Terugblik op symposium Strategische digitale veiligheid

Paneldiscussie: bestuurders moeten eigenaarschap tonen

Bart Groothuis, Bas Dunnebier (Chief Science & Technology Officer AIVD) en Marlou Banning (CFO Luchtverkeersleiding Nederland) namen deel aan de paneldiscussie onder leiding van Arie van Deursen (collegelid AcICT). Verschillende stellingen over hoe wetgeving, digitale veiligheid en bestuurlijke verantwoordelijkheid steeds dichter bij elkaar komen, kwamen aan bod. De panelleden waren het erover eens dat regelgeving nuttig is, maar dat organisaties vooral moeten investeren in daadwerkelijke uitvoering en risicobeheersing. Het dreigingsniveau neemt toe, en daarmee ook de noodzaak dat bestuurders eigenaarschap tonen.

Parallelsessies

Na het plenaire deel, konden de aanwezigen 2 van de 4 parallelsessies bijwonen.

Bescherming tegen statelijke actoren en georganiseerde criminaliteit (sessie 1)
Eric Verheul, hoogleraar Cybersecurity aan de Radboud Universiteit en technisch adviseur bij het AcICT, deelde zijn observaties. Hij liet zien dat statelijke actoren steeds systematischer en geduldiger te werk gaan en dat georganiseerde criminaliteit professionaliseert. Verheul benadrukte dat langdurige en doelgerichte cyberaanvallen, ook wel Advanced Persistent Threats (APT’s) genoemd, vaak jaren van voorbereiding en miljoenen euro’s kosten. Overheden die zich tegen dergelijke aanvallen willen wapenen, moeten dus steeds meer doen om voldoende beschermd te blijven.

Volgens Verheul is de BIO2-beveiligingsbaseline, een norm voor overheidsinformatiebeveiliging, een verbetering ten opzichte van de BIO1 omdat daarin nu de ISO-27001 verplicht is gesteld. Het is echter ook een stap terug omdat de BIO2 expliciet de bescherming tegen statelijke actoren en criminele organisaties uitsluit.

De risicomanagementmethodiek van BIO2 kan met twee uitbreidingen wel geschikt gemaakt worden om bescherming te organiseren tegen statelijke actoren en criminele organisaties. Met de BIO2-Quickscan kan de toepasselijkheid worden vastgesteld van hogere beveiligingsniveaus dan Basis en Verhoogd. Ook kan de risicobeoordeling en -behandeling worden uitgebreid waardoor de extra benodigde maatregelen worden vastgesteld en getroffen. Verheul waarschuwde dat forse extra kosten op moeten wegen tegen de risico’s. Als aanvallers bereid zijn om miljoenen euro’s en jaren voorbereiding te investeren in een APT, dan zijn verdedigers genoodzaakt hun beveiligingsniveau daarop aan te passen. Verheul maakte daarom onderscheid tussen de niveaus Vitaal en Kritisch. Vitaal is het niveau om bescherming te bieden tegen statelijke actoren en criminele organisaties die niet bereid zijn tot deze forse investeringen. Kritisch voor bescherming tegen aanvallers die dat wel zijn.

Vliegverkeer in veilige handen!? (sessie 2)
Marlou Banning, CFO van de Luchtverkeersleiding Nederland (LVNL), gaf een inkijk in de digitale veiligheidsopgave van een organisatie waar veiligheid letterlijk de kerntaak is. LVNL verzorgt de afhandeling van het vliegverkeer in het Nederlandse luchtruim, maar luchtvaart is per definitie internationaal. Dat maakt de sector een van de zwaarst gereguleerde van de wereld en daar komen in 2026 nog eens drie grote cybersecurity-regimes bij: Information Security regelgeving van de EU Aviation Safety Agency, de Cyberbeveiligingswet om de Europese NIS2 richtlijn te implementeren en de Wet Weerbaarheid Kritieke Entiteiten om de Europese CER richtlijn voor de bescherming van vitale processen tegen risico’s van de natuur en de mens te implementeren.

De invoering van deze wet- en regelgeving vraagt capaciteit van de organisatie die dan niet ingezet kan worden voor het daadwerkelijk verbeteren van de security uitvoering. Hoewel LVNL niet twijfelt aan het nut van deze regels, willen ze wel voorkomen dat er teveel capaciteit gaat naar het aantonen van compliance in plaats van de uitvoering van security. Dat is één van de redenen waarom LVNL ervoor heeft gekozen om naast de CEO en de CFO nu een CIO te gaan werven als derde bestuurder.

