1 00:00:04,033 --> 00:00:07,368 Van harte welkom bij 'De staat van cybersecurity'. 2 00:00:07,468 --> 00:00:09,033 Dit webinar is een initiatief 3 00:00:09,133 --> 00:00:13,268 van de Rijksacademie voor Digitalisering en Informatisering Overheid, 4 00:00:13,368 --> 00:00:19,100 of kortweg RADIO, wordt georganiseerd door adviesbureau INSPIR8ION 5 00:00:19,200 --> 00:00:23,433 en we hebben vandaag twee gasten Raymond Bierens van Connect2Trust... 6 00:00:23,533 --> 00:00:25,468 en Remy Knecht. 7 00:00:25,568 --> 00:00:28,233 Ik begin bij jou, Raymond. Welkom. -Dank je wel. 8 00:00:28,333 --> 00:00:33,868 Wij kennen elkaar van de Rijksoverheid, maar wat is dat nou, Connect2Trust? 9 00:00:33,968 --> 00:00:37,400 Connect2Trust is een stichting, een zogenaamde schakelorganisatie. 10 00:00:37,500 --> 00:00:41,568 Een stichting die door het ministerie van Justitie en Veiligheid is aangewezen 11 00:00:41,668 --> 00:00:45,133 om dreigingsinformatie, informatie over kwetsbaarheden, 12 00:00:45,233 --> 00:00:49,668 over bedrijven die mogelijk geraakt zijn te delen met die bedrijven. 13 00:00:49,768 --> 00:00:52,800 Ja, belangrijk. Is ook veel over te doen geweest. 14 00:00:52,900 --> 00:00:57,333 Ja, en dat kan nu steeds beter gelukkig. -En jij bent voorzitter van die stichting. 15 00:00:58,968 --> 00:01:01,600 Remy, hartstikke welkom. 16 00:01:01,700 --> 00:01:05,768 Jij komt uit België, daarom ben je ook even remote bij ons. 17 00:01:05,868 --> 00:01:07,600 Jij werkt voor Digie. 18 00:01:07,700 --> 00:01:13,033 Ja, ik ben medeoprichter van Digie en met Digie begeleiden wij 19 00:01:13,133 --> 00:01:16,268 nationaal en internationaal ondernemingen en overheden 20 00:01:16,368 --> 00:01:18,700 op het vlak van hun digitalisatieprojecten 21 00:01:18,800 --> 00:01:22,733 naar een digitalere business, economie en overheid, 22 00:01:22,833 --> 00:01:25,968 waar we vooral ook focus leggen op identitymanagement, 23 00:01:26,068 --> 00:01:28,068 dataprivacy en -security. 24 00:01:28,168 --> 00:01:33,433 Ja. En jij bent ook veel bezig voor de Europese Commissie. 25 00:01:33,533 --> 00:01:37,468 Ja, dat klopt. Samen met Digie doen wij ook een aantal Europese projecten 26 00:01:37,568 --> 00:01:42,100 voor de Europese Commissie, waar we ook inzetten op deze topics 27 00:01:42,200 --> 00:01:43,633 op een aantal momenten. 28 00:01:43,733 --> 00:01:45,633 En jij gaat ons in de tweede helft meenemen 29 00:01:45,733 --> 00:01:48,733 in de ontwikkelingen in cybersecurity. 30 00:01:48,833 --> 00:01:53,433 Wij gaan het eerst even hebben over de zin en de onzin van de NIS-2. 31 00:01:53,533 --> 00:01:54,800 Daar is al veel over te doen. 32 00:01:54,900 --> 00:01:58,068 En je hebt een poll meegenomen. -Ja. 33 00:01:58,168 --> 00:02:00,133 Hij is erg leuk. 34 00:02:00,233 --> 00:02:04,700 'Voor het mitigeren van risico's die voortkomen uit 't gebruik van technologie 35 00:02:04,800 --> 00:02:10,500 doet mijn organisatie het liefst: niets, zo min mogelijk, alles wat nodig is 36 00:02:10,600 --> 00:02:14,400 om compliant te zijn of meer dan nodig is om compliant te zijn.' 37 00:02:14,500 --> 00:02:18,400 En terwijl de mensen even de tijd krijgen om de poll in te vullen... 38 00:02:19,833 --> 00:02:25,200 Het valt mij op dat we het steeds vaker hebben in wetgeving in Europa, 39 00:02:25,300 --> 00:02:29,568 maar langzamerhand in Nederland, over dat woordje 'risico' inderdaad. 40 00:02:29,668 --> 00:02:31,768 Is dat een nieuwe Europese hobby 41 00:02:31,868 --> 00:02:36,468 om overal risicogedreven wetgeving te maken? 42 00:02:36,568 --> 00:02:39,868 Het is in toenemende mate wel een thema 43 00:02:39,968 --> 00:02:44,333 wat aansluit bij de snelle dynamiek van de technologische veranderingen. 44 00:02:44,433 --> 00:02:46,968 Die gaan zo snel dat je eigenlijk niet meer kunt zeggen: 45 00:02:47,068 --> 00:02:51,400 'De techniek is er, dus het risico is statisch, het risico wordt dynamisch.' 46 00:02:51,500 --> 00:02:53,600 En dus om daar permanent mee om te gaan 47 00:02:53,700 --> 00:02:56,633 is een van de meest gebruikte mechanismen in risicomanagement. 48 00:02:56,733 --> 00:02:59,768 En dan moeten wij dus ook gaan nadenken elke keer, 49 00:02:59,868 --> 00:03:02,433 in plaats van dat er een vinkenlijstje ingevuld wordt. 50 00:03:02,533 --> 00:03:05,433 Ja, dat is de bedoeling. -Dan ben ik wel heel benieuwd 51 00:03:05,533 --> 00:03:08,368 wat tot nu toe de mensen hebben gezegd? 52 00:03:08,468 --> 00:03:10,000 Er zijn twaalf reacties. 53 00:03:10,100 --> 00:03:15,700 De meeste zeggen dat alles wordt gedaan wat nodig is om compliant te zijn. 54 00:03:15,800 --> 00:03:17,533 Eén zegt 'gebeurt niet' 55 00:03:17,633 --> 00:03:20,900 en één zegt dat er meer gebeurt dan nodig om compliant te zijn. 56 00:03:21,000 --> 00:03:23,000 Herkenbaar beeld? -Herkenbaar beeld. 57 00:03:23,100 --> 00:03:26,700 Want de meeste organisaties zijn toch braaf. 58 00:03:26,800 --> 00:03:29,668 De meeste organisaties willen in ieder geval braaf zijn. 59 00:03:29,768 --> 00:03:33,300 Tussen wat je wil zijn en wat je bent, zit natuurlijk nog wel een delta tussen. 60 00:03:33,400 --> 00:03:37,600 Tegelijkertijd is het ook de vraag: 61 00:03:37,700 --> 00:03:43,068 Zijn we het allen eens wat compliant precies betekent voor je organisatie? 62 00:03:43,168 --> 00:03:45,133 En daar ga ik in mijn slides op in. 63 00:03:45,233 --> 00:03:47,468 Ik denk dat dat ook goed is, 64 00:03:47,568 --> 00:03:51,833 maar het doet me altijd een beetje denken aan het 'wij voldoen aan de AVG' 65 00:03:51,933 --> 00:03:56,068 en dan denk ik altijd: best wel knap als je dat zo zeker weet van jezelf. 66 00:03:56,168 --> 00:03:58,000 Zeker, zeker. 67 00:03:58,100 --> 00:04:02,800 Nou, neem ons mee in de zin en de onzin van de NIS-2, alsjeblieft. 68 00:04:02,900 --> 00:04:04,333 Dank je wel, Brenno. 69 00:04:06,533 --> 00:04:08,633 De titel is bewust gekozen. De NIS-2, 70 00:04:08,733 --> 00:04:12,300 de nieuwe Europese wetgeving die eraan komt. 71 00:04:12,400 --> 00:04:17,833 Tussen nu en 21 maanden dient die te zijn vertaald naar wetgeving 72 00:04:17,933 --> 00:04:20,433 en gaat het daarmee starten. 73 00:04:20,533 --> 00:04:23,068 Ik ben niet alleen voorzitter van Connect2Trust, 74 00:04:23,168 --> 00:04:26,933 ik ben ook promotieonderzoeker aan de Vrije Universiteit in Amsterdam 75 00:04:27,033 --> 00:04:31,268 en mag ook de Rijksoverheid af en toe adviseren op ditzelfde onderwerp. 76 00:04:31,368 --> 00:04:35,100 Dus wat ik ga proberen, in een kort aantal minuten, 77 00:04:35,200 --> 00:04:38,733 is wat van die ervaring met jullie te delen. 78 00:04:38,833 --> 00:04:43,233 En waar ik mee wilde beginnen, omdat veel mensen dat niet zo goed weten, 79 00:04:43,333 --> 00:04:46,968 is: waarom er eigenlijk een NIS-2 gekomen? 80 00:04:47,068 --> 00:04:49,800 Dat begint eigenlijk met de oude NIS-2, zoals de titel zegt. 81 00:04:49,900 --> 00:04:51,968 Tegelijkertijd, het is niet de oude NIS-2, 82 00:04:52,068 --> 00:04:54,368 het is gewoon de NIS-2 die nu nog van toepassing is, 83 00:04:54,468 --> 00:04:56,268 dus hij is nog steeds van kracht. 84 00:04:56,368 --> 00:04:57,933 Wat we daar wel in merkten, 85 00:04:58,033 --> 00:05:00,868 en dat zie je ook een beetje aan het jaartal bovenin deze slide: 86 00:05:00,968 --> 00:05:06,268 Die wetgeving dateert uit 2016 en dan hebben we het over zes jaar geleden. 87 00:05:06,368 --> 00:05:10,033 Dat betekent, kijk voor de grap eens naar uw iPhone of smartphone 88 00:05:10,133 --> 00:05:15,068 of uw huishouden hoeveel er sinds die tijd veranderd is, geconnecteerd is. 89 00:05:15,168 --> 00:05:18,100 En dat zie je ook staan bij de eerste reden voor een wijziging: 90 00:05:18,200 --> 00:05:22,468 'Het dreigingslandschap is veranderd.' Nou, dat moge duidelijk zijn. 91 00:05:22,568 --> 00:05:25,133 Dat is niet alleen in een huishouden, dat is ook, 92 00:05:25,233 --> 00:05:29,768 zoals we recentelijk gezien hebben rondom de 5G-technologiebeveiliging, 93 00:05:29,868 --> 00:05:32,733 hoe ga je daar als overheid mee om? 94 00:05:32,833 --> 00:05:38,133 Tegelijkertijd merkten we ook dat NIS-1, het is niet voor niets het cijfer 1, 95 00:05:38,233 --> 00:05:42,800 ook die heeft in zijn uitvoering de nodige uitdagingen aan het licht gebracht. 96 00:05:42,900 --> 00:05:45,200 En met name had dat te maken met: 97 00:05:45,300 --> 00:05:47,800 hoe ga je nou om met het 98 00:05:47,900 --> 00:05:51,333 naar een nationaal niveau vertalen van deze wetgeving? 99 00:05:51,433 --> 00:05:55,668 Dan heb je te maken met afbakening, je hebt te maken met afhankelijkheden. 100 00:05:55,768 --> 00:05:59,333 En daarbovenop kwam ook nog dat er in het Hof van Justitie een casus kwam 101 00:05:59,433 --> 00:06:05,000 waarbij de organisatie Vodafone heeft gevraagd, een casus is gestart, 102 00:06:05,100 --> 00:06:08,833 omdat hij zei: ik wil in Europa... We hebben gemeenschappelijke regels. 103 00:06:08,933 --> 00:06:14,368 Het zou ook makkelijk zijn als de cyber- security regels worden geharmoniseerd. 104 00:06:14,468 --> 00:06:16,968 Dus daar is de NIS-2 uitgekomen. 105 00:06:17,068 --> 00:06:20,768 Alleen wat belangrijk is voor de mensen die je de Europese wetgeving volgen: 106 00:06:20,868 --> 00:06:26,400 er komen heel veel regels, directives en acts aan vanuit Europa 107 00:06:26,500 --> 00:06:29,468 en je ziet dat die op te delen zijn in vier doelgroepen. 108 00:06:29,568 --> 00:06:32,068 Een deel is gericht op de bescherming van consumenten. 109 00:06:32,168 --> 00:06:34,933 De AVG is daar het meest bekende voorbeeld van. 110 00:06:35,033 --> 00:06:39,168 Ook die wordt continu aangescherpt. Je ziet ook een toenemende wetgeving 111 00:06:39,268 --> 00:06:41,633 rondom de leveranciers van digitale diensten 112 00:06:41,733 --> 00:06:46,200 en je ziet een groot aantal op dit moment in aantocht zijnde wetgeving 113 00:06:46,300 --> 00:06:48,300 rondom de producenten. 114 00:06:48,400 --> 00:06:51,300 Dat wordt gedaan omdat de derde categorie, de organisaties, 115 00:06:51,400 --> 00:06:57,068 en dat is waar de NIS-2 zich op richt, met name ook als uitgangspunt hanteert: 116 00:06:57,168 --> 00:07:01,700 het kan niet alleen aan die organisaties liggen om alle risico's te managen. 117 00:07:01,800 --> 00:07:05,668 Het is een samenwerking van gebruikers, leveranciers van diensten, 118 00:07:05,768 --> 00:07:08,433 leveranciers van producten met daarin connectiviteit 119 00:07:08,533 --> 00:07:11,000 en uiteindelijk de organisaties. 120 00:07:11,100 --> 00:07:16,900 En als je dan kijkt naar de NIS-2 zie je een aantal veranderingen tegelijkertijd. 121 00:07:17,000 --> 00:07:19,500 We noemen dat de zorgplicht, meldplicht en toezicht. 122 00:07:19,600 --> 00:07:21,368 Die bestonden al in de NIS-1, 123 00:07:21,468 --> 00:07:24,133 alleen het toepassingsgebied daarvan wordt veel groter. 