Werkprogramma De toekomst is dichterbij dan je denkt. Werkplan

Transcriptie

1 Werkprogramma 2016 De toekomst is dichterbij dan je denkt Werkplan

2 Werkprogramma 2016 De toekomst is dichterbij dan je denkt

3 Voorwoord We staan midden in het digitale tijdperk. De technische ontwikkelingen gaan razendsnel en nieuwe technologieën zijn een belangrijke drijfveer voor innovatie en economische groei. Onze apparaten, auto s, huizen, steden en industrie worden steeds slimmer. De eerste zelfrijdende auto s rijden al rond, de aan het internet verbonden koelkasten staan al in de keuken en we kunnen onze verwarming thuis via onze smartphone regelen. Het internet of things is echter niet alleen een zaak tussen producent en consument, maar ook tussen bedrijven en organisaties onderling. Connectiviteit gaat een steeds grotere rol spelen en de technologische ontwikkelingen zullen effect hebben op werkgelegenheid, gezondheidszorg, mobiliteit en welvaart. De toekomst is dichterbij dan we denken. Nederland moet future proof zijn en blijven en de economische kansen die zich voordoen volop benutten. De CSR anticipeert op de digitale toekomst door een visie te ontwikkelen op prioritaire cybersecurity-thema s. Welke technologische ontwikkelingen staan ons te wachten op de middellange- en lange termijn? Wat betekenen deze ontwikkelingen voor de huidige aanpak op het gebied van cybersecurity en cybercrime? Cruciaal daarbij is het vermogen om technologische ontwikkelingen te (h)erkennen en te prioriteren op relevantie en vervolgens te vertalen naar een reëel en gefundeerd handelingsperspectief in het hier en nu. Door de unieke samenstelling van de Raad (privaat-publiek-wetenschap) is het mogelijk prioriteiten, knelpunten, incidenten en kansen vanuit diverse invalshoeken te benaderen. thema s voor het Nederlandse voorzitterschap. Binnen de EU heeft het onderwerp cybersecurity de afgelopen jaren een steeds prominentere plaats gekregen. De Europese cybersecuritystrategie is in 2013 gelanceerd en de onder handelingen over de NIB-richtlijn (Netwerk- en Informatie beveiliging) bevinden zich in de afrondende fase. De Raad zal zich tijdens het Nederlandse EU-voorzitterschap inzetten om een aantal belangrijke onderwerpen onder de aandacht te brengen. Daarbij wordt samengewerkt met vergelijkbare Raden binnen Europa. Het implementatieplan van de huidige Nationale Cyber Security Strategie zal in 2016 door het Ministerie van Veiligheid en Justitie worden afgerond. Daarmee is een mijlpaal bereikt op het gebied van publiek-private samenwerking binnen het cyberdomein. De Raad zal betrokken zijn bij de doorontwikkeling van de Nederlandse cybersecurityaanpak. Het streven van de CSR is dat cybersecurity als vanzelfsprekend is ingebed in organisaties en in onze maatschappij. Namens de Cyber Security Raad De Voorzitters Dick Schoof Eelco Blok Gebleken is dat awareness nog steeds een belangrijk wapen is in de strijd tegen cybercriminaliteit. Ook dit jaar zullen de raadsleden boardroomgesprekken voeren bij diverse bedrijven binnen de vitale infrastructuur. Ook zal de Raad zich het komende jaar inzetten om de top van bedrijven inzicht te geven in het invullen van de geldende regels met betrekking tot zorgplichten. Nederland is de eerste helft van 2016 voorzitter van de Europese Unie. Cybersecurity en cybercrime zijn aangemerkt als prioritaire

