Matthijs van Amelsfort, directeur NCSC: ‘Weerbaarheid vergt samenwerking, geen concurrentie op veiligheid’

Matthijs van Amelsfort, directeur NCSC. 

Het is een druk jaar geweest, erkent Van Amelsfort, die zijn sporen onder meer verdiend heeft bij de Nederlandse Politie. “Elke maand die voorbijgaat, zijn we weer een stap verder in het bouwen aan onze nieuwe organisatie, aan het implementeren van nieuwe wetten. Er gebeurt bovendien heel veel op het gebied van cybersecurity. De wereld verandert snel op geopolitiek gebied, met zijn eigen impact op cybersecurity en -weerbaarheid.”

Een deel van de veranderingen is gepland, zoals de uitbreiding van het NCSC (zie ook kader onderaan) in het kader van de invoering van NIS2 – de Cyberbeveiligingswet in Nederland. Daarnaast is er na eerdere samenwerking de fusie van CSIRT-DSP (nationale Computer Security Incident Response Team), DTC (Digital Trust Centre) en NCSC, om tot een overkoepelende organisatie te komen die voor heel de BV Nederland de cyber-weerbaarheid op peil moet houden. NCSC en CSIRT-DSP zijn begin 2025 samengegaan, januari 2026 volgt het DTC. De fusieorganisatie valt onder het ministerie van Justitie en Veiligheid en wordt samen met het ministerie van Economische Zaken bestuurd.

Brede range bedienen

“Ook al is de Cyberbeveiligingswet nog niet van kracht, wij moesten er wel mee aan de slag nadat de richtlijn NIS2 in oktober 2024 inging”, stelt Van Amelsfort. “Dat betekent dat we een brede range aan organisaties moeten bedienen, van 300 eerst naar 8.000-10.000 nu. Je krijgt ook een hele andere informatiepositie, die je kunt gebruiken om de weerbaarheid in Nederland te verhogen.”

Van Amelsfort benadrukt dat de fusie vooral volgt op veranderende omstandigheden, niet omdat de keuze voor drie organisaties voor diverse doelgroepen uiteindelijk niet effectief bleek. “De indeling in doelgroepen is niet onlogisch, je had voor elk toch een bepaald soort kennis nodig. Het DTC bediende het mkb, wij grote organisaties die kritieke diensten of infrastructuur boden, het CSIRT-DSP digitale dienstverleners.”

In een wereld waar cybergevaren veel complexer zijn geworden en vanuit elke hoek komen, was krachtenbundeling echter beter, vervolgt Van Amelsfort, “Ik denk dat we meer focus aanbrengen, het beste van drie werelden bij elkaar brengen. En voor een hacker of statelijke actor maakt het verschil in doelgroepen niet uit. Die heeft een bepaald doel, bijvoorbeeld geld of instabiliteit, en zoekt daar zijn doelwit en soort aanval bij.”

Samenwerking was er overigens al langer, stelt de NCSC-directeur. “Zo hebben we samen met het DTC de vijf basisprincipes voor cybersecurity vernieuwd en gecommuniceerd naar onze achterbannen. Hetzelfde geldt voor het notificeren van doelwitten en slachtoffers. Zo bereik je met gezamenlijk werk veel meer organisaties. Dat maakt ons werk krachtiger. Je hebt elkaars expertise ook steeds meer nodig in deze steeds complexere wereld. Het DTC heeft een enorme achterban en straks zijn we als fusieorganisatie verantwoordelijk voor die 2,4 miljoen organisaties.”

Nederland telt veel vaak overlappende samenwerkingsverbanden: regionaal, sectoraal et cetera. Kunnen jullie een rol spelen in het brengen van meer eenduidigheid in deze kluwen?

“Natuurlijk zijn het losstaande initiatieven, maar dat betekent niet dat het geen goede initiatieven zijn. Je kunt soms efficiënter werken door alles te bundelen, dat is wat onze krachtenbundeling beoogt. Maar al die samenwerkingsverbanden vormen ook een fijnmazige manier om je boodschap en kennis over te brengen die specifiek voor een sector of regio bedoeld is. Het is ook een van onze rollen als uitvoeringscoördinator (zie kader onderaan, red) om al die initiatieven aan elkaar te verbinden. Hier bouwen we ook aan via de ontwikkeling van een infrastructuur – het Landelijk Dekkend Stelsel, nu nog het Cyberweerbaarheidsnetwerk genoemd. Zo kan de informatiestroom naar beide kanten toe fijnmaziger op gang gehouden blijven.”

Cybercriminelen en statelijke actoren vloeien steeds meer in elkaar over. Hoe bestrijd je die ontwikkeling?

“Het helpt dat we met onze fusieorganisatie een beter en duidelijker beeld kunnen krijgen van de gevaren, dat we krachtiger kunnen reageren en sneller kunnen bepalen om wat voor soort actor het gaat: criminelen die opportunistisch te werk gaan, of statelijke actoren met een andere agenda. Dat weten en op basis hiervan een waarschuwing aanpassen is belangrijk.”

“Neem als voorbeeld de kwetsbaarheid in Citrix. Gaat het om een cybercrimineel, dan is alleen patchen misschien genoeg. Gaat het om een statelijke actor, dan moet je meer stappen zetten als organisatie, denk aan detectie en proactief monitoren van je systemen op deze specifieke dreiging. Het is onze taak om zowel te waarschuwen als te blijven monitoren hoe een kwetsbaarheid uitgenut wordt: in Nederland, Europa maar ook wereldwijd, zodat we zo nodig onze waarschuwingen, tips en adviezen kunnen aanpassen.”