124 00:07:24,233 --> 00:07:27,333 Er komen dus veel meer sectoren bij die allemaal worden gezien 125 00:07:27,433 --> 00:07:31,368 in wat we als Nederland kennen als vitaal en wat in de NIS-2 wordt genoemd 126 00:07:31,468 --> 00:07:33,800 'een aanbieder van essentiële diensten' 127 00:07:33,900 --> 00:07:38,033 en tegelijkertijd is er ook steeds meer ruimte voor een soort tussencategorie 128 00:07:38,133 --> 00:07:41,268 en die worden nu 'de belangrijke organisaties' genoemd. 129 00:07:41,368 --> 00:07:45,100 Wat is daar nieuw in? Het verschil tussen die twee is dat voor een essentiële dienst 130 00:07:45,200 --> 00:07:46,733 actief toezicht wordt gehouden. 131 00:07:46,833 --> 00:07:50,200 Dat betekent: daar wordt proactief door een toezichthouder 132 00:07:50,300 --> 00:07:53,600 vanuit de overheid gekeken hoe het daar is ingericht. 133 00:07:53,700 --> 00:07:57,033 Voor de belangrijke organisaties is dit passief. 134 00:07:57,133 --> 00:08:00,868 Ook de andere, het nieuwe daarin staat centraal in die drie 135 00:08:00,968 --> 00:08:03,600 is de component 'aansprakelijkheid' 136 00:08:03,700 --> 00:08:07,368 en die is zowel voor publiek als privaat van kracht, 137 00:08:07,468 --> 00:08:10,668 waarbij bestuurders, zoals dat zo mooi is geformuleerd, 138 00:08:10,768 --> 00:08:14,133 invloed kunnen uitoefenen op de inrichting van cybersecurity. 139 00:08:14,233 --> 00:08:17,300 Lees daar maar: de invulling van de zorgplicht en de meldplicht, 140 00:08:17,400 --> 00:08:21,768 aansprakelijk gesteld kunnen worden als het niet goed is gedaan. 141 00:08:21,868 --> 00:08:24,000 Uiteindelijk kan het zelfs leiden tot boetes, 142 00:08:24,100 --> 00:08:26,568 maar de aansprakelijkheid alleen is al nieuw. 143 00:08:28,268 --> 00:08:30,200 Ik heb in deze slide even kort weergegeven 144 00:08:30,300 --> 00:08:34,200 wat straks allemaal wordt gezien als een aanbieder van een essentiële dienst 145 00:08:34,300 --> 00:08:38,368 en welke sectoren daaronder hangen. Dus energie, vervoer, bankwezen. 146 00:08:38,468 --> 00:08:39,800 Veel daarvan kennen we al. 147 00:08:39,900 --> 00:08:43,268 Sommige zijn nieuw. Digitale infrastructuur 148 00:08:43,368 --> 00:08:46,700 is sinds kort al aangewezen als een vitale sector in Nederland. 149 00:08:46,800 --> 00:08:49,100 Overheidsdiensten, ruimtevaart, afvalwater. 150 00:08:49,200 --> 00:08:51,433 Dus zo zie je het eigenlijk steeds meer toenemen. 151 00:08:51,533 --> 00:08:54,400 De grootste verandering zit bij de belangrijke organisaties. 152 00:08:54,500 --> 00:08:56,868 want daar zie je in dat die 153 00:08:56,968 --> 00:09:01,600 ook allemaal voor het eerst in dit domein terechtkomen van de NIS-2. 154 00:09:02,933 --> 00:09:05,000 Wat we met INSPIR8ION heel erg proberen, is: 155 00:09:05,100 --> 00:09:09,268 Hoe kom je dan uiteindelijk tot de uitvoering van een NIS-2? 156 00:09:09,368 --> 00:09:12,368 Dan zie je eigenlijk dat je het op drie niveaus moet bekijken. 157 00:09:12,468 --> 00:09:17,033 De overheid zal de NIS naar lokaal moeten vertalen. 158 00:09:17,133 --> 00:09:21,568 Per sector zul je een sectoraal specifiek beeld moeten gaan ontwikkelen 159 00:09:21,668 --> 00:09:22,933 hoe het eruit moet gaan zien 160 00:09:23,033 --> 00:09:26,100 en uiteindelijk moet de organisatie dat gaan uitvoeren. 161 00:09:27,568 --> 00:09:32,168 In mijn onderzoek zit ik echter met een vraag die het wat lastiger maakt 162 00:09:32,268 --> 00:09:35,633 om daar helemaal een sluitend en permanent antwoord op te geven. 163 00:09:35,733 --> 00:09:38,133 Dat is natuurlijk: wanneer is het dan goed? 164 00:09:39,368 --> 00:09:42,700 En die vraag begint bij mij met de definities. 165 00:09:42,800 --> 00:09:46,868 Dan ben ik toch even de wetenschapper, die begint altijd met de definities. 166 00:09:46,968 --> 00:09:50,500 Dan wordt het al interessant als je kijkt naar de definitie van cybersecurity 167 00:09:50,600 --> 00:09:54,633 of cyberbeveiliging in de NIS-2 en een definitie zoals die is gebruikt 168 00:09:54,733 --> 00:09:58,400 in de Nederlandse Cybersecurity Strategie die recentelijk is gepubliceerd. 169 00:09:58,500 --> 00:10:00,768 Ik ga 'm niet oplezen, dat kan iedereen zelf, 170 00:10:00,868 --> 00:10:03,368 maar je ziet al, de definities zijn niet alleen langer, 171 00:10:03,468 --> 00:10:06,433 maar ook inhoudelijk net afwijkend, 172 00:10:06,533 --> 00:10:09,133 waarbij de Nederlandse Cybersecurity Strategie 173 00:10:09,233 --> 00:10:12,000 ook nog digitale veiligheid en risico kent. 174 00:10:12,100 --> 00:10:13,900 En Brenno, we hadden het er al even over, 175 00:10:14,000 --> 00:10:19,268 risico, de kans dat een cyberincident zich voordoet en de impact daarvan, 176 00:10:19,368 --> 00:10:22,633 dat is de kern van digitale weerbaarheid. 177 00:10:22,733 --> 00:10:26,868 En zo zie je dat die termen ook steeds meer door elkaar heen worden gebruikt. 178 00:10:26,968 --> 00:10:30,033 Dus wat ik als wetenschapper dan ben gaan doen, is: 179 00:10:30,133 --> 00:10:33,400 is daar nou enigszins iets van te maken? 180 00:10:33,500 --> 00:10:35,768 Hoe doorlopen die definities nu? 181 00:10:35,868 --> 00:10:38,068 Weten we met mekaar waar we het over hebben? 182 00:10:38,168 --> 00:10:41,200 Als ik dan even een internationaal raamwerk, MITRE ATT&CK neem, 183 00:10:41,300 --> 00:10:44,100 dan zie je dat ie onderscheid maakt in drie categorieën: 184 00:10:44,200 --> 00:10:47,700 IT, Enterprise IT, informatietechnologie, 185 00:10:47,800 --> 00:10:50,533 OT, de industrial control systems, 186 00:10:50,633 --> 00:10:54,633 de operationele technologie en als laatste het Internet of Things. 187 00:10:56,200 --> 00:10:58,200 Als ik die ga vertalen in risicomanagement, 188 00:10:58,300 --> 00:11:01,468 zie je dat je ook in drie verschillende vormen van risicomanagement 189 00:11:01,568 --> 00:11:03,968 terecht zou moeten komen. De technologie is anders, 190 00:11:04,068 --> 00:11:06,833 dus is risicomanagement dan de 'ja, nee, anders'? 191 00:11:06,933 --> 00:11:09,733 Dat zie je hier weergegeven. Ja, die zijn er. 192 00:11:09,833 --> 00:11:12,000 Het lastige daarbij is: die zijn er niet alleen, 193 00:11:12,100 --> 00:11:15,568 ze zijn ook nog eens een keer onderling met elkaar verbonden. 194 00:11:15,668 --> 00:11:17,800 Dus je kunt een slimme speaker hacken 195 00:11:17,900 --> 00:11:22,468 om uiteindelijk bij een systeem te komen waar informatie is opgeslagen. 196 00:11:22,568 --> 00:11:26,033 Je kunt een netwerk hacken om iets operationeels stil te leggen 197 00:11:26,133 --> 00:11:28,000 in wat dan heet 'cybersecurity risk'. 198 00:11:29,400 --> 00:11:32,068 Wat ik daarbij heb geconstateerd in mijn onderzoek 199 00:11:32,168 --> 00:11:35,468 dat het eigenlijk ook tot een scheiding aan het leiden is. 200 00:11:35,568 --> 00:11:38,900 Je merkt: aan de ene kant ontstaat security management, 201 00:11:39,000 --> 00:11:42,600 dat zijn wat wij vaak noemen 'watervalaanpakken'. 202 00:11:42,700 --> 00:11:45,133 Dat zijn mensen die een stabiele situatie creëren 203 00:11:45,233 --> 00:11:49,368 dan op weg gaan naar een nieuwe situatie en dan is ie pas compleet. 204 00:11:49,468 --> 00:11:51,233 U kent dat misschien op uw werk, 205 00:11:51,333 --> 00:11:54,800 de nieuwe update komt uit, de ICT-organisatie zegt: 206 00:11:54,900 --> 00:11:57,300 'Nu even niet. Ik kijk even wat er gebeurt 207 00:11:57,400 --> 00:12:00,233 en pas dan kunnen we het beheerst uitrollen. 208 00:12:00,333 --> 00:12:02,868 Digitalisering echter zit precies aan de andere kant. 209 00:12:02,968 --> 00:12:06,000 Dat is veel meer agile, veel meer in de hoek van: 210 00:12:06,100 --> 00:12:09,133 'Het gaat zo snel. Je moet de snelheid bijhouden 211 00:12:09,233 --> 00:12:14,100 en je kunt die niet tegenhouden. Die wereld luistert daar niet meer naar.' 212 00:12:15,668 --> 00:12:19,468 De tweede constatering die ik in mijn onderzoek heb gedaan, 213 00:12:19,568 --> 00:12:21,033 is eigenlijk wat zorgelijker. 214 00:12:21,133 --> 00:12:24,100 Je ziet hier in hetzelfde schema een aantal getalletjes staan. 215 00:12:24,200 --> 00:12:28,568 Wat ik heb gedaan: ik heb eigenlijk een analyse gemaakt 216 00:12:28,668 --> 00:12:32,033 samen met een collega op de universiteit, 217 00:12:32,133 --> 00:12:35,268 van: hoe heeft nu eigenlijk de kennis zich hier ontwikkeld? 218 00:12:35,368 --> 00:12:39,468 En dan zie je dat we al vanaf '89 bezig zijn we met 'information security risk'. 219 00:12:39,568 --> 00:12:41,233 Dat is een hele tijd. 220 00:12:41,333 --> 00:12:45,768 En je ziet daar in het midden een getal, 2011, het jaartal. 221 00:12:45,868 --> 00:12:51,268 Dat is het eerste moment dat cyber in zwang kwam als term. 222 00:12:51,368 --> 00:12:54,568 Waarom? Dat had onder andere te maken met de bekendmaking van Stuxnet, 223 00:12:54,668 --> 00:12:57,400 de kerncentrale in Iran die gecompromitteerd is, 224 00:12:57,500 --> 00:13:01,568 ook al was die niet verbonden aan het internet. 225 00:13:01,668 --> 00:13:05,868 En dan zie je eigenlijk dat pas in 2016 je een onderscheid gaat krijgen 226 00:13:05,968 --> 00:13:09,268 waarbij je zowel informatiebeveiliging als cybersecurity risks ziet, 227 00:13:09,368 --> 00:13:14,168 waarbij informatiebeveiliging gaat over beveiligen van je kennis, je informatie, 228 00:13:14,268 --> 00:13:17,468 cybersecurity gaat veel meer over de continuïteit. 229 00:13:17,568 --> 00:13:19,700 Wat zie je nu in 2017? 230 00:13:19,800 --> 00:13:23,900 Je ziet nu dat er een soort restcategorie bij komt 231 00:13:24,000 --> 00:13:28,300 en die restcategorie zegt eigenlijk: ik ben ook nog digital. 232 00:13:28,400 --> 00:13:34,868 Hoe ga je om met fake profiles? Hoe ga je om met IoT? 233 00:13:34,968 --> 00:13:39,000 Hier kun je twee conclusies uit trekken. Ten eerste is er dus een overgangsfase 234 00:13:39,100 --> 00:13:43,100 waarbij we nieuwe risico's oplossen met oude middelen. 235 00:13:43,200 --> 00:13:45,433 De tweede is, hoe goed ik ook heb gezocht 236 00:13:45,533 --> 00:13:49,000 en we hebben echt heel lang gezocht met veel collega's van de universiteit, 237 00:13:49,100 --> 00:13:53,000 we vinden rondom dat hele nieuwe stuk 'digital security risks' 238 00:13:53,100 --> 00:13:55,733 eigenlijk geen handvatten. 239 00:13:55,833 --> 00:14:00,133 Het vervelende daarvan is: als je nu, en dan ga ik even terug naar de pollvraag, 240 00:14:00,233 --> 00:14:02,400 als er geen handvatten zijn en je doel is 241 00:14:02,500 --> 00:14:06,333 'alles wat nodig is om compliant te zijn, is mijn doel,' 242 00:14:06,433 --> 00:14:08,868 dan weet je één ding zeker: een deel is niet gedekt, 243 00:14:08,968 --> 00:14:13,000 want een deel is namelijk nog niet in compliance en controls vervat. 244 00:14:13,100 --> 00:14:16,268 Dus ja, wat is dan de checklist waard? Je bent beter dan wat je was. 245 00:14:16,368 --> 00:14:18,000 Dat is vooral de zin, 246 00:14:18,100 --> 00:14:21,533 maar de onzin is: dat betekent niet dat je dan klaar bent. 247 00:14:21,633 --> 00:14:23,500 Die koppeling kun je niet maken. 248 00:14:23,600 --> 00:14:27,900 Dus ik zeg ook weleens: Je hebt eigenlijk te maken met de vraag 'wat wil je?'. 