbieder van een essentiële dienst
en welke sectoren daaronder hangen. Dus energie, vervoer, bankwezen.
Veel daarvan kennen we al.
Sommige zijn nieuw. Digitale infrastructuur
is sinds kort al aangewezen als een vitale sector in Nederland.
Overheidsdiensten, ruimtevaart, afvalwater.
Dus zo zie je het eigenlijk steeds meer toenemen.
De grootste verandering zit bij de belangrijke organisaties.
want daar zie je in dat die
ook allemaal voor het eerst in dit domein terechtkomen van de NIS-2.
Wat we met INSPIR8ION heel erg proberen, is:
Hoe kom je dan uiteindelijk tot de uitvoering van een NIS-2?
Dan zie je eigenlijk dat je het op drie niveaus moet bekijken.
De overheid zal de NIS naar lokaal moeten vertalen.
Per sector zul je een sectoraal specifiek beeld moeten gaan ontwikkelen
hoe het eruit moet gaan zien
en uiteindelijk moet de organisatie dat gaan uitvoeren.
In mijn onderzoek zit ik echter met een vraag die het wat lastiger maakt
om daar helemaal een sluitend en permanent antwoord op te geven.
Dat is natuurlijk: wanneer is het dan goed?
En die vraag begint bij mij met de definities.
Dan ben ik toch even de wetenschapper, die begint altijd met de definities.
Dan wordt het al interessant als je kijkt naar de definitie van cybersecurity
of cyberbeveiliging in de NIS-2 en een definitie zoals die is gebruikt
in de Nederlandse Cybersecurity Strategie die recentelijk is gepubliceerd.
Ik ga 'm niet oplezen, dat kan iedereen zelf,
maar je ziet al, de definities zijn niet alleen langer,
maar ook inhoudelijk net afwijkend,
waarbij de Nederlandse Cybersecurity Strategie
ook nog digitale veiligheid en risico kent.
En Brenno, we hadden het er al even over,
risico, de kans dat een cyberincident zich voordoet en de impact daarvan,
dat is de kern van digitale weerbaarheid.
En zo zie je dat die termen ook steeds meer door elkaar heen worden gebruikt.
Dus wat ik als wetenschapper dan ben gaan doen, is:
is daar nou enigszins iets van te maken?
Hoe doorlopen die definities nu?
Weten we met mekaar waar we het over hebben?
Als ik dan even een internationaal raamwerk, MITRE ATT&CK neem,
dan zie je dat ie onderscheid maakt in drie categorieën:
IT, Enterprise IT, informatietechnologie,
OT, de industrial control systems,
de operationele technologie en als laatste het Internet of Things.
Als ik die ga vertalen in risicomanagement,
zie je dat je ook in drie verschillende vormen van risicomanagement
terecht zou moeten komen. De technologie is anders,
dus is risicomanagement dan de 'ja, nee, anders'?
Dat zie je hier weergegeven. Ja, die zijn er.
Het lastige daarbij is: die zijn er niet alleen,
ze zijn ook nog eens een keer onderling met elkaar verbonden.
Dus je kunt een slimme speaker hacken
om uiteindelijk bij een systeem te komen waar informatie is opgeslagen.
Je kunt een netwerk hacken om iets operationeels stil te leggen
in wat dan heet 'cybersecurity risk'.
Wat ik daarbij heb geconstateerd in mijn onderzoek
dat het eigenlijk ook tot een scheiding aan het leiden is.
Je merkt: aan de ene kant ontstaat security management,
dat zijn wat wij vaak noemen 'watervalaanpakken'.
Dat zijn mensen die een stabiele situatie creëren
dan op weg gaan naar een nieuwe situatie en dan is ie pas compleet.
U kent dat misschien op uw werk,
de nieuwe update komt uit, de ICT-organisatie zegt:
'Nu even niet. Ik kijk even wat er gebeurt
en pas dan kunnen we het beheerst uitrollen.
Digitalisering echter zit precies aan de andere kant.
Dat is veel meer agile, veel meer in de hoek van:
'Het gaat zo snel. Je moet de snelheid bijhouden
en je kunt die niet tegenhouden. Die wereld luistert daar niet meer naar.'
De tweede constatering die ik in mijn onderzoek heb gedaan,
is eigenlijk wat zorgelijker.
Je ziet hier in hetzelfde schema een aantal getalletjes staan.
Wat ik heb gedaan: ik heb eigenlijk een analyse gemaakt
samen met een collega op de universiteit,
van: hoe heeft nu eigenlijk de kennis zich hier ontwikkeld?
En dan zie je dat we al vanaf '89 bezig zijn we met 'information security risk'.
Dat is een hele tijd.
En je ziet daar in het midden een getal, 2011, het jaartal.
Dat is het eerste moment dat cyber in zwang kwam als term.
Waarom? Dat had onder andere te maken met de bekendmaking van Stuxnet,
de kerncentrale in Iran die gecompromitteerd is,
ook al was die niet verbonden aan het internet.
En dan zie je eigenlijk dat pas in 2016 je een onderscheid gaat krijgen
waarbij je zowel informatiebeveiliging als cybersecurity risks ziet,
waarbij informatiebeveiliging gaat over beveiligen van je kennis, je informatie,
cybersecurity gaat veel meer over de continuïteit.
Wat zie je nu in 2017?
Je ziet nu dat er een soort restcategorie bij komt
en die restcategorie zegt eigenlijk: ik ben ook nog digital.
Hoe ga je om met fake profiles? Hoe ga je om met IoT?
Hier kun je twee conclusies uit trekken. Ten eerste is er dus een overgangsfase
waarbij we nieuwe risico's oplossen met oude middelen.
De tweede is, hoe goed ik ook heb gezocht
en we hebben echt heel lang gezocht met veel collega's van de universiteit,
we vinden rondom dat hele nieuwe stuk 'digital security risks'
eigenlijk geen handvatten.
Het vervelende daarvan is: als je nu, en dan ga ik even terug naar de pollvraag,
als er geen handvatten zijn en je doel is
'alles wat nodig is om compliant te zijn, is mijn doel,'
dan weet je één ding zeker: een deel is niet gedekt,
want een deel is namelijk nog niet in compliance en controls vervat.
Dus ja, wat is dan de checklist waard? Je bent beter dan wat je was.
Dat is vooral de zin,
maar de onzin is: dat betekent niet dat je dan klaar bent.
Die koppeling kun je niet maken.
Dus ik zeg ook weleens: Je hebt eigenlijk te maken met de vraag 'wat wil je?'.
