Cyberdiplomatie

Cyberdiplomatie is het diplomatieke vakgebied dat zich richt op internationale afspraken over verantwoordelijk gedrag van staten in de digitale ruimte. Het omvat onderhandelingen in multilaterale fora zoals de Verenigde Naties, de EU en de NAVO over hoe landen zich horen te gedragen in cyberspace. Nederland speelt internationaal een voortrekkersrol in cyberdiplomatie. Het International Institute for Strategic Studies noemt Nederland een wereldleider op dit gebied. De inzet richt zich op drie pijlers: het ontwikkelen van gedragsnormen, het bevorderen van vertrouwen tussen staten en het opbouwen van capaciteit in ontwikkelingslanden. Voor organisaties is cyberdiplomatie relevant omdat de uitkomsten direct invloed hebben op regelgeving zoals NIS2 en op het internationale dreigingslandschap waarbinnen je opereert.

Waarom is cyberdiplomatie belangrijk?

Cyberaanvallen stoppen niet bij landsgrenzen. Een ransomware-aanval kan worden gelanceerd vanuit het ene land, gehost in een ander land en slachtoffers maken in tientallen landen tegelijk. Zonder internationale afspraken over wat acceptabel gedrag is in cyberspace, ontbreekt een juridisch en diplomatiek kader om landen aan te spreken op kwaadaardig cybergedrag. Cyberdiplomatie vult dit vacuüm door normen te ontwikkelen die staten binden aan verantwoordelijk gedrag. De afspraken die hieruit voortkomen, bepalen het speelveld waarbinnen jouw organisatie opereert.

Een belangrijke mijlpaal was het VN-rapport van de Group of Governmental Experts (UN GGE) in 2015, waarin alle deelnemende landen bevestigden dat het internationaal recht ook online van toepassing is. Dit betekent dat aanvallen op kritieke infrastructuur via cyberspace in principe hetzelfde beoordeeld worden als fysieke aanvallen. De Open-Ended Working Group (OEWG) verbreedde dit consensus naar alle VN-lidstaten, een historische prestatie in de internationale betrekkingen. Voor het eerst in de geschiedenis bereikten alle landen overeenstemming over gedragsregels in cyberspace.

Voor Nederlandse organisaties heeft cyberdiplomatie directe gevolgen. De Europese cybersanctieregeling, ontwikkeld via cyberdiplomatieke kanalen, maakt het mogelijk om sancties op te leggen aan personen en entiteiten die betrokken zijn bij cyberaanvallen. De Cyberbeveiligingswet is een directe uitvloeisel van Europese afspraken die mede via cyberdiplomatie tot stand zijn gekomen. De normen die in VN-verband worden afgesproken, worden vertaald naar concrete wetgeving en compliance-eisen waar jouw organisatie mee te maken krijgt. Het dreigingslandschap wordt mede gevormd door diplomatieke verhoudingen tussen landen.

Hoe pas je cyberdiplomatie toe?

Als individuele organisatie voer je geen cyberdiplomatie, maar je kunt er wel van profiteren en eraan bijdragen. Op nationaal niveau werkt het Ministerie van Buitenlandse Zaken samen met het NCSC en het Ministerie van Justitie en Veiligheid aan de Nederlandse cyberdiplomatieke positie. Nederland heeft een speciale ambassadeur voor veiligheidsbeleid en cyber die deze inspanningen coördineert. De internationale afspraken die hieruit voortkomen, worden vertaald naar nationale wetgeving en richtlijnen die direct van invloed zijn op je beveiligingsverplichtingen.

Brancheorganisaties en bedrijven kunnen bijdragen door deel te nemen aan publiek-private samenwerkingsverbanden. Het Digital Trust Center en het NCSC faciliteren informatie-uitwisseling tussen overheid en bedrijfsleven over cyberdreigingen. Deze informatie voedt mede de diplomatieke discussies over welke normen nodig zijn. Organisaties die threat intelligence delen via ISACs (Information Sharing and Analysis Centers), dragen indirect bij aan het diplomatieke proces door concrete voorbeelden te leveren van grensoverschrijdend cybergedrag.

Op EU-niveau is de EU Cyber Diplomacy Toolbox het instrument waarmee de EU collectief reageert op cyberaanvallen. Dit omvat diplomatieke verklaringen, sancties en andere maatregelen. Als organisatie is het relevant om te begrijpen hoe dit kader werkt, omdat het van invloed is op welke dreigingsactoren actief zijn en hoe zij worden tegengegaan. Het Nationaal Cyber Security Centrum publiceert regelmatig analyses die de diplomatieke context van cyberdreigingen schetsen en inzicht bieden in de geopolitieke dimensie van cyberaanvallen.