249 00:14:28,000 --> 00:14:32,968 Wil je compliant zijn? Of wil je, zoals in het plaatje weergegeven, verder gaan? 250 00:14:34,033 --> 00:14:36,100 Waarom deze discussies relevant zijn, 251 00:14:36,200 --> 00:14:40,600 kan ik heel eenvoudig weergeven aan de hand van een voorbeeld 252 00:14:40,700 --> 00:14:43,900 van een gemiddelde deelnemer van de stichting Connect2Trust. 253 00:14:44,000 --> 00:14:46,268 Ik zei het al: wij delen dreigingsinformatie 254 00:14:46,368 --> 00:14:49,533 en dat betekent dat die organisaties eigenlijk... 255 00:14:49,633 --> 00:14:54,133 degenen die bij ons deelnemer zijn, inmiddels zo'n 1300 in Nederland, 256 00:14:54,233 --> 00:14:56,100 zijn allemaal wat wij noemen 'mature'. 257 00:14:56,200 --> 00:14:58,400 Dat betekent: als ik die informatie geef 258 00:14:58,500 --> 00:15:01,433 dat wij van het NCC of de Amerikaanse overheid krijgen, 259 00:15:01,533 --> 00:15:04,500 hoef ik dat niet uit te leggen. Dus dat is in die zin makkelijk. 260 00:15:04,600 --> 00:15:07,800 Het Digital Trust Center en andere organisaties zijn daarop gericht, 261 00:15:07,900 --> 00:15:10,233 wij delen gewoon een-op-een door. 262 00:15:10,333 --> 00:15:15,468 Dat delen we echter als enige schakel- organisatie van het NCSC consectoraal. 263 00:15:15,568 --> 00:15:17,533 We zijn de enige stichting die dat doen 264 00:15:17,633 --> 00:15:20,433 en dat doen we vanuit de visie die hier is weergegeven. 265 00:15:20,533 --> 00:15:24,300 Dit is een gemiddelde deelnemer. Die heeft een leverancier. 266 00:15:24,400 --> 00:15:27,233 Die leverancier maakt gebruik van een cloud. 267 00:15:27,333 --> 00:15:29,400 De cloud wordt gerund in het datacenter. 268 00:15:29,500 --> 00:15:31,668 Dat datacenter wordt aangestuurd, 269 00:15:31,768 --> 00:15:34,200 ook operationeel, in de hitte, in de koeling 270 00:15:34,300 --> 00:15:37,933 en daarvoor wordt materiaal gekocht van een toeleverancier. 271 00:15:38,033 --> 00:15:40,700 Dit is een vrij doorsnee keten. 272 00:15:40,800 --> 00:15:43,933 Je ziet ook het ketenanalyse, risicomanagement en ketenanalyse 273 00:15:44,033 --> 00:15:47,933 zijn de twee meest grote nieuwe termen in de NIS-2. 274 00:15:48,033 --> 00:15:51,768 Dat betekent dat je met al die partijen in die keten 275 00:15:51,868 --> 00:15:56,433 dezelfde discussie moet gaan voeren die is weergegeven in de drie cirkels. 276 00:15:56,533 --> 00:15:58,868 Waar gaat het over? Begrijpen we elkaar als het gaat 277 00:15:58,968 --> 00:16:03,368 over information security risk, cybersecurity risk en digital disk? 278 00:16:03,468 --> 00:16:06,700 En als dat nog niet genoeg is, dan zie je eigenlijk ook 279 00:16:06,800 --> 00:16:11,633 dat de realiteit is dat die organisaties verspreid zijn over de hele wereld, 280 00:16:11,733 --> 00:16:13,600 want het internet kent geen grens. 281 00:16:13,700 --> 00:16:17,533 Dus de leverancier van mijn deelnemer die heeft een cloudleverancier, 282 00:16:17,633 --> 00:16:19,268 zoals hier weergeven, uit Amerika. 283 00:16:19,368 --> 00:16:22,633 Dat betekent in de NIS-2 dat die een Europees hoofdkantoor moet kiezen. 284 00:16:22,733 --> 00:16:27,333 Daarmee wordt ie AED, dat hoofdkantoor, dus dat wordt al iets ingewikkelder. 285 00:16:27,433 --> 00:16:30,833 De meeste hosters uit Amerika maken gebruik van een datacenter in Ierland. 286 00:16:30,933 --> 00:16:33,200 Of in Nederland, maar in dit geval in Ierland. 287 00:16:33,300 --> 00:16:37,500 Daar is een Nederlands installatiebedrijf bij betrokken die spullen haalt uit China. 288 00:16:37,600 --> 00:16:40,433 Zie daar de uitdaging die wij dan hebben met een deelnemer. 289 00:16:40,533 --> 00:16:42,933 Hoe gaan we ervoor zorgen, en dat doen we niet alleen, 290 00:16:43,033 --> 00:16:45,233 ook met het NCSC, ook met de overheid, 291 00:16:45,333 --> 00:16:49,368 om te kijken: hoe kun je nou daadwerkelijk die hele keten dekken? 292 00:16:50,433 --> 00:16:54,368 Dus de zin en de onzin samengevat. 293 00:16:54,468 --> 00:16:57,033 Vooral beginnen, want het zijn goeie stappen vooruit. 294 00:16:57,133 --> 00:17:00,800 Je moet, want de wereld is veranderd. 2016, NIS-1. 295 00:17:00,900 --> 00:17:04,033 Je hebt gezien aan mijn plaatje hoe het sinds die tijd veranderd is. 296 00:17:04,133 --> 00:17:06,568 Tegelijkertijd: de NIS-2 niet het einde, 297 00:17:06,668 --> 00:17:11,000 maar is pas de stap onderweg naar zeer waarschijnlijk ook een NIS-3 298 00:17:11,100 --> 00:17:12,633 over weer een aantal jaar. 299 00:17:14,900 --> 00:17:17,200 Dank je wel. 300 00:17:17,300 --> 00:17:19,468 En eventjes als eerst, voordat we... 301 00:17:19,568 --> 00:17:25,568 Bij mij bekruipt het gevoel: dit is groter dan wij gaan aankunnen als land. 302 00:17:25,668 --> 00:17:28,068 Is dat een terecht gevoel? -Ja. 303 00:17:28,168 --> 00:17:31,268 Dit is echt een onderwerp waarbij je... 304 00:17:31,368 --> 00:17:34,300 Begin al maar op het niveau van Europa. 305 00:17:34,400 --> 00:17:38,268 En ik moet zeggen, Europa investeert ook in de Horizon 2020-programma's 306 00:17:38,368 --> 00:17:40,900 echt significant om dit ook te realiseren. 307 00:17:41,000 --> 00:17:43,668 Ook de Europese cyberstrategie zet daar hard op in. 308 00:17:43,768 --> 00:17:47,333 Maar tegelijkertijd is het nog steeds nationale veiligheid in de kern. 309 00:17:47,433 --> 00:17:50,700 Het gaat over essentiële diensten, dus 't wordt er niet makkelijker op. 310 00:17:50,800 --> 00:17:53,868 Als ik dan eventjes naar Remy schakel. 311 00:17:53,968 --> 00:18:00,068 Dat geldt voor België waarschijnlijk ook, dat dit groter is dan je zou aankunnen. 312 00:18:00,168 --> 00:18:02,633 Dus dit is wel echt een enorme opgave. 313 00:18:02,733 --> 00:18:05,933 Ja, dat klopt. Op nationaal niveau 314 00:18:06,033 --> 00:18:09,433 denk ik dat we al een aantal zaken geregeld moeten krijgen, 315 00:18:09,533 --> 00:18:12,268 maar nationaal is niet genoeg meer. 316 00:18:12,368 --> 00:18:15,000 We hebben programma's op Europees niveau, 317 00:18:15,100 --> 00:18:18,300 zoals met CyCLONe-programma, waarbij we internationaal 318 00:18:18,400 --> 00:18:21,600 over de Europese landen heen met mekaar moeten gaan samenwerken 319 00:18:21,700 --> 00:18:25,568 om grote cyberaanvallen en -dreigingen aan te kunnen. 320 00:18:28,468 --> 00:18:31,068 Ik weet niet of er zo ook vragen zijn van de kijkers, 321 00:18:31,168 --> 00:18:33,500 maar ik worstel zelf nog eventjes met een vraag. 322 00:18:33,600 --> 00:18:36,468 De vorige ronde werd een AED aangewezen. 323 00:18:36,568 --> 00:18:38,300 Dan kreeg je een brief van de overheid: 324 00:18:38,400 --> 00:18:40,700 'U bent nu aanbieder van een essentiële dienst.' 325 00:18:40,800 --> 00:18:42,933 Is dat nu weer hoe het gaat lopen? 326 00:18:43,033 --> 00:18:46,068 Dat is nog de vraag. 327 00:18:46,168 --> 00:18:48,168 Er wordt nog volop gekeken, wat ik zei 328 00:18:48,268 --> 00:18:50,968 en vanaf december gaat de teller lopen, zoals we dat noemen, 329 00:18:51,068 --> 00:18:54,700 dus dan is er 21 maanden om het in de wetgeving te verankeren. 330 00:18:54,800 --> 00:18:57,633 Daar wordt op dit moment heel hard aan gewerkt 331 00:18:57,733 --> 00:18:59,600 en dat heeft alles te maken met het feit: 332 00:18:59,700 --> 00:19:03,633 welke dienstverlening mag je van een overheid verwachten? 333 00:19:03,733 --> 00:19:07,233 We hebben het in de nieuwste berichtgeving gezien: een nationale chef. 334 00:19:07,333 --> 00:19:09,000 Dat is het NCSC. 335 00:19:09,100 --> 00:19:11,368 Die heeft dan ook een taak naar alle organisaties 336 00:19:11,468 --> 00:19:14,633 en wat die taak precies in gaat houden, wordt nu uitgewerkt. 337 00:19:14,733 --> 00:19:18,168 Tegelijkertijd hangt daar ook mee samen: 338 00:19:18,268 --> 00:19:22,300 een overheid heeft niet alleen een ondersteunende taak, 339 00:19:22,400 --> 00:19:25,768 maar ook een toezichthoudende taak. Dus ook daar zie je een zoektocht van: 340 00:19:25,868 --> 00:19:30,133 wat is nou daadwerkelijk de invulling? Wanneer geef je een boete? 341 00:19:30,233 --> 00:19:32,933 Ik heb hier van Nati een vraag staan. 342 00:19:33,033 --> 00:19:35,900 'Hoe kan ik mij concreet voorbereiden als kleine organisatie? 343 00:19:36,000 --> 00:19:40,300 Ik heb niet alles in huis. Welke tips hebben jullie?' 344 00:19:40,400 --> 00:19:43,468 De snelste tip is: ga het ook niet alleen proberen. 345 00:19:43,568 --> 00:19:46,300 Sluit je aan bij samenwerkingsverbanden. 346 00:19:46,400 --> 00:19:48,900 Het Digital Trust Center heeft er een groot aantal. 347 00:19:49,000 --> 00:19:50,700 Connect2Trust is er daar ook een van. 348 00:19:50,800 --> 00:19:53,333 Het Digital Trust Center gaat samenwerken... 349 00:19:53,433 --> 00:19:56,733 Met het NCSC. -Precies. Dan zit je dicht bij de bron. 350 00:19:56,833 --> 00:19:58,000 Dat wordt ook één loket. 351 00:19:58,100 --> 00:20:01,933 Tegelijkertijd merken we wel dat wij, dat zit ook een beetje in de naam van ons 352 00:20:02,033 --> 00:20:03,633 als Connect2Trust verborgen, 353 00:20:03,733 --> 00:20:06,533 ga vooral niet nieuwe samenwerkingsverbanden aan, 354 00:20:06,633 --> 00:20:07,768 maar zoek verbanden 355 00:20:07,868 --> 00:20:11,833 waarbij je elkaar kunt vertrouwen en al vertrouwt. 356 00:20:11,933 --> 00:20:14,100 Want dat opbouwen van vertrouwen, merken we, 357 00:20:14,200 --> 00:20:17,200 is feitelijk de crux om een goede samenwerking in te richten. 358 00:20:17,300 --> 00:20:21,568 Ja. Nou ben ik een kleine organisatie. 359 00:20:21,668 --> 00:20:24,368 Ik weet echt niet wat ik moet doen. 360 00:20:24,468 --> 00:20:27,433 Is er niet gewoon één stap waarmee we al kunnen beginnen? 361 00:20:27,533 --> 00:20:32,100 En van de overheid zou ik kunnen zeggen: maak een sprint op de BIO, 362 00:20:32,200 --> 00:20:35,468 want dan voldoe je al aan een heleboel dingen in één klap. 363 00:20:35,568 --> 00:20:37,733 Het is ook weer niet zo eng als... 364 00:20:37,833 --> 00:20:42,200 Als je een kleine organisatie bent, is de BIO een goede start. 365 00:20:42,300 --> 00:20:44,900 Zeker de BIO 1, op het laagste niveau. 366 00:20:45,000 --> 00:20:48,900 Tegelijkertijd merken we ook voor grote organisaties, de essentiële diensten... 367 00:20:49,000 --> 00:20:55,000 Eind november heeft het CIP de ABDO en de BIO geïntegreerd in één wizard. 368 00:20:55,100 --> 00:20:57,633 Kun je gewoon op internet vinden. 369 00:20:57,733 --> 00:21:02,000 De ICO-wizard van het CIP, 370 00:21:02,100 --> 00:21:05,033 cip-overheid.nl. 371 00:21:05,133 --> 00:21:08,268 Absoluut tof, want dan kun je aanvinken wat je nodig hebt 372 00:21:08,368 --> 00:21:11,233 en dan krijg in één keer al je controls. -Kijken wat je nog mist. 373 00:21:11,333 --> 00:21:14,400 En dat geldt voor cloud, voor mobile, tot het zwaarste niveau. 374 00:21:14,500 --> 00:21:19,400 Met DigiD, zonder DigiD, inderdaad. Ja, dat is inderdaad een hele toffe. 375 00:21:21,100 --> 00:21:23,468 In de grote organisaties wordt het spannender, 376 00:21:23,568 --> 00:21:25,100 want die risico-inschattingen, 377 00:21:25,200 --> 00:21:28,333 dat is ook wel een heel circus om dat voor elkaar te krijgen. 378 00:21:28,433 --> 00:21:30,968 Hoe begin je daarmee? 