4 Samenstelling en werkwijze De Cyber Security Raad is een nationaal en onafhankelijk adviesorgaan van het Kabinet en bestaat uit vertegenwoordigers van publieke en private organisaties en wetenschap. De CSR zet zich op strategisch niveau in om de cybersecurity in Nederland te verhogen. Door de unieke samenstelling van de Raad (publiek-privaat-wetenschap) is het mogelijk prioriteiten, knelpunten en incidenten vanuit diverse invalshoeken te benaderen en een integrale visie op kansen en bedreigingen te ontwikkelen. De CSR streeft naar adviezen die theoretisch onderbouwd en praktisch uitvoerbaar zijn. Taken en missie De Raad heeft de volgende taken: het gevraagd en ongevraagd verstrekken van advies aan de regering en private partijen inzake relevante ontwikkelingen op het gebied van cybersecurity. De Raad adviseert het Kabinet over de uitvoering en uitwerking van de Nationale Cyber Security Strategie; het voorstellen van prioritaire thema s op het terrein van cybersecurity, onder meer ten behoeve van de afstemming tussen onderzoeksprogramma s van de overheid en waar mogelijk tussen die van wetenschappelijke onderzoeks centra en het bedrijfsleven. Bijdragen aan de Nationale Cyber Security Research Agenda; het bijdragen aan de borging van publiek-private samenwerking; het adviseren aan de crisisorganisatie in Nederland tijdens grootschalige incidenten. 6 Cyber Security Raad Werkplan

5 Samenstelling De samenstelling van de CSR is gericht op een zo breed mogelijke dekking van invalshoeken op het terrein van cybersecurity. De Raad heeft een evenwichtige samenstelling vanuit wetenschappelijke, private en publieke sectoren. De CSR bestaat uit de volgende leden: Private sector Dhr. drs. E. Blok (co-voorzitter) Voorzitter Raad van Bestuur en CEO van KPN, lid van CSR namens VNO-NCW Dhr. B. Hogendoorn CEO Hewlett Packerd Nederland, lid van CSR namens Nederland-ICT Dhr. M. Krom CIO PostNL, lid van CSR namens CIO Platform Mw. T. Netelenbos Voorzitter ECP Dhr. J. Nijhuis CEO Schiphol Group, lid van CSR namens sector Vervoer Dhr. Ir. B.G.M. Voorhorst COO TenneT, lid van CSR namens de Vitale Infrastructuur Publieke sector Dhr. drs. H.W.M. Schoof (co-voorzitter) Nationaal Coördinator Terrorismebestrijding en Veiligheid Dhr. Mr. R.A.C. Bertholee Directeur-Generaal Algemene Inlichtingen- en Veiligheidsdienst (AIVD) Dhr. Mr. G.W. Van der Burg lid van het College van procureurs-generaal, lid van CSR namens Openbaar Ministerie Dhr. drs. M.E.P. Dierikx directeur-generaal Energie, Telecom en Mededinging bij het ministerie van Economische Zaken, lid van CSR namens Ministerie van Economische Zaken, waargenomen door dhr. drs. J.C. de Groot directeur Telecommarkt Dhr. drs. H.B. Eenhoorn Nationaal Commissaris Digitale Overheid Mw. J.A. van de Berg korpsleiding Nationale Politie, waargenomen door dhr. D.G.T.M. Heerschop - CIO Nationale Politie Dhr. Dr. S.J.G. Reyn Directeur Strategie, Beleidsontwikkeling en Innovatie bij het Ministerie van Defensie, lid van CSR namens Ministerie van Defensie Wetenschappelijke sector Mw. Dr. B. Van den Berg Universitair Hoofddocent elaw@leiden Dhr. Prof. Dr. M.J.G. Van Eeten Hoogleraar Technische Bestuurskunde TU Delft Dhr. Prof. Dr. B.P.F. Jacobs Hoogleraar Computerbeveiliging Radboud Universiteit Nijmegen Mw. Prof. mr. E.M.L. Moerel Senior Of Counsel Morrison & Foerster LLP, Hoogleraar Universiteit Tilburg Het Bureau en de secretaris De secretaris van de Cyber Security Raad is mevrouw drs. E.C. van den Heuvel. Het Bureau is verantwoordelijk voor de ondersteuning van de voorzitters. De secretaris draagt mede zorg voor het bereiken van de door de Raad geformuleerde resultaten. Waar nodig zorgt zij voor een goede afstemming met andere organisaties. Het Bureau is verantwoordelijk voor het organiseren van activi teiten van de Raad. Het Bureau ontwikkelt en beheert de benodigde communicatiemiddelen. Werkwijze De CSR kiest dit jaar voor een nieuwe aanpak. Leden van de Raad nemen deel aan subcommissies die aansluiten bij te adresseren vraagstukken. Subcommissies Aan de subcommissievergaderingen nemen een van de voorzitters en een aantal afgevaardigde leden deel. De samenstelling van deze leden is altijd publiekprivaat-wetenschap. Een van de raadsleden is portefeuillehouder. De subcommissie formeert indien nodig een werkgroep met materie deskundigen, waarbinnen onderwerpen verder inhoudelijk worden uitgediept en uitgewerkt. Ook kan de subcommissie onderzoek uitzetten en daarvoor een begeleidingscommissie inrichten. Het organiseren van dialoog- en reflectie sessies behoort ook tot de mogelijkheden. Het verantwoordelijke raadslid en de secretaris zorgen gezamenlijk voor het gewenste resultaat. Maatwerk advisering De Raad streeft naar een manier van adviseren die past bij de thematiek. Zo geeft de Raad enerzijds strategische adviezen, maar anderzijds ook praktische handreikingen om de awareness op boardroomniveau te verhogen. Al naar gelang het onderwerp worden hiertoe relevante communicatiemiddelen (online) ingezet. Verhogen awareness De leden van de CSR zullen gemiddeld ieder twee boardroomgesprekken per jaar voeren. Organisaties in de vitale infrastructuur worden op basis van vrijwilligheid door de leden bezocht. Het doel is de awareness voor cybersecurity op strategisch niveau te verhogen. 8 Cyber Security Raad Werkplan

