Geachte dames en heren,
Er zijn veel ontwikkelingen die gericht zijn op het vergroten van de cyberweerbaarheid. Dat is goed nieuws want 1 op de 5 bedrijven wordt jaarlijks getroffen door cybercriminelen. Cybercrime leidt tot miljoenen euro's aan schade bij burgers en bedrijven.
Vanuit VNO-NCW en MKB-Nederland willen wij u graag een aantal punten meegeven voor het commissiedebat Online Veiligheid en Cybersecurity van 11 april aanstaande om die inzet cyberweerbaarheid te versterken:
- Verbeter informatiedeling over dreigingen en kwetsbaarheden
- Maak snel de implicaties uitstel implementatie van de NIS2-Richtlijn duidelijk
- Geef zicht op regeldruk (mkb-)bedrijfsleven
- Versterk opsporing en vervolging van cybercrime
- Ondersteun het mkb met concrete handelingsperspectieven, ook gericht op oefenen
Ad 1. Verbeter informatiedeling over dreigingen en kwetsbaarheden
De integratie van het Nationaal Cyber Security Centrum (NCSC) met het Digital Trust Center (DTC) en Computer Security Incident Response Team voor digitale dienstverleners (CSIRT DSP) is volgens VNO-NCW en MKB-Nederland een zeer goede ontwikkeling. Deze stap draagt bij aan het tegengaan van versnippering binnen cybersecurityland en zorgt voor meer kennisbundeling. We zien echter nog ruimte voor verdere verbetering in de publiek-private samenwerking:
- Tegengaan versnippering:
Er zijn nu nog te veel departementen, organisaties en initiatieven, die - met de beste bedoelingen - bezig zijn met het versterken van de cyberweerbaarheid. Vaak werken ze echter langs elkaar heen. Heldere prioriteitstelling door J&V, een integrale aanpak en het noodzakelijke tempo in de uitvoering ontbreekt.
- Informatiedeling aan bedrijven prioriteren:
Informatie over dreigingen en kwetsbaarheden moeten structureel en tijdig met álle bedrijven en/of hun dienstverleners worden gedeeld, zodat zij maatregelen kunnen nemen om hun cyberweerbaarheid te versterken.
- Bedrijven die niet behoren tot de vitale infrastructuur:
Voor bedrijven waar de cyberkennis ontbreekt, moet deze informatie worden vergezeld van een advies wat te doen. Het DTC is gestart met het gevraagd en ongevraagd informeren van bedrijven die niet behoren tot de zogenaamde vitale infrastructuur. Het bedrijfsleven is verheugd dat de wettelijke verankering hiervoor die vastgelegd is in de Wet Bevordering Digitale Weerbaarheid Bedrijven recent in uw Kamer is aangenomen. Echter dit gebeurt nog slechts op zeer kleine schaal. Een snelle uitbreiding van deze dienstverlening bij het DTC is noodzakelijk.
- Bedrijven die behoren tot vitale infrastructuur:
Het NCSC voorziet deze bedrijven van informatie. Deze bestaat nu nog uit openbare informatie, die bedrijven vaak al ontvangen uit andere bronnen of via commerciële dienstverleners. Vitale aanbieders hebben behoefte aan snelle, liefst zo specifiek mogelijke dreigingsinformatie en inlichtingeninformatie en duiding. Juist deze informatie is noodzakelijk om bedrijven in staat te stellen invulling te geven aan hun verantwoordelijkheid en tijdig de nodige maatregelen te treffen teneinde de continuïteit van de vitale dienst te borgen. Gelukkig wordt gewerkt aan het realiseren van zgn. 'trusted channels' waarlangs structureel geclassificeerde (dreigings)informatie door inlichtingendiensten met vitale sectoren gedeeld kan worden. Het tempo van deze realisatie laat echter te wensen over.
Ad 2. Maak snel de implicaties uitstel implementatie van de NIS2 duidelijk
VNO-NCW en MKB-Nederland zien de NIS2-richtlijn en CER-richtlijn als belangrijke wetgeving om de digitale weerbaarheid van Europa te vergroten. Wij betreuren het daarom dat de minister van Justitie en Veiligheid heeft aangegeven dat de deadline voor het implementeren van de richtlijnen in Nederlandse wetgeving, 17 oktober, niet wordt gehaald. Uiteraard zijn we van mening dat een goede wet beter is dan een snelle wet. Ook zijn we van mening dat het uitstel organisaties niet ontslaat om nu al aan de slag te gaan met het vergroten van hun digitale weerbaarheid. Wij zijn samen met verschillende overheidsonderdelen pro-actief in de weer om het bewustzijn en de implicaties van de NIS2 in samenwerking met branche-organisaties te vergroten. Echter met het uitstel ontstaat er ook veel onduidelijkheid voor bedrijven. Zo is nu nog niet duidelijk wat het uitstel betekent voor (de rechten en plichten van) de organisaties die per 17 oktober pas onder de richtlijn komen te vallen. Ook is bijvoorbeeld nog niet helder hoe bedrijven die in meerdere Europese landen een vestiging hebben moeten omgaan met hun meld- en zorgplicht richting de Nederlandse toezichthouders in de tussenliggende periode.