379 00:21:31,068 --> 00:21:34,833 Grote organisaties, dat ligt een beetje aan in welke categorie je valt. 380 00:21:34,933 --> 00:21:37,000 Dus ben je een aanbieder essentiële dienst, 381 00:21:37,100 --> 00:21:43,133 ben je een belangrijke organisatie of ben je, onaardig gezegd, de rest? 382 00:21:43,233 --> 00:21:44,933 Daar zit een ander regime op. 383 00:21:45,033 --> 00:21:50,068 Tegelijkertijd zie je ook dat die organisaties al heel vaak samenwerken 384 00:21:50,168 --> 00:21:53,733 met andere organisaties, zitten natuurlijk ook in de keten. 385 00:21:53,833 --> 00:21:57,033 Ik denk dat het voor de organisaties zelf niet zo'n uitdaging zal zijn. 386 00:21:57,133 --> 00:21:59,333 Waar zij elkaar moeten vinden, 387 00:21:59,433 --> 00:22:02,300 en recentelijk is daarin een project gepresenteerd, SIRA. 388 00:22:02,400 --> 00:22:05,268 Door ASML is dat als eerste bedacht, waarbij ze ook 389 00:22:05,368 --> 00:22:09,433 naar de ketenafhankelijkheden kijken. De invulling van: groot helpt klein. 390 00:22:09,533 --> 00:22:13,733 We merken bij Connect2Trust dat het in- vullen daarvan de grootste uitdaging is. 391 00:22:13,833 --> 00:22:16,400 Want ze zijn ook geloof ik in de regio Eindhoven bezig 392 00:22:16,500 --> 00:22:18,400 om hun leveranciers ook te toetsen 393 00:22:18,500 --> 00:22:20,700 voordat ze überhaupt in de keten mogen komen. 394 00:22:20,800 --> 00:22:22,068 Ja, precies. 395 00:22:23,500 --> 00:22:29,268 Dan is er nog een vraag, voor zover van toepassing: 396 00:22:29,368 --> 00:22:32,633 'In hoeverre wordt er tussen EU-landen samengewerkt 397 00:22:32,733 --> 00:22:36,633 bij het vertalen van wetgeving in verband met onderlinge alignment?' 398 00:22:36,733 --> 00:22:39,568 Ik denk dat dat wel een mooie is, inderdaad. 399 00:22:39,668 --> 00:22:42,733 Voor zover ik daar al inzicht op heb... 400 00:22:42,833 --> 00:22:46,700 Ik weet dat de toezichthouders vrij nauw samenwerken, 401 00:22:46,800 --> 00:22:51,368 dus de mate van toezicht wordt echt wel binnen Europa geprobeerd 402 00:22:51,468 --> 00:22:56,600 om daar één lijn te trekken, wat op zich ook denk ik goed en logisch is. 403 00:22:56,700 --> 00:22:58,500 Dan heb je, zoals ie tegenwoordig heet, 404 00:22:58,600 --> 00:23:00,768 de Rijksinspectie Digitale Infrastructuur. 405 00:23:00,868 --> 00:23:03,868 Voor mensen die het nog niet weten, hiervoor Agentschap Telecom. 406 00:23:03,968 --> 00:23:05,833 Heeft daar een duidelijke rol in 407 00:23:05,933 --> 00:23:09,200 en ook naar z'n andere Europese counterparts. 408 00:23:09,300 --> 00:23:12,000 Nou was het onder de NIS-1 zo 409 00:23:12,100 --> 00:23:14,200 dat afhankelijk van de sector waarin ik zat, 410 00:23:14,300 --> 00:23:17,433 daar moest ik naar m'n toezichthouder toe. 411 00:23:17,533 --> 00:23:20,068 Dus als ik een beetje pech had, 412 00:23:20,168 --> 00:23:22,168 kon ik met mijn datalek naar NCSC, 413 00:23:22,268 --> 00:23:26,368 naar bijvoorbeeld de AFM en de Nederlandsche Bank 414 00:23:26,468 --> 00:23:28,900 en dan ook nog naar de Autoriteit Persoonsgegevens. 415 00:23:29,000 --> 00:23:30,700 Wordt dat nu beter? 416 00:23:32,033 --> 00:23:33,533 Ja, dat is het interessante. 417 00:23:33,633 --> 00:23:37,300 Als je nu kijkt naar de samenvoeging van het CSIRT, digitale dienstverleners 418 00:23:37,400 --> 00:23:38,668 en het NCSC. 419 00:23:38,768 --> 00:23:40,900 Bij het CSIRT van digitale dienstverleners 420 00:23:41,000 --> 00:23:43,700 kun je al als digitaal dienstverlener een melding doen 421 00:23:43,800 --> 00:23:46,700 die automatisch wordt doorgemeld aan de toezichthouder. 422 00:23:46,800 --> 00:23:49,600 Bij het NCSC nog niet. Dus de discussie gaat komen 423 00:23:49,700 --> 00:23:53,233 en we hopen allemaal dat het duidelijker wordt 424 00:23:53,333 --> 00:23:55,768 dat er uiteindelijk het liefst één loket... 425 00:23:55,868 --> 00:23:58,633 Dat is ook de samenvoeging, het voordeel daarvan. 426 00:23:58,733 --> 00:24:02,668 Zeker, want er komen nog een paar dingen aan. 427 00:24:02,768 --> 00:24:05,168 Ik kan me voorstellen dat daar ook een meldplicht... 428 00:24:05,268 --> 00:24:08,800 Daar kwam ik er een of twee in tegen. -Zeker. 429 00:24:08,900 --> 00:24:13,033 Dus die alignment is denk ik ook wel een terechte en belangrijke vraag. 430 00:24:13,133 --> 00:24:15,268 Tegelijkertijd zie je dus ook als je teruggaat 431 00:24:15,368 --> 00:24:18,733 naar die drie bollen die ik had geschetst, de informatiebeveiliging. 432 00:24:18,833 --> 00:24:22,500 Dan zit je ook bij de AP, dan wordt er informatie gestolen. 433 00:24:22,600 --> 00:24:26,300 Terwijl je de operationele processen van een bedrijf stil kunt leggen 434 00:24:26,400 --> 00:24:29,533 zonder dat je ook maar een persoonsgegeven raakt. 435 00:24:29,633 --> 00:24:32,600 Dan moet je nog steeds naar de toezichthouder voor continuïteit. 436 00:24:32,700 --> 00:24:35,300 Dus niet de cybersecurity toezichthouder, maar degene 437 00:24:35,400 --> 00:24:40,100 voor de sector verantwoordelijk is binnen het departement om de melding te doen. 438 00:24:40,200 --> 00:24:43,033 En er gaan nu een paar sectoren worden meegepakt 439 00:24:43,133 --> 00:24:45,268 die dit natuurlijk heel spannend gaan vinden. 440 00:24:45,368 --> 00:24:48,300 Ik ben zelf natuurlijk CSPO bij Volksgezondheid. 441 00:24:48,400 --> 00:24:51,568 De zorg komt hier ook en dat wordt best wel een krachtsinspanning. 442 00:24:51,668 --> 00:24:53,100 Tuurlijk. 443 00:24:53,200 --> 00:24:56,800 Over andere krachtsinspanningen, en hij zit al eventjes te wachten: 444 00:24:56,900 --> 00:25:00,068 Dat is Remy en die gaat ons meenemen 445 00:25:00,168 --> 00:25:03,500 in de bredere ontwikkelingen in cybersecurity. 446 00:25:05,300 --> 00:25:08,468 Remy, the floor is yours. -Ja. 447 00:25:08,568 --> 00:25:12,100 En even: Remy kan op afstand niet de slides bedienen, 448 00:25:12,200 --> 00:25:15,968 dus af en toe gaat ie of over z'n hoofd aaien of zeggen 'volgende slide', 449 00:25:16,068 --> 00:25:19,068 hebben we afgesproken en dan komt volgende slide. 450 00:25:20,368 --> 00:25:22,533 KNECHT: Doe de volgende slide maar. 451 00:25:22,633 --> 00:25:27,233 Ik wilde even starten met het bekijken: waar staan we vandaag 452 00:25:27,333 --> 00:25:29,900 met onze resilience op het vlak van cybersecurity 453 00:25:30,000 --> 00:25:36,000 en ik heb gekozen om even het SOC- capability maturity model aan te halen 454 00:25:36,100 --> 00:25:39,300 dat ontworpen is door een Nederlander, Rob van Os, 455 00:25:39,400 --> 00:25:42,868 dat een aantal niveaus definieert voor security operations centers 456 00:25:42,968 --> 00:25:44,268 waar we toch van verwachten 457 00:25:44,368 --> 00:25:48,300 dat daar de experts zitten op het vlak van cybersecurity. 458 00:25:48,400 --> 00:25:51,068 En ik geef altijd aan, voor een security operations center 459 00:25:51,168 --> 00:25:54,100 zit de sweet spot vandaag ongeveer op het level 3-4, 460 00:25:54,200 --> 00:25:58,868 dan je kan zeggen: nu zijn we echt wel een matuur security operations center. 461 00:25:58,968 --> 00:26:04,868 Level 5 is een level waarin je overautomatiseert 462 00:26:04,968 --> 00:26:09,300 en waar je analisten niet meer de creativiteit laat 463 00:26:09,400 --> 00:26:12,700 om nieuwe dreigingen te gaan onderzoeken. 464 00:26:12,800 --> 00:26:15,700 Als je dan de volgende slide bekijkt, waar dat we vandaag staan, 465 00:26:15,800 --> 00:26:17,968 dit is een wereldwijd plaatje, 466 00:26:18,068 --> 00:26:21,400 dan zie je dat de meeste security operations centers 467 00:26:21,500 --> 00:26:25,500 eigenlijk maar tussen 1 en 2 scoren. En dat is misschien verwonderlijk, 468 00:26:25,600 --> 00:26:28,600 want je zou zeggen dat overheids-CSIRTs bijvoorbeeld 469 00:26:28,700 --> 00:26:32,333 en security operations centers van kritische infrastructuur en bedrijven 470 00:26:32,433 --> 00:26:35,400 grote bedrijven, toch wel hoger zouden moeten scoren. 471 00:26:35,500 --> 00:26:39,233 Dus wat zit hier eigenlijk achter en wat zijn de drivers? 472 00:26:39,333 --> 00:26:42,868 Want hier kijken we naar de security operations centers, 473 00:26:42,968 --> 00:26:45,333 naar de business, de processen, de mensen, 474 00:26:45,433 --> 00:26:48,968 hun capabilities, de technologie, de services die ze leveren. 475 00:26:49,068 --> 00:26:51,333 Dus welke drijvers zijn er eigenlijk 476 00:26:51,433 --> 00:26:56,300 die zorgen vandaag niet zo ver staan als we zouden moet staan? 477 00:26:56,400 --> 00:26:58,433 En dan wou ik naar de volgende slide gaan. 478 00:26:59,700 --> 00:27:02,633 En Raymond heeft al voor een stukje aangehaald: 479 00:27:02,733 --> 00:27:07,168 We hebben natuurlijk een exponentiële groei van cyberaanvallen, 480 00:27:07,268 --> 00:27:11,800 maar ook een versnelling van nieuwe technologie die op ons afkomt. 481 00:27:11,900 --> 00:27:14,833 Een aantal heb ik hier benoemd die toch wel heel belangrijk zijn. 482 00:27:14,933 --> 00:27:18,300 We zien een belangrijke move naar public cloud 483 00:27:18,400 --> 00:27:21,168 en de ene kant is dat goed. 484 00:27:21,268 --> 00:27:23,600 Om een voorbeeld te geven: de Amerikaanse overheid 485 00:27:23,700 --> 00:27:26,033 is een aantal jaar terug het JEDI-project begonnen 486 00:27:26,133 --> 00:27:29,133 omdat ze zoveel infrastructuur op zoveel plaatsen hebben staan, 487 00:27:29,233 --> 00:27:32,133 dat wordt undefendable, dus de perimeter moet kleiner. 488 00:27:32,233 --> 00:27:33,968 Dus dan gaan we naar een public cloud. 489 00:27:34,068 --> 00:27:37,268 Maar wat ik maar al te vaak zie bij bedrijven 490 00:27:37,368 --> 00:27:41,968 is dat er een klassieke lift & shift-strategie wordt gehanteerd. 491 00:27:42,068 --> 00:27:44,233 Dat betekent: 'we pakken onze oude applicaties 492 00:27:44,333 --> 00:27:47,200 met alle bestaande security principes op de oude manier 493 00:27:47,300 --> 00:27:51,300 en we liften die in de cloud en dan zijn we klaar.' 494 00:27:51,400 --> 00:27:56,300 Zo werkt het natuurlijk niet, want cloud is een compleet andere omgeving. 495 00:27:56,400 --> 00:27:58,468 Dat betekent dus ook dat die cloudexpertise 496 00:27:58,568 --> 00:27:59,833 een belangrijk gegeven is 497 00:27:59,933 --> 00:28:04,533 om dat binnen organisaties te gaan uitbouwen. 498 00:28:04,633 --> 00:28:07,000 Een tweede punt, dat heeft Raymond ook aangehaald: 499 00:28:07,100 --> 00:28:10,968 IoT wordt nog steeds voornamelijk ontworpen vanuit convenience. 500 00:28:11,068 --> 00:28:15,433 Als ik naar technologiebeurzen ga, dan zie ik allerlei gadgets, 501 00:28:15,533 --> 00:28:17,700 apps waarmee ik mijn deur kan openen, 502 00:28:17,800 --> 00:28:22,833 maar het security by design-principe wordt zelden of nooit toegepast. 503 00:28:22,933 --> 00:28:24,433 Als ik dan op zo'n beurs sta 504 00:28:24,533 --> 00:28:28,600 en ik laat zien wat ik via zo'n appje allemaal zou kunnen doen, 505 00:28:28,700 --> 00:28:32,468 dan word ik naar de volgende stand gestuurd, want ze hebben klanten. 