6 Voor de CSR relevante ontwikkelingen op het gebied van cyber security in 2016 In 2016 speelt een aantal zaken op het gebied van cybersecurity en cybercrime die voor de CSR relevant zijn. EU voorzitterschap De eerste helft van 2016 is Nederland voorzitter van de Raad van de Europese unie. Nederland heeft cybersecurity en cybercrime als prioritaire thema s vastgesteld. De CSR heeft er voor gekozen om een actieve rol te vervullen tijdens het voorzitterschap. Hierbij zal de samenwerking met de Europese Commissie en vergelijkbare Europese Cyber Security Raden worden gezocht. Actieplan Nationale Cyber Security Strategie II nadert voltooiing De acties uit het actieplan van de Nationale Cyber Security Strategie II komen in 2016 tot een afronding. De CSR zal voor het einde van 2016 in samenwerking met het Directeurenoverleg en de Directie Cyber Security van het ministerie van Veiligheid en Justitie de balans opmaken van de implementatie van de strategie. De CSR zal zich vervolgens richten op het formuleren van bouwstenen voor de doorontwikkeling van de Nederlandse cybersecurityaanpak. Deze bouwstenen zullen worden gebaseerd op de toekomstgerichte en strategische inzichten van de Raad. NIB-richtlijn Doel van de NIB-richtlijn is het waarborgen van een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging binnen de EU. Dit niveau verschilt per lidstaat. De richtlijn ziet er onder meer op toe dat de lidstaten over een nationale CERT en een Nationale Cyber Security Strategie beschikken. Door de richtlijn worden lidstaten verplicht hun paraatheid te verbeteren, beter met elkaar samen te werken bij grens overstijgende incidenten en hun aanbieders van vitale diensten (zoals vermeld in de NIB-richtlijn) te verplichten adequate maatregelen te treffen om beveiligingsrisico s te beheren en ernstige incidenten te melden. Op 7 november is politiek akkoord bereikt over de NIB-Richtlijn tijdens de triloog tussen het Voorzitterschap, het Europees Parlement en de Commissie. Tijdens de Telecomraad van 11 december is de richtlijn als hamerstuk aangenomen. De verwachting is dat de richtlijn in maart/april 2016 inwerking zal treden. 10 Cyber Security Raad Werkplan