Wil je compliant zijn? Of wil je, zoals in het plaatje weergegeven, verder gaan?
Waarom deze discussies relevant zijn,
kan ik heel eenvoudig weergeven aan de hand van een voorbeeld
van een gemiddelde deelnemer van de stichting Connect2Trust.
Ik zei het al: wij delen dreigingsinformatie
en dat betekent dat die organisaties eigenlijk...
degenen die bij ons deelnemer zijn, inmiddels zo'n 1300 in Nederland,
zijn allemaal wat wij noemen 'mature'.
Dat betekent: als ik die informatie geef
dat wij van het NCC of de Amerikaanse overheid krijgen,
hoef ik dat niet uit te leggen. Dus dat is in die zin makkelijk.
Het Digital Trust Center en andere organisaties zijn daarop gericht,
wij delen gewoon een-op-een door.
Dat delen we echter als enige schakel- organisatie van het NCSC consectoraal.
We zijn de enige stichting die dat doen
en dat doen we vanuit de visie die hier is weergegeven.
Dit is een gemiddelde deelnemer. Die heeft een leverancier.
Die leverancier maakt gebruik van een cloud.
De cloud wordt gerund in het datacenter.
Dat datacenter wordt aangestuurd,
ook operationeel, in de hitte, in de koeling
en daarvoor wordt materiaal gekocht van een toeleverancier.
Dit is een vrij doorsnee keten.
Je ziet ook het ketenanalyse, risicomanagement en ketenanalyse
zijn de twee meest grote nieuwe termen in de NIS-2.
Dat betekent dat je met al die partijen in die keten
dezelfde discussie moet gaan voeren die is weergegeven in de drie cirkels.
Waar gaat het over? Begrijpen we elkaar als het gaat
over information security risk, cybersecurity risk en digital disk?
En als dat nog niet genoeg is, dan zie je eigenlijk ook
dat de realiteit is dat die organisaties verspreid zijn over de hele wereld,
want het internet kent geen grens.
Dus de leverancier van mijn deelnemer die heeft een cloudleverancier,
zoals hier weergeven, uit Amerika.
Dat betekent in de NIS-2 dat die een Europees hoofdkantoor moet kiezen.
Daarmee wordt ie AED, dat hoofdkantoor, dus dat wordt al iets ingewikkelder.
De meeste hosters uit Amerika maken gebruik van een datacenter in Ierland.
Of in Nederland, maar in dit geval in Ierland.
Daar is een Nederlands installatiebedrijf bij betrokken die spullen haalt uit China.
Zie daar de uitdaging die wij dan hebben met een deelnemer.
Hoe gaan we ervoor zorgen, en dat doen we niet alleen,
ook met het NCSC, ook met de overheid,
om te kijken: hoe kun je nou daadwerkelijk die hele keten dekken?
Dus de zin en de onzin samengevat.
Vooral beginnen, want het zijn goeie stappen vooruit.
Je moet, want de wereld is veranderd. 2016, NIS-1.
Je hebt gezien aan mijn plaatje hoe het sinds die tijd veranderd is.
Tegelijkertijd: de NIS-2 niet het einde,
maar is pas de stap onderweg naar zeer waarschijnlijk ook een NIS-3
over weer een aantal jaar.
Dank je wel.
En eventjes als eerst, voordat we...
Bij mij bekruipt het gevoel: dit is groter dan wij gaan aankunnen als land.
Is dat een terecht gevoel?
-Ja.
Dit is echt een onderwerp waarbij je...
Begin al maar op het niveau van Europa.
En ik moet zeggen, Europa investeert ook in de Horizon 2020-programma's
echt significant om dit ook te realiseren.
Ook de Europese cyberstrategie zet daar hard op in.
Maar tegelijkertijd is het nog steeds nationale veiligheid in de kern.
Het gaat over essentiële diensten, dus 't wordt er niet makkelijker op.
Als ik dan eventjes naar Remy schakel.
Dat geldt voor België waarschijnlijk ook, dat dit groter is dan je zou aankunnen.
Dus dit is wel echt een enorme opgave.
Ja, dat klopt. Op nationaal niveau
denk ik dat we al een aantal zaken geregeld moeten krijgen,
maar nationaal is niet genoeg meer.
We hebben programma's op Europees niveau,
zoals met CyCLONe-programma, waarbij we internationaal
over de Europese landen heen met mekaar moeten gaan samenwerken
om grote cyberaanvallen en -dreigingen aan te kunnen.
Ik weet niet of er zo ook vragen zijn van de kijkers,
maar ik worstel zelf nog eventjes met een vraag.
De vorige ronde werd een AED aangewezen.
Dan kreeg je een brief van de overheid:
'U bent nu aanbieder van een essentiële dienst.'
Is dat nu weer hoe het gaat lopen?
Dat is nog de vraag.
Er wordt nog volop gekeken, wat ik zei
en vanaf december gaat de teller lopen, zoals we dat noemen,
dus dan is er 21 maanden om het in de wetgeving te verankeren.
Daar wordt op dit moment heel hard aan gewerkt
en dat heeft alles te maken met het feit:
welke dienstverlening mag je van een overheid verwachten?
We hebben het in de nieuwste berichtgeving gezien: een nationale chef.
Dat is het NCSC.
Die heeft dan ook een taak naar alle organisaties
en wat die taak precies in gaat houden, wordt nu uitgewerkt.
Tegelijkertijd hangt daar ook mee samen:
een overheid heeft niet alleen een ondersteunende taak,
maar ook een toezichthoudende taak. Dus ook daar zie je een zoektocht van:
wat is nou daadwerkelijk de invulling? Wanneer geef je een boete?
Ik heb hier van Nati een vraag staan.
'Hoe kan ik mij concreet voorbereiden als kleine organisatie?
Ik heb niet alles in huis. Welke tips hebben jullie?'
De snelste tip is: ga het ook niet alleen proberen.
Sluit je aan bij samenwerkingsverbanden.
Het Digital Trust Center heeft er een groot aantal.
Connect2Trust is er daar ook een van.
Het Digital Trust Center gaat samenwerken...
Met het NCSC.
-Precies. Dan zit je dicht bij de bron.
Dat wordt ook één loket.
Tegelijkertijd merken we wel dat wij, dat zit ook een beetje in de naam van ons
als Connect2Trust verborgen,
ga vooral niet nieuwe samenwerkingsverbanden aan,
maar zoek verbanden
waarbij je elkaar kunt vertrouwen en al vertrouwt.
