‘Organisaties zelf verantwoordelijk voor cybersecurity’

Organisaties zijn in de eerste plaats zelf verantwoordelijk voor hun eigen cybersecurity en softwarefabrikanten zijn vooral verantwoordelijk voor hun producten en diensten. Dat schrijft minister Yesilgöz (Justitie en Veiligheid, VVD). Ook zij benadrukt het belang om hier op Europees niveau afspraken over te maken.

Er komen geregeld vragen of softwarefabrikanten niet meer verantwoordelijkheid moeten nemen voor software die overheden afnemen. In het onlangs verschenen rapport over de Citrix-veiligheidslekken raadde de Onderzoeksraad voor Veiligheid (OVV) aan om op Europees niveau eisen te stellen en zo softwarefabrikanten te dwingen verantwoordelijkheid te nemen. ‘Europese samenwerking op dit terrein is van groot belang’, schrijft Yesilgöz nu.

Een van de lopende Europese initiatieven die Yesilgöz noemt is de Cyber Security Act, die gaat over certificering voor ict-producten, -diensten en -processen. ‘Nederland zet hierbij in op de ontwikkeling van een certificeringschema voor softwarebeveiliging.’

Grote marktpartij

‘De overheid staat voor de publieke belangen, stimuleert marktpartijen om hun eigen verantwoordelijkheid te nemen en is zelf ook een afnemer van ict-producten en diensten’, schrijft de minister in reactie op de vragen van Tweede Kamerlid Kathmann (PvdA). ‘Zoals de OVV aangeeft zijn alle partijen van elkaar afhankelijk om de digitale veiligheid in de samenleving en economie te borgen.’

‘De overheid is een grote afnemer van ict-producten en diensten en kan als grote marktpartij de vraag in de markt stimuleren naar digitaal veilige ict-producten en diensten.’ Momenteel bestudeert het kabinet het OVV-rapport en voor de zomer zal een reactie komen. Het rapport laat volgens Yesilgöz zien dat cybersecurity ‘een complex vraagstuk is’.