7 Hoofdthema s en subcommissies De Cyber Security Raad zal in 2016 voortbouwen op de thema s uit het afgelopen jaar: het tijdig en effectief inspelen op nieuwe technologische ontwikkelingen; de rollen en verantwoordelijkheden in het cyberdomein. Beide thema s zijn toekomstgericht, hebben een maatschappelijke en economische relevantie en hangen nauw met elkaar samen. Thema 1 Het tijdig en effectief inspelen op nieuwe technologische ontwikkelingen De Raad zal zich de komende periode richten op the Internet of Things (IoT). De opkomst van IoT raakt alle sectoren van de economie en heeft effect op de hele samenleving. Het is niet alleen consumententechnologie; het gaat ook over de basisarchitectuur van het internet die nieuwe toepassingen mogelijk maakt in bijvoorbeeld industrie, zorg, handel, onderwijs, enzovoorts. De opkomende werkelijkheid van IoT betekent een nieuwe stap in de informatiesamenleving én in cybersecurity. Het is duidelijk dat IoT naast allerlei kansen ook bedreigingen met zich meebrengt. Cybersecurity speelt daarom een belangrijke rol bij het ontwikkelen en implementeren van nieuwe IoT-toepassingen. Thema 2 De rollen en verantwoordelijkheden in het cyber domein Cybersecurity is een maatschappelijk vraagstuk dat niet alleen het probleem is van de overheid en leveranciers van internetdiensten. Ook ontwikkelaars, fabrikanten en gebruikers hebben bijvoorbeeld bepaalde verantwoordelijk heden. De invulling van zorgplichten zal dit jaar centraal staan. Subcommissies De CSR heeft een aantal subcommissies benoemd die zich richten op meer specifieke onderwerpen. In de subcommissies hebben raadsleden zitting en zij kennen een publiek-private-wetenschappelijke samenstelling. De ondersteunende beleidsmedewerkers van de betreffende leden worden betrokken bij het opstellen van adviezen, handreikingen en producten, zodat zij voor zover nodig hun achterban in het proces kunnen betrekken. De subcommissies diepen de onderwerpen uit, al dan niet ondersteunt door een werkgroep en/of een wetenschappelijk onderzoek. In 2016 zullen vooralsnog vier subcommissies actief zijn. 12 Cyber Security Raad Werkplan

8 Subcommissie Internet of Things Subcommissie Zorgplichten Subcommissie Onderwijs Subcommissie informatie-uitwisseling cybersecurity en cybercrime Subcommissie EU-voorzitterschap Resultaten De subcommissie zal: een onderzoek laten doen naar de belangrijkste vraagstukken met betrekking tot IoT; een advies opstellen om IoT op verantwoorde wijze te laten landen in onze samenleving. Resultaten De subcommissie zal: een handreiking opstellen voor bedrijven om de invulling van zorgplichten transparanter te maken; een CSR-advies opstellen om een betere invulling van zorgplichten te stimuleren; een aanzet geven tot harmonisering van de invulling van zorgplichten binnen de Europese Unie. Een uniforme invulling van zorgplichten is noodzakelijk om een safe place to do business te zijn en te blijven. Resultaten De subcommissie zal: de voortgang stimuleren van het advies Cybersecurity in het onderwijs en bedrijfsleven ; een Summer School initiëren. Resultaten De subcommissie zal: een bijdrage leveren aan het creëren van een veilige setting om informatie tussen overheid en bedrijfsleven uit te wisselen; nagaan of de informatieverstrekking door het NCSC kan worden verbreed; een bijdrage leveren aan de invulling van het Landelijk Servicepunt E-crime. Resultaten De subcommissie zal: samenwerking zoeken met andere Cyber Security Raden in Europa en lidstaten stimuleren een dergelijke Raad op te richten als die er nog niet is; een bijeenkomst organiseren aan de vooravond van hoogambtelijkebijeenkomst met invloedrijke personen, waarin relevante onderwerpen zoals zorgplichten, internet of things en publiek-private samenwerking aan de orde komen; in januari 2016 het tweede nummer van het CSR Magazine uitgeven, met als thema Cybersecurity in de EU. Subcommissie Internet of Things The Internet of Things is de opkomende ontwikkeling van devices (objecten) die met elkaar in verbinding staan. De architectuur hiervan, telematica, bestaat uit een combinatie van informatica en informatie- en communicatietechnologieën. Met sensoren krijgen devices de mogelijkheid om met elkaar te communiceren en informatie te verzamelen over hun toestand en hun omgeving. Met draadloze connectiviteit en via het internet wisselen de devices informatie uit. Dit heeft tot gevolg dat informatietechnologie steeds meer wordt verweven met de fysieke omgeving. De subcommissie IoT zal zich buigen over de belangrijkste aspecten van deze ontwikkeling. Gekeken wordt naar zowel de kansen als de bedreigingen. Aspecten als bewustwording, transparantie, standaarden, aansprakelijkheid, monitoring intermediaire verantwoordelijkheid, verticale integratie (het ontstaan van platformen bij fabrikanten waardoor mensen bijvoorbeeld bij één fabrikant alle apparatuur voor de keuken willen of zelfs moeten kopen) en problematiek omtrent het updaten van devices zullen aan de orde komen. Een maatschappelijk debat behoort daarbij tot de mogelijkheden. Subcommissie Zorgplichten In 2015 heeft de CSR opdracht gegeven voor een vergelijkend juridisch onderzoek naar de reikwijdte van zorgplichten bij de aanpak van cybercrime. Een goede invulling van de zorgplichten levert een belangrijke bijdrage aan de cybersecurity en het voorkomen van cybercrime. Met betrekking tot zorgplichten wordt er naast de reeds bestaande wetgeving (bijv. onrechtmatige daad) ook nieuwe wet- en regelgeving vanuit de Europese Unie voorzien. Echter, de kennis met betrekking tot deze (nieuwe) wet- en regelgeving en de daarbij behorende handelingsperspectieven zijn bij een groot aantal bedrijven onvoldoende aanwezig. De Raad wil een rol spelen bij het beter hanteren van de zorgplichten door de kennis en de awareness te verhogen. Ook de rol die toezichthouders daarin spelen moet voor eenieder transparant zijn. Subcommissie Onderwijs Deze subcommissie heeft als doel de voortgang van de implementatie van het advies Cybersecurity in het onderwijs en bedrijfsleven te volgen. Op gezette tijden zullen gesprekken met betrokken partijen worden gevoerd over de voortgang van het advies. In de zomer van 2016 zal de CSR samen met partners een Summer School organiseren ter ondersteuning van het advies Cybersecurity in het onderwijs en bedrijfsleven. De Raad zal in nauwe samenwerking met een aantal universiteiten, het Research and Education Platform, TNO, HSD en vergelijkbare partijen een programma opstellen dat studenten enthousiasmeert te kiezen voor een (deel)opleiding cybersecurity. Hiermee ondersteunt de Raad het boven genoemde advies. 14 Cyber Security Raad Werkplan