506 00:28:32,568 --> 00:28:35,568 Maar daar is het heel belangrijk dat we standaarden gaan bepalen 507 00:28:35,668 --> 00:28:40,633 waaraan producten moeten voldoen om voldoende veilig te zijn. 508 00:28:40,733 --> 00:28:45,068 Een derde punt zijn de Industrial Control Systems, dus de industriële systemen, 509 00:28:45,168 --> 00:28:49,333 de OT-systemen. Tijdens de coronapandemie 510 00:28:49,433 --> 00:28:51,400 hebben we in een snel tempo gezien 511 00:28:51,500 --> 00:28:54,900 hoe die OT-systemen aan de IT-netwerken worden gekoppeld, 512 00:28:55,000 --> 00:28:58,033 want we moeten er allemaal van huis uit aan kunnen werken 513 00:28:58,133 --> 00:29:00,400 met het remote working-principe. 514 00:29:00,500 --> 00:29:03,300 Maar je zit daar natuurlijk met hele oude systemen, 515 00:29:03,400 --> 00:29:08,033 soms met oude protocollen zoals Modbus en dergelijke, 516 00:29:08,133 --> 00:29:12,668 die helemaal niet voorzien zijn om op het internet gekoppeld te zijn 517 00:29:12,768 --> 00:29:14,368 om daar beveiligd op te zijn. 518 00:29:14,468 --> 00:29:17,068 Dus daar moeten meer veiligheidsmaatregelen komen 519 00:29:17,168 --> 00:29:22,433 om dat soort industriële systemen beter te gaan beveiligen 520 00:29:22,533 --> 00:29:26,200 als we ze online brengen. En aan de andere kant zie je natuurlijk ook 521 00:29:26,300 --> 00:29:29,700 dat criminele organisaties meer en meer zich organiseren 522 00:29:29,800 --> 00:29:34,733 en zelfs cyber attack services leveren op het dark web, 523 00:29:34,833 --> 00:29:38,333 waarbij we in de praktijk ook zien dat kleinere groeperingen, 524 00:29:38,433 --> 00:29:40,800 die nog nauwelijks en technische kennis hebben 525 00:29:40,900 --> 00:29:45,168 in staat zijn om die tools te gebruiken en daar aanvallen mee te lanceren. 526 00:29:45,268 --> 00:29:48,768 Dat zijn toch wel een aantal belangrijke ontwikkelingen 527 00:29:48,868 --> 00:29:51,500 die ervoor zorgen 528 00:29:51,600 --> 00:29:56,833 dat we onze tool en capabilities moeten gaan bijschaven. 529 00:29:56,933 --> 00:29:58,900 Dan mag je naar de volgende slide. 530 00:29:59,000 --> 00:30:05,068 En wat doet Europa? Raymond heeft al een aantal zaken aangehaald. 531 00:30:05,168 --> 00:30:09,000 Ik herhaal er hier nog eens twee. Dus we hebben NIS-2, een directive. 532 00:30:09,100 --> 00:30:13,800 Dit betekent dat dit in nationale wetten in Europa zal moeten omgezet worden 533 00:30:13,900 --> 00:30:15,100 de komende tijd. 534 00:30:15,200 --> 00:30:17,833 NIS-2 voorziet vooral in een uitbreiding 535 00:30:17,933 --> 00:30:20,333 van de essentiële en kritische infrastructuur 536 00:30:20,433 --> 00:30:24,333 in het type bedrijven dat daaronder valt, en de organisaties. 537 00:30:25,900 --> 00:30:31,568 Bedrijven zien het vandaag heel erg als een must-do om compliant te zijn. 538 00:30:31,668 --> 00:30:33,500 Maar zoals we daarnet ook hebben gezegd: 539 00:30:33,600 --> 00:30:37,333 Het kan ook vrijwillig door bedrijven gebruikt worden, 540 00:30:37,433 --> 00:30:40,033 moet ook gezien worden als een tool, dus daar ligt een taak 541 00:30:40,133 --> 00:30:42,068 voor de overheid om ervoor te zorgen 542 00:30:42,168 --> 00:30:47,168 dat de Nationale Conformity Assessment Body die daar mee bezig is 543 00:30:47,268 --> 00:30:50,568 de tools kan aanreiken aan bedrijven om daarmee compliant te zijn. 544 00:30:50,668 --> 00:30:52,833 Het doel is niet om het meeste compliant te zijn, 545 00:30:52,933 --> 00:30:55,068 maar om veiliger te kunnen werken. 546 00:30:55,168 --> 00:30:58,000 En aan de andere kant op het vlak van producten, 547 00:30:58,100 --> 00:31:00,933 daar is er de Cyber Resilience Act die eraan komt 548 00:31:01,033 --> 00:31:05,433 en dat wordt dan een Europese wet. Daar zijn we nog niet op geland. 549 00:31:05,533 --> 00:31:08,333 We zien daar vooral dat er veel discussies zijn naar ons 550 00:31:08,433 --> 00:31:12,868 rond de criteria hoe dat dan geauditeerd zal worden. 551 00:31:12,968 --> 00:31:17,533 We zien dan nog een grote oriëntatie richting Common Criteria-certificaties 552 00:31:17,633 --> 00:31:21,333 en voor de mensen die daarin thuis zijn, dat is een certificatieframework 553 00:31:21,433 --> 00:31:24,068 vooral uit de hardwarebusiness komt. 554 00:31:24,168 --> 00:31:26,900 Als je bijvoorbeeld een firewall of router bouwt 555 00:31:27,000 --> 00:31:30,300 dan bestaan daar zogenaamde 'protection packages' 556 00:31:30,400 --> 00:31:36,333 die exact bepalen aan welke security- vereiste zo'n product moet voldoen. 557 00:31:36,433 --> 00:31:40,168 Maar als je naar softwareoplossingen gaat, heb je zo'n protection package niet. 558 00:31:40,268 --> 00:31:44,500 Hoe definieer ik een protection package voor bijvoorbeeld een digitale identiteit? 559 00:31:44,600 --> 00:31:46,500 En het tweede probleem is voor software: 560 00:31:46,600 --> 00:31:49,300 Je kan wel een initiële certificatie doen, 561 00:31:49,400 --> 00:31:51,233 maar daarna breng ik nieuwe versies uit. 562 00:31:51,333 --> 00:31:54,033 Dus hoe zorg ik dat die security 563 00:31:54,133 --> 00:31:56,800 tijdens het ontwikkelingsproces wordt meegenomen? 564 00:31:56,900 --> 00:32:01,200 Dus daar is nog geen volledig akkoord in zicht. Dat moet er nog komen. 565 00:32:01,300 --> 00:32:03,833 Een paar problemen die ik in de praktijk al zie, 566 00:32:03,933 --> 00:32:08,600 zijn conflicterende eisen tussen verschillende nationale implementaties. 567 00:32:08,700 --> 00:32:10,068 We zeiden daarnet: 568 00:32:10,168 --> 00:32:13,533 De nationale bodies die verantwoordelijk zijn voor de NIS 569 00:32:13,633 --> 00:32:15,100 stemmen dat met elkaar af, 570 00:32:15,200 --> 00:32:18,500 maar je hebt ook nog andere sectorale specifieke reguleringen. 571 00:32:18,600 --> 00:32:20,833 Ik heb er hier twee: bijvoorbeeld eIDAS, 572 00:32:20,933 --> 00:32:23,600 voor de elektronische identificatiemiddelen 573 00:32:23,700 --> 00:32:28,400 en DORA voor de financiële sector. En om een concreet voorbeeld te geven: 574 00:32:28,500 --> 00:32:31,733 Voor de elektronische identificatiemiddelen in Nederland 575 00:32:31,833 --> 00:32:35,600 heb je de aankomende WDO, waarover nog gestemd moet worden. 576 00:32:35,700 --> 00:32:38,268 In België bestaat die al. 577 00:32:38,368 --> 00:32:44,768 In het Nederlandse voorstel staat bijvoorbeeld dat biometrie 578 00:32:44,868 --> 00:32:48,600 wel gebruikt mag worden om een digitale identiteit te activeren, 579 00:32:48,700 --> 00:32:50,168 maar niet transactioneel. 580 00:32:50,268 --> 00:32:53,968 En als je gaat kijken naar de NIS-2-implementatie in België, 581 00:32:54,068 --> 00:32:57,600 zal daar waarschijnlijk in komen te staan dat als je toegang wil hebben 582 00:32:57,700 --> 00:33:03,333 tot een high security zone, zoals bijvoorbeeld een luchthaven 583 00:33:03,433 --> 00:33:06,200 dat je multifactor authentification gaat moeten gebruiken 584 00:33:06,300 --> 00:33:09,068 waarbij biometrie een verplichte factor wordt. 585 00:33:09,168 --> 00:33:12,968 Dan krijg je dus een conflict, maar dat is dan tussen twee verschillende bodies. 586 00:33:13,068 --> 00:33:14,933 Aan de ene kant heb je dan BZK in Nederland 587 00:33:15,033 --> 00:33:18,668 en aan de andere kant CCB in België, dus daar is nog wel een vraag: 588 00:33:18,768 --> 00:33:23,468 hoe worden dan die arbitrages gedaan op Europees niveau? 589 00:33:23,568 --> 00:33:25,700 Betekent dat dat we dan moeten gaan wachten 590 00:33:25,800 --> 00:33:29,433 om hiermee aan de slag te gaan? Nee. Zoals we net hebben gezegd: 591 00:33:29,533 --> 00:33:32,633 We moeten hiermee aan de slag, want de doelstelling is uiteraard 592 00:33:32,733 --> 00:33:36,033 om op een veilige manier te kunnen gaan werken 593 00:33:36,133 --> 00:33:39,800 en onze resilience te vergroten. En dan mogen we naar de volgende slide. 594 00:33:41,033 --> 00:33:47,100 Dus ik denk dat het belangrijk is dat we organisaties handvaten geven 595 00:33:47,200 --> 00:33:53,133 via bedrijven zoals Connect2Trust of via overheidsinstanties 596 00:33:53,233 --> 00:33:57,168 om met risicomanagement en cybersecurity aan de slag te gaan 597 00:33:57,268 --> 00:34:00,300 om voor een veiligere omgeving te zorgen. 598 00:34:00,400 --> 00:34:03,268 En dan zijn er voor mij vier belangrijke handvaten: 599 00:34:03,368 --> 00:34:06,200 Het eerste is, wat Raymond ook heeft aangegeven, 600 00:34:06,300 --> 00:34:08,133 start met een risicomanagementproces 601 00:34:08,233 --> 00:34:10,700 om de prioritaire dreigingen in kaart te brengen. 602 00:34:10,800 --> 00:34:12,900 Bekijk wat de business inhoudt. 603 00:34:13,000 --> 00:34:16,768 Wat is er kritisch om die business draaiende te houden 604 00:34:16,868 --> 00:34:19,633 en welke dreigingen staan daartegenover? 605 00:34:19,733 --> 00:34:21,668 Als we dat in kaart hebben gebracht, 606 00:34:21,768 --> 00:34:24,468 ga je naar een 'information security managementsysteem', 607 00:34:24,568 --> 00:34:27,068 een duur woord voor een securityprogramma. 608 00:34:27,168 --> 00:34:30,168 Hoe gaan we dan met security om in onze processen, 609 00:34:30,268 --> 00:34:35,433 in onze techniek, in onze ontwikkelingen? Hoe regelen we dat precies in? 610 00:34:35,533 --> 00:34:41,233 En vermits die technologie heel erg aan het evolueren is 611 00:34:41,333 --> 00:34:42,900 in groot tempo, 612 00:34:43,000 --> 00:34:46,933 is het heel belangrijk ook dat er voldoende training en bijscholing is 613 00:34:47,033 --> 00:34:50,533 van zowel de werknemers die met de implementatie bezig zijn 614 00:34:50,633 --> 00:34:53,068 als de beleidsmakers en de beslissingsnemers 615 00:34:53,168 --> 00:34:57,568 die verantwoordelijk zijn voor de budgetten voor cyberveiligheid. 616 00:34:57,668 --> 00:35:00,933 En een laatste puntje is het investeren in de publieke bewustwording, 617 00:35:01,033 --> 00:35:03,833 in een publiek-private samenwerking samen met de overheid 618 00:35:03,933 --> 00:35:08,233 om mensen in te lichten over best practices. 619 00:35:08,333 --> 00:35:10,368 En dat begint, niet alleen bij bedrijven, 620 00:35:10,468 --> 00:35:13,933 maar dat begint ook met het uitleggen aan onze jongeren op school 621 00:35:14,033 --> 00:35:17,233 wat de gevaren van het internet zijn en hoe ze daarmee om moeten gaan. 622 00:35:18,800 --> 00:35:21,768 En dan mogen we naar de volgende slide. 623 00:35:21,868 --> 00:35:26,300 Korte toelichting op die vier topics rond risicomanagement. 624 00:35:26,400 --> 00:35:30,200 Gebruik daar het bestaande risk management framework. 625 00:35:30,300 --> 00:35:32,500 We hoeven niet het warm water weer uit te vinden. 626 00:35:32,600 --> 00:35:34,233 Er zijn voldoende frameworks 627 00:35:34,333 --> 00:35:36,600 die we de bedrijven en organisaties kunnen bieden 628 00:35:36,700 --> 00:35:41,733 vanuit NIS, ISO 27000, noem ze maar op. 629 00:35:41,833 --> 00:35:46,833 Belangrijk is ook om vanuit de risico's te gaan kijken: 630 00:35:46,933 --> 00:35:52,100 hoe moet dat dan ten opzichte van de dreigingen die voor ons relevant zijn? 631 00:35:52,200 --> 00:35:56,500 En ook daar weer: er zijn bestaande frameworks ter beschikking, 632 00:35:56,600 --> 00:35:58,600 MITRE ATT&CK is er zo eentje. 