Want dat opbouwen van vertrouwen, merken we,
is feitelijk de crux om een goede samenwerking in te richten.
Ja. Nou ben ik een kleine organisatie.
Ik weet echt niet wat ik moet doen.
Is er niet gewoon één stap waarmee we al kunnen beginnen?
En van de overheid zou ik kunnen zeggen: maak een sprint op de BIO,
want dan voldoe je al aan een heleboel dingen in één klap.
Het is ook weer niet zo eng als...
Als je een kleine organisatie bent, is de BIO een goede start.
Zeker de BIO 1, op het laagste niveau.
Tegelijkertijd merken we ook voor grote organisaties, de essentiële diensten...
Eind november heeft het CIP de ABDO en de BIO geïntegreerd in één wizard.
Kun je gewoon op internet vinden.
De ICO-wizard van het CIP,
cip-overheid.nl.
Absoluut tof, want dan kun je aanvinken wat je nodig hebt
en dan krijg in één keer al je controls.
-Kijken wat je nog mist.
En dat geldt voor cloud, voor mobile, tot het zwaarste niveau.
Met DigiD, zonder DigiD, inderdaad. Ja, dat is inderdaad een hele toffe.
In de grote organisaties wordt het spannender,
want die risico-inschattingen,
dat is ook wel een heel circus om dat voor elkaar te krijgen.
Hoe begin je daarmee?
Grote organisaties, dat ligt een beetje aan in welke categorie je valt.
Dus ben je een aanbieder essentiële dienst,
ben je een belangrijke organisatie of ben je, onaardig gezegd, de rest?
Daar zit een ander regime op.
Tegelijkertijd zie je ook dat die organisaties al heel vaak samenwerken
met andere organisaties, zitten natuurlijk ook in de keten.
Ik denk dat het voor de organisaties zelf niet zo'n uitdaging zal zijn.
Waar zij elkaar moeten vinden,
en recentelijk is daarin een project gepresenteerd, SIRA.
Door ASML is dat als eerste bedacht, waarbij ze ook
naar de ketenafhankelijkheden kijken. De invulling van: groot helpt klein.
We merken bij Connect2Trust dat het in- vullen daarvan de grootste uitdaging is.
Want ze zijn ook geloof ik in de regio Eindhoven bezig
om hun leveranciers ook te toetsen
voordat ze überhaupt in de keten mogen komen.
Ja, precies.
Dan is er nog een vraag, voor zover van toepassing:
'In hoeverre wordt er tussen EU-landen samengewerkt
bij het vertalen van wetgeving in verband met onderlinge alignment?'
Ik denk dat dat wel een mooie is, inderdaad.
Voor zover ik daar al inzicht op heb...
Ik weet dat de toezichthouders vrij nauw samenwerken,
dus de mate van toezicht wordt echt wel binnen Europa geprobeerd
om daar één lijn te trekken, wat op zich ook denk ik goed en logisch is.
Dan heb je, zoals ie tegenwoordig heet,
de Rijksinspectie Digitale Infrastructuur.
Voor mensen die het nog niet weten, hiervoor Agentschap Telecom.
Heeft daar een duidelijke rol in
en ook naar z'n andere Europese counterparts.
Nou was het onder de NIS-1 zo
dat afhankelijk van de sector waarin ik zat,
daar moest ik naar m'n toezichthouder toe.
Dus als ik een beetje pech had,
kon ik met mijn datalek naar NCSC,
naar bijvoorbeeld de AFM en de Nederlandsche Bank
en dan ook nog naar de Autoriteit Persoonsgegevens.
Wordt dat nu beter?
Ja, dat is het interessante.
Als je nu kijkt naar de samenvoeging van het CSIRT, digitale dienstverleners
en het NCSC.
Bij het CSIRT van digitale dienstverleners
kun je al als digitaal dienstverlener een melding doen
die automatisch wordt doorgemeld aan de toezichthouder.
Bij het NCSC nog niet. Dus de discussie gaat komen
en we hopen allemaal dat het duidelijker wordt
dat er uiteindelijk het liefst één loket...
Dat is ook de samenvoeging, het voordeel daarvan.
Zeker, want er komen nog een paar dingen aan.
Ik kan me voorstellen dat daar ook een meldplicht...
Daar kwam ik er een of twee in tegen.
-Zeker.
Dus die alignment is denk ik ook wel een terechte en belangrijke vraag.
Tegelijkertijd zie je dus ook als je teruggaat
naar die drie bollen die ik had geschetst, de informatiebeveiliging.
Dan zit je ook bij de AP, dan wordt er informatie gestolen.
Terwijl je de operationele processen van een bedrijf stil kunt leggen
zonder dat je ook maar een persoonsgegeven raakt.
Dan moet je nog steeds naar de toezichthouder voor continuïteit.
Dus niet de cybersecurity toezichthouder, maar degene
voor de sector verantwoordelijk is binnen het departement om de melding te doen.
En er gaan nu een paar sectoren worden meegepakt
die dit natuurlijk heel spannend gaan vinden.
Ik ben zelf natuurlijk CSPO bij Volksgezondheid.
De zorg komt hier ook en dat wordt best wel een krachtsinspanning.
Tuurlijk.
Over andere krachtsinspanningen, en hij zit al eventjes te wachten:
Dat is Remy en die gaat ons meenemen
in de bredere ontwikkelingen in cybersecurity.
Remy, the floor is yours.
-Ja.
En even: Remy kan op afstand niet de slides bedienen,
dus af en toe gaat ie of over z'n hoofd aaien of zeggen 'volgende slide',
hebben we afgesproken en dan komt volgende slide.
KNECHT: Doe de volgende slide maar.
Ik wilde even starten met het bekijken: waar staan we vandaag
met onze resilience op het vlak van cybersecurity
en ik heb gekozen om even het SOC- capability maturity model aan te halen
dat ontworpen is door een Nederlander, Rob van Os,
dat een aantal niveaus definieert voor security operations centers
waar we toch van verwachten
dat daar de experts zitten op het vlak van cybersecurity.
En ik geef altijd aan, voor een security operations center
zit de sweet spot vandaag ongeveer op het level 3-4,
dan je kan zeggen: nu zijn we echt wel een matuur security operations center.
Level 5 is een level waarin je overautomatiseert
en waar je analisten niet meer de creativiteit laat
om nieuwe dreigingen te gaan onderzoeken.