9 Subcommissie informatie-uitwisseling cybersecurity en cybercrime Deze subcommissie zal zich inzetten om het delen van relevante informatie met betrekking tot cybersecurity en cybercrime tussen publieke en private partijen en tussen deze partijen onderling te optimaliseren. De commissie zal onder meer nagaan welke (juridische) obstakels weggenomen dienen te worden om informatie-uitwisseling en het delen van handelings perspectieven te bevorderen. Ook zal er vertrouwen moeten ontstaan tussen de betreffende partijen, zodat alle benodigde informatie met alle partijen kan worden gedeeld. De commissie zal nagaan of de informatieverstrekking van het NCSC moet worden verbreed, zodat ook partijen buiten de vitale infrastructuur van informatie kunnen worden voorzien. Verder zal de commissie meedenken over de invulling van het Landelijk Servicecentrum E-Crime, waar burgers en bedrijven/organisaties melding en aangifte van cybercrime kunnen doen. De subcommissie zal waar mogelijk een inhoudelijke bijdrage leveren aan deze bijeenkomsten, gerelateerd aan de onderwerpen, positie, taak en samenstelling van de Raad. Op 11 mei aan de vooravond van de hoogambtelijke bijeenkomst in Amsterdam zal een bespreking worden georganiseerd met een aantal invloedrijke publieke en private organisaties en personen uit de Europese Unie. Subcommissie EU-voorzitterschap De Raad zal een subcommissie samentellen die zich buigt over het EU-voorzitterschap. Cybersecurity is een complex vraagstuk dat een Europese en mondiale aanpak vereist. Door samenwerking met vergelijkbare Raden binnen Europa, wil de CSR de samenwerking op strategisch niveau versterken. Op basis van deze samenwerking kunnen bijvoorbeeld gezamenlijke prioriteiten worden gesteld en uitgewerkt. Cybersecurity en cybercrime zijn aangemerkt als prioritaire thema s voor het Nederlandse voorzitterschap. De Raad zal op deze thema s anticiperen en zich inzetten om het Nederlandse voorzitterschap bij deze onderwerpen te ondersteunen. Daartoe is het volgende programma opgesteld. Overleggen High level events Informele JBZ-Raad 25 en 26 januari 2016 Amsterdam ONE 5 en 6 april 2016 Den Haag Bijeenkomst voorafgaand aan de Conference Hoogambtelijke bijeenkomst Cyber Security op 12 en 13 mei 2016 (NCTV/DCS) 11 mei Amsterdam 16 Cyber Security Raad Werkplan

10

11 januari 2016