Op deze pagina vindt u de hoofdbevindingen en aanbevelingen van de evaluatie van het internationaal cybersecuritybeleid (2015-2021) van het ministerie van Buitenlandse Zaken (BZ).
Contactpersoon: Wendy van der Neut
Inleiding
Het internationaal cybersecuritybeleid is het beleid gericht op het voorkomen en mitigeren van cyberdreigingen en -aanvallen door staten en aan staten gelieerde actoren, gericht tegen (doelwitten in) andere staten.
In de evaluatieperiode 2015-2021 zijn cyberdreigingen wereldwijd toegenomen. In binnen- en buitenland vinden dagelijks digitale aanvallen plaats, waarvan een groot deel afkomstig is van staten en aan staten gelieerde actoren. Deze aanvallen halen niet altijd de publiciteit, maar de gevolgen ervan zijn wel steeds vaker merkbaar voor overheden, bedrijven en burgers. Daarnaast is er internationaal een tweedeling ontstaan tussen overwegend westerse landen (waaronder Nederland) die over het algemeen een mondiaal open, vrij en veilig internet nastreven en landen – zoals Rusland en China – die de vrije toegang tot het internet van burgers willen beknotten.
Dit alles maakt dat het internationaal cybersecuritybeleid van BZ urgenter is geworden. Het is als relatief jong beleidsterrein echter nog niet eerder geëvalueerd. Uit de evaluatie blijkt dat sinds 2015 vaak goed werk is geleverd en er zaken zijn bereikt, maar er zijn ook uitdagingen en verbeterpunten. Hoewel deze evaluatie gericht was op het internationaal cybersecuritybeleid van BZ, bleek gedurende het onderzoek dat een aantal van de belangrijkste uitdagingen – en oplossingen – overheidsbreed zijn. Gegeven de komst van een nieuw kabinet, is dit dan ook een goed moment voor een blik vooruit en verdere aanscherping van het internationale cybersecuritybeleid, waar deze evaluatie aanbevelingen voor doet.
Centrale vraag
Wat gaat er goed en minder goed bij het ontwerp en de implementatie van het internationale cybersecuritybeleid van het ministerie van Buitenlandse Zaken, en welke aanbevelingen kunnen op grond hiervan worden geformuleerd over hoe dit beleid het beste kan worden vormgegeven?
Beeld: © Shutterstock
Resultaten en aanbevelingen
Resultaten en aanbevelingen voor het Nederlandse kabinet en het ministerie van Buitenlandse Zaken.
Er zijn verschillende ministeries betrokken bij aspecten van het internationaal cybersecuritybeleid. Uit het onderzoek bleek dat in de evaluatieperiode de samenwerking tussen departementen is verbeterd, maar ook dat er nog steeds afstemmings- en samenwerkingsproblemen zijn bij het internationaal (en nationaal) cybersecuritybeleid. Zo werken departementen nog te vaak langs elkaar heen, zijn ze niet altijd voldoende op de hoogte van elkaars werk, maken ze niet altijd voldoende gebruik van expertise bij andere departementen, en geven ze niet altijd voldoende medewerking aan elkaar. Hierdoor worden dreigingen en kansen gemist, wordt er inefficiënt gewerkt en is beleid niet altijd coherent. Eén van de belangrijkste oorzaken van de samenwerkingsproblemen is de departementale verkokering van het cybersecuritybeleid in Nederland. Dit komt tot uiting in het feit dat departementen ieder hun eigen prioriteiten stellen, er geen nationale departementaal-overkoepelende cybersecuritystrategie is, en er geen centrale aansturing van het cybersecuritybeleid bestaat die zo’n strategie op zou kunnen stellen en prioriteiten stelt.
Aanbevelingen voor het Nederlandse kabinet:
- Onderzoek op welke manier departement-overstijgende aansturing van cybersecurityzaken het beste kan worden vormgegeven, en realiseer dit.
Er is een departement-overstijgende aansturing nodig die zorgt voor het vaststellen van mandaten en taken bij nieuwe vraagstukken en beleidsthema’s, het afwegen van verschillende belangen van de betrokken departementen, het bevorderen van de onderlinge afstemming tussen betrokken departementen, en het opstellen, monitoren en wanneer nodig bijstellen van een departement-overstijgende cybersecuritystrategie.
Er zijn verschillende opties om dit te realiseren, die elk hun eigen uitdagingen met zich meebrengen. Er dient onderzocht te worden welke optie het meest geschikt is om de beleidsdoelen te behalen en een oplossing te bieden voor de gesignaleerde problemen. - Creëer een departement-overstijgende cybersecuritystrategie.
