Risico op verwarring tijdens cybercrises door wetsvoorstel

Communicatieproblemen en onduidelijkheid over taken komen veel voor tijdens cybercrises. Een nieuw wetsvoorstel moet ervoor zorgen dat het Nationaal Cyber Security Center (NCSC) meer bevoegdheden krijgt om dreigingsinformatie te sturen aan bedrijven. De Raad van State waarschuwt dat het risico van verwarring en dubbel werk op de loer ligt.

Ook wil de overheidsadviseur dat er beter wordt gelet op schakelorganisaties die tijdens cybercrises bijvoorbeeld gemeenten inlichten.

Vitaal

Als er een kwetsbaarheid in software is ontdekt, richt het NCSC zich vooral op het waarschuwen van de rijksoverheid en ‘vitale’ sectoren als energie, internet en financieel betalingsverkeer. Met het voorstel tot wijziging van de Wet beveiliging netwerk- en informatiesystemen krijgt het NCSC meer mogelijkheden om dreigingsinformatie te sturen aan niet-vitale bedrijven.

Er is echter een ander wetsvoorstel in voorbereiding dat het Digital Trust Center (DTC) de taak geeft om bedrijven te voorzien van dreigingsinformatie. ‘Dat overlapt met de taak van het NCSC’, schrijft de Raad, die adviseert om ‘verwarring en dubbel werk’ te voorkomen. ‘Juist bij een crisis moet duidelijk zijn wie waarvoor verantwoordelijk is.’

Desondanks zijn de adviseurs enthousiast over het voorstel: ‘De Afdeling advisering vindt deze taakuitbreiding waardevol, omdat een cyberaanval kan leiden tot maatschappelijke ontwrichting, ook als niet-vitale sectoren worden getroffen.’

Schakelorganisaties

Soms gaat het sturen van dreigingsinformatie via schakelorganisaties. Voor gemeenten is dat de Informatiebeveiligingsdienst. De Raad wijst erop dat er geen toezicht is op deze organisaties en dat de wet geen eisen stelt waaraan ze moeten voldoen wat betreft privacy en beveiliging. Dat moet volgens de adviseurs wel gebeuren, ‘omdat deze schakelorganisaties gevoelige en vertrouwelijke informatie moeten hanteren die niet in handen mag komen van kwaadwillenden.’