Pijler l: Digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties

Deze pijler ziet toe op de digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties. Hierbij gaat het om het vermogen om risico’s tot een aanvaardbaar niveau te brengen door middel van een verzameling van maatregelen om cyberincidenten te voorkomen en wanneer cyberincidenten zich hebben voorgedaan deze te ontdekken, schade te beperken en herstel eenvoudiger te maken.

Doelen

  • Organisaties hebben zicht op cyberincidenten, -dreigingen en -risico’s en hoe hiermee om te gaan.
    Om ervoor te zorgen dat organisaties goed inzicht hebben en goed weten om te gaan met de dreiging en risico’s is het van belang dat daar goede informa¬tie over beschikbaar is. Organisaties mogen van de overheid verwachten dat deze actuele kennis en informatie over cyberdreigingen, -incidenten, -trends, en -kwetsbaarheden beschikbaar stelt zodat zij tot handelen kunnen overgaan.
     
  • Organisaties zijn goed beschermd tegen digitale risico's, en nemen hierin hun belang voor de sector en andere organisaties in de keten mee. 
    Voor de digitale veiligheid van Nederland is inzet van alle bedrijven en organisaties noodzakelijk, niet alleen vanwege de continuïteit van de eigen dienst¬verlening maar ook vanwege de mogelijk bredere negatieve effecten voor afnemers, toeleveranciers of anderen. De Rijksoverheid stimuleert organisaties een basisniveau van maatregelen te implementeren om zo bij te dragen aan de digitale weerbaarheid van organisaties. De overheid werkt ook aan veiligere ICT-producten en -diensten op Europees niveau om organisaties te stimuleren en faciliteren om hun eigen verantwoordelijkheid te kunnen nemen.
    Van organisaties binnen de vitale infrastructuur en de overheid wordt een hoog niveau van digitale weer¬baarheid verwacht en dit wordt ook opgelegd.
     
  • Organisaties reageren, herstellen en leren snel en adequaat op en van cyberincidenten en –crises. 
    Voor een effectieve voorbereiding op digitale incidenten zullen organisaties incident-, continuïteit- en herstelplannen ontwikkelen. Deze plannen moeten regelmatig geoefend worden, binnen de eigen organisatie en met partners in de sector en keten zodat werknemers weten wat ze moeten doen als het onverhoopt misgaat. Hierbij is ook aandacht nodig voor effecten die kunnen optreden in de fysieke wereld. Mocht een incident toch plaatsvinden dan is het voor organisaties van belang dat zij hulp hebben georganiseerd. De overheid stimuleert dat bij overstijgende cyberincidenten en -crises wordt gehandeld op basis van het Landelijk Crisisplan Digitaal. 

Acties met prioriteit

Deze acties geven de prioriteiten voor de lopende kabinetsperiode weer waarmee het kabinet invulling geeft aan de doelstellingen uit deze pijler. Een uitgebreid overzicht van acties wordt weergegeven in het Actieplan NLCS.

Acties met prioriteit
Doel Acties
Versnippering binnen het stelsel tegengaan
  • Het NCSC, DTC en CSIRT-DSP worden samengevoegd tot één nationale cybersecurity autoriteit.
  • Van de overige schakelorganisaties binnen het cybersecurity informatiedelingsstelsel wordt beoordeeld welke van hun taken centraal of sectoraal belegd moet worden.
  • Er komt een publiek-privaat platform voor informatie- en kennisdeling
Vrijblijvendheid voorbij
  • De implementatie van de NIB2 richtlijn waardoor veel meer bedrijven in Nederland worden verplicht om digitale incidenten te melden en maatregelen te nemen.
  • Er komen extra normen voor de zorg- en onderwijssectoren.
  • Gemeenten en provincies krijgen te maken met aangescherpte beveiligingseisen.
  • Vergroten van kennis en bewustzijn van de risico’s bij organisaties die gebruik maken van systemen voor operationele technologie (zoals aansturen van sluizen of productie in fabrieken reguleren).
Voorbereid zijn op digitale incidenten en crises
  • Eind 2022 verschijnt  het Landelijk Crisis Plan digitaal voor publieke en private organisaties.
  • Op basis van de Rijksbrede risicoanalyse en de Rijksbrede veiligheidsstrategie wordt een interdepartementale oefenagenda opgesteld.