Als je dan de volgende slide bekijkt, waar dat we vandaag staan,
dit is een wereldwijd plaatje,
dan zie je dat de meeste security operations centers
eigenlijk maar tussen 1 en 2 scoren. En dat is misschien verwonderlijk,
want je zou zeggen dat overheids-CSIRTs bijvoorbeeld
en security operations centers van kritische infrastructuur en bedrijven
grote bedrijven, toch wel hoger zouden moeten scoren.
Dus wat zit hier eigenlijk achter en wat zijn de drivers?
Want hier kijken we naar de security operations centers,
naar de business, de processen, de mensen,
hun capabilities, de technologie, de services die ze leveren.
Dus welke drijvers zijn er eigenlijk
die zorgen vandaag niet zo ver staan als we zouden moet staan?
En dan wou ik naar de volgende slide gaan.
En Raymond heeft al voor een stukje aangehaald:
We hebben natuurlijk een exponentiële groei van cyberaanvallen,
maar ook een versnelling van nieuwe technologie die op ons afkomt.
Een aantal heb ik hier benoemd die toch wel heel belangrijk zijn.
We zien een belangrijke move naar public cloud
en de ene kant is dat goed.
Om een voorbeeld te geven: de Amerikaanse overheid
is een aantal jaar terug het JEDI-project begonnen
omdat ze zoveel infrastructuur op zoveel plaatsen hebben staan,
dat wordt undefendable, dus de perimeter moet kleiner.
Dus dan gaan we naar een public cloud.
Maar wat ik maar al te vaak zie bij bedrijven
is dat er een klassieke lift & shift-strategie wordt gehanteerd.
Dat betekent: 'we pakken onze oude applicaties
met alle bestaande security principes op de oude manier
en we liften die in de cloud en dan zijn we klaar.'
Zo werkt het natuurlijk niet, want cloud is een compleet andere omgeving.
Dat betekent dus ook dat die cloudexpertise
een belangrijk gegeven is
om dat binnen organisaties te gaan uitbouwen.
Een tweede punt, dat heeft Raymond ook aangehaald:
IoT wordt nog steeds voornamelijk ontworpen vanuit convenience.
Als ik naar technologiebeurzen ga, dan zie ik allerlei gadgets,
apps waarmee ik mijn deur kan openen,
maar het security by design-principe wordt zelden of nooit toegepast.
Als ik dan op zo'n beurs sta
en ik laat zien wat ik via zo'n appje allemaal zou kunnen doen,
dan word ik naar de volgende stand gestuurd, want ze hebben klanten.
Maar daar is het heel belangrijk dat we standaarden gaan bepalen
waaraan producten moeten voldoen om voldoende veilig te zijn.
Een derde punt zijn de Industrial Control Systems, dus de industriële systemen,
de OT-systemen. Tijdens de coronapandemie
hebben we in een snel tempo gezien
hoe die OT-systemen aan de IT-netwerken worden gekoppeld,
want we moeten er allemaal van huis uit aan kunnen werken
met het remote working-principe.
Maar je zit daar natuurlijk met hele oude systemen,
soms met oude protocollen zoals Modbus en dergelijke,
die helemaal niet voorzien zijn om op het internet gekoppeld te zijn
om daar beveiligd op te zijn.
Dus daar moeten meer veiligheidsmaatregelen komen
om dat soort industriële systemen beter te gaan beveiligen
als we ze online brengen. En aan de andere kant zie je natuurlijk ook
dat criminele organisaties meer en meer zich organiseren
en zelfs cyber attack services leveren op het dark web,
waarbij we in de praktijk ook zien dat kleinere groeperingen,
die nog nauwelijks en technische kennis hebben
in staat zijn om die tools te gebruiken en daar aanvallen mee te lanceren.
Dat zijn toch wel een aantal belangrijke ontwikkelingen
die ervoor zorgen
dat we onze tool en capabilities moeten gaan bijschaven.
Dan mag je naar de volgende slide.
En wat doet Europa? Raymond heeft al een aantal zaken aangehaald.
Ik herhaal er hier nog eens twee. Dus we hebben NIS-2, een directive.
Dit betekent dat dit in nationale wetten in Europa zal moeten omgezet worden
de komende tijd.
NIS-2 voorziet vooral in een uitbreiding
van de essentiële en kritische infrastructuur
in het type bedrijven dat daaronder valt, en de organisaties.
Bedrijven zien het vandaag heel erg als een must-do om compliant te zijn.
Maar zoals we daarnet ook hebben gezegd:
Het kan ook vrijwillig door bedrijven gebruikt worden,
moet ook gezien worden als een tool, dus daar ligt een taak
voor de overheid om ervoor te zorgen
dat de Nationale Conformity Assessment Body die daar mee bezig is
de tools kan aanreiken aan bedrijven om daarmee compliant te zijn.
Het doel is niet om het meeste compliant te zijn,
maar om veiliger te kunnen werken.
En aan de andere kant op het vlak van producten,
daar is er de Cyber Resilience Act die eraan komt
en dat wordt dan een Europese wet. Daar zijn we nog niet op geland.
We zien daar vooral dat er veel discussies zijn naar ons
rond de criteria hoe dat dan geauditeerd zal worden.
We zien dan nog een grote oriëntatie richting Common Criteria-certificaties
en voor de mensen die daarin thuis zijn, dat is een certificatieframework
vooral uit de hardwarebusiness komt.
Als je bijvoorbeeld een firewall of router bouwt
dan bestaan daar zogenaamde 'protection packages'
die exact bepalen aan welke security- vereiste zo'n product moet voldoen.
Maar als je naar softwareoplossingen gaat, heb je zo'n protection package niet.
Hoe definieer ik een protection package voor bijvoorbeeld een digitale identiteit?
En het tweede probleem is voor software:
Je kan wel een initiële certificatie doen,
maar daarna breng ik nieuwe versies uit.
Dus hoe zorg ik dat die security
tijdens het ontwikkelingsproces wordt meegenomen?
Dus daar is nog geen volledig akkoord in zicht. Dat moet er nog komen.
Een paar problemen die ik in de praktijk al zie,
zijn conflicterende eisen tussen verschillende nationale implementaties.
We zeiden daarnet:
De nationale bodies die verantwoordelijk zijn voor de NIS
stemmen dat met elkaar af,
maar je hebt ook nog andere sectorale specifieke reguleringen.
Ik heb er hier twee: bijvoorbeeld eIDAS,
voor de elektronische identificatiemiddelen
en DORA voor de financiële sector. En om een concreet voorbeeld te geven:
Voor de elektronische identificatiemiddelen in Nederland
heb je de aankomende WDO, waarover nog gestemd moet worden.
