Kamer komt met maatregelen voor verbetering cybersecurity

9 juni 2017

De wereldwijde impact van WannaCry is ook de politiek niet ontgaan. Op dinsdag 6 juni sprak de Tweede Kamer met staatssecretaris Dijkhoff over dit belangrijke thema. Het is goed te zien dat het dossier cybersecurity steeds vaker de politieke aandacht krijgt die het verdient. De Kamerleden dienden een aantal moties in die cybersecurity in Nederland moeten verbeteren en die grote impact op de ICT-sector hebben. Het is dus belangrijk dat bij het behandelen van deze moties de juiste afwegingen worden gemaakt.

Tijdens het debat in de kamer werd gesproken over de brief die staatssecretaris Dijkhoff op 2 juni naar de Tweede Kamer stuurde als reactie op de WannaCry-affaire. De brief gaat uitgebreid in op de, gelukkig beperkte, impact in Nederland van het fenomeen ransomware. Helaas gaat de staatssecretaris in het geheel voorbij aan de oorzaak van de aanval, namelijk het oneigenlijk gebruik van zero days door buitenlandse inlichtingendiensten. Ook worden er door de staatssecretaris geen concrete aanvullende beleidsmaatregelen aangekondigd, voor bijvoorbeeld het mkb.

Een gemiste kans wat ons betreft. Daarom hebben we voorafgaand aan het debat Kamerleden geïnformeerd over enkele zaken die wat ons betreft expliciet aandacht verdienen. Nederland ICT heeft hierbij onder andere gepleit voor een Digital Trust Center (DTC) om het mkb weerbaarder te maken op het gebied van cyberveiligheid en hier middelen voor vrij te maken. Ook hebben we nogmaals aandacht gevraagd voor het dossier zero days. Wat ons betreft moeten lekken in software zo snel mogelijk worden gemeld bij producten en niet achter gehouden worden door overheidsdiensten. Het is goed te zien dat onze oproep gehoor heeft gekregen.

DIGITAL TRUST CENTER

Kamerlid Hijink (SP) gaf aan dat de SP wil dat de informatievoorziening, maar vooral ook de praktische ondersteuning aan bedrijven en burgers, verbetert. “Wij zien dan ook graag dat het Nationaal Cyber Security Centrum niet alleen de vitale sectoren gaat beschermen, maar ook advies en praktische ondersteuning gaat bieden aan het midden- en kleinbedrijf en aan maatschappelijke organisaties.”

Kamerlid Buitenweg (GroenLinks) onderstreepte dit en wees terecht op een recent rapport van het Rathenau Instituut, dat laat zien dat met name het mkb behoefte heeft aan meer ondersteuning. Ze vroeg de staatssecretaris of hij dit standpunt deelt. Vindt hij het een taak van de overheid om te investeren in bijvoorbeeld een onafhankelijk kennis- en adviescentrum voor deze bedrijven?

Hijink vroeg in een motie om het oprichten van een DTC onder de vleugels van het NCSC. Hierop reageerde de staatssecretaris dat een inbedding onder het NCSC hem niet optimaal lijkt, maar hij helemaal voor het idee is en graag meedenkt over de opricht van een dergelijk centrum. Wij vinden net als Dijkhoff dat een DTC een zelfstandige organisatie moet zijn, het liefst ondergebracht bij het ministerie van Economische Zaken. Dat de staatssecretaris hier ook zo over denkt is dus positief nieuws voor het mkb in Nederland!

ZERO DAYS

Ook het gebruik van zero days kwam expliciet aan de orde. Kamerlid Verhoeven (D66): “Ik vind het teleurstellend dat de staatssecretaris in zijn brief over WannaCry geen besef toont van de risico’s van het openhouden van zero days, van onbekende kwetsbaarheden. Deze ransomware-aanval laat precies zien wat er dan kan gebeuren.”

Verhoeven diende een motie in die vraagt of er een duidelijk afwegingskader kan worden opgesteld voor de inlichtingdiensten voor het gebruik en melden van kwetsbaarheden. Het is jammer dat de staatssecretaris niet toe wil zeggen om lekken in publieke software altijd direct te melden. Zo lang dit het geval is, zijn ICT-bedrijven gebaat bij zo veel mogelijk duidelijkheid en transparantie over wanneer lekken worden achtergehouden en hoe ze worden gebruikt. Deze motie zou daar aan bijdragen.

ZORGPLICHT CYBERSECURITY

Ook vroeg de Tweede Kamer aandacht voor de wijze waarop ICT-producenten omgaan met het dichten van kwetsbaarheden en de wijze waarop aansprakelijkheid al dan niet is geregeld. Dit raakt aan de gesprekken die we al enige tijd voeren over de zorgplicht cybersecurity.

Kamerlid Helder (PVV) vroeg zich af de bestaande aansprakelijkheidswetgeving wel voldoende is voor ICT-producten en -diensten?

In reactie hierop gaf staatssecretaris Dijkhoff aan dat volgens hem “de zorgplicht meerdere rollen moet raken, namelijk zowel die van leverancier als die van klant en van gebruiker. Mensen in al die rollen moet je wijzen op het deel van de zorgplicht dat ze hebben. We hebben een handreiking over zorgplicht voor het bedrijfsleven gepubliceerd binnen de Cyber Security Raad.”

Er werden moties ingediend die vragen te onderzoeken hoe de zorgplicht voor ontwikkelaars van software kan worden uitgebreid en welke minimale veiligheidseisen er voor IoT-apparatuur kunnen worden afgedwongen. Nederland ICT deelt de ambitie om het veiligheidsniveau van ICT-producten te verhogen. Daarbij moet wel rekening worden gehouden met de diversiteit van ICT-producten en -diensten en de verschillende afwegingen die daar bij horen. Daarnaast moet de zorgplicht worden gezien in het kader van verantwoordelijkheden binnen de hele keten, van producent tot eindgebruiker.

VOLGENDE WEEK STEMMING

Aanstaande dinsdag wordt gestemd over deze moties. Omdat elk van deze voorstellen mogelijk grote impact heeft op de sector houden wij de ontwikkelen scherp in de gaten.

 

https://www.nederlandict.nl/news/kamer-komt-maatregelen-verbetering-cybersecurity/