Nederland machteloos bij cybercrisis

De Nederlandse overheid is machteloos bij ernstige cyberincidenten zoals DigiNotar. Minister Opstelten wil nog voor de zomer "nieuwe aanvullende bevoegdheden" om sneller en harder te kunnen ingrijpen.

Minister Ivo Opstelten van Veiligheid en Justitie schrijft dat in een brief aan de Tweede Kamer. Het ontbreekt de overheid op dit moment aan "een juridisch kader" om direct te kunnen ingrijpen bij zware cyberincidenten. Er moeten "nieuwe aanvullende bevoegdheden" komen waarmee de overheid "snel, kundig en niet vrijblijvend" kan optreden.

Geen tijd om te overleggen
Op dit moment is dat namelijk niet mogelijk. Als de nationale veiligheid in het geding is, kan de MinisteriŽle Commissie Crisisbeheersing bijeen worden geroepen. Dat is dus ook het geval bij grote ict-incidenten bij infrastructurele werken of in de energievoorziening. "Maar in het geval van cybercrisis kan het zo zijn dat er geen tijd is om dit overleg af te wachten", schrijft de minister.

In zo'n geval zou het wenselijk zijn verantwoordelijkheden van ministers over te dragen aan de minister van Veiligheid en Justitie, schrijft de minister van Veiligheid en Justitie zelf. Zo'n overdracht is nu alleen maar mogelijk bij een terroristische dreiging.

Met DigiNotar ging het mis
Bij de crisis rond DigiNotar heeft het lang geduurd voordat de overheid de ernst van de zaak in kaart had gebracht. In eerste instantie werd zelfs ontkend dat het certificatenprogramma PKI Overheid in gevaar was gekomen. Die onterechte geruststelling is ook gegeven aan browsermaker Mozilla, die een geplande DigiNotar-ban toen in eerste instantie wat heeft afgezwakt.

Later moest minister Donner van Binnenlandse Zaken op een persconferentie midden in de nacht toegeven dat er een crisissituatie was ontstaan. Hij kon dat pas zeggen nadat de directie van DigiNotar na zware druk 'vrijwillig' de leiding van het bedrijf had overgedragen aan de minister. Dat wil Opstelten voortaan sneller en dwingender regelen.

Meldplicht mist wettelijke basis
Naast het wegnemen van obstakels voor overheidsingrijpen bij cybercrisis, wil Opstelten wettelijke ruimte creŽren voor een andere ict-kwestie. Dit betreft de aangenomen motie van Jeanine Hennis, Tweede Kamerlid van de VVD, over een wettelijke meldplicht voor bedrijven die te maken hebben met cyberincidenten. Die motie is niet zomaar uitvoerbaar, schrijft Opstelten in zijn brief aan de Tweede Kamer.

Ook daar ontbreekt een wettelijke basis. Of, zoals de minister schrijft, dat er "Binnen de huidige juridische kaders niet direct een wet voor handen is waarin de uitwerking van de wettelijke meldplicht kan worden opgenomen."

Twee vliegen
Daarom wil de minister het onderzoek naar die aanvullende bevoegdheden combineren met de wettelijke meldplicht om zo tot de juiste juridische kaders te komen. Dat onderzoek moet voor de zomer zijn afgerond en dan worden ook de resultaten naar de Tweede Kamer gestuurd.