Drie separate overheidsorganisaties gaan de komende maanden nog nauwer met elkaar samenwerken om de digitale veiligheid van IT-systemen in het bedrijfsleven te verbeteren. Er is inmiddels een eenduidig afwegingskader opgesteld, zodat de beoordeling van digitale dreigingen uniform is. Eind 2025 moeten de instanties Zijn gefuseerd tot één gezamenlijk loket voor meldingen van dreigingen en kwetsbaarheden.

Dat meldt het Nationaal Cyber Security Centrum (NCSC) in een persbericht.

Instanties dienen ieder hun eigen doelgroep

Het NCSC, het  Computer Security Incident Response Team voor digitale diensten (CSIRT-DSP) en het Digital Trust Center (DTC) zijn momenteel drie afzonderlijke instanties die publieke en private partijen waarschuwen als zij het slachtoffer of doelwit zijn van cyberdreigingen. Dagelijks ontvangen zij informatie over kwetsbare of gehackte bedrijfssystemen en -netwerken. Deze informatie is afkomstig van beveiligingsonderzoekers, ethische hackers en binnen- en buitenlandse partners.

In de huidige situatie bedient iedere instantie zijn eigen doelgroep. Het NCSC waarschuwt bedrijven die actief zijn in de zogeheten vitale infrastructuur, de Rijksoverheid en schakelorganisaties. Het CSIRT-DSP alarmeert digitale serviceproviders en het DTC waarschuwt de rest van het Nederlandse bedrijfsleven.

Eén meldpunt voor informatie over cyberaanvallen en kwetsbaarheden

De overheid wil een einde maken aan deze versnippering. Het plan is om uiterlijk eind 2025 één loket gerealiseerd te hebben die publieke en private organisaties waarschuwt voor cyberdreigingen. Terwijl men op de achtergrond hard naar dit doel werkt, hebben het NCSC, het CSIRT-DSP en het DTC besloten om een gezamenlijk meldpunt te openen waar onderzoekers en ethische hackers informatie kunnen delen over cyberaanvallen en kwetsbaarheden.

Het meldpunt wordt ondergebracht bij het NCSC. Deze instantie beoordeelt de kwaliteit van de melding en zet zo nodig het notificatieproces bij een van de drie organisaties in werking. Hiervoor is een eenduidig afwegingskader geformuleerd om dreigingsinformatie te beoordelen. Ongeveer dertig soorten cyberdreigingen zijn aangewezen als ‘altijd aanleiding voor een waarschuwing’. Dan moet je denken aan een serverpoort die openstaat door een configuratiefout, of een verouderde cloudapplicatie waar beveiligingsfouten in aanwezig zijn.

De beoordeling van de digitale dreigingen zijn nu uniform, dat geldt nog niet voor de waarschuwingsberichten. De bedrijven die door het DTC worden gewaarschuwd, ontvangen meer uitleg en instructies dan de organisaties die door het NCSC en CSIRT-DSP worden gewaarschuwd, omdat deze organisaties doorgaans over meer ICT-kennis beschikken.

Instanties werken komende maanden aan één waarschuwingsdienst voor het bedrijfsleven

Zoals gezegd moeten het NCSC, het CSIRT-DSP en het DTC vanaf eind 2025 één organisatie vormen. Vanaf dat moment is er nog maar één afzender die dreigingsinformatie en -waarschuwingen verstrekt. In aanloop daarnaar wordt er nu al intensief samengewerkt tussen de drie partijen. Zo maken ze bijvoorbeeld al gebruik van elkaars IT-systemen.

“In de komende maanden werken de organisaties verder aan één geïntegreerde schaalbare en robuuste waarschuwingsdienst om het bedrijfsleven in Nederland te ondersteunen bij de digitale veiligheid van hun IT-systemen”, aldus het NCSC.

De samenvoeging van de drie instanties is een van de speerpunten van de Nederlandse Cybersecuritystrategie. Het doel daarvan is om een digitaal veilige samenleving te creëren en veiligheids- en kwaliteitseisen op het gebied van cybersecurity te regelen. Beveiligingsdeskundigen zijn blij dat de overheid cybersecurity zo serieus neemt, maar zijn tegelijkertijd kritisch. Ze zien dat er veel goede dingen in de Cybersecuritystrategie staan, maar ook dat er een hoop zaken ontbreken. Tevens zetten ze hun vraagtekens bij de praktische uitvoering van het plan.