633 00:35:58,700 --> 00:36:03,133 Heeft trouwens een grote ontwikkeling doorgemaakt in de laatste twee jaar, 634 00:36:03,233 --> 00:36:05,568 waar je bijvoorbeeld met een MITRE Navigator 635 00:36:05,668 --> 00:36:11,133 zowel in kaart kunt brengen waar je goed in bent eigenlijk 636 00:36:11,233 --> 00:36:14,200 om bepaalde attacks te mitigeren 637 00:36:14,300 --> 00:36:17,700 en welke dreigingen er aan de andere kant tegenover staan 638 00:36:17,800 --> 00:36:23,268 en waarbij je dan de twee kunt overlappen om te kijken waar de gaps zitten. 639 00:36:23,368 --> 00:36:25,900 Wat voor mij wel belangrijk is in het risicomanagement 640 00:36:26,000 --> 00:36:28,368 is dat, en dat is wel iets wat ik heel hard zie, 641 00:36:28,468 --> 00:36:31,768 is dat er risico's inzichtelijk en tastbaar moeten worden gemaakt 642 00:36:31,868 --> 00:36:34,300 voor de beleidsmakers en de beslissingsnemers 643 00:36:34,400 --> 00:36:36,800 rond het budget voor cybersecurity. 644 00:36:36,900 --> 00:36:39,733 Heel vaak zie ik het modelletje dat hier op de slide staat 645 00:36:39,833 --> 00:36:43,268 waarbij we een inschatting maken, low medium, high, 646 00:36:43,368 --> 00:36:45,468 met een score 1, 3, 9, 647 00:36:45,568 --> 00:36:49,400 op het vlak van: wat is de kans dat ons dit overkomt 648 00:36:49,500 --> 00:36:52,733 en wat is dan de impact als het gebeurt? 649 00:36:52,833 --> 00:36:54,300 En dan krijg je een mooi lijstje. 650 00:36:54,400 --> 00:36:57,500 Maar als ik eenmaal 9, driemaal 3 en negenmaal 1 heb 651 00:36:57,600 --> 00:37:01,533 heb ik drie risico's van 9. Ik ga daarmee naar een CFO en ik zeg: 652 00:37:01,633 --> 00:37:05,200 'Ik heb tien miljoen nodig aan cyber security tools.' 653 00:37:05,300 --> 00:37:09,700 Dat is een moeilijke discussie. Ik stel het nu even heel karikaturaal, 654 00:37:09,800 --> 00:37:14,733 maar de volgende stap moet daarin gezet worden om dat inzichtelijk te maken. 655 00:37:14,833 --> 00:37:17,000 Ik geef een heel concreet voorbeeld van een case 656 00:37:17,100 --> 00:37:22,068 die ik onlangs nog in de States heb gehad rond ransomware. 657 00:37:22,168 --> 00:37:24,700 Er zijn mooie rapporten, bijvoorbeeld die van Verizon 658 00:37:24,800 --> 00:37:29,768 die jaarlijks statistieken geven rond dreigingen en hoe die voorkomen. 659 00:37:29,868 --> 00:37:31,900 Die geeft bijvoorbeeld aan: 660 00:37:32,000 --> 00:37:36,000 Ransomware in de financiële sector komt één keer in de zoveel tijd voor, 661 00:37:36,100 --> 00:37:37,233 daar mag je van uitgaan. 662 00:37:37,333 --> 00:37:41,468 Als ze dan voorkomen, dan vragen ze typisch tien procent van de jaaromzet. 663 00:37:41,568 --> 00:37:43,733 Daar kan je een berekening op doen en dan zeggen: 664 00:37:43,833 --> 00:37:46,500 'Dat betekent dat het ons hoeveel duizend per jaar kost.' 665 00:37:46,600 --> 00:37:49,168 Dan ga je het gesprek aan met het financieel management. 666 00:37:49,268 --> 00:37:50,933 'Is dat risico aanvaardbaar? 667 00:37:51,033 --> 00:37:54,833 Nee? Welk budget zetten we daar dan tegenover in tools?' 668 00:37:54,933 --> 00:37:57,968 Dan kun je dus het risico inzichtelijk maken. 669 00:37:58,068 --> 00:38:02,400 Dus dit soort systemen kunnen gebruikt worden om een prioriteitenlijst te maken, 670 00:38:02,500 --> 00:38:05,333 want niemand kan alle risico's in één keer aftikken. 671 00:38:05,433 --> 00:38:08,633 Maar het is belangrijk om het door te trekken en inzichtelijk te maken, 672 00:38:08,733 --> 00:38:12,000 zodanig dat het beleid eigenlijk ook de nodige investeringen kan doen. 673 00:38:13,200 --> 00:38:15,300 Volgende slide, alsjeblieft. 674 00:38:15,400 --> 00:38:17,433 Er zit er nog eentje tussen. 675 00:38:18,768 --> 00:38:22,433 Nou, er is er eentje uitgehaald. 676 00:38:22,533 --> 00:38:26,233 Dan zal ik 'm gewoon vocaal meegeven. 677 00:38:26,333 --> 00:38:30,300 De tweede stap is dan de implementatie na het risicomanagement van: 678 00:38:30,400 --> 00:38:31,433 hoe zetten we dat dan om 679 00:38:31,533 --> 00:38:35,100 in een information security managementsysteem? 680 00:38:35,200 --> 00:38:39,633 Voor dat soort systemen zijn ook bestaande frameworks. 681 00:38:39,733 --> 00:38:43,868 Daar kunnen we handvaten geven aan organisaties binnen kaders 682 00:38:43,968 --> 00:38:49,668 zoals ISO 27000, het NIS-cybersecurity framework, CIS Controls... 683 00:38:49,768 --> 00:38:51,900 Dit zijn allemaal bestaande frameworks. 684 00:38:52,000 --> 00:38:57,000 ISO 27000 is trouwens ook uitgebreid heel recentelijk 685 00:38:57,100 --> 00:39:01,200 met een nieuwe chapter rond het gebruik van 'threat intelligence' 686 00:39:01,300 --> 00:39:03,568 in het kader van risicomanagement. 687 00:39:03,668 --> 00:39:06,368 En zoals Raymond het zei met zijn organisatie, 688 00:39:06,468 --> 00:39:12,133 het leveren en uitwisselen van dreigingen met mekaar is heel belangrijk 689 00:39:12,233 --> 00:39:16,233 om risico's te kunnen inschatten en ook terug bij te schaven. 690 00:39:16,333 --> 00:39:20,600 ISO 27000 voorziet dan weer in de nodige policies, 691 00:39:20,700 --> 00:39:22,833 processen en controlemechanismes 692 00:39:22,933 --> 00:39:26,733 om op een veilige manier te werken binnen de organisatie. 693 00:39:26,833 --> 00:39:29,068 En de CIS Controls is een handig framework 694 00:39:29,168 --> 00:39:32,533 voor de technici om dat dan te gaan implementeren 695 00:39:32,633 --> 00:39:34,268 en voorziet ook in een fasering 696 00:39:34,368 --> 00:39:39,300 om in verschillende lagen, in verschillende prioriteiten 697 00:39:39,400 --> 00:39:42,733 de belangrijkste controls eerst te gaan implementeren. 698 00:39:42,833 --> 00:39:47,468 En de bestaande mappings tussen al die verschillende frameworks zodanig 699 00:39:47,568 --> 00:39:53,433 dat er interoperabiliteit mogelijk is tussen de verschillende kaders. 700 00:39:53,533 --> 00:39:56,033 Een derde puntje is inderdaad de training 701 00:39:56,133 --> 00:40:02,433 en daar, met de snelle ontwikkeling van de technologie, is het enorm belangrijk 702 00:40:02,533 --> 00:40:06,068 om de risico assessments natuurlijk correct te kunnen maken. 703 00:40:06,168 --> 00:40:10,100 En daar heb je ook de kennis voor nodig om te weten wat de offensive tactics zijn 704 00:40:10,200 --> 00:40:13,068 die cybercriminelen bijvoorbeeld toepassen. 705 00:40:13,168 --> 00:40:16,700 Wat zijn de defensieve maatregelen die wij kunnen nemen? 706 00:40:16,800 --> 00:40:18,833 Hoe organiseer ik incident response? 707 00:40:18,933 --> 00:40:21,168 In het kader van NIS-2 is er een meldingsplicht, 708 00:40:21,268 --> 00:40:23,600 maar hoe ga ik om met een incident op dat moment? 709 00:40:23,700 --> 00:40:30,168 Hoe regel ik vanuit het management security in een organisatie? 710 00:40:30,268 --> 00:40:33,700 En er zijn gerenommeerde opleidingscentra. 711 00:40:33,800 --> 00:40:37,168 Ik heb er eentje genoemd, omdat ik daar redelijk veel mee samenwerk: 712 00:40:37,268 --> 00:40:39,133 SANS/GIAC, 713 00:40:39,233 --> 00:40:42,768 die hun curriculum quasi elke drie maanden mogen aanpassen 714 00:40:42,868 --> 00:40:49,268 juist omdat de hele sfeer van cybersecurity zo volatile is. 715 00:40:49,368 --> 00:40:53,500 En je ziet daar dus duidelijk de gekende tracks rond defense in blauw, 716 00:40:53,600 --> 00:40:57,633 de offensive tracks in het rood, de groene voor het management 717 00:40:57,733 --> 00:41:00,433 en ik wou deze even specifiek laten zien, 718 00:41:00,533 --> 00:41:03,500 omdat ze daar ook in de laatste twee jaar op hebben uitbereid... 719 00:41:03,600 --> 00:41:07,600 en heel specifiek gericht op cloud en industrial control systems, 720 00:41:07,700 --> 00:41:11,100 omdat dat toch wel heel specifieke implementaties zijn 721 00:41:11,200 --> 00:41:15,700 op het vlak van technologie die toch wel een andere benadering vereisen. 722 00:41:17,733 --> 00:41:19,200 Volgende slide. 723 00:41:19,300 --> 00:41:23,368 En dan het laatste puntje dat ik had aangehaald: 724 00:41:23,468 --> 00:41:26,968 Bewustmaking en opleidingen van cybersecurity. 725 00:41:27,068 --> 00:41:28,700 En dat start voor mij echt op school. 726 00:41:28,800 --> 00:41:31,333 We hebben nu een campagne lopen in België 727 00:41:31,433 --> 00:41:35,133 gericht op de jongeren in het kader van phishingfraude... 728 00:41:35,233 --> 00:41:37,768 waarbij ze zien dat 1 op de 10 jongeren bereid is 729 00:41:37,868 --> 00:41:42,033 om zijn bankrekening en bankkaart uit te lenen voor geld. 730 00:41:42,133 --> 00:41:44,933 We hebben een schrijnende case in de pers gehad van een jongen 731 00:41:45,033 --> 00:41:49,800 die tot twee keer toe ontvoerd is geweest. 732 00:41:49,900 --> 00:41:53,933 Dus er is nu een campagne opgezet om jongeren daarvan bewust te maken 733 00:41:54,033 --> 00:41:59,268 wat de gevaren daarvan zijn en dat ze dan ook meedoen aan criminele activiteiten. 734 00:41:59,368 --> 00:42:06,068 Aan de andere kant, ook in het onderwijs vroeg beginnen met veilig internet, 735 00:42:06,168 --> 00:42:12,068 cybersecurity-opleidingen. Ook daar zijn er organisaties startende, 736 00:42:12,168 --> 00:42:14,633 maar ik denk dat we daar nog wel stappen kunnen zetten. 737 00:42:14,733 --> 00:42:16,968 In sommige landen in Europa zijn ze ermee bezig, 738 00:42:17,068 --> 00:42:19,333 in andere landen zie ik daar nog weinig beweging. 739 00:42:19,433 --> 00:42:21,968 In de VS zijn ze daar al een aantal jaar mee bezig. 740 00:42:22,068 --> 00:42:26,468 Het is voor mij ook zeer belangrijk dat we onze jongeren daar weerbaarder maken 741 00:42:26,568 --> 00:42:28,233 voor de gevaren van het internet 742 00:42:28,333 --> 00:42:31,468 en daar ook de nieuwe cybersecurity- specialisten kunnen opleiden, 743 00:42:31,568 --> 00:42:35,033 want er zijn er duizenden tekort vandaag. 744 00:42:35,133 --> 00:42:36,700 We hebben heel veel IT-mensen, 745 00:42:36,800 --> 00:42:41,233 maar die zijn niet by default cybersecurity-specialisten. 746 00:42:41,333 --> 00:42:44,068 En daarom denk ik ook, in de laatste slide nog... 747 00:42:44,168 --> 00:42:48,868 Het is belangrijk dat we een publiek- private samenwerking aanhouden. 748 00:42:48,968 --> 00:42:53,400 In Australië en in de VS hebben ze daar al verschillende frameworks voor. 749 00:42:53,500 --> 00:42:57,200 In Australië is dat AUSTRAC, om financiële fraude tegen te gaan 750 00:42:57,300 --> 00:43:00,100 samen met rechters. 751 00:43:00,200 --> 00:43:02,068 In de VS hebben ze NCFTA, 752 00:43:02,168 --> 00:43:05,668 waar ze samen met de private sector samenwerken 753 00:43:05,768 --> 00:43:08,700 om cybercrime te bestrijden. 754 00:43:08,800 --> 00:43:11,233 In Europa hebben we vandaag al het CyCLONe-project, 755 00:43:11,333 --> 00:43:15,900 maar dat is tussen de CSIRTs van de verschillende lidstaten 756 00:43:16,000 --> 00:43:20,468 om daar samen te werken op een moment 757 00:43:20,568 --> 00:43:23,800 dat we daar te maken zouden krijgen met een groot cyberincident. 