LVNL ziet de mens als heel belangrijke schakel in het veilig houden van digitale systemen. Daarom is er veel aandacht voor een organisatiecultuur waarin medewerkers zich veilig voelen om fouten, incidenten of bijna-incidenten te melden zonder angst voor repercussies: een ‘just-culture’. Mede door deze aanpak worden er jaarlijks duizenden incidenten gemeld, vooral in de wachtrapporten van de verkeersleiders. Deze meldingen worden gebruikt voor patroonherkenning en deze patronen worden regelmatig op bestuursniveau besproken. Er zijn namelijk altijd lessen te trekken om zeker te stellen dat er op alle terreinen – mens, machine en procedure – alles aan gedaan is om de veiligheid te waarborgen. Echter 100% zekerheid is er nooit.

Weerbaarheid in een geopolitiek onzekere tijd (sessie 3)
Bas Dunnebier, CSTO AIVD, belichtte de toenemende dreigingen in Nederland. Hij haalde enkele recente publieke incidenten zoals de Laundry Bear en Salt Typhoon hacks aan. Het speelveld van statelijke actoren en langdurige en doelgerichte cyberaanvallen  is divers en van aanzienlijke grootte. Volgens Dunnebier ziet de AIVD nog veel meer incidenten dan openbaar gemaakt kunnen worden en zijn er daarbij dreigingen die nog niet volledig in beeld zijn. De AIVD speelt een uiterst belangrijke rol bij de cyberweerbaarheid van Nederland, maar kan niet elke organisatie beschermen. Dunnebier belichtte daarom het belang van een goede cyber security standaarden en governance bij organisaties.

Door de onderlinge verwevenheid van dreigingen en de geopolitieke ontwikkelingen is het volgens Dunnebier van groot belang de weerbaarheid van Nederland te versterken. Hij noemde daarbij ook de samenwerking van inlichtingendiensten binnen Europa. Deze instanties moeten samen zorgen voor betere beveiliging van de staat. Daarbij benadrukt hij de digitale autonomie binnen Europa en de waarde die dit Nederland kan bieden. De benodigde investeringen die nodig zijn voor digitale autonomie zijn groot maar de voordelen nog groter.

Digitale soevereiniteit in de praktijk (Nextcloud) (sessie 4)
Natali Helberger, hoogleraar Informatierecht en Digitale Technologie aan de Universiteit van Amsterdam en Wladimir Mufty, programmamanager bij SURF, gingen in op digitale soevereiniteit in de praktijk. Ze lieten zien hoe afhankelijk Nederland is van grote techbedrijven aan de hand van recente voorbeelden als het afsluiten van een e-mailaccount van het Internationaal Strafhof en de Amerikaanse overname van het cloudbedrijf achter DigiD. Volgens hen is het essentieel te analyseren hoe deze afhankelijkheid is ontstaan en hoe deze in de toekomst kan worden verminderd. Om digitale soevereiniteit te vergroten, zijn alternatieven voor dominante platforms en diensten nodig. Zo biedt de Nextcloud hub een alternatief voor MS Office en Teams.

Helberger en Mufty vertelden dat vijf universiteiten, in samenwerking met SURF, een pilot met Nextcloud hebben uitgevoerd. Zij deelden gebruikerservaringen en praktische aanbevelingen voor organisaties die willen overstappen naar een alternatief voor grote techbedrijven. Hun oproep? Maak het alternatief de primaire oplossing, zorg voor integratie met andere systemen en laat zien hoe het nieuwe systeem bijdraagt aan de organisatiedoelen. Het is bij de overgang naar een ander platform belangrijk om gebruikers actief te herinneren aan het belang van autonomie en weerbaarheid op de lange termijn. Dit zorgt voor meer draagkracht om over te stappen naar een alternatief voor grote techbedrijven.

Versterk de basis, verhoog de lat en werk samen aan een digitaal ecosysteem

Na een plenaire terugkoppeling door AcICT-onderzoeker Vijanti Ramautar, sloot dagvoorzitter Arie van Deursen het symposium af. De rode draad van deze middag was: versterk de basis, verhoog de lat en werk samen aan een digitaal ecosysteem dat daadwerkelijk veilig en toekomstbestendig is. De middag eindigde met een levendige borrel, waar volop werd nagepraat over de opgedane inzichten van de dag.