Foto Hollandse Hoogte - ANP Foto
De cyberweerbaarheid van 27 Europese lidstaten verbeteren is geen eenvoudige klus. Om de uitdagingen van de toekomst aan te gaan, moet je ambitieus zijn. “Er is genoeg strategie, maar de komende jaren draait het om executie, executie, executie”, zegt Bart Groothuis, Europarlementariër voor de VVD vanuit Brussel.
Snijvlak van geopolitiek en technologie
Groothuis werkt al bijna twee jaar in Brussel. “Ik houd mij bezig op het snijvlak van geopolitiek en technologie en dan specifiek over nieuwe dreigingen. Daarvoor was ik zeven jaar werkzaam bij Defensie als hoofd cybersecurity. In het parlement heb je iemand nodig die een wetgevingsdossier trekt en dat noem je een rapporteur. Op basis van de inhoud probeer ik dan een meerderheid te vinden. Die rol bevalt mij ook goed. Daar kan ik al mijn ideeën en expertise over cybersecurity in kwijt.”
Forse uitbreiding
Hij las de adviezen vanuit de Cyber Security Raad en negen van de tien zag hij ook terugkomen in de NIS2, de richtlijn voor cybersecurity vanuit Brussel. “De NIS2 is dus de richtlijn die straks wetgeving wordt in Nederland, maar ook in de andere 27 lidstaten. We hebben al wetgeving uit 2016, de NIS, maar die mankeert. Deze verschilt namelijk per land, waardoor je moet voldoen aan andere richtlijnen. De NIS2 is dus een update en deze is een stuk ambitieuzer. De vorige keer was er nog discussie of Europa hier überhaupt iets te zeggen had over cyberweerbaarheid. Dat is echt water under the bridge.”
De richtlijn moet dus vooral ambitieuzer, maar op welke vlakken gaat dit gebeuren? Groothuis ziet veranderingen op drie terreinen: “Allereerst is er een forse uitbreiding van de scope. Het aantal bedrijven en entiteiten dat we eerst vitaal noemden, gaan we nu betitelen als ‘important and essential’. Het is afhankelijk van de dienstverlening die jij aanbiedt aan de samenleving. Als je meer dan 50 medewerkers hebt en meer dan 10 miljoen euro omzet, ben je onderdeel van deze scope. Ben je kleiner, maar lever je essentiële dienstverlening, zoals een clouddienst, dan behoor je er ook toe. Je moet dan bepaalde cybersecurity-maatregelen treffen, bijvoorbeeld een meldplicht bij incidenten of dreigingen. Door deze wijziging gaan we naar zo’n 160.000 entiteiten in Europa.
Het tweede gaat over de informatie-uitwisseling. Sinds de introductie van de General Data Protection Regulation (GDPR) (AVG in Nederland) is er veel twijfel over aansprakelijkheid. Mag je persoonsgegevens wel delen? Kun je achterhalen waar domeinen geregistreerd staan? Daar willen we met de NIS2 een juridische basis voor bieden. Zodat ook internationale bedrijven en overheden onderling weer gegevens kunnen uitwisselen. Dat is heel erg belangrijk voor de cybersecurity-community en dat is waar ik het uiteindelijk voor doe, zodat zij zich vertegenwoordigd voelen in Brussel.”
Cybersecurity in de boardroom
“Ten derde gaan we cybersecurity chefsache maken, zoals ook de Cyber Security Raad adviseert. Een mooi Duits woord, wat betekent dat het een onderwerp is wat besproken moet worden op tafel bij de chef, in de boardroom op CEO-niveau. We hebben nu bedacht om het senior management persoonlijk aansprakelijk te stellen. Er zit een boete in: 2% van je jaaromzet als je echt aantoonbaar niet je maatregelen hebt getroffen. Waarom 2%? Bij een ransomware-aanval wordt vaak 2% van je jaaromzet geëist. Daarom komt straks de keuze: geef ik het aan die ransomware-aanvallers uit Rusland, geef ik het als boete aan de overheid of investeer ik dat bedrag in veiligheid en cybersecurity?”
Europa moet proactief handelen
Cyberweerbaarheid staat dus steeds hoger op de agenda in Europa. Groothuis ziet de NIS als de basis, maar er zijn nog meer initiatieven om cyberweerbaarheid te verhogen. “Het tweede is de introductie van de Cyber Resilience Act. Dat is een puzzelstukje wat nog mist en dat gaat over connected devices, oftewel apparaten die kunnen verbinden met het internet. Je kunt straks software- en hardware-ontwikkelaars persoonlijk aansprakelijk stellen voor slechte producten. Bij het derde – en dat vind ik het mooiste – kom je uiteindelijk op het operationele vlak. Dit is onderdeel van de cybersecurity-strategie en gaat over DNS-capability. Bij een grootschalige aanval, zoals bij Petya in de Rotterdamse Haven, wordt het mogelijk om een domein te blokkeren. Heel simpel en erg doeltreffend.
