Nederlandse Cybersecurity Strategie 2022-2028

De Nederlandse Cybersecuritystrategie 2022-2028 (NLCS) is het nationale beleidsplan van de rijksoverheid dat de koers uitzet voor een digitaal veilig Nederland. De strategie beschrijft de visie van het kabinet op een veilige digitale samenleving en definieert concrete actielijnen om de cyberweerbaarheid van Nederland structureel te versterken. De strategie is opgesteld door het ministerie van Justitie en Veiligheid in samenwerking met alle departementen en brede betrokkenheid van publieke en private partijen.

De NLCS is de opvolger van eerdere nationale cybersecuritystrategieen en markeert een belangrijke verschuiving in het Nederlandse cybersecuritybeleid. Waar eerdere strategieen meer vrijblijvend waren, zet de NLCS sterker in op wettelijke verplichtingen, toezicht en het verschuiven van verantwoordelijkheid naar partijen die het beste in staat zijn om cybersecurity te waarborgen, zoals softwareleveranciers en grote platformen.

De strategie is gepubliceerd in oktober 2022 en wordt begeleid door een actieplan met concrete maatregelen en tijdlijnen. Het NCSC speelt een centrale rol in de uitvoering. De NLCS raakt alle sectoren en organisatietypen, van overheid en vitale infrastructuur tot mkb en individuele burgers.

Voor organisaties is het belangrijk om de NLCS te kennen, omdat de strategie de basis legt voor nieuwe wet- en regelgeving die direct invloed heeft op beveiligingseisen. Denk aan de implementatie van de Europese DORA-verordening, de herziening van de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Wet bevordering digitale weerbaarheid bedrijven.

Voor wie geldt de NLCS 2022-2028?

De NLCS is een nationaal beleidsdocument dat in eerste instantie richting geeft aan het handelen van de rijksoverheid. Maar de impact reikt veel verder dan Den Haag. De strategie heeft gevolgen voor alle organisaties in Nederland.

De overheid zelf is het eerste aandachtsgebied. Alle departementen, uitvoeringsorganisaties en decentrale overheden moeten hun cybersecuritybeleid afstemmen op de NLCS. Dit vertaalt zich in strengere eisen voor informatiebeveiliging, meer samenwerking tussen overheidsdiensten en de oprichting van een nationale cybersecurity-autoriteit.

Aanbieders van vitale infrastructuur, zoals energie, telecom, water, transport en financiele dienstverlening, worden direct geraakt door de verscherpte eisen die voortvloeien uit de strategie. Voor deze sectoren gelden aangescherpte meldplichten, beveiligingseisen en toezichtmechanismen.

Het bedrijfsleven in het algemeen, en het mkb in bijzonder, wordt aangesproken op het nemen van eigen verantwoordelijkheid voor digitale veiligheid. De strategie erkent dat het mkb vaak minder middelen en expertise heeft en voorziet in ondersteunende maatregelen via het Digital Trust Center. Tegelijkertijd worden leveranciers en softwarefabrikanten meer aangesproken op hun verantwoordelijkheid voor veilige producten.

Kennisinstellingen en onderzoekorganisaties worden betrokken bij het versterken van de kennisbasis en het opleiden van cybersecurityprofessionals. De strategie benoemt het tekort aan cybersecurityspecialisten als een van de grote uitdagingen.

Wat zijn de vereisten van de NLCS 2022-2028?

De NLCS is gestructureerd rond vier pijlers met concrete actielijnen die samen de nationale aanpak vormen.

Pijler 1: Digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties. Organisaties moeten hun basismaatregelen op orde hebben. De strategie verwijst naar de basisprincipes van digitale weerbaarheid als minimumniveau. Er komen wettelijke eisen voor organisaties in vitale sectoren en een bredere meldplicht voor cyberincidenten.

Pijler 2: Veilige en innovatieve digitale producten en diensten. De verantwoordelijkheid voor security verschuift naar leveranciers. Software en hardware moeten standaard veilig zijn (security by design). De Cyber Resilience Act geeft hier invulling aan met concrete eisen voor producten met digitale elementen.

Pijler 3: Tegengaan van cyberdreigingen. Versterking van de opsporing en vervolging van cybercriminelen, verbetering van de informatie-uitwisseling over dreigingen tussen publieke en private partijen, en het ontwikkelen van offensieve capaciteiten om dreigingen te neutraliseren.

