Orange Cyber­de­fense roept de Neder­landse regering op om digitale veilig­heid struc­tu­reel op te nemen in het defen­sie­budget. Nu NAVO-lidstaten hebben afgesproken om 1,5% van het bbp te inves­teren in infra­struc­tuur die bijdraagt aan veilig­heid, is dit hét moment om cyber­se­cu­rity daarin volwaardig te verankeren.

Wie denkt dat oorlog alleen op land, zee of in de lucht wordt uitge­vochten, kijkt weg van de reali­teit. De eerste klap van een conflict is steeds vaker digitaal: het uitscha­kelen van netwerken, het ontre­gelen van logis­tiek, het platleggen van zieken­huizen, havens of overheids­dien­sten. Denk aan NotPetya, dat begon als een aanval op Oekra­ïense infra­struc­tuur, maar wereld­wijd bedrijven lamlegde. Of aan de reeks wiper-aanvallen rond de inval in Oekraïne, waarbij systemen binnen seconden uitvielen.

“Wie miljarden inves­teert in fysieke slagkracht, maar digitale aanvallen onvol­doende meeneemt, laat een kwets­bare flank open”, stelt Matthijs van der Wel-ter Weel, Strategic Advisor bij Orange Cyber­de­fense. “We moeten digitale weerbaar­heid met dezelfde urgentie behan­delen als fysieke dreigingen.”

Nationale verantwoordelijkheid

Het NAVO-besluit is duide­lijk: minimaal 3,5% van het bbp moet gaan naar defensie, en 1,5% naar infra­struc­tuur die bijdraagt aan veilig­heid. Maar hóe dat laatste bedrag wordt besteed, is aan de lidstaten zelf.

Orange Cyber­de­fense pleit er daarom voor dat Neder­land een deel van die 1,5% inves­teert in digitale weerbaar­heid. Want de werke­lijk­heid is: digitale veilig­heid ís natio­nale veilig­heid. En je kunt je in de 21e eeuw niet blijven verschuilen achter bondge­noten. In de fysieke wereld leerden we dat pas laat, dus in de digitale wereld moeten we niet dezelfde fout maken.

Van reactief naar voorbereid: drie maatregelen

Orange Cyber­de­fense presen­teert drie concrete maatre­gelen die Neder­land direct weerbaarder maken, zonder nieuwe bureaucratie:

1. Breid het mandaat van het NCSC uit naar álle sectoren – Neder­land kent een groeiend netwerk van cyber­se­cu­ri­ty­or­ga­ni­sa­ties, van het Natio­naal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) tot secto­rale CSIRTs, de Politie, Defensie en toezicht­hou­ders. Maar bij een grote digitale crisis ontbreekt één cruciaal element: centrale regie. Wie heeft bij een crisis de leiding? En dat maakt ons kwetsbaar.

Het NCSC beschikt over kennis, capaci­teit en ervaring, maar mag op dit moment alleen een beperkt aantal organi­sa­ties en de Rijks­over­heid onder­steunen. Bedrijven of bijvoor­beeld Gemeenten daarbuiten mogen niet proac­tief worden geïnfor­meerd, zelfs niet bij bekende dreigingen. Daardoor ontstaat een versnip­perd landschap waarin niemand het voortouw móet nemen. Juist op het moment dat snelle besluit­vor­ming en gecoör­di­neerd handelen essen­tieel zijn.

Wat moet er gebeuren?

• Geef het NCSC het wette­lijke mandaat om álle sectoren te waarschuwen en te onder­steunen, dus ook buiten de vitale infrastructuur.
• Zorg voor één natio­naal platform met actuele dreigings­in­for­matie en prakti­sche hande­lings­ad­viezen, toegan­ke­lijk voor zowel publieke als private organisaties.
• Breid de rol van het NCSC uit van signa­le­ring naar actieve coördi­natie bij incidenten: wie onder­neemt actie, wat heeft priori­teit, en hoe beperk je de schade?
• Leg de bijbe­ho­rende verant­woor­de­lijk­heden en commu­ni­ca­tie­lijnen vast in crisisscenario’s, zodat bij een incident direct duide­lijk is wie welke rol vervult.

2. Maak ruimte voor innovatie – De Neder­landse overheid stelde in 2023 voor het eerst subsidie beschik­baar voor het ontwik­kelen van nieuwe securi­ty­op­los­singen via het Cyber­se­cu­rity Innova­tion Fund (CIF-NL). Daarmee werd erkend dat we niet alleen buiten­landse securi­ty­pro­ducten moeten inkopen, maar ook eigen innovatie moeten stimu­leren. De regeling was echter beperkt: één korte openstel­ling, een klein budget, en tot nu toe geen zicht op wat het heeft opgele­verd. Nieuwe aanvragen zijn sinds­dien niet mogelijk, terwijl de urgentie van digitale autonomie juist is toegenomen.

Wat nodig is:

• Struc­tu­rele voort­zet­ting van het innova­tie­pro­gramma, met jaarlijkse openstellingen.
• Snelle publi­catie van resul­taten van eerdere rondes, zodat duide­lijk wordt wat werkt.
• Toegan­ke­lijke voorwaarden voor start-ups, scale-ups en kennisinstellingen.

3. Inves­teer gericht in bescher­ming tegen digitale oorlogs­voe­ring – De extra 1,5% van het defen­sie­budget voor veilig­heid is dé kans om Neder­land weerbaarder te maken tegen state­lijke cyber­aan­vallen. Deze dreigingen zijn funda­men­teel anders dan ransom­ware: ze worden maanden of jaren voorbe­reid, combi­neren IT- en OT-aanvallen en zijn gericht op strate­gi­sche ontwrich­ting, zoals het platleggen van energie­cen­trales, trans­port­net­werken of communicatiesystemen.

Bescher­ming hiertegen vraagt om een samen­han­gende, speci­a­lis­ti­sche aanpak met maatre­gelen als zero trust-archi­tec­tuur, diepgaande netwerk­seg­men­tatie en OT-speci­fieke securi­ty­testen. Ook continue threat hunting en het struc­tu­reel dichten van kwets­baar­heden, inclu­sief in de toele­ve­rings­keten, zijn essen­tieel. Omdat deze verde­di­ging­slagen kostbaar en complex zijn, is actieve overheids­steun noodzakelijk.

Wat moet er gebeuren?

• Fiscale stimu­lansen zoals aftrek­baar­heid van cyberin­ves­te­ringen en het schrappen van btw op cyber­se­cu­ri­ty­pro­ducten voor burgers.
• Directe finan­cie­ring om vitale en essen­tiële organi­sa­ties én hun keten­part­ners op een hoger bevei­li­gings­ni­veau te brengen.

Geen technische bijzaak

Digitale aanvallen onder­mijnen onze economie, democratie en autonomie, zonder dat er één schot gelost hoeft te worden. Volgens Orange Cyber­de­fense is het daarom tijd om cyber­se­cu­rity te behan­delen als strate­gi­sche capaci­teit, niet als techni­sche bijzaak. “We beschermen geen servers, we beschermen onze samen­le­ving, soeve­rei­ni­teit en stabi­li­teit”, aldus Van der Wel-ter Weel. “Wie digitale weerbaar­heid niet centraal stelt, bouwt natio­nale veilig­heid op drijfzand.”