Binnen Europa moeten we dit meer gaan doen: niet meer reactief reageren, maar proactief handelen. We weten heel goed waar de aanvallen vandaan komen, dus we moeten die kennis gebruiken om juist de problemen voor te zijn. Ook in Nederland. Daarvoor moet je ook je handen vuil maken en soms juridisch scherp aan de wind varen, maar dat is wel nodig.
Als jij echt een ambitieuze strategie wilt, betekent dat operationaliseren van je wensen. Er is genoeg strategie, maar we missen de executie. Daar moeten we de komende jaren op inzetten. Make it happen. De juridische basis wordt gelegd in Brussel, maar nu is het tijd voor politieke wil en doorzettingskracht in Nederland. Passief informatie delen, die tijd is belangrijk, maar er komt iets bij.”
Groothuis erkent dat Nederland lang voorop heeft gelopen. “Er was veel energie. De afgelopen jaren lopen we echter steeds meer achterop en is er zelfs sprake van achteruitgang. Binnen het Verenigd Koninkrijk is er één duidelijke organisatie waar je mee dealt, maar in Nederland is dit niet zo duidelijk: soms het Nationaal Cyber Security Centrum (NCSC), soms de Politie of de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). In Europa maken we nu een framework en daarin zie je ook dat in 17 landen deze diensten zijn geconvergeerd, maar in Nederland blijft het versnipperd.”
Op zoek naar gelijkgestemden
Voor de EU liggen er genoeg uitdagingen in de toekomst. Groothuis ziet vooral een noodzaak om te investeren. “Het gaat de komende jaren om deep security. Dat is het allerbelangrijkste, als je het hebt over digitale autonomie. Je kunt heel veel afnemen van andere landen en partners, maar je moet je grootste belangen zelf goed beveiligen.
Het gaat bijvoorbeeld over cryptografie. In Nederland moet eigenlijk gezegd worden: we hebben een eigen cryptografische basis nodig, gemaakt door de AIVD, uitgegeven door een Nederlands bedrijf. Zodat je het hele proces controleert. Een aantal jaren geleden werd er door het ministerie van Buitenlandse Zaken nog gewerkt met Kaspersky-antivirussoftware uit Rusland. Elke mail van een diplomaat kon gecontroleerd worden. Dat is natuurlijk niet okay. Als je echt deep security wilt, moet je daar ook als Nederland in investeren.
Als het om Europa gaat, moet je op zoek naar gelijkgestemde landen en regio’s. Er is geen ruimte meer voor samenwerkingen met geopolitieke tegenstanders die dan producten en diensten verzorgen voor je vitale sector. Waarom moeten we gezichtsherkenningssoftware vanuit China gebruiken? Dit geldt bijvoorbeeld ook voor 5G.
In de NIS2 zorgen we er ook voor dat er een supply chain review in de wetgeving komt. Als we Chinese, Iraanse of Russische apparatuur niet vertrouwen, dan kunnen we deze laten weren. We gaan vanuit onze eigen jurisdictie bepalen wat we wel en niet toelaten op onze markt.
De laatste belangrijke trend is dat we ransomware niet meer alleen gaan zien als een crimineel verdienmodel, maar ook als een vorm van buitenlandse politiek vanuit Rusland. Vrijwel alle ransomware komt uit die hoek. Alle veiligheidsdiensten in Europa bevestigen dit beeld.
En zoals Joe Biden dit nu aanpakt met Vladimir Poetin, dat is hoe we het ook moeten doen vanuit Brussel. In hun laatste gesprek ging het voor het eerst in 60 jaar niet over nucleaire wapens, maar over ransomware en over cyberaanvallen.
In de EU hebben we ook een Cyber Diplomacy Box om sancties aan Rusland op te leggen en de lidstaten mandaat te geven, maar deze wordt nog te weinig ingezet. Dit is niet alleen een cybersecurity-probleem, maar ook een diplomatiek probleem. Zolang we dit niet adresseren, doen we het niet goed. Ik mis de stem van de Cyber Security Raad ook in dit gesprek. We moeten het probleem bij de bron aanpakken.”
Haast gaan maken
Joe Biden tekende in mei het voorstel Improving the Nation’s Cybersecurity naar aanleiding van een reeks cyberincidenten. Groothuis ziet daarin vooral de noodzaak om haast te maken. “Het is een waterbed-effect. Om een voorbeeld te geven: toen er veel fraude en malware was met internetbankieren, hebben de banken in Nederland de handen ineengeslagen. Binnen drie maanden werd de criminaliteit met 90% gereduceerd. Maar in de andere landen om ons heen steeg het juist. Als de Amerikanen beginnen met spoedwetgeving, dan moeten wij dus ook haast gaan maken. De Amerikanen houden zich vooral bezig met het aanpakken van de keten. En daar is ook winst te behalen voor de EU. Daarom hebben we dat ook verwerkt in de NIS2.”
Groothuis ziet 2022 als het jaar waarin er spijkers met koppen worden geslagen. “De Fransen hebben in januari het voorzitterschap van de EU overgenomen. We proberen het rond die periode ook af te ronden. Daarna wordt het naar het Nederlands Parlement gestuurd en die moeten er dan chocola van gaan maken. Dan zullen we zien hoe Nederland zich verhoudt tot deze nieuwe richtlijn.”