Cyberweerbaarheid betekent ook ‘de schaamte voorbij’ zijn

Bovendien gaat Europese regulering gewoon door. Zo gaat de NIS2-richtlijn in de EU vanaf heel wat meer sectoren tot vitaal bestempelen, met alle gevolgen van dien voor hun securityniveau en hun zorg- en meldplicht. Op donderdag 21 september duikt ook branche-initiatief DCA (Dutch Security Assembly) in het Haagse Nieuwspoort dieper in de praktische impact van NIS2. Speciale aandacht gaat uit naar het probleem van 'schaamte' bij het melden van een datalek of cyberaanval. Er wordt onder meer gekeken naar de mogelijkheid van een landelijke campagne om ‘de schaamte voorbij’ te gaan.

Oproep tot duidelijke keuzes

Diverse branche- en andere organisaties hebben een volgend kabinet al opgeroepen om op het gebied van digitalisering duidelijke keuzes te maken en stappen te zetten. Daaronder NL Digital en CIO Platform Nederland. Zo bracht NL Digital eind juli zijn Verkiezingsmanifest 2023 uit, onder de naam: 'Digitale oplossingen voor grote uitdagingen'. Het collectief van bedrijven dat digitale transformatie faciliteert stipte 5 belangrijke thema's aan:

1. Arbeidsmarkttekort & ongelijke digitale vaardigheden.
2. Werk vanuit Europa aan globale uitdagingen als cybersecurity & AI.
3. Een solide infrastructuur is noodzakelijk voor digitale en duurzame transities.
4. Een toegankelijke digitale overheid met effectief toezicht.
5. Een sterke economie kan alleen met een goed ondernemingsklimaat.

In augustus volgde een vergelijkbaar manifest van CIO Platform Nederland. Met meer dan 130 van de grootste Nederlandse bedrijven, kennisinstellingen en overheidsorganisaties vormt CIO Platform Nederland (CIOPN) de grootste Nederlandse community van zakelijke gebruikers van digitale technologie. Nederlandse bedrijven en organisaties staan voor grote uitdagingen op het vlak van digitalisering en nieuwe technologieën, merkte directeur Ronald Verbeek van CIOPN terecht op. Dit vergt politieke aandacht en een stevige digitaliseringsparagraaf in elk verkiezingsprogramma.

1. CIO Platform Nederland ziet op deze gebieden vier prioriteiten:
   
   Beroepsbevolking van de toekomst – investeer in het opleiden van technisch personeel.
2. Cyberveiligheid en economische onafhankelijkheid – zorg voor alternatieven.
3. Voedingsbodem voor digitalisering – verbeter de marktwerking.
4. Geef Nederland een voorsprong in Europa en wereldwijd – prioriteer implementatie nieuwe wetgeving.

Zorgvuldige, heldere implementatie

In beide manifesten is een belangrijke rol voor beveiliging van digitale ontwikkelingen weggelegd. Bij NL Digital gaat het om ‘Werk vanuit Europa aan globale uitdagingen als cybersecurity & AI’:

De Europese Unie toont zich leidend op het vlak van regelgeving en vastleggen van waarden in technologische ontwikkeling, zo stelt NL Digital. ‘De invoering van de Avg liet zowel de voor- als nadelen hiervan zien. We stelden een wereldwijde standaard die innovatie op privacy aanjaagde, maar onduidelijkheden en onzekerheden in de wetgeving werkten verlammend. De EU laat op het vlak van cybersecurity en AI zien wederom deze voortrekkersrol te willen pakken. De grote wetten die er op dit vlak aankomen, maken zorgvuldige en heldere implementatie noodzakelijk. En daarbij ook begeleiding van organisaties. Hier moet de overheidsinzet dan ook op gericht worden.’

Europese alternatieven

Net zo duidelijk is CIOPN: ‘Nederland wil vooroplopen in het gebruik van digitale technologie. Echter, de afhankelijkheid van een handvol grote leveranciers van digitale technologie en daarvoor benodigde componenten maakt Nederland kwetsbaar. Kwetsbaar omdat het hacken van een veelgebruikte technologie, of het beperken van toegang tot dergelijke technologie, of daarvoor cruciale grondstoffen, direct impact heeft op veel Nederlandse bedrijven en organisaties en het functioneren van onze economie en samenleving.’

‘De Nederlandse overheid moet, in samenwerking met de EU, aansturen op het ontwikkelen van Europese technologieën die een realistisch alternatief vormen voor het aanbod op wereldniveau. Die technologie moet vanaf het ontwerpstadium veilig zijn, voldoen aan Europese wet- en regelgeving en bijdragen aan mensgerichte digitalisering. Ook moet worden geïnvesteerd in Europese leveranciers van clouddiensten, chips en schaarse aardmetalen om zo de afhankelijkheid van andere werelddelen te verminderen.’

NIS2 en schaamte

De Europese richtlijn NIS2 is een van de Europese initiatieven om los van welke beleidskeuzes het volgende kabinet maakt, onze cyberweerbaarheid te vergroten (en los natuurlijk van de Nederlandse initiatieven die er steeds meer zijn, zoals het DTC voor mkb-ondernemers, het NCSC voor vitale infrastructuren, of de Cybersecuritystrategie 2022-2028). NIS2 betekent voor veel meer bedrijven dat zij moeten nadenken over of hun cybersecurity afdoende is en betekent meer op het gebied van het melden van datalekken en cyberaanvallen.

Een groot probleem bij het melden van een lek of succesvolle aanval is echter de schaamte dat ‘het jou overkomen is’. Deze incidenten hebben niet alleen financiële gevolgen, maar kunnen ook diepgaande emotionele en reputatieschade met zich meebrengen. De in dit geval contraproductieve maar heftige emotie van schaamte is een aspect dat vaak over het hoofd wordt gezien, maar van groot belang is.

Niet of te laat melden van een incident uit schaamte kan vanaf 2024 nog veel vergaander gevolgen hebben, ook omdat de persoonlijke verantwoordelijkheid van CEO’s, CIO’s en andere security-leiders door onder meer NIS2 veel groter wordt. Maar daarnaast voorkomt het dat collega’s en concullega’s van jouw ervaring kunnen leren.

Zo vertelde Financieel directeur Marcel de Boer van Hoppenbrouwers Techniek vorig jaar december tijdens de Dutch IT Security Day van Dutch IT-channel & Dutch IT Leaders hoe zijn bedrijf juist door direct en snel actie te ondernemen, een ransomware-aanval snel te boven kwam. En in plaats van zich te schamen, heeft Hoppenbrouwers alle ervaringen uitgebreid gedeeld.

Omgang met cyberschaamte

De Dutch Cybersecurity Assembly heeft op donderdagmiddag 21 september in Nieuwspoort in het politieke hart van Den Haag een nieuwe bijeenkomst. De DCA bestaat uit leden die zich, onafhankelijk en gezamenlijk, inzetten voor het veiliger maken van Nederland. Vorig jaar ging een werkgroep van de DCA bijvoorbeeld aan de slag met hoe bedrijven zich op NIS2 voor kunnen bereiden.

Op 21 september staan de impact van NIS2 en de aanpak van (cyber)schaamte centraal. Security- en andere leiders gaan in Nieuwspoort onder andere in discussie over de mogelijkheid om een gerichte landelijke campagne in het leven te roepen die de problematiek van cyberschaamte moet aanpakken. Het doel is om uiterlijk begin 2024 met de campagne van start te gaan.

Wil je op 21 september meedenken, mail naar m.kregting@dutchitleaders.nl

Martijn Kregting
Hoofdredacteur Dutch IT Leaders