Daarnaast zien we dat er vanuit verschillende overheidsonderdelen actief de samenwerking wordt gezocht met private partijen, waaronder de onze. Vanuit deze samenwerking is onder andere de NIS2-quickscan tot stand gekomen. VNO-NCW en MKB-Nederland vinden het belangrijk dat deze scan niet alleen verder wordt doorontwikkeld, maar ook voor alle sectoren die straks onder de NIS2 vallen herkenbaar is.
Ad 3. Geef zicht op regeldruk (mkb-)bedrijfsleven in relatie tot Europese wet- en regelgeving
De ambitie van de Europese Commissie van wet- en regelgeving op het gebied van cybersecurity is zichtbaar: CRA. CSA, NIS2, DORA en de RED zijn enkele voorbeelden. Bij veel van deze wetten en regels komt ook veel regeldruk. VNO-NCW en MKB-Nederland zien van veel van deze wetten en regels de meerwaarde in: Europa is kwetsbaar en de cyberweerbaarheid moet in de hele Europese Unie naar een hoger niveau. Echter, wij zijn wel van mening dat de impact van al deze wetten en regels en de toename van certificeringseisen de regeldruk op het (mkb-) bedrijfsleven sterk doet toenemen. Bij de invoering van deze EU-regels in Nederland is het van belang ervoor te zorgen dat de regeldruk voor (mkb-)ondernemers tot een minimum beperkt blijft. VNO-NCW en MKB-Nederland zouden graag zien dat EZK en J&V een ronde tafel organiseren om van het bedrijfsleven te horen wat de impact is van deze wetten en regels op het (mkb-)bedrijfsleven.
Ad 4. Versterk opsporing en vervolging van cybercrime, ook internationaal
Cybercriminaliteit raakt het brede bedrijfsleven. Ruim tweeduizend bedrijven met minstens twee werkzame personen zijn in 2021 slachtoffer geworden van afpersing met behulp van gijzelsoftware (ransomware), aldus het CBS in 2023.¹ Deze cijfers zijn alleen maar toegenomen in de afgelopen jaren. Preventie zonder repressie is een tandeloze tijger. De kennis, capaciteit en prioritering bij politie, OM en rechterlijke macht schiet tekort om hier daadwerkelijk een vuist te maken.² Aangifte is omslachtig en de afhandeling wordt door ondernemers als ontoereikend ervaren. Dit ontmoedigt bedrijven om aangifte te doen. VNO-NCW en MKB-Nederland zouden graag zien dat meer prioriteit wordt gegeven aan de versterking van de cyberkennis en -capaciteit van politie en justitie, als ook aan de (internationale) aanpak van cybercriminaliteit.
Ad 5. Ondersteun het mkb met concrete handelingsperspectieven, ook gericht op oefenen
Helaas ontbreekt nog bij te veel mkb'ers het gevoel van urgentie om cyberweerbaarheids-maatregelen te nemen. Bovendien wordt cybersecurity ervaren als complex en beschikken zij veelal niet over voldoende kennis en geschoold personeel om zich weerbaar te maken tegen de cyberdreigingen. Daarom zijn wij ook, met hulp van de ministeries van J&V en EZK, gestart met het project Samen Digitaal Veilig (SDV) van MKB-Nederland. SDV ondersteunt bedrijven bij het zetten van de eerste stappen op het vlak van digitale veiligheid.
Met name rondom het vraagstuk van 'oefenen' vragen wij aandacht. Ondanks alle voorzorgsmaatregelen zullen cyberincidenten altijd blijven voorkomen, 100% veiligheid bestaat nu eenmaal niet. Het is daarom van belang de weerbaarheid te versterken waarbij de focus niet alleen ligt op preventie, maar ook op respons en herstel in geval een incident zich voordoet. Nederland oefent beperkt op digitale uitval, zeker bij mkb-bedrijven en hun (digitale) ketens.