Cyberdiplomatie in de praktijk

Een concreet voorbeeld van cyberdiplomatie in actie is de Europese reactie op de NotPetya-aanval in 2017. De EU wees de aanval publiekelijk toe aan Rusland en legde voor het eerst cybersancties op. Dit was mogelijk door de voorafgaande diplomatieke afspraken over toeschrijving (attribution) en sanctionering van cyberaanvallen. Zonder het cyberdiplomatieke kader had de EU geen instrument gehad om collectief te reageren. De sancties omvatten reisbeperkingen en bevriezing van tegoeden van betrokken personen en entiteiten.

De Nederlandse overheid past cyberdiplomatie actief toe. In 2018 wees Nederland publiekelijk een cyberaanval op de OPCW in Den Haag toe aan de Russische militaire inlichtingendienst GRU. Deze publieke attributie was een bewuste diplomatieke keuze om een norm te stellen: cyberaanvallen op internationale organisaties zijn onacceptabel. Het incident leidde tot versterkte internationale samenwerking op het gebied van cyberdefensie en bevestigde de Nederlandse positie als voortrekker in cyberdiplomatie.

Voor de toekomst staat de ontwikkeling van een VN-verdrag over cybercriminaliteit op de agenda. De onderhandelingen hierover zijn complex omdat landen uiteenlopende belangen hebben. Westerse landen willen een verdrag dat criminelen bestrijdt zonder privacy en mensenrechten te schaden. Andere landen zien een verdrag als kans om meer controle over het internet te krijgen. De uitkomst van deze onderhandelingen zal direct gevolgen hebben voor het regelgevingslandschap waarbinnen jouw organisatie opereert. De Nederlandse internationale cyberstrategie 2023-2028 zet in op het behouden van een open, vrij en veilig internet als leidend principe.

Cyberdiplomatie en het bedrijfsleven

Hoewel cyberdiplomatie primair een zaak is van staten, heeft het bedrijfsleven een groeiende rol in het proces. Tech-bedrijven en cybersecurityorganisaties worden steeds vaker betrokken bij diplomatieke discussies als experts en stakeholders. De Microsoft Digital Defense Report en vergelijkbare publicaties van grote cybersecuritybedrijven worden gebruikt als input voor diplomatieke onderhandelingen over de ernst en omvang van statelijke cyberdreigingen.

Voor individuele organisaties is het relevant om de uitkomsten van cyberdiplomatie te monitoren en te vertalen naar hun eigen risicobeoordeling. Wanneer een land publiekelijk wordt geattribueerd als bron van cyberaanvallen, heeft dit gevolgen voor het dreigingslandschap. Sancties tegen cybercriminele groepen kunnen leiden tot verschuivingen in hun operaties. Nieuwe internationale verdragen kunnen compliance-eisen wijzigen. Het volgen van cyberdiplomatieke ontwikkelingen via bronnen zoals het NCSC, het Ministerie van Buitenlandse Zaken en het EU Cyber Direct-programma helpt je organisatie om proactief te reageren op veranderingen in het geopolitieke cyberdomein. Organisaties in vitale sectoren doen er goed aan om cyberdiplomatieke ontwikkelingen mee te nemen in hun periodieke dreigingsanalyse en strategie-updates.

Veelgestelde vragen over cyberdiplomatie

Wie is verantwoordelijk voor cyberdiplomatie in Nederland?

Het Ministerie van Buitenlandse Zaken coördineert de Nederlandse cyberdiplomatie, in samenwerking met het Ministerie van Justitie en Veiligheid, Defensie en het NCSC. Nederland heeft een speciale ambassadeur voor veiligheidsbeleid en cyber die de inspanningen internationaal vertegenwoordigt.

Wat zijn de VN-cybernormen?

De VN-cybernormen zijn elf gedragsregels voor staten in cyberspace, overeengekomen in 2015. Ze omvatten onder meer het verbod op aanvallen op kritieke infrastructuur, de verplichting om ICT-kwetsbaarheden te melden en het respecteren van mensenrechten online.

Heeft cyberdiplomatie invloed op mijn organisatie?

Ja, indirect maar significant. Cyberdiplomatieke afspraken worden vertaald naar wetgeving zoals NIS2, sanctieregimes tegen dreigingsactoren en internationale samenwerkingsverbanden voor informatie-uitwisseling. Deze beïnvloeden zowel je compliance-verplichtingen als het dreigingslandschap waartegen je je beschermt.

Wat is de EU Cyber Diplomacy Toolbox?

De EU Cyber Diplomacy Toolbox is het instrument waarmee de EU collectief reageert op significante cyberaanvallen. Het omvat diplomatieke stappen, reisbeperkingen, bevriezing van tegoeden en andere sanctiemaatregelen tegen personen en entiteiten betrokken bij cyberaanvallen.

Wat is publieke attributie?

Publieke attributie is het openlijk toeschrijven van een cyberaanval aan een specifieke staat of staatsgerelateerde groep. Het is een diplomatiek instrument dat wordt ingezet om normovertredend gedrag te benoemen, te ontmoedigen en internationaal draagvlak te creëren voor sancties of andere maatregelen.

Meer weten over cybersecuritybeleid? Bekijk Governance Risk Compliance op IBgidsNL.