758 00:43:23,900 --> 00:43:29,468 Eentje die je bijvoorbeeld kan noemen in België is een samenwerking met het CCB. 759 00:43:29,568 --> 00:43:33,400 En daar hebben we een project lopen, dat is het Belgian anti-phishingsysteem, 760 00:43:33,500 --> 00:43:36,900 het BAPS-systeem, waarbij private bedrijven 761 00:43:37,000 --> 00:43:39,468 op het moment dat ze phishingfraude zien, 762 00:43:39,568 --> 00:43:44,700 dat automatisch via een systeem kunnen melden aan het CCB. 763 00:43:44,800 --> 00:43:46,968 Zij hebben de connecties met de telcobedrijven 764 00:43:47,068 --> 00:43:51,200 en wij kunnen dus eigenlijk zeer snel de burger waarschuwen 765 00:43:51,300 --> 00:43:54,933 dat hij aan het surfen is naar een phishingsite en niet een echte site. 766 00:43:55,033 --> 00:43:57,400 Dat soort publiek-private samenwerking 767 00:43:57,500 --> 00:44:00,968 moeten we echt op nationaal en internationaal niveau verder zetten, 768 00:44:01,068 --> 00:44:07,133 zodanig dat we op grote schaal eigenlijk de cyberdreigingen aankunnen. 769 00:44:07,233 --> 00:44:11,100 Even een vraagje: wat is het CCB? Want niet iedereen zal dat kennen. 770 00:44:11,200 --> 00:44:14,500 Dat is het Centrum voor Cyberveiligheid in België. 771 00:44:14,600 --> 00:44:18,900 Dus de Belgische SIRT valt daaronder. Dat is bij jullie de NCSC. 772 00:44:19,000 --> 00:44:20,868 Ja. Dank je wel. 773 00:44:23,200 --> 00:44:25,300 Dan was dat 'm denk ik voor jou. 774 00:44:26,900 --> 00:44:28,168 Ja. 775 00:44:28,268 --> 00:44:33,800 Nou gaf in je presentatie aan van: er ontstaat een spanningsveld 776 00:44:33,900 --> 00:44:36,233 omdat wij bijvoorbeeld af en toe zeggen: 777 00:44:36,333 --> 00:44:40,168 'je mag geen biometrie doen voor bepaalde authenticatie 778 00:44:40,268 --> 00:44:42,433 of een handtekening zetten' of dat soort zaken. 779 00:44:42,533 --> 00:44:48,068 In België móét je dat soms doen. Hoe zie je daar oplossingen komen? 780 00:44:48,168 --> 00:44:55,133 Ik denk dat dat enerzijds tussen de verschillende assessment bodies... 781 00:44:55,233 --> 00:44:58,668 op nationaal en internationaal niveau moet kunnen besproken worden, 782 00:44:58,768 --> 00:45:02,933 maar ook op Europees niveau proberen we daar 783 00:45:03,033 --> 00:45:04,700 de Europese Commissie op te wijzen, 784 00:45:04,800 --> 00:45:09,768 op bepaalde wetgeving of nationale implementaties 785 00:45:09,868 --> 00:45:13,768 die met mekaar conflicterend zijn. We hebben er in de laatste jaren 786 00:45:13,868 --> 00:45:15,233 rond bijvoorbeeld eIDAS 787 00:45:15,333 --> 00:45:17,768 hebben we nog een aantal van die cases gehad. 788 00:45:17,868 --> 00:45:20,300 De Europese Commissie probeert ook stappen te zetten 789 00:45:20,400 --> 00:45:23,068 om dat te uniformiseren om te zeggen van: 790 00:45:23,168 --> 00:45:27,300 als een bepaalde vereiste voldaan is in een land, 791 00:45:27,400 --> 00:45:29,933 zelfs via nationale implementatie, 792 00:45:30,033 --> 00:45:34,668 dan moet die aanvaard worden door alle andere lidstaten. 793 00:45:34,768 --> 00:45:38,268 Dan moeten ze natuurlijk nog kijken op welke manier ze dat kunnen inregelen. 794 00:45:38,368 --> 00:45:42,700 Soms is dat via peer reviews, soms via een supervisor die Europees erkend is. 795 00:45:42,800 --> 00:45:49,000 Dus daar zijn nog wel wat besprekingen nodig om dat glad te strijken 796 00:45:49,100 --> 00:45:54,400 op het moment dat al die verschillende wetgeving op ons afkomt. 797 00:45:54,500 --> 00:45:59,233 Natuurlijk hebben we op Europees niveau ENISA. 798 00:45:59,333 --> 00:46:03,033 Wat is nou precies hun rol in al dit soort wetgeving 799 00:46:03,133 --> 00:46:06,800 en al dit soort dingen die je ziet gebeuren? 800 00:46:06,900 --> 00:46:11,400 ENISA heeft de enerzijds natuurlijk een adviserende rol 801 00:46:11,500 --> 00:46:13,968 naar de commissie toe om input te geven 802 00:46:14,068 --> 00:46:17,533 naar die verschillende wetgevingen toe. 803 00:46:17,633 --> 00:46:22,233 Dat hebben ze gedaan voor de Cloud Certification Act. 804 00:46:22,333 --> 00:46:23,768 Ze hebben dat ook gedaan hier 805 00:46:23,868 --> 00:46:28,700 voor bijvoorbeeld de Cyber Resilience Act voor NIS-2. 806 00:46:28,800 --> 00:46:33,900 En aan de andere kant is er ook operationeel het CyCLONe-project, 807 00:46:34,000 --> 00:46:37,633 waarbij de verschillende CSIRTs een belangrijke rol gaan spelen 808 00:46:37,733 --> 00:46:39,668 om snel te kunnen ageren 809 00:46:39,768 --> 00:46:43,368 als wij met een grote aanval zouden geconfronteerd worden in Europa. 810 00:46:43,468 --> 00:46:48,533 waar ENISA eigenlijk op dat moment in een coördinerende rol voorkomt. 811 00:46:50,200 --> 00:46:54,100 Nou blijft bij beide lezingen bij mij toch het gevoel hangen 812 00:46:54,200 --> 00:46:57,833 dat we een beentje moeten bijtrekken, 813 00:46:57,933 --> 00:47:01,300 elke keer om de security op orde te krijgen. 814 00:47:01,400 --> 00:47:04,933 We leven in tijden van een oorlog. 815 00:47:05,033 --> 00:47:08,600 Zouden wij klaar zijn voor een massale aanval in Europa? 816 00:47:10,933 --> 00:47:15,233 Wat mij betreft denk ik dat we niet klaar zouden zijn, 817 00:47:15,333 --> 00:47:18,833 moesten we daar inderdaad mee geconfronteerd worden. 818 00:47:18,933 --> 00:47:22,833 Vandaag zie ik nog veel te vaak dat er lokaal beslissingen worden genomen 819 00:47:22,933 --> 00:47:26,100 om kleine teams, om bepaalde initiatieven te nemen. 820 00:47:26,200 --> 00:47:28,768 Maar als je spreekt over nation-state attacks, 821 00:47:28,868 --> 00:47:31,068 dan is dat niet voldoende. 822 00:47:31,168 --> 00:47:35,533 Daarom is een gecoördineerde aanpak op Europees niveau absoluut noodzakelijk 823 00:47:35,633 --> 00:47:37,900 om ons daarin weerbaar te maken en ook af te stemmen 824 00:47:38,000 --> 00:47:41,433 dat we de juiste maatregelen en acties nemen. 825 00:47:41,533 --> 00:47:45,733 Ik heb een vraag van één van de kijkers. 'Voor zover van toepassing: 826 00:47:45,833 --> 00:47:48,633 in hoeverre wordt er tussen EU-landen samengewerkt 827 00:47:48,733 --> 00:47:55,033 bij vertalen van wetgeving in verband met onderlinge alignment?' 828 00:47:55,133 --> 00:47:56,468 Dat wordt absoluut gedaan. 829 00:47:56,568 --> 00:48:00,300 Er zijn Europese werkgroepen onder de Europese Commissie 830 00:48:00,400 --> 00:48:02,633 waar dit soort wetgeving wordt voorbereid 831 00:48:02,733 --> 00:48:07,168 en waar uit de verschillende lidstaten afvaardigingen zijn 832 00:48:07,268 --> 00:48:10,400 om zo veel mogelijk de zaken op elkaar af te stemmen. 833 00:48:10,500 --> 00:48:13,533 Wat niet tegenhoudt natuurlijk dat als het een directive is 834 00:48:13,633 --> 00:48:16,600 dat je nog altijd nationale implementaties kunt krijgen 835 00:48:16,700 --> 00:48:18,833 waar lichte afwijkingen op zijn. 836 00:48:18,933 --> 00:48:22,900 Dat proberen we natuurlijk via die werkgroepen 837 00:48:23,000 --> 00:48:26,668 zo veel mogelijk te vermijden, zodanig dat je dus geen conflicten krijgt 838 00:48:26,768 --> 00:48:29,933 zoals we dat de laatste jaren weleens hebben meegemaakt. 839 00:48:30,033 --> 00:48:34,500 Wat je daar ook bij ziet: je hebt niet alleen de NIS-2, 840 00:48:34,600 --> 00:48:38,033 maar parallel daaraan is ook een andere directive die van kracht wordt. 841 00:48:38,133 --> 00:48:39,333 Dat heet de SES. 842 00:48:39,433 --> 00:48:44,133 In Nederland wordt dat 'veerkracht essentiële entiteiten'. 843 00:48:44,233 --> 00:48:48,033 En die schrijft voor dat als uitval als gevolg van een cyberincident 844 00:48:48,133 --> 00:48:51,968 grensoverschrijdende effecten heeft, er ook een Europese ISAC moet komen. 845 00:48:52,068 --> 00:48:55,800 Dus dan moet je ook over de landen heen gaan samenwerken per sector. 846 00:48:55,900 --> 00:49:00,268 Dat zie je bijvoorbeeld bij het spoor, daar wordt dat inmiddels gedaan. 847 00:49:00,368 --> 00:49:04,233 En ook die ISACs worden nu opgericht als onderdeel van de SES, 848 00:49:04,333 --> 00:49:06,200 zoals de richtlijn dan heet. 849 00:49:06,300 --> 00:49:08,933 Maar ook daar zie je dus ook dat er een sparring ontstaat 850 00:49:09,033 --> 00:49:12,633 voor Europese bodies die met regelgeving aan de slag gaan. 851 00:49:12,733 --> 00:49:15,368 Dan kun je dus ook een collectief tegenover je hebben 852 00:49:15,468 --> 00:49:17,433 waar je die dialoog mee aangaat. 853 00:49:17,533 --> 00:49:20,033 Nou ja, en je gaat ook straks de situatie krijgen 854 00:49:20,133 --> 00:49:23,400 dat je geordend bent en een statement of conformity 855 00:49:23,500 --> 00:49:27,633 graag ook over de grens zou willen laten gelden natuurlijk. 856 00:49:29,068 --> 00:49:35,468 Dan toch even een vraag van de kijkers speciaal aan Remy. 857 00:49:35,568 --> 00:49:39,868 Welke eisen/kaders/richtlijnen die in België worden gehanteerd 858 00:49:39,968 --> 00:49:43,600 adviseer je aan Nederland om ook te gaan toepassen? 859 00:49:43,700 --> 00:49:46,068 Dus wat kunnen wij van de Belgen leren? 860 00:49:47,668 --> 00:49:50,233 Da's een moeilijke. 861 00:49:50,333 --> 00:49:55,400 Dan moet je eigenlijk zeggen: Brenno, heb je nog twee dagen? 862 00:49:55,500 --> 00:49:57,168 KNECHT LACHT 863 00:49:57,268 --> 00:49:59,500 KNECHT: Nee, ik denk... 864 00:50:00,868 --> 00:50:06,333 Om het niet heel specifiek, maar generiek te houden: 865 00:50:06,433 --> 00:50:12,068 Nederland heeft af en toe weleens de neiging om bovenop het Europese kader 866 00:50:12,168 --> 00:50:15,768 nog wat Nederland-specifieke zaken te gaan implementeren. 867 00:50:15,868 --> 00:50:19,968 En dat maakt het juist moeilijk om die alignment te hebben 868 00:50:20,068 --> 00:50:22,733 over de verschillende landen heen. 869 00:50:22,833 --> 00:50:27,068 Die kaders zijn goed uitgedokterd, die zijn ook Europees afgestemd. 870 00:50:27,168 --> 00:50:33,268 Er zijn ook voor bijvoorbeeld de trust services, de vertrouwensdiensten, 871 00:50:33,368 --> 00:50:37,433 is er in principe een Europese certificatie 872 00:50:37,533 --> 00:50:40,600 en toch zien we daar dat er soms tussen supervisor en bodies 873 00:50:40,700 --> 00:50:43,200 tussen Nederland en België bijvoorbeeld, 874 00:50:43,300 --> 00:50:46,233 dat er daar andere interpretaties aan worden gegeven, 875 00:50:46,333 --> 00:50:50,400 omdat er lokaal toch nog additionele requirements worden opgelegd. 876 00:50:50,500 --> 00:50:57,400 En is dat Nederland vooral als land of zie je dat vooral de industrie dat doet? 877 00:50:57,500 --> 00:51:01,268 Want mij valt weleens op dat die industrie vaak toch in Nederland 878 00:51:01,368 --> 00:51:04,700 soms wil roepen dat dingen magie zijn. 879 00:51:04,800 --> 00:51:10,100 Ja, het wordt natuurlijk... Het ene beïnvloedt het andere, hè. 880 00:51:10,200 --> 00:51:16,300 De industrie staat niet los van de wetgevende overheid. 881 00:51:16,400 --> 00:51:19,400 Er wordt natuurlijk ook geconsulteerd tussen mekaar 882 00:51:19,500 --> 00:51:24,368 en om een voorbeeldje te geven, bijvoorbeeld in de WDO: 883 00:51:24,468 --> 00:51:29,068 Daar is nu, en dat komt niet uit het Europese kader van eIDAS, 884 00:51:29,168 --> 00:51:33,768 komt er het topic rond 'moet er een code open source zijn 885 00:51:33,868 --> 00:51:36,833 voor een digitale identiteit die dan erkend is in Nederland'. 