Ik hoop u hiermee voldoende te hebben geïnformeerd. Mocht u nog vragen hebben, dan kunt u contact opnemen met beleidssecretaris Karijn van Doorne van VNO-NCW en MKB-Nederland.
Met vriendelijke groet,
Mw drs. I.C. Linthorst
Directeur Beleid
Geachte dames en heren,
Er zijn veel ontwikkelingen die gericht zijn op het vergroten van de cyberweerbaarheid. Dat is goed nieuws want 1 op de 5 bedrijven wordt jaarlijks getroffen door cybercriminelen. Cybercrime leidt tot miljoenen euro's aan schade bij burgers en bedrijven.
Vanuit VNO-NCW en MKB-Nederland willen wij u graag een aantal punten meegeven voor het commissiedebat Online Veiligheid en Cybersecurity van 11 april aanstaande om die inzet cyberweerbaarheid te versterken:
Ad 1. Verbeter informatiedeling over dreigingen en kwetsbaarheden
De integratie van het Nationaal Cyber Security Centrum (NCSC) met het Digital Trust Center (DTC) en Computer Security Incident Response Team voor digitale dienstverleners (CSIRT DSP) is volgens VNO-NCW en MKB-Nederland een zeer goede ontwikkeling. Deze stap draagt bij aan het tegengaan van versnippering binnen cybersecurityland en zorgt voor meer kennisbundeling. We zien echter nog ruimte voor verdere verbetering in de publiek-private samenwerking:
Er zijn nu nog te veel departementen, organisaties en initiatieven, die - met de beste bedoelingen - bezig zijn met het versterken van de cyberweerbaarheid. Vaak werken ze echter langs elkaar heen. Heldere prioriteitstelling door J&V, een integrale aanpak en het noodzakelijke tempo in de uitvoering ontbreekt.
Informatie over dreigingen en kwetsbaarheden moeten structureel en tijdig met álle bedrijven en/of hun dienstverleners worden gedeeld, zodat zij maatregelen kunnen nemen om hun cyberweerbaarheid te versterken.
Voor bedrijven waar de cyberkennis ontbreekt, moet deze informatie worden vergezeld van een advies wat te doen. Het DTC is gestart met het gevraagd en ongevraagd informeren van bedrijven die niet behoren tot de zogenaamde vitale infrastructuur. Het bedrijfsleven is verheugd dat de wettelijke verankering hiervoor die vastgelegd is in de Wet Bevordering Digitale Weerbaarheid Bedrijven recent in uw Kamer is aangenomen. Echter dit gebeurt nog slechts op zeer kleine schaal. Een snelle uitbreiding van deze dienstverlening bij het DTC is noodzakelijk.
Het NCSC voorziet deze bedrijven van informatie. Deze bestaat nu nog uit openbare informatie, die bedrijven vaak al ontvangen uit andere bronnen of via commerciële dienstverleners. Vitale aanbieders hebben behoefte aan snelle, liefst zo specifiek mogelijke dreigingsinformatie en inlichtingeninformatie en duiding. Juist deze informatie is noodzakelijk om bedrijven in staat te stellen invulling te geven aan hun verantwoordelijkheid en tijdig de nodige maatregelen te treffen teneinde de continuïteit van de vitale dienst te borgen. Gelukkig wordt gewerkt aan het realiseren van zgn. 'trusted channels' waarlangs structureel geclassificeerde (dreigings)informatie door inlichtingendiensten met vitale sectoren gedeeld kan worden. Het tempo van deze realisatie laat echter te wensen over.
Ad 2. Maak snel de implicaties uitstel implementatie van de NIS2 duidelijk
VNO-NCW en MKB-Nederland zien de NIS2-richtlijn en CER-richtlijn als belangrijke wetgeving om de digitale weerbaarheid van Europa te vergroten. Wij betreuren het daarom dat de minister van Justitie en Veiligheid heeft aangegeven dat de deadline voor het implementeren van de richtlijnen in Nederlandse wetgeving, 17 oktober, niet wordt gehaald. Uiteraard zijn we van mening dat een goede wet beter is dan een snelle wet. Ook zijn we van mening dat het uitstel organisaties niet ontslaat om nu al aan de slag te gaan met het vergroten van hun digitale weerbaarheid. Wij zijn samen met verschillende overheidsonderdelen pro-actief in de weer om het bewustzijn en de implicaties van de NIS2 in samenwerking met branche-organisaties te vergroten. Echter met het uitstel ontstaat er ook veel onduidelijkheid voor bedrijven. Zo is nu nog niet duidelijk wat het uitstel betekent voor (de rechten en plichten van) de organisaties die per 17 oktober pas onder de richtlijn komen te vallen. Ook is bijvoorbeeld nog niet helder hoe bedrijven die in meerdere Europese landen een vestiging hebben moeten omgaan met hun meld- en zorgplicht richting de Nederlandse toezichthouders in de tussenliggende periode.
