Nulmeting en evaluatiekader Nederlandse Cybersecuritystrategie
Het kabinet wil de digitale weerbaarheid van Nederland vergroten, het cybersecuritystelsel versterken en digitale dreigingen aanpakken. Hiertoe is de Nederlandse Cybersecurity Strategie (NLCS) 2022 – 2028 geformuleerd. Om inzicht te krijgen in de effecten van de NLCS, daarvan te leren en om verantwoording af te kunnen leggen over uitvoering van de NLCS, wordt deze geëvalueerd. Als voorbereiding voor de evaluatie heeft Dialogic, in opdracht van het WODC, een nulmeting van de NLCS-activiteiten uitgevoerd en een monitoringskader opgesteld.
De Nederlandse Cybersecurity Strategie is een vervolg op de Nederlandse Cyber Security Agenda (NSCA) en is bedoeld als een toekomstgerichte, duurzame visie op het versterken van de digitale veiligheid in Nederland. In de NLCS zijn concrete doelstellingen en activiteiten geformuleerd voor 4 pijlers:
- Digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties door o.a.: oprichting van de landelijke cybersecurity-autoriteit.
- Veilige en innovatieve digitale producten en diensten door o.a.: Europese verordening die cyberbeveiligingseisen stelt aan producenten met bijvoorbeeld software.
- Tegengaan van cybersecuritydreigingen van staten en criminelen door o.a.: investeringen in de onderzoekscapaciteit van inlichtingen- en veiligheidsdiensten en bestrijding cybercrime door politie en OM.
- Cybersecurity-arbeidsmarkt, onderwijs en digitale weerbaarheid van burgers door o.a.: bewustwordingscampagnes om burgers weerbaarder te maken en om- en bijscholing.
Voortvarend van start met activiteiten
Uit het onderzoek blijkt dat de kernactiviteiten uit de vier pijlers goed aansluiten bij de doelstellingen van de NLCS en dat het overgrote deel van de activiteiten meetbaar is. Ook blijkt dat voortvarend van start is gegaan met de uitvoering van de NLCS. De onderzoekers bevelen aan om in deze fase van uitvoering de focus te leggen op de activiteiten die nodig zijn voordat vervolgacties ingezet kunnen worden. Bijvoorbeeld de doorontwikkeling van wettelijke kaders, zoals de wijziging van de Wet beveiliging netwerk- en informatiesystemen (Wbni) en het wetsvoorstel bevordering digitale weerbaarheid bedrijven. Wanneer deze wettelijke kaders niet zijn vastgesteld worden hiermee samenhangende activiteiten, zoals het inregelen van toezicht, vertraagd.
Concrete keuzes nodig voor tekort cybersecurity-personeel
Daarnaast zien de onderzoekers een aantal knelpunten voor het behalen van enkele doelstellingen.
Zo worden er relatief weinig middelen vrijgemaakt voor het vergroten van cybersecurity-expertise op de arbeidsmarkt. Bovendien hangt deze doelstelling samen met de algehele krapte op arbeidsmarkt voor andere beroepen. Het tekort aan cybersecuritypersoneel krijgt dezelfde prioriteit als andere tekorten, zoals in de zorg of andere technische beroepen. Doordat er geen harde keuze wordt gemaakt, constateren de onderzoekers dat de toegevoegde waarde van de NLCS op dit vlak onduidelijk is. Zodra hier concretere keuzes in gemaakt worden, kunnen beleidsmakers gebruikmaken van de verschillende lopende arbeidsmarktonderzoeken om gericht het aanbod van cybersecurity-expertise te monitoren en na te gaan in hoeverre de doelstelling wordt bereikt om meer cybersecuritypersoneel op te leiden.
Zicht nodig op effectiviteit vertrouwelijke activiteiten
Een ander knelpunt is het overzicht op de uitvoering en de effectiviteit van de activiteiten die de informatie- en veiligheidsdiensten uitvoeren. Deze vertrouwelijke activiteiten vormen een essentieel onderdeel van de NLCS en leggen beslag op een substantieel deel van de middelen. De onderzoekers kunnen geen uitspraken doen over dit gedeelte van de NLCS. Het is voor de implementatie, voortgang en bijsturing van de NLCS van groot belang dat er binnen de Rijksoverheid wel zicht en controle is op deze activiteiten om intern discussies te kunnen voeren over de relatieve effectiviteit van deze beleidsinzet.
Deze integrale nulmeting en het monitoringskader bieden waardevolle handvatten voor de uitvoering en monitoring van gelijksoortige interdepartementale beleidsagenda’s en -strategieën.