Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 22 mei 2017

Digitalisering is een van de belangrijkste drijvers van economische groei en biedt kansen voor het oplossen van maatschappelijke uitdagingen. Een belangrijke randvoorwaarde voor het verzilveren van deze kansen is het verhogen van de digitale weerbaarheid. Aan de hand van de opeenvolgende Nationale Cyber Security Strategieën is hier de afgelopen jaren vorm aan gegeven. Een belangrijk onderdeel van de inspanningen gericht op de rijksoverheid en de vitale infrastructuur betreft de samenwerking met de vitale infrastructuur binnen de Information Sharing and Analysis Centres (ISAC’s).

ISAC’s zijn publiek-private samenwerkingsverbanden waarin bedrijven en overheid onderling informatie en ervaringen uitwisselen over cybersecurity, gefaciliteerd door het Nationaal Cyber Security Centrum (NCSC).

Vanwege de toenemende cyberdreigingen waarover de Staatssecretaris van Veiligheid en Justitie de Kamer d.d. 5 september jl. in het Cyber Security Beeld Nederland 2016 heeft geïnformeerd (Kamerstuk 26 643, nr. 420), heb ik vanuit de Digitale Agenda 2016–2017 opdracht gegeven om te verkennen of deze aanpak mogelijk kan worden uitgebreid naar andere delen van de economie, met name naar de kennisintensieve bedrijven in de topsectoren. Hierbij stuur ik u, mede namens de Staatssecretaris van Veiligheid en Justitie, het resultaat van deze verkenning, die is uitgevoerd door TNO, en de bijbehorende vervolgstappen1.

Conclusies en aanbevelingen van de verkenning

Om de internationale toppositie van Nederland op het gebied van innovatie te behouden is het volgens TNO van groot belang om in digitale veiligheid en weerbaarheid te investeren. Digitale spionage en cybercrime kunnen gevolgen hebben voor duurzame economische groei van Nederland.

TNO concludeert dat er ruimte is voor verbetering om cybersecurity van het kennisintensieve, niet-vitale deel van het bedrijfsleven te borgen.

TNO adviseert om voor deze groep kennisintensieve bedrijven een cybersecurity informatie-uitwisselingsinfrastructuur op te zetten. De structuur moet bedrijven en onderzoeksinstellingen in de topsectoren ten goede komen, maar ook hun ketenpartners en toeleveranciers. Deze bedrijven zijn immers voor hun digitale weerbaarheid afhankelijk van elkaar. Daarbij kan het niet-vitale deel van het bedrijfsleven ook op andere manieren geclusterd worden dan per topsector, zoals per branche, per geografisch gebied, per keten of naar grootte van de organisatie. TNO schetst daarom een aanpak die geschikt is voor informatie-uitwisseling binnen een topsector, maar die ook op elk ander soort samenwerkingsverband kan worden toegepast.

TNO heeft een internationale vergelijking uitgevoerd naar best practices uit het buitenland; cybersecurity informatie-uitwisselingsmodellen die ook toe te passen zijn op de Nederlandse situatie. Op basis hiervan adviseert TNO om voor de niet als vitaal aangemerkte bedrijven een infrastructuur op te bouwen geïnspireerd op het Information Sharing and Analysis Organisation (ISAO) model dat in de Verenigde Staten is ontwikkeld. ISAO’s zijn flexibel en schaalbaar en worden in tegenstelling tot ISAC’s niet alleen per sector georganiseerd, maar ook per sub-sector, regio of elke andere vorm van clustering.

Reactie en vervolgproces

In lijn met de conclusies van TNO, herken ik het belang een cybersecurity informatie-uitwisselingsstructuur op te zetten voor de kennisintensieve bedrijven. Het is van belang dat deze infrastructuur goed aansluit bij de huidige ISAC structuur voor de overheid en de vitale infrastructuur, zoals reeds door TNO geschetst.

Het onderzoek van TNO biedt een goede basis om te bekijken hoe de ISAO structuur het best toegepast kan worden in de Nederlandse context en hoe deze het best kan aansluiten bij de bestaande ISAC structuur dat voor overheid en vitale infrastructuur wordt gebruikt. Hiertoe zal ik, in afstemming met de Staatssecretaris van Veiligheid en Justitie en het bedrijfsleven, in overleg treden op welke wijze ervaring opgedaan kan worden met een Nederlandse ISAO-structuur, passend in onze ambitie om te komen tot een landelijk dekkend netwerk van organisaties om cybersecurity informatie uit te wisselen.

De Minister van Economische Zaken, H.G.J. Kamp