Cybersecurity aan de formatietafel - verslag van live debat Tweede Kamerleden
Dijken en waterkeringen zorgen ervoor dat we droge voeten houden. Maar houden we ook digitaal droge voeten? Herna Verhagen, de Cyber Security Raad (CSR) en ECP | Platform voor de InformatieSamenleving hebben een live debat over cybersecurity georganiseerd met Tweede Kamerleden Kees Verhoeven (D66), Mustafa Amhaouch (CDA) en Sven Koopmans (VVD), onder leiding van moderator Roelof Hemmen.
“Een rapport op zichzelf doet niet zoveel. Ik wil een beweging op gang brengen.” Dat zegt Herna Verhagen, CEO PostNL en auteur van het rapport ‘De economische en maatschappelijke noodzaak van meer cybersecurity – Nederland digitaal droge voeten’. Sinds de overhandiging van het rapport aan minister-president Rutte in oktober 2016, is er volgens Verhagen veel gebeurd. Diverse voorbeelden van hacks en lekken laten zien dat digitale veiligheid gestimuleerd moet worden in Nederland. “Uit allerlei onderzoeken blijkt dat ons intellectueel eigendom al is gestolen voordat we het als bedrijfsleven zelf door hebben.” Daarnaast draaien samenleving en bedrijven op IT en data. “Doen we niets aan cybersecurity, dan laten we economische kansen liggen.” Verhagen pleit ervoor dat cybersecurity in het regeerakkoord wordt openomen. Daarbij moet helder zijn waar de verantwoordelijkheid hiervoor binnen de overheid ligt en welk budget beschikbaar is. Een hoge functionaris met doorzettingsmacht zou moeten rapporteren aan een onderraad.
Politieke prioriteit voor cybersecurity
Verhoeven is het meer eens dan oneens met de stelling dat er te weinig prioriteit aan cybersecurity wordt gegeven in de Tweede Kamer. “Het is hightech, ingewikkeld en onzichtbaar, maar er begint verandering te komen.” Koopmans stelt dat de VVD een prominente plaats heeft gegeven aan cybersecurity in het verkiezingsprogramma, inclusief extra budget. Amhaouch ziet dat de Tweede Kamer nog te veel op afstand staat als het gaat om de digitale infrastructuur van Nederland en het vertrouwen van de burger dat daarmee gemoeid is. “Vaak moet er iets ergs gebeuren, voordat je aandacht krijgt”, stelt Verhagen. “Dat is het lastige van dit onderwerp. Maar als je economische kansen wilt benutten, dan zal je als politiek toch echt wat moeten gaan doen.” Koopmans deelt dit met Verhagen, maar cybersecurity is volgens hem ook een veiligheidsnoodzaak. Dat vraagt om maatschappelijk debat. “Hoe willen we met elkaar omgaan en hoe willen we onze samenleving inrichten?” Amhaouch voegt daar ‘ownership’ aan toe: “Het moet duidelijk zijn wie verantwoordelijk is en welke middelen hij heeft om daadwerkelijk iets voor elkaar te krijgen op het gebied van cybersecurity.” Volgens AIVD-directeur Rob Bertholee, tevens lid van de Cyber Security Raad, moeten de politici gaan wennen aan het feit dat cybersecurity honderden miljoenen gaat kosten. “Cybersecurity grijpt in op alle aspecten van onze samenleving. Onveiligheid, onrust en het verdwijnen van verdienvermogen zorgt voor een neerwaartse spiraal. Er zijn meer investeringen nodig dan nu wordt gedacht.”
Publiek-private samenwerking
Op de stelling of de politiek aan zet is om een volgende stap te maken in het verhogen van het cybersecurityniveau in Nederland, antwoordt Koopmans bevestigend. Wel stelt hij dat de zaal ook een bijdrage moet leveren. “Het kan niet zo zijn dat u gerust naar huis gaat, omdat de politiek het wel gaat oplossen. Iedereen heeft een verantwoordelijkheid.” Verhoeven signaleert dat nieuwe technologieën nieuwe dilemma’s en vraagstukken met zich meebrengen, waar de politiek een antwoord op moet formuleren.” Volgens Ron de Mos, lid van de Cyber Security Raad, is meer coördinatie nodig om Nederland op een hoger digitaal veiligheidsniveau te krijgen. “Dat is aan de politiek en overheid.” Dat laat volgens hem onverlet dat het bedrijfsleven ook een been bij moet trekken en security-by-design standaard moet gaan toepassen. Amhaouch stelt dat politiek, overheid en bedrijfsleven meer moeten samenwerken. Ook Koopmans ziet dat dit nodig is. “Het is niet zo dat de overheid nu alles moet gaan oplossen. De verantwoordelijkheid voor veilige producten ligt bij het bedrijfsleven.” Lokke Moerel, lid van de Cyber Security Raad, wijst op de recent verschenen handreiking ‘Ieder bedrijf heeft zorgplichten’. Hierin staat dat onder de huidige wetgeving bedrijven – en overheden – aansprakelijk zijn en verplicht zijn een digitaal veilige dienstverlening aan te bieden.
Onderwerp voor regeerakkoord
De verantwoordelijkheid voor cybersecurity zou volgens Koopmans belegd moeten worden bij een minister die bevoegdheid, geld en daadkracht heeft. Verhoeven vindt één minister gevaarlijk, omdat het dan een ‘inkoopministertje’ wordt die zonder daadkracht achter andere ministers gaat aanrennen. “Een functionaris vind ik te soft, die krijgt niets voor elkaar. Ik vind het idee van Verhagen om het te beleggen bij een onderraad een goede.” Zo’n onderraad bestaat uit meerdere ministers en een bewindspersoon die coördineert. Zij brengen het onderwerp goed voorbereid in de ministerraad, zodat goed gecoördineerde besluiten genomen kunnen worden. Amhaouch benadrukt vooral dat het ‘ownership’ goed belegd moet worden. “Er lopen allerlei losse projecten binnen de overheid, zonder een samenhangende visie. Of het nu een onderraad of een minister wordt, in ieder geval moet samenhang aangebracht worden en er moet daadkrachtig gewerkt worden aan een hoger cybersecurityniveau.” Alle drie politici vinden het onderwerp cybersecurity zo belangrijk, dat zij hun collega’s aan de formatietafel extra zullen wijzen op het belang van dit onderwerp als onderdeel in het regeerakkoord.