NLdigital: softwareleveranciers verantwoordelijk voor schade heilloze weg

Bedrijven

Softwareleveranciers zelf verantwoordelijk maken voor eventuele schade is een heilloze weg. Maar aan de andere kant laat laat de nieuwe cybersecuritystrategie van het kabinet een brede blik zien met een enorm vergrote nieuwe inzet op cybersecurity.

Dat zegt branchevereniging NLdigital in een analyse van de nieuwe cybersecuritystrategie voor de komende zes jaar die het Kabinet eerder deze week bekendmaakte. NLdigital heeft een zetel in de Cyber Security Raad en dacht mee over de nieuwe strategie.

Volgens de organisatie laat het nieuwe stuk een brede blik zien met een enorm vergrote nieuwe inzet op cybersecurity. Dit komt voort uit het regeerakkoord en de EU. In het regeerakkoord heeft het kabinet veel geld vrijgemaakt voor cybersecurity. Het budget zal tijdens de looptijd van deze strategie vervijfvoudigen. Van 22 miljoen in 2022 naar 111 miljoen per jaar in 2027 en daarna.

Dit bedrag is noodzakelijk voor de uitvoering en implementatie van grote nieuwe wetgeving vanuit de EU. Door deze wetten vallen veel meer leveranciers van hard- en software onder zwaardere regelgeving. En er zullen nieuwe cybersecurityeisen voor individuele digitale producten worden opgelegd. De impact van deze wetgeving is volgens NLdigital groot  en in potentie vergelijkbaar met de AVG/GDPR. Wel komt er binnenkort een extra webinar voor het mkb over de tijdlijn en impact.

Eén cybersecurityorganisatie

De samenvoeging van Digital Trust Center (DTC), het Cyber Security Incident Response Team voor Digital Service Providers (CSIRT-DSP) en het Nationaal Cyber Security Centrum (NCSC) is één van de belangrijkste keuzes die in aanloop naar deze strategie. In potentie zou dit inefficiënties en onhandigheden uit de huidige situatie kunnen laten verdwijnen.

Het lijkt ook een goede aanpak om met de schaalvergroting van verantwoordelijkheden om te gaan maar de brancheorganisatie maakt zich ook zorgen, want dan moet deze fusie wel een echte fusie zijn, waarbij de kwaliteiten van de verschillende organisaties behouden blijft. Tegelijk moet de nieuwe organisatie het liefst zo onafhankelijk mogelijk zijn om te zorgen dat de belangen van cybersecurity altijd voor andere belangen vanuit een individueel ministerie moeten gaan.

Het arbeidsmarkttekort ziet NLdigital als grote uitdaging in de uitvoering van de plannen. In haar voorwoord benoemt minister Yeşilgöz-Zegerius terecht de behoefte aan meer cybersecurityspecialisten. De overheid zelf heeft veel meer specialisten nodig, maar ook de leveranciers die aan nieuwe hogere eisen moeten voldoen zullen meer medewerkers nodig hebben. Het grote tekort op de arbeidsmarkt zorgt dus voor grote uitdagingen bij de uitvoering. I

Zorgplicht en aansprakelijkheid

Uitbreiding van de zorgplicht van leveranciers is één van de hoofdpunten van deze inzet. Het kabinet geeft zelfs aan hier actief voor te lobbyen in de EU. De vraag hoe dit wordt vormgegeven is volgens de branchevereniging essentieel voor de werkbaarheid en effectiviteit. Het mkb zal onmogelijk kunnen ondernemen in deze markt als leveranciers een onaanvaardbaar risico op zich moeten nemen. Dit zou moeten gaan om duidelijke regels op Europees niveau die werkbaar zijn in de praktijk en behapbaar voor het mkb.

NLdigital ziet ook een risico op vergaande juridisering. Dit leidt vooral tot grotere contracten zonder extra veiligheid te bewerkstelligen in praktijk. Er zijn ook geluiden geweest om softwareleveranciers verantwoordelijk te maken voor schade die volgt uit cyberaanvallen, maar dat lijkt een onbegaanbare weg. Hoe het kabinet dat wil aanpakken is nog niet helemaal helder.

Lees ook:

Gerelateerde berichten...