Er wordt steeds meer gesproken over hybride oorlog en greyzone-tactieken. Is dit een extra component waarmee jullie je bezig moeten houden?

“Wij zien de greyzone-tactieken en hun impact op de samenleving, zoals DDOS-aanvallen voorafgaande en tijdens de NAVO-top. We hebben daarvoor gewaarschuwd en het bleek helaas bewaarheid te worden. Maar door dit vooraf te duiden, konden veel organisaties mitigerende maatregelen nemen die de impact van de aanvallen beperkten. En in aanloop naar de verkiezingen eind kun je hier een herhaling van zien. Het is dan aan ons om in kaart te brengen wat concrete aanvallen kunnen zijn, op wie, en welke kwetsbaarheden hiervoor gebruikt kunnen worden, om op basis hiervan met concrete waarschuwingen te komen, of websites die phishing-campagnes kunnen ondersteunen zo snel mogelijk uit de lucht halen.”

Hoe houden jullie je bezig met de groeiende gevaren van technologie zoals AI en quantum?

“Dat moet je onder meer zien in de voorlichtende sfeer. We schrijven actief mee aan white papers over gevaren van technologie zoals AI en kwantum computing. We hebben een eigen onderzoeksafdeling die inventariseert met welke technologie en trends en ontwikkelingen daaromheen we ons bezig moeten houden. We werken hierin samen met partners zoals Defensie en uit de universitaire wereld.”

“Het is wel zo dat elke technologie anders gebruikt kan worden dan waarvoor hij bedoeld is, bijvoorbeeld crimineel of voor oorlogsvoering – denk drones op het slagveld. We zullen daar ook op voorbereid moeten zijn. Je moet ook realistisch zijn over de impact. Als q-day komt, zal niet elke beveiliging overal wereldwijd meteen gebroken worden. Maar je moet er wel mee bezig zijn en nu al nadenken over tegenmaatregelen, zoals nu al kwantumtechnologie die al bestaat inzetten om quantum proof te worden.”

Organisaties vinden nieuwe wetten zoals Dora en NIS2 vaak lastig. Hoe gaan jullie hiermee om?

“Ik snap dat al die regels meer werk met zich meebrengen. Denk alleen al aan de registratieplicht in het kader van de Cyberbeveiligingswet (elke organisatie die onder de wet valt, moet zich bij het NCSC registreren, red.), de bestuurlijke aansprakelijkheid. Het brengt complexiteit met zich mee. Maar deze regels hebben ook een duidelijk doel. Niemand wil dat er data gestolen of gelekt wordt. Daar moet je niet alleen iets aan doen omdat een wet het van je eist. En als het niet gebeurt, zal er wetgeving komen om het af te dwingen. Bovendien komt deze regulering niet uit de lucht vallen, NIS 2 is bijvoorbeeld al jaren geleden aangekondigd. En voor ons is de Cyberveiligheidswet belangrijk om daadwerkelijk de informatie te krijgen en te verspreiden die we van organisaties nodig hebben om hen, hun sector en Nederland als geheel cyberweerbaarder te maken.”

Wat zijn de belangrijkste zaken om de komende jaren concreet op te pakken om Nederland zo cyberveilig en cyberweerbaar mogelijk te maken?

“We kunnen dit niet alleen doen, het vergt een goede en structurele samenwerking. Tussen publiek-privaat, tussen publiek-publiek. Bij dat tweede element denk ik bijvoorbeeld aan veiligheidsdiensten en politie. We zijn complementair aan elkaar, met een eigen taakstelling. Dan is het wel nodig dat we goed kúnnen samenwerken. Goed informatie kunnen en mogen delen is daarbij cruciaal om weerbaarheid te vergroten. Dat vergt vertrouwen in elkaar, checks & balances inbouwen, zodat we goed van elkaar weten hoe we met informatie van partners omgaan. Daar werken we nu hard aan. Voorop staat: weerbaarheid vergt samenwerking, geen concurrentie op veiligheid."

"Ook samenwerking met private partijen, zoals security-leveranciers, is belangrijk op dit gebied. We hebben allemaal een stukje van de puzzel, alleen samen kunnen we de puzzel leggen en een volledig beeld krijgen. Apart zie je misschien alleen een afwijking, samen kun je een trend zien. Ik wil het NCSC ook tot een echt datagedreven organisatie maken om alle informatie die we zelf en via partners binnenkrijgen zo optimaal mogelijk in te zetten. Daar komt ook de inzet van nieuwe technologie zoals AI weer om de hoek kijken, ook die kan helpend zijn om sneller tot de juiste informatie en inzichten te komen.”

Ben je een glas half vol of half leeg-mens?

In mijn vorige functies en huidige functie zag en zie ik vaak bepaald niet de meest positieve ontwikkelingen. Toch word ik daar niet somber van. Nieuwe technologie biedt ons als verdediger ook nieuwe, waardevolle mogelijkheden. Maar we moeten cybersecurity wel super serieus nemen om weerbaarheid te vergroten. We kunnen daar niet in verslappen, want het zal alleen maar complexer worden. Voorlopig zal mijn functie dan ook niet overbodig worden.”

4 rollen NCSC

Het vernieuwde Nationaal Cyber Security Centrum (NCSC) vervult vier hoofdfuncties: het is een nationaal CSIRT (computer security incident response team), een kennis- en adviescentrum, een uitvoeringscoördinator en een sectoraal CSIRT. Deze rollen zijn in het leven geroepen om de cyberweerbaarheid van Nederland te vergroten door middel van advisering, incidentrespons, en het delen van kennis en informatie.

Luister ook naar deze podcast-reeks van het NCSC: Enter, 'MKB onder digitaal vuur'.