In België bestaat die al.
In het Nederlandse voorstel staat bijvoorbeeld dat biometrie
wel gebruikt mag worden om een digitale identiteit te activeren,
maar niet transactioneel.
En als je gaat kijken naar de NIS-2-implementatie in België,
zal daar waarschijnlijk in komen te staan dat als je toegang wil hebben
tot een high security zone, zoals bijvoorbeeld een luchthaven
dat je multifactor authentification gaat moeten gebruiken
waarbij biometrie een verplichte factor wordt.
Dan krijg je dus een conflict, maar dat is dan tussen twee verschillende bodies.
Aan de ene kant heb je dan BZK in Nederland
en aan de andere kant CCB in België, dus daar is nog wel een vraag:
hoe worden dan die arbitrages gedaan op Europees niveau?
Betekent dat dat we dan moeten gaan wachten
om hiermee aan de slag te gaan? Nee. Zoals we net hebben gezegd:
We moeten hiermee aan de slag, want de doelstelling is uiteraard
om op een veilige manier te kunnen gaan werken
en onze resilience te vergroten. En dan mogen we naar de volgende slide.
Dus ik denk dat het belangrijk is dat we organisaties handvaten geven
via bedrijven zoals Connect2Trust of via overheidsinstanties
om met risicomanagement en cybersecurity aan de slag te gaan
om voor een veiligere omgeving te zorgen.
En dan zijn er voor mij vier belangrijke handvaten:
Het eerste is, wat Raymond ook heeft aangegeven,
start met een risicomanagementproces
om de prioritaire dreigingen in kaart te brengen.
Bekijk wat de business inhoudt.
Wat is er kritisch om die business draaiende te houden
en welke dreigingen staan daartegenover?
Als we dat in kaart hebben gebracht,
ga je naar een 'information security managementsysteem',
een duur woord voor een securityprogramma.
Hoe gaan we dan met security om in onze processen,
in onze techniek, in onze ontwikkelingen? Hoe regelen we dat precies in?
En vermits die technologie heel erg aan het evolueren is
in groot tempo,
is het heel belangrijk ook dat er voldoende training en bijscholing is
van zowel de werknemers die met de implementatie bezig zijn
als de beleidsmakers en de beslissingsnemers
die verantwoordelijk zijn voor de budgetten voor cyberveiligheid.
En een laatste puntje is het investeren in de publieke bewustwording,
in een publiek-private samenwerking samen met de overheid
om mensen in te lichten over best practices.
En dat begint, niet alleen bij bedrijven,
maar dat begint ook met het uitleggen aan onze jongeren op school
wat de gevaren van het internet zijn en hoe ze daarmee om moeten gaan.
En dan mogen we naar de volgende slide.
Korte toelichting op die vier topics rond risicomanagement.
Gebruik daar het bestaande risk management framework.
We hoeven niet het warm water weer uit te vinden.
Er zijn voldoende frameworks
die we de bedrijven en organisaties kunnen bieden
vanuit NIS, ISO 27000, noem ze maar op.
Belangrijk is ook om vanuit de risico's te gaan kijken:
hoe moet dat dan ten opzichte van de dreigingen die voor ons relevant zijn?
En ook daar weer: er zijn bestaande frameworks ter beschikking,
MITRE ATT&CK is er zo eentje.
Heeft trouwens een grote ontwikkeling doorgemaakt in de laatste twee jaar,
waar je bijvoorbeeld met een MITRE Navigator
zowel in kaart kunt brengen waar je goed in bent eigenlijk
om bepaalde attacks te mitigeren
en welke dreigingen er aan de andere kant tegenover staan
en waarbij je dan de twee kunt overlappen om te kijken waar de gaps zitten.
Wat voor mij wel belangrijk is in het risicomanagement
is dat, en dat is wel iets wat ik heel hard zie,
is dat er risico's inzichtelijk en tastbaar moeten worden gemaakt
voor de beleidsmakers en de beslissingsnemers
rond het budget voor cybersecurity.
Heel vaak zie ik het modelletje dat hier op de slide staat
waarbij we een inschatting maken, low medium, high,
met een score 1, 3, 9,
op het vlak van: wat is de kans dat ons dit overkomt
en wat is dan de impact als het gebeurt?
En dan krijg je een mooi lijstje.
Maar als ik eenmaal 9, driemaal 3 en negenmaal 1 heb
heb ik drie risico's van 9. Ik ga daarmee naar een CFO en ik zeg:
'Ik heb tien miljoen nodig aan cyber security tools.'
Dat is een moeilijke discussie. Ik stel het nu even heel karikaturaal,
maar de volgende stap moet daarin gezet worden om dat inzichtelijk te maken.
Ik geef een heel concreet voorbeeld van een case
die ik onlangs nog in de States heb gehad rond ransomware.
Er zijn mooie rapporten, bijvoorbeeld die van Verizon
die jaarlijks statistieken geven rond dreigingen en hoe die voorkomen.
Die geeft bijvoorbeeld aan:
Ransomware in de financiële sector komt één keer in de zoveel tijd voor,
daar mag je van uitgaan.
Als ze dan voorkomen, dan vragen ze typisch tien procent van de jaaromzet.
Daar kan je een berekening op doen en dan zeggen:
'Dat betekent dat het ons hoeveel duizend per jaar kost.'
Dan ga je het gesprek aan met het financieel management.
'Is dat risico aanvaardbaar?
Nee? Welk budget zetten we daar dan tegenover in tools?'
Dan kun je dus het risico inzichtelijk maken.
Dus dit soort systemen kunnen gebruikt worden om een prioriteitenlijst te maken,
want niemand kan alle risico's in één keer aftikken.
Maar het is belangrijk om het door te trekken en inzichtelijk te maken,
zodanig dat het beleid eigenlijk ook de nodige investeringen kan doen.
Volgende slide, alsjeblieft.
Er zit er nog eentje tussen.
Nou, er is er eentje uitgehaald.
Dan zal ik 'm gewoon vocaal meegeven.
De tweede stap is dan de implementatie na het risicomanagement van:
hoe zetten we dat dan om
in een information security managementsysteem?
Voor dat soort systemen zijn ook bestaande frameworks.
Daar kunnen we handvaten geven aan organisaties binnen kaders
zoals ISO 27000, het NIS-cybersecurity framework, CIS Controls...
Dit zijn allemaal bestaande frameworks.
ISO 27000 is trouwens ook uitgebreid heel recentelijk
met een nieuwe chapter rond het gebruik van 'threat intelligence'
in het kader van risicomanagement.