Pijler 4: Cybersecurity-arbeidsmarkt en onderwijs. Aanpak van het tekort aan cybersecurityprofessionals door het stimuleren van opleidingen, omscholing en het aantrekkelijker maken van het vakgebied. Dit raakt organisaties direct, want het personeelstekort maakt het lastig om de beveiligingseisen na te leven.

De NLCS voorziet ook in de oprichting van een nationale cybersecurity-autoriteit door de samenvoeging van het NCSC, het DTC en het CSIRT-DSP. Dit moet leiden tot een eenduidig aanspreekpunt voor cybersecurity in Nederland.

Wat gebeurt er bij niet-naleving?

De NLCS zelf is een beleidsdocument en bevat geen directe sancties. De wetgeving die voortkomt uit de strategie bevat echter wel handhavingsmechanismen en sancties.

De implementatie van de NIS2-richtlijn in Nederlandse wetgeving, die voortvloeit uit de NLCS, brengt aangescherpte boetebevoegdheden met zich mee. Essientele entiteiten riskeren boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Belangrijke entiteiten riskeren boetes tot 7 miljoen euro of 1,4% van de jaaromzet.

De Wbni, die wordt herzien in lijn met de NLCS en NIS2, verplicht organisaties in vitale sectoren om incidenten te melden bij het NCSC. Het niet naleven van deze meldplicht kan leiden tot bestuurlijke sancties en boetes.

Bestuursaansprakelijkheid wordt explicieter. De NLCS en de daaruit voortvloeiende wetgeving benadrukken dat bestuurders persoonlijk verantwoordelijk zijn voor adequate cybersecurity. Bestuurders die hun zorgplicht verwaarlozen, kunnen persoonlijk aansprakelijk worden gesteld bij een incident.

Naast formele sancties zijn er ook indirecte gevolgen. Organisaties die niet voldoen aan de eisen uit de NLCS-gerelateerde wetgeving, lopen het risico op reputatieschade, verlies van klantvertrouwen en uitsluiting van overheidsaanbestedingen. Het niet op orde hebben van cybersecurity wordt steeds meer gezien als een teken van slecht bestuur.

Het is voor organisaties raadzaam om nu al te beginnen met de voorbereidingen, want de wetgeving die voortvloeit uit de NLCS wordt de komende jaren gefaseerd ingevoerd. Wacht niet tot de deadline, maar gebruik de strategie als leidraad om je beveiligingsniveau structureel te verhogen.

Veelgestelde vragen over de Nederlandse Cybersecurity Strategie

Wat is het verschil tussen de NLCS en NIS2?

De NLCS is het Nederlandse nationale beleidsplan voor cybersecurity. NIS2 is een Europese richtlijn die EU-breed minimumvereisten stelt aan cybersecurity voor essientele en belangrijke entiteiten. De NLCS beschrijft hoe Nederland NIS2 implementeert en aanvult met nationale maatregelen. NIS2 is wetgeving, de NLCS is beleid.

Wie heeft de NLCS opgesteld?

De NLCS is opgesteld door het ministerie van Justitie en Veiligheid, de Nationaal Coordinator Terrorismebestrijding en Veiligheid (NCTV), in samenwerking met alle departementen. Er is brede consultatie geweest met het bedrijfsleven, de wetenschap en maatschappelijke organisaties.

Wanneer wordt de NLCS geevalueerd?

De NLCS loopt tot 2028 en wordt tussentijds geevalueerd. Het bijbehorende actieplan wordt jaarlijks geactualiseerd op basis van voortgang en nieuwe ontwikkelingen in het dreigingslandschap. De voortgang wordt gerapporteerd aan de Tweede Kamer.

Wat betekent de NLCS voor het mkb?

Het mkb wordt gestimuleerd om de basismaatregelen voor cybersecurity op orde te brengen. Het Digital Trust Center biedt ondersteuning met tools, adviezen en de Basisscan Cyberweerbaarheid. Tegelijkertijd komen er meer wettelijke eisen voor mkb-bedrijven die als leverancier van vitale sectoren fungeren.

Wat is de nationale cybersecurity-autoriteit?

De NLCS voorziet in de samenvoeging van het NCSC, het Digital Trust Center en het CSIRT-DSP tot een nationale cybersecurity-autoriteit. Dit moet leiden tot een centraal aanspreekpunt voor alle organisaties in Nederland, ongeacht sector of omvang. De exacte invulling wordt de komende jaren uitgewerkt.

Bereid je organisatie voor op de eisen uit de NLCS en vind een specialist via Consultancy & Advies aanbieders op IBgidsNL.