De departement-overstijgende strategie dient een kabinetsvisie te presenteren die duidelijk maakt welke kant Nederland op wil met aan cybersecurity gerelateerde onderwerpen. Het dient geen samenvatting te zijn van zaken die departementen al doen of van plan zijn te doen, zoals de huidige Nederlandse Cybersecurity Agenda (NCSA), maar verbindt de verschillende beleidsthema’s door prioriteiten te stellen, eventuele botsende belangen te beslechten, concrete doelstellingen op te nemen en in te gaan op de manieren waarop deze doelen bereikt kunnen worden.
Binnen BZ is in 2015 de Taskforce Cyber (TFC) opgericht voor het internationaal cybersecuritybeleid. Uit het onderzoek blijkt dat de TFC veel goed doet: Nederland profileert zich internationaal sterk en heeft binnen internationale fora bijgedragen aan belangrijke instrumenten zoals de oprichting van de EU Cyber Diplomacy Toolbox en het cybersanctieregime. Daarnaast is de oprichting van het cyberdiplomatennetwerk een sterke zet geweest.
Er zijn ook een aantal zaken die kunnen worden verbeterd. Zo ontbreekt het binnen BZ aan een eenduidige en up-to-date strategie, en kaders die duidelijk afbakenen welke thema’s wel en niet bij het werk van de TFC horen. Dit maakt het lastiger goed te prioriteren, zorgt ervoor dat sommige strategische vraagstukken onbeantwoord blijven en draagt bij aan de toch al hoge werkdruk.
Aanbevelingen voor het ministerie van Buitenlandse Zaken:
3. Creëer, als onderdeel van- of aansluitend op een nieuwe departement-overstijgende cybersecuritystrategie, ook een nieuwe strategie voor het internationaal cybersecuritybeleid van BZ. Zorg er hierbij voor dat:
- (a) Duidelijke definities en kaders worden opgenomen zodat inzichtelijk is wat al dan niet onder de verantwoordelijkheid van de TFC valt; en uiteengezet wordt wat de korte- middellange- en langetermijndoelstellingen zijn, hoe ze op elkaar aansluiten en hoe beoogd wordt deze te bereiken.
- (b) Er antwoord wordt gegeven op strategische vraagstukken die voorliggen als gevolg van toenemende cyberdreigingen, scherpe mondiale tegenstellingen, opkomende technologieën en nieuwe beleidsthema’s. Bijvoorbeeld de manier waarop Nederland en gelijkgestemde landen de voor multilaterale onderhandelingen belangrijke swing states het beste bij hun invloedssfeer kunnen betrekken, hoe capaciteitsopbouw het beste ingezet kan worden, en de houdbaarheid van de Nederlandse afwijzing van een internationaal cyberverdrag.
- (c) Er gegeven de snelle ontwikkelingen in het cyberdomein tijd en capaciteit wordt ingebouwd voor regelmatige strategische reflectie en voor het denken in scenario’s over verschillende mogelijke toekomstige ontwikkelingen en dreigingen.
- (d) Bij het opstellen van de strategie samengewerkt wordt met andere departementen en stakeholders uit het bedrijfsleven en kennisinstellingen.
4. Ga na op welke manier er scherper geprioriteerd kan worden in het werk van de TFC om de werkdruk te verlagen.
Grijp bij het prioriteren de nieuwe strategie aan om duidelijk te maken bij welke activiteiten en dossiers welke inzet van de TFC gerechtvaardigd is en welke activiteiten of dossiers – in overleg met andere departementen en directies binnen BZ – mogelijkerwijs beter achterwege gelaten of elders belegd kunnen worden.
Een ander verbeterpunt voor het internationaal cybersecuritybeleid van BZ is dat de beschikbare capaciteit binnen de TFC beperkt is gegeven de toename van het aantal cyberincidenten en mondiale uitdagingen, en de tijd die interdepartementale afstemming vergt. Scherpere prioritering alleen zal niet voldoende zijn om dit op te lossen. Daarnaast is er binnen BZ beperkte kennis over aan cybersecurity gerelateerde onderwerpen, en een gebrek aan goed werkende en veilige communicatiemiddelen voor het delen van vertrouwelijke informatie.
Aanbeveling voor het ministerie van Buitenlandse Zaken:
5. Zorg ervoor dat BZ beschikt over voldoende capaciteit om invulling te geven aan belangrijke taken binnen het internationaal cybersecuritybeleid. Denk hierbij aan drie zaken:
- a. Zorg voor extra menskracht bij de TFC.
- b. Denk na over manieren waarop kennis en expertise over aan cybersecurity gerelateerde onderwerpen ingewonnen en behouden kunnen worden.
- c. Investeer in veilige en goed werkende communicatiemiddelen voor het delen van vertrouwelijke informatie.
Opvolging
Op woensdag 13 april 2022 vindt in de Tweede Kamer het commissiedebat plaats over internationale cybersecurity.
Hierin wordt het IOB-rapport ‘Verbeter de verbinding’ behandeld.