En zoals Raymond het zei met zijn organisatie,
het leveren en uitwisselen van dreigingen met mekaar is heel belangrijk
om risico's te kunnen inschatten en ook terug bij te schaven.
ISO 27000 voorziet dan weer in de nodige policies,
processen en controlemechanismes
om op een veilige manier te werken binnen de organisatie.
En de CIS Controls is een handig framework
voor de technici om dat dan te gaan implementeren
en voorziet ook in een fasering
om in verschillende lagen, in verschillende prioriteiten
de belangrijkste controls eerst te gaan implementeren.
En de bestaande mappings tussen al die verschillende frameworks zodanig
dat er interoperabiliteit mogelijk is tussen de verschillende kaders.
Een derde puntje is inderdaad de training
en daar, met de snelle ontwikkeling van de technologie, is het enorm belangrijk
om de risico assessments natuurlijk correct te kunnen maken.
En daar heb je ook de kennis voor nodig om te weten wat de offensive tactics zijn
die cybercriminelen bijvoorbeeld toepassen.
Wat zijn de defensieve maatregelen die wij kunnen nemen?
Hoe organiseer ik incident response?
In het kader van NIS-2 is er een meldingsplicht,
maar hoe ga ik om met een incident op dat moment?
Hoe regel ik vanuit het management security in een organisatie?
En er zijn gerenommeerde opleidingscentra.
Ik heb er eentje genoemd, omdat ik daar redelijk veel mee samenwerk:

SANS/GIAC,

die hun curriculum quasi elke drie maanden mogen aanpassen
juist omdat de hele sfeer van cybersecurity zo volatile is.
En je ziet daar dus duidelijk de gekende tracks rond defense in blauw,
de offensive tracks in het rood, de groene voor het management
en ik wou deze even specifiek laten zien,
omdat ze daar ook in de laatste twee jaar op hebben uitbereid...
en heel specifiek gericht op cloud en industrial control systems,
omdat dat toch wel heel specifieke implementaties zijn
op het vlak van technologie die toch wel een andere benadering vereisen.
Volgende slide.
En dan het laatste puntje dat ik had aangehaald:
Bewustmaking en opleidingen van cybersecurity.
En dat start voor mij echt op school.
We hebben nu een campagne lopen in België
gericht op de jongeren in het kader van phishingfraude...
waarbij ze zien dat 1 op de 10 jongeren bereid is
om zijn bankrekening en bankkaart uit te lenen voor geld.
We hebben een schrijnende case in de pers gehad van een jongen
die tot twee keer toe ontvoerd is geweest.
Dus er is nu een campagne opgezet om jongeren daarvan bewust te maken
wat de gevaren daarvan zijn en dat ze dan ook meedoen aan criminele activiteiten.
Aan de andere kant, ook in het onderwijs vroeg beginnen met veilig internet,
cybersecurity-opleidingen. Ook daar zijn er organisaties startende,
maar ik denk dat we daar nog wel stappen kunnen zetten.
In sommige landen in Europa zijn ze ermee bezig,
in andere landen zie ik daar nog weinig beweging.
In de VS zijn ze daar al een aantal jaar mee bezig.
Het is voor mij ook zeer belangrijk dat we onze jongeren daar weerbaarder maken
voor de gevaren van het internet
en daar ook de nieuwe cybersecurity- specialisten kunnen opleiden,
want er zijn er duizenden tekort vandaag.
We hebben heel veel IT-mensen,
maar die zijn niet by default cybersecurity-specialisten.
En daarom denk ik ook, in de laatste slide nog...
Het is belangrijk dat we een publiek- private samenwerking aanhouden.
In Australië en in de VS hebben ze daar al verschillende frameworks voor.
In Australië is dat AUSTRAC, om financiële fraude tegen te gaan
samen met rechters.
In de VS hebben ze NCFTA,
waar ze samen met de private sector samenwerken
om cybercrime te bestrijden.
In Europa hebben we vandaag al het CyCLONe-project,
maar dat is tussen de CSIRTs van de verschillende lidstaten
om daar samen te werken op een moment
dat we daar te maken zouden krijgen met een groot cyberincident.
Eentje die je bijvoorbeeld kan noemen in België is een samenwerking met het CCB.
En daar hebben we een project lopen, dat is het Belgian anti-phishingsysteem,
het BAPS-systeem, waarbij private bedrijven
op het moment dat ze phishingfraude zien,
dat automatisch via een systeem kunnen melden aan het CCB.
Zij hebben de connecties met de telcobedrijven
en wij kunnen dus eigenlijk zeer snel de burger waarschuwen
dat hij aan het surfen is naar een phishingsite en niet een echte site.
Dat soort publiek-private samenwerking
moeten we echt op nationaal en internationaal niveau verder zetten,
zodanig dat we op grote schaal eigenlijk de cyberdreigingen aankunnen.
Even een vraagje: wat is het CCB? Want niet iedereen zal dat kennen.
Dat is het Centrum voor Cyberveiligheid in België.
Dus de Belgische SIRT valt daaronder. Dat is bij jullie de NCSC.
Ja. Dank je wel.
Dan was dat 'm denk ik voor jou.
Ja.
Nou gaf in je presentatie aan van: er ontstaat een spanningsveld
omdat wij bijvoorbeeld af en toe zeggen:
'je mag geen biometrie doen voor bepaalde authenticatie
of een handtekening zetten' of dat soort zaken.
In België móét je dat soms doen. Hoe zie je daar oplossingen komen?
Ik denk dat dat enerzijds tussen de verschillende assessment bodies...
op nationaal en internationaal niveau moet kunnen besproken worden,
maar ook op Europees niveau proberen we daar
de Europese Commissie op te wijzen,
op bepaalde wetgeving of nationale implementaties
die met mekaar conflicterend zijn. We hebben er in de laatste jaren
rond bijvoorbeeld eIDAS
hebben we nog een aantal van die cases gehad.
De Europese Commissie probeert ook stappen te zetten
om dat te uniformiseren om te zeggen van:
als een bepaalde vereiste voldaan is in een land,
zelfs via nationale implementatie,
dan moet die aanvaard worden door alle andere lidstaten.
Dan moeten ze natuurlijk nog kijken op welke manier ze dat kunnen inregelen.
Soms is dat via peer reviews, soms via een supervisor die Europees erkend is.
Dus daar zijn nog wel wat besprekingen nodig om dat glad te strijken
op het moment dat al die verschillende wetgeving op ons afkomt.
