Grootschalige cyberoefening legt verschillen bloot

De mate waarin organisaties zijn voorbereid op een cybercrisis loopt sterk uiteen. Dat concludeert het COT Instituut voor Veiligheids- en Crisismanagement (COT) in de evaluatie van de nationale cyberoefening ISIDOOR IV. In sommige sectoren is het nog niet vanzelfsprekend om informatie te delen op het moment dat er een grote cybercrisis plaatsvindt.

Grootste Nederlandse cyberoefening

Het evaluatierapport werd vrijdag naar de Tweede Kamer verstuurd. ISIDOOR IV vond plaats van 13 tot en met 15 november 2023. Aan de oefening deden gelijktijdig meer dan 3.000 deelnemers van ruim 120 organisaties mee, uit 12 verschillende sectoren. Daarmee was het de grootste Nederlandse cyberoefening ooit, die in totaal vier dagen duurde (op de vierde dag, 27 november 2023, oefende de Interdepartementale Commissie Crisisbeheersing (ICCb) met de input uit de hoofdoefening).

De cyberoefening wordt georganiseerd door het Nationaal Cyber Security Centrum (NCSC) en de Nationaal Coördinator Terrorisme en Veiligheid (NCTV). Aan de oefening deden organisaties uit de vitale sectoren mee, net als ministeries, veiligheidsregio’s, netwerkorganisaties, uitvoeringsorganisaties en andere crisispartners. Het doel van deze vierde editie was oefenen met de nationale respons tijdens een grootschalige digitale crisis. De oefening begon kleinschalig, maar groeide uit tot een steeds grotere crisis. Daarbij werd specifiek gekeken naar informatie-uitwisseling, samenwerking en de nationale opschaling bij een cybercrisis. Vooral dat laatste bleek voor veel deelnemende organisaties een black box. Het is voor hen niet duidelijk wat nationale opschaling betekent voor rollen en verantwoordelijkheden.

Landelijke Crisisplan Digitaal

In het Landelijk Crisisplan Digitaal (LCP-Digitaal) staat beschreven wat er moet gebeuren als er een grootschalige digitale crisis uitbreekt. Tijdens de vorige landelijke cyberoefening, ISIDOOR III in 2021, bleek echter dat lang niet iedereen het LCP-Digitaal kent. Dit nationale crisisplan hielp ditmaal 30 procent van de organisaties bij de aanpak of voorbereiding van de digitale crisis(oefening), aldus het rapport. Veel andere organisaties vinden het plan te abstract. Er zijn ook organisaties die het hele plan nog steeds niet hebben kunnen vinden.

In vergelijking met ISIDOOR III zijn organisaties en sectoren wel gegroeid in cybercrisismanagement, schrijft COT. Het delen en afstemmen van informatie lukte aanzienlijk beter dan de vorige keer. Intern hebben organisaties alles goed geregeld, nu is het tijd om met de keten te oefenen, aldus het evaluatierapport. Daarbij is wel duidelijk dat de verschillen tussen sectoren groot zijn. Uit het rapport: ‘In sommige sectoren bestaan sterke samenwerkingsverbanden en overlegstructuren. In die sectoren weet men elkaar daardoor snel te vinden. In andere sectoren vergt dit nog extra aandacht en ontwikkeling.’

Hoge verwachtingen van NCSC

Uit de evaluatie blijkt ook dat organisaties eigenlijk te veel verwachten van het NCSC, dat overvraagd werd. ‘De verwachtingen die sommige organisaties hadden van het NCSC, sluiten niet aan op de verdeling van taken en verantwoordelijkheden in het cyberstelsel,’ schrijft COT. ‘De verantwoordelijkheid voor cyberveiligheid start bij elke organisatie die een verantwoordelijkheid heeft voor de eigen processen en continuïteit. Hieronder valt ook het kunnen voorzien in de eigen basisbehoefte van cyberveiligheid en het borgen van de ‘crisisvolwassenheid’ van de eigen organisatie.’

Het organiseren van een grootschalige cyberoefening kost veel tijd. In de evaluatie klinkt door dat er nadelen kleven aan het oefenen met zo veel en zulke diverse organisaties. Zo luidt een aanbeveling om als voorwaarde mee te geven dat deelnemers een interne crisisorganisaties hebben, dat er geoefend moet zijn en dat er sectorale afspraken over informatie-uitwisseling moeten bestaan, die ook beoefend moeten zijn. ‘Vanuit een perspectief van nationale weerbaarheid zou het goed zijn als die partijen die nu een achterstand hebben prioriteit geven aan hun eigen voorbereiding’ aldus het rapport. Het COT verwacht dat daardoor ook een wat realistischer beroep op het NCSC kan worden gedaan.