886 00:51:36,933 --> 00:51:40,500 Daar zijn heel veel vragen rond van: is dat veiliger of niet veiliger? 887 00:51:40,600 --> 00:51:44,533 Als je kijkt naar het Love for J-verhaal. Dat was open source. 888 00:51:44,633 --> 00:51:47,733 Is dat nou veiliger of maakt het het systeem niet veiliger? 889 00:51:47,833 --> 00:51:51,568 Dus dat zijn van die topics, die worden er aan toegevoegd 890 00:51:51,668 --> 00:51:55,500 en die maken het soms wat moeilijker. 891 00:51:55,600 --> 00:52:00,668 Ja, vanuit Connect2Trust, al onze deelnemers zijn Europees of wereldwijd: 892 00:52:00,768 --> 00:52:07,768 Als er één ding is wat Nederland anders maakt dan veel andere Europese landen, 893 00:52:07,868 --> 00:52:11,400 is dat we in Nederland, en de mensen van de Rijksoverheid zullen deze kennen, 894 00:52:11,500 --> 00:52:13,268 is het Huis van Thorbecke. 895 00:52:13,368 --> 00:52:18,100 Nederland maakt een onderscheid tussen nationale en economische veiligheid 896 00:52:18,200 --> 00:52:23,033 en dat wordt bij heel veel landen onder één ministerie geschaard. 897 00:52:23,133 --> 00:52:26,100 In Nederland zijn dat er twee en dat blijven er ook twee. 898 00:52:26,200 --> 00:52:29,533 Dus ook al gaat het Digital Trust Center naar het NCSC, 899 00:52:29,633 --> 00:52:32,400 Economische Zaken blijft het verantwoordelijk ministerie 900 00:52:32,500 --> 00:52:33,900 voor Ondernemend Nederland. 901 00:52:34,000 --> 00:52:38,168 Dus aan de beleidskant, inrichtingskant, invulling van een zorgplicht 902 00:52:38,268 --> 00:52:43,168 blijf je dus eigenlijk door het Huis van Thorbecke altijd twee ministeries houden 903 00:52:43,268 --> 00:52:46,368 waar veel organisaties soms zelfs aan allebei moeten rapporteren. 904 00:52:46,468 --> 00:52:48,600 Ook daar merk je wel dat Nederland 905 00:52:48,700 --> 00:52:51,533 in die zin zich wat ingewikkelder heeft ingericht dan België, 906 00:52:51,633 --> 00:52:54,500 waar dat bijvoorbeeld bij één publieke autoriteit te vinden. 907 00:52:54,600 --> 00:52:59,168 Bij jullie in België valt het toch ook onder algemene zaken? 908 00:53:01,033 --> 00:53:04,200 Welk deel? -Het cybersecurity-gedeelte. 909 00:53:04,300 --> 00:53:08,233 Cybersecurity valt onder het kabinet van de eerste minister 910 00:53:08,333 --> 00:53:11,200 en dat is het CCB die daarvoor verantwoordelijk is, 911 00:53:11,300 --> 00:53:15,100 dus die zal ook voor NIS-2 volledig alle taken op zich nemen. 912 00:53:15,200 --> 00:53:19,568 Het is dus echt chefsache bij jullie. -Ja. 913 00:53:19,668 --> 00:53:24,633 Dan een hele gemene vraag voor jullie beiden. 914 00:53:24,733 --> 00:53:29,000 'Als jullie een cijfer kunnen geven hoe we er nu voor staan 915 00:53:29,100 --> 00:53:33,900 op cybersecurity-gebied, je mag 'm van mij ook op weerbaarheid gooien, hoor, 916 00:53:34,000 --> 00:53:35,433 welk cijfer geven jullie dan? 917 00:53:35,533 --> 00:53:39,900 Kortom, moeten wij ons als publieke sector zorgen maken? 918 00:53:42,200 --> 00:53:45,233 Nou weet ik niet of zorgen maken altijd een goed idee is, 919 00:53:45,333 --> 00:53:48,300 maar wie mag ik 'm het eerst geven? 920 00:53:52,400 --> 00:53:55,668 Ik zou het een... 921 00:53:55,768 --> 00:53:57,368 Een zesje. 922 00:53:57,468 --> 00:54:01,168 Ik denk dat Nederland het goed doet 923 00:54:01,268 --> 00:54:05,468 als het gaat om de preventieve kant, 924 00:54:05,568 --> 00:54:07,800 maar ik sluit me ook wel heel erg aan op het rapport 925 00:54:07,900 --> 00:54:12,800 van de WRR van een jaar of twee geleden, digitale ontwrichting. 926 00:54:12,900 --> 00:54:17,133 Of we erkennen dat het ook mis kan gaan 927 00:54:17,233 --> 00:54:21,368 en we daarop voorbereid zijn, is een tweede. 928 00:54:21,468 --> 00:54:25,400 De kernvraag die ik vaak stel als ik te maken heb met raden van bestuur 929 00:54:25,500 --> 00:54:29,468 of bestuurlijke gremia van overheden: 930 00:54:29,568 --> 00:54:34,500 dat noemen ze 'residual risk', dus een cyberstrategie hebben is goed, 931 00:54:34,600 --> 00:54:39,168 maar formuleren tegen welke risico's je niet weerbaar bent, 932 00:54:39,268 --> 00:54:41,200 is een stap die vaak wordt overgeslagen 933 00:54:41,300 --> 00:54:44,333 en eigenlijk degene die je juist moet doen, want dat maakt je bewust 934 00:54:44,433 --> 00:54:46,468 dat het toch altijd kan gebeuren. 935 00:54:48,068 --> 00:54:49,568 Remy? 936 00:54:49,668 --> 00:54:55,668 Ja, ik denk inderdaad dat ik me wel kan vinden in een zes. 937 00:54:55,768 --> 00:55:00,933 Ik denk dat er goede stappen worden gezet in de juiste richting, 938 00:55:01,033 --> 00:55:05,100 maar dat we in de implementatie nog niet ver genoeg staan 939 00:55:05,200 --> 00:55:09,468 en dan ook de bewustwording inderdaad dat dit geen proces is 940 00:55:09,568 --> 00:55:13,700 waar je op het einde zegt: nu heb ik m'n certificaatje en we zijn klaar. 941 00:55:13,800 --> 00:55:17,433 Dit is een continu proces wat we moeten doormaken 942 00:55:17,533 --> 00:55:19,468 en omdat, zoals we gezegd hebben, 943 00:55:19,568 --> 00:55:24,333 zowel de techniek als de dreigingen blijven aan een snel tempo evolueren 944 00:55:24,433 --> 00:55:30,133 en zorgen dat we daar in die mindset blijven nadenken 945 00:55:30,233 --> 00:55:34,500 over wat nieuwe dreigingen zijn, hoe we met nieuwe technologie omgaan. 946 00:55:34,600 --> 00:55:36,800 Dat blijft belangrijk, om daarin te investeren 947 00:55:36,900 --> 00:55:39,368 in zowel mensen als wetgeving. 948 00:55:39,468 --> 00:55:42,133 Wat ik ten aanzien van het cijfer misschien nog wel 949 00:55:42,233 --> 00:55:44,668 een interessantere constatering vind: 950 00:55:44,768 --> 00:55:48,200 Ik heb de jaartallen laten zien. Als we dan kijken naar het eerste moment 951 00:55:48,300 --> 00:55:51,400 dat Nederland z'n nationale cyberstrategie heeft uitgebracht, 952 00:55:51,500 --> 00:55:55,100 dan is dat een behoorlijke tijd geleden. We hebben nu nummer 3. 953 00:55:55,200 --> 00:55:57,200 Als ik Nederland een cijfer zou mogen geven: 954 00:55:57,300 --> 00:56:02,068 toen de eerste nationale cyberstrategie uitkwam, was dat een zeven of hoger. 955 00:56:02,168 --> 00:56:05,900 Ik heb wel het idee dat Nederland door z'n structuur, 956 00:56:06,000 --> 00:56:10,133 door z'n bestuurlijke inrichting, door dingen overlaten aan de markt 957 00:56:10,233 --> 00:56:13,400 op dit moment in cijfer naar achter gaat 958 00:56:13,500 --> 00:56:16,833 en ik hoop dat met de nieuwe NLCS de Nederlandse cyberstrategie 959 00:56:16,933 --> 00:56:19,500 en de NIS-2 er een soort vlucht naar voren wordt genomen. 960 00:56:19,600 --> 00:56:21,368 Grappig. Ik heb zelf juist het beeld 961 00:56:21,468 --> 00:56:25,268 dat ik steeds vaker ook bijvoorbeeld burgemeesters tegenkom 962 00:56:25,368 --> 00:56:28,900 die zich juist proberen eigenaar te maken van de problematiek, 963 00:56:29,000 --> 00:56:33,633 dat veiligheidsregio's erover aan het nadenken zijn. 964 00:56:33,733 --> 00:56:36,768 Dus ik zie wel bewegingen in de goede richting. 965 00:56:36,868 --> 00:56:40,768 Aan de ene kant zie je Europa een soort van trekkende werking hebben, 966 00:56:40,868 --> 00:56:42,800 aan de andere kant zie je de maatschappij. 967 00:56:42,900 --> 00:56:45,600 Dat geldt voor de Connect2Trust-deelnemers, 968 00:56:45,700 --> 00:56:47,733 maar ook de cyberburgemeesters. 969 00:56:47,833 --> 00:56:50,100 Die zie je allemaal vragen om 'we willen meer'. 970 00:56:50,200 --> 00:56:52,368 We willen niet meer regels, maar we willen meer, 971 00:56:52,468 --> 00:56:56,568 wat wij noemen 'handelingsperspectief' en wat wij proberen bij Connect2Trust is: 972 00:56:56,668 --> 00:56:58,933 Handelingsperspectief geven is een start, 973 00:56:59,033 --> 00:57:03,333 ze helpen naar een handeling is de werkelijke uitdaging daarna. 974 00:57:03,433 --> 00:57:05,268 Ik denk ook dat op het vlak 975 00:57:05,368 --> 00:57:08,400 van de samenwerking tussen de publieke en private sector 976 00:57:08,500 --> 00:57:10,733 er nog belangrijke stappen kunnen gezet worden. 977 00:57:10,833 --> 00:57:14,700 Ik denk dat dat in andere landen bijvoorbeeld al meer ontwikkeld is, 978 00:57:14,800 --> 00:57:18,968 want je ziet dat de private sector dikwijls in hun eigen sector 979 00:57:19,068 --> 00:57:22,168 dreigingen zien die de overheid niet ziet. 980 00:57:22,268 --> 00:57:25,468 Maar je hebt ook law enforcement nodig die kan acteren, 981 00:57:25,568 --> 00:57:28,333 wat de private sector niet kan. Dus ik denk dat die verbinding 982 00:57:28,433 --> 00:57:32,100 tussen publieke en private sector ook heel belangrijk blijft. 983 00:57:32,200 --> 00:57:37,700 Dat is ook een ingewikkelde inderdaad. Afrondend ga ik even iets gemeens doen. 984 00:57:37,800 --> 00:57:40,768 Raymond, wat is nou wat jou betreft 985 00:57:40,868 --> 00:57:44,468 de les die we moeten meenemen uit het verhaal van Remy? 986 00:57:46,900 --> 00:57:50,268 Wat mij betreft: vind niet iedere keer zelf het wiel uit 987 00:57:50,368 --> 00:57:52,000 door te denken: je bent uniek. 988 00:57:52,100 --> 00:57:54,700 Kijk vooral ook over de grens, ook naar België. 989 00:57:54,800 --> 00:57:57,533 Het is geen strijd, er is daar te leren van elkaar 990 00:57:57,633 --> 00:57:59,933 en dat gaat sneller dan het zelf opnieuw bedenken. 991 00:58:00,033 --> 00:58:03,033 Samen is ook veel toffer natuurlijk. 992 00:58:03,133 --> 00:58:06,168 Remy, wat is voor jou de grote les uit het verhaal van Raymond 993 00:58:06,268 --> 00:58:08,433 wat jij mee naar huis neemt? 994 00:58:08,533 --> 00:58:11,833 Ik denk het feit dat we continu 995 00:58:11,933 --> 00:58:14,768 aan risicomanagement moeten blijven doen 996 00:58:14,868 --> 00:58:18,333 en dan kijken naar maar wat hij net noemt het residual risk. 997 00:58:18,433 --> 00:58:20,833 Waar zijn we nou niet tegen bestand? 998 00:58:20,933 --> 00:58:26,868 En ook beseffen dat de NIS-2 niet zomaar een verplichting is, 999 00:58:26,968 --> 00:58:30,168 maar dat het een tool is die ons moet helpen om ons weerbaarder te maken, 1000 00:58:30,268 --> 00:58:32,100 dus ga ermee aan de slag. 1001 00:58:32,200 --> 00:58:35,800 Ja. En dan neem ik zelf mee van jullie allebei dat eigenlijk 1002 00:58:35,900 --> 00:58:39,968 deze regelgeving en 't risicomanagement ook een enorme kans is 1003 00:58:40,068 --> 00:58:43,700 om nu eens een keer niet in de brandweermodus te blijven hangen, 1004 00:58:43,800 --> 00:58:46,500 maar juist die sprong naar voren te maken. 1005 00:58:46,600 --> 00:58:52,033 Dan wil ik eigenlijk iedereen bedanken voor het kijken. 1006 00:58:52,133 --> 00:58:56,700 Zeker veel dank voor Remy Knecht en Raymond Bierens 1007 00:58:56,800 --> 00:58:59,068 voor jullie bijdrage vandaag. 1008 00:58:59,168 --> 00:59:05,833 En nogmaals: deze sessie is mogelijk gemaakt door RADIO en INSPIR8ION. 1009 00:59:05,933 --> 00:59:08,733 Bedankt voor het kijken en graag tot de volgende aflevering.