Natuurlijk hebben we op Europees niveau ENISA.
Wat is nou precies hun rol in al dit soort wetgeving
en al dit soort dingen die je ziet gebeuren?
ENISA heeft de enerzijds natuurlijk een adviserende rol
naar de commissie toe om input te geven
naar die verschillende wetgevingen toe.
Dat hebben ze gedaan voor de Cloud Certification Act.
Ze hebben dat ook gedaan hier
voor bijvoorbeeld de Cyber Resilience Act voor NIS-2.
En aan de andere kant is er ook operationeel het CyCLONe-project,
waarbij de verschillende CSIRTs een belangrijke rol gaan spelen
om snel te kunnen ageren
als wij met een grote aanval zouden geconfronteerd worden in Europa.
waar ENISA eigenlijk op dat moment in een coördinerende rol voorkomt.
Nou blijft bij beide lezingen bij mij toch het gevoel hangen
dat we een beentje moeten bijtrekken,
elke keer om de security op orde te krijgen.
We leven in tijden van een oorlog.
Zouden wij klaar zijn voor een massale aanval in Europa?
Wat mij betreft denk ik dat we niet klaar zouden zijn,
moesten we daar inderdaad mee geconfronteerd worden.
Vandaag zie ik nog veel te vaak dat er lokaal beslissingen worden genomen
om kleine teams, om bepaalde initiatieven te nemen.
Maar als je spreekt over nation-state attacks,
dan is dat niet voldoende.
Daarom is een gecoördineerde aanpak op Europees niveau absoluut noodzakelijk
om ons daarin weerbaar te maken en ook af te stemmen
dat we de juiste maatregelen en acties nemen.
Ik heb een vraag van één van de kijkers. 'Voor zover van toepassing:
in hoeverre wordt er tussen EU-landen samengewerkt
bij vertalen van wetgeving in verband met onderlinge alignment?'
Dat wordt absoluut gedaan.
Er zijn Europese werkgroepen onder de Europese Commissie
waar dit soort wetgeving wordt voorbereid
en waar uit de verschillende lidstaten afvaardigingen zijn
om zo veel mogelijk de zaken op elkaar af te stemmen.
Wat niet tegenhoudt natuurlijk dat als het een directive is
dat je nog altijd nationale implementaties kunt krijgen
waar lichte afwijkingen op zijn.
Dat proberen we natuurlijk via die werkgroepen
zo veel mogelijk te vermijden, zodanig dat je dus geen conflicten krijgt
zoals we dat de laatste jaren weleens hebben meegemaakt.
Wat je daar ook bij ziet: je hebt niet alleen de NIS-2,
maar parallel daaraan is ook een andere directive die van kracht wordt.
Dat heet de SES.
In Nederland wordt dat 'veerkracht essentiële entiteiten'.
En die schrijft voor dat als uitval als gevolg van een cyberincident
grensoverschrijdende effecten heeft, er ook een Europese ISAC moet komen.
Dus dan moet je ook over de landen heen gaan samenwerken per sector.
Dat zie je bijvoorbeeld bij het spoor, daar wordt dat inmiddels gedaan.
En ook die ISACs worden nu opgericht als onderdeel van de SES,
zoals de richtlijn dan heet.
Maar ook daar zie je dus ook dat er een sparring ontstaat
voor Europese bodies die met regelgeving aan de slag gaan.
Dan kun je dus ook een collectief tegenover je hebben
waar je die dialoog mee aangaat.
Nou ja, en je gaat ook straks de situatie krijgen
dat je geordend bent en een statement of conformity
graag ook over de grens zou willen laten gelden natuurlijk.
Dan toch even een vraag van de kijkers speciaal aan Remy.
Welke eisen/kaders/richtlijnen die in België worden gehanteerd
adviseer je aan Nederland om ook te gaan toepassen?
Dus wat kunnen wij van de Belgen leren?
Da's een moeilijke.
Dan moet je eigenlijk zeggen: Brenno, heb je nog twee dagen?

KNECHT LACHT

KNECHT: Nee, ik denk...
Om het niet heel specifiek, maar generiek te houden:
Nederland heeft af en toe weleens de neiging om bovenop het Europese kader
nog wat Nederland-specifieke zaken te gaan implementeren.
En dat maakt het juist moeilijk om die alignment te hebben
over de verschillende landen heen.
Die kaders zijn goed uitgedokterd, die zijn ook Europees afgestemd.
Er zijn ook voor bijvoorbeeld de trust services, de vertrouwensdiensten,
is er in principe een Europese certificatie
en toch zien we daar dat er soms tussen supervisor en bodies
tussen Nederland en België bijvoorbeeld,
dat er daar andere interpretaties aan worden gegeven,
omdat er lokaal toch nog additionele requirements worden opgelegd.
En is dat Nederland vooral als land of zie je dat vooral de industrie dat doet?
Want mij valt weleens op dat die industrie vaak toch in Nederland
soms wil roepen dat dingen magie zijn.
Ja, het wordt natuurlijk... Het ene beïnvloedt het andere, hè.
De industrie staat niet los van de wetgevende overheid.
Er wordt natuurlijk ook geconsulteerd tussen mekaar
en om een voorbeeldje te geven, bijvoorbeeld in de WDO:
Daar is nu, en dat komt niet uit het Europese kader van eIDAS,
komt er het topic rond 'moet er een code open source zijn
voor een digitale identiteit die dan erkend is in Nederland'.
Daar zijn heel veel vragen rond van: is dat veiliger of niet veiliger?
Als je kijkt naar het Love for J-verhaal. Dat was open source.
Is dat nou veiliger of maakt het het systeem niet veiliger?
Dus dat zijn van die topics, die worden er aan toegevoegd
en die maken het soms wat moeilijker.
Ja, vanuit Connect2Trust, al onze deelnemers zijn Europees of wereldwijd:
Als er één ding is wat Nederland anders maakt dan veel andere Europese landen,
is dat we in Nederland, en de mensen van de Rijksoverheid zullen deze kennen,
is het Huis van Thorbecke.
Nederland maakt een onderscheid tussen nationale en economische veiligheid
en dat wordt bij heel veel landen onder één ministerie geschaard.
In Nederland zijn dat er twee en dat blijven er ook twee.
Dus ook al gaat het Digital Trust Center naar het NCSC,
Economische Zaken blijft het verantwoordelijk ministerie
voor Ondernemend Nederland.