Daarnaast zien we dat er vanuit verschillende overheidsonderdelen actief de samenwerking wordt gezocht met private partijen, waaronder de onze. Vanuit deze samenwerking is onder andere de NIS2-quickscan tot stand gekomen. VNO-NCW en MKB-Nederland vinden het belangrijk dat deze scan niet alleen verder wordt doorontwikkeld, maar ook voor alle sectoren die straks onder de NIS2 vallen herkenbaar is.
Ad 3. Geef zicht op regeldruk (mkb-)bedrijfsleven in relatie tot Europese wet- en regelgeving
De ambitie van de Europese Commissie van wet- en regelgeving op het gebied van cybersecurity is zichtbaar: CRA. CSA, NIS2, DORA en de RED zijn enkele voorbeelden. Bij veel van deze wetten en regels komt ook veel regeldruk. VNO-NCW en MKB-Nederland zien van veel van deze wetten en regels de meerwaarde in: Europa is kwetsbaar en de cyberweerbaarheid moet in de hele Europese Unie naar een hoger niveau. Echter, wij zijn wel van mening dat de impact van al deze wetten en regels en de toename van certificeringseisen de regeldruk op het (mkb-) bedrijfsleven sterk doet toenemen. Bij de invoering van deze EU-regels in Nederland is het van belang ervoor te zorgen dat de regeldruk voor (mkb-)ondernemers tot een minimum beperkt blijft. VNO-NCW en MKB-Nederland zouden graag zien dat EZK en J&V een ronde tafel organiseren om van het bedrijfsleven te horen wat de impact is van deze wetten en regels op het (mkb-)bedrijfsleven.
Ad 4. Versterk opsporing en vervolging van cybercrime, ook internationaal
Cybercriminaliteit raakt het brede bedrijfsleven. Ruim tweeduizend bedrijven met minstens twee werkzame personen zijn in 2021 slachtoffer geworden van afpersing met behulp van gijzelsoftware (ransomware), aldus het CBS in 2023.¹ Deze cijfers zijn alleen maar toegenomen in de afgelopen jaren. Preventie zonder repressie is een tandeloze tijger. De kennis, capaciteit en prioritering bij politie, OM en rechterlijke macht schiet tekort om hier daadwerkelijk een vuist te maken.² Aangifte is omslachtig en de afhandeling wordt door ondernemers als ontoereikend ervaren. Dit ontmoedigt bedrijven om aangifte te doen. VNO-NCW en MKB-Nederland zouden graag zien dat meer prioriteit wordt gegeven aan de versterking van de cyberkennis en -capaciteit van politie en justitie, als ook aan de (internationale) aanpak van cybercriminaliteit.
Ad 5. Ondersteun het mkb met concrete handelingsperspectieven, ook gericht op oefenen
Helaas ontbreekt nog bij te veel mkb'ers het gevoel van urgentie om cyberweerbaarheids-maatregelen te nemen. Bovendien wordt cybersecurity ervaren als complex en beschikken zij veelal niet over voldoende kennis en geschoold personeel om zich weerbaar te maken tegen de cyberdreigingen. Daarom zijn wij ook, met hulp van de ministeries van J&V en EZK, gestart met het project Samen Digitaal Veilig (SDV) van MKB-Nederland. SDV ondersteunt bedrijven bij het zetten van de eerste stappen op het vlak van digitale veiligheid.
Met name rondom het vraagstuk van 'oefenen' vragen wij aandacht. Ondanks alle voorzorgsmaatregelen zullen cyberincidenten altijd blijven voorkomen, 100% veiligheid bestaat nu eenmaal niet. Het is daarom van belang de weerbaarheid te versterken waarbij de focus niet alleen ligt op preventie, maar ook op respons en herstel in geval een incident zich voordoet. Nederland oefent beperkt op digitale uitval, zeker bij mkb-bedrijven en hun (digitale) ketens.
Ik hoop u hiermee voldoende te hebben geïnformeerd. Mocht u nog vragen hebben, dan kunt u contact opnemen met beleidssecretaris Karijn van Doorne van VNO-NCW en MKB-Nederland.
Met vriendelijke groet,
Mw drs. I.C. Linthorst
Directeur Beleid
² https://www.rijksoverheid.nl/documenten/rapporten/2024/03/11/tk-bijlage-...