Dus aan de beleidskant, inrichtingskant, invulling van een zorgplicht
blijf je dus eigenlijk door het Huis van Thorbecke altijd twee ministeries houden
waar veel organisaties soms zelfs aan allebei moeten rapporteren.
Ook daar merk je wel dat Nederland
in die zin zich wat ingewikkelder heeft ingericht dan België,
waar dat bijvoorbeeld bij één publieke autoriteit te vinden.
Bij jullie in België valt het toch ook onder algemene zaken?
Welk deel?
-Het cybersecurity-gedeelte.
Cybersecurity valt onder het kabinet van de eerste minister
en dat is het CCB die daarvoor verantwoordelijk is,
dus die zal ook voor NIS-2 volledig alle taken op zich nemen.
Het is dus echt chefsache bij jullie.
-Ja.
Dan een hele gemene vraag voor jullie beiden.
'Als jullie een cijfer kunnen geven hoe we er nu voor staan
op cybersecurity-gebied, je mag 'm van mij ook op weerbaarheid gooien, hoor,
welk cijfer geven jullie dan?
Kortom, moeten wij ons als publieke sector zorgen maken?
Nou weet ik niet of zorgen maken altijd een goed idee is,
maar wie mag ik 'm het eerst geven?
Ik zou het een...
Een zesje.
Ik denk dat Nederland het goed doet
als het gaat om de preventieve kant,
maar ik sluit me ook wel heel erg aan op het rapport
van de WRR van een jaar of twee geleden, digitale ontwrichting.
Of we erkennen dat het ook mis kan gaan
en we daarop voorbereid zijn, is een tweede.
De kernvraag die ik vaak stel als ik te maken heb met raden van bestuur
of bestuurlijke gremia van overheden:
dat noemen ze 'residual risk', dus een cyberstrategie hebben is goed,
maar formuleren tegen welke risico's je niet weerbaar bent,
is een stap die vaak wordt overgeslagen
en eigenlijk degene die je juist moet doen, want dat maakt je bewust
dat het toch altijd kan gebeuren.
Remy?
Ja, ik denk inderdaad dat ik me wel kan vinden in een zes.
Ik denk dat er goede stappen worden gezet in de juiste richting,
maar dat we in de implementatie nog niet ver genoeg staan
en dan ook de bewustwording inderdaad dat dit geen proces is
waar je op het einde zegt: nu heb ik m'n certificaatje en we zijn klaar.
Dit is een continu proces wat we moeten doormaken
en omdat, zoals we gezegd hebben,
zowel de techniek als de dreigingen blijven aan een snel tempo evolueren
en zorgen dat we daar in die mindset blijven nadenken
over wat nieuwe dreigingen zijn, hoe we met nieuwe technologie omgaan.
Dat blijft belangrijk, om daarin te investeren
in zowel mensen als wetgeving.
Wat ik ten aanzien van het cijfer misschien nog wel
een interessantere constatering vind:
Ik heb de jaartallen laten zien. Als we dan kijken naar het eerste moment
dat Nederland z'n nationale cyberstrategie heeft uitgebracht,
dan is dat een behoorlijke tijd geleden. We hebben nu nummer 3.
Als ik Nederland een cijfer zou mogen geven:
toen de eerste nationale cyberstrategie uitkwam, was dat een zeven of hoger.
Ik heb wel het idee dat Nederland door z'n structuur,
door z'n bestuurlijke inrichting, door dingen overlaten aan de markt
op dit moment in cijfer naar achter gaat
en ik hoop dat met de nieuwe NLCS de Nederlandse cyberstrategie
en de NIS-2 er een soort vlucht naar voren wordt genomen.
Grappig. Ik heb zelf juist het beeld
dat ik steeds vaker ook bijvoorbeeld burgemeesters tegenkom
die zich juist proberen eigenaar te maken van de problematiek,
dat veiligheidsregio's erover aan het nadenken zijn.
Dus ik zie wel bewegingen in de goede richting.
Aan de ene kant zie je Europa een soort van trekkende werking hebben,
aan de andere kant zie je de maatschappij.
Dat geldt voor de Connect2Trust-deelnemers,
maar ook de cyberburgemeesters.
Die zie je allemaal vragen om 'we willen meer'.
We willen niet meer regels, maar we willen meer,
wat wij noemen 'handelingsperspectief' en wat wij proberen bij Connect2Trust is:
Handelingsperspectief geven is een start,
ze helpen naar een handeling is de werkelijke uitdaging daarna.
Ik denk ook dat op het vlak
van de samenwerking tussen de publieke en private sector
er nog belangrijke stappen kunnen gezet worden.
Ik denk dat dat in andere landen bijvoorbeeld al meer ontwikkeld is,
want je ziet dat de private sector dikwijls in hun eigen sector
dreigingen zien die de overheid niet ziet.
Maar je hebt ook law enforcement nodig die kan acteren,
wat de private sector niet kan. Dus ik denk dat die verbinding
tussen publieke en private sector ook heel belangrijk blijft.
Dat is ook een ingewikkelde inderdaad. Afrondend ga ik even iets gemeens doen.
Raymond, wat is nou wat jou betreft
de les die we moeten meenemen uit het verhaal van Remy?
Wat mij betreft: vind niet iedere keer zelf het wiel uit
door te denken: je bent uniek.
Kijk vooral ook over de grens, ook naar België.
Het is geen strijd, er is daar te leren van elkaar
en dat gaat sneller dan het zelf opnieuw bedenken.
Samen is ook veel toffer natuurlijk.
Remy, wat is voor jou de grote les uit het verhaal van Raymond
wat jij mee naar huis neemt?
Ik denk het feit dat we continu
aan risicomanagement moeten blijven doen
en dan kijken naar maar wat hij net noemt het residual risk.
Waar zijn we nou niet tegen bestand?
En ook beseffen dat de NIS-2 niet zomaar een verplichting is,
maar dat het een tool is die ons moet helpen om ons weerbaarder te maken,
dus ga ermee aan de slag.
Ja. En dan neem ik zelf mee van jullie allebei dat eigenlijk
deze regelgeving en 't risicomanagement ook een enorme kans is
om nu eens een keer niet in de brandweermodus te blijven hangen,
maar juist die sprong naar voren te maken.
Dan wil ik eigenlijk iedereen bedanken voor het kijken.
Zeker veel dank voor Remy Knecht en Raymond Bierens
voor jullie bijdrage vandaag.
En nogmaals: deze sessie is mogelijk gemaakt door RADIO en INSPIR8ION.
Bedankt voor het kijken en graag tot de volgende aflevering.