Als Brexit-cadeau kwam Bart Groothuis (VVD) in februari 2020 naar het Europees Parlement. De VVD-er kreeg één van de drie extra Nederlandse zetels in het Europees Parlement na het uittreden van het Verenigd Koninkrijk. En Groothuis kwam niet met lege handen naar Brussel. “Het is leuk als je iets van je vorige functie kunt meebrengen. Ik voel mij als een vis in het water op het snijvlak van technologie en geopolitiek.’’
Groothuis komt uit de nationale veiligheidshoek en was zeven jaar hoofd cybersecurity bij Defensie. Zijn koffers naar Brussel zaten vol met parate kennis uit de praktijk, waarmee hij de Europese Unie op digitaal gebied veiliger wil maken.
Met ‘bonjour’ en getoeter van auto’s op de achtergrond vertelt Groothuis over zijn nieuwe functie. “Versta je me goed als er weer een auto voorbijrijdt en toetert? Misschien klinkt het bijna alsof ik in Egypte ben!” Maar niets is minder waar, Groothuis wandelt in Straatsburg.
“Ik loop van m’n hotel, net buiten Straatsburg, naar het Parlement. Duurt een uurtje, maar dan heb ik weer wat beweging.”
Netwerk en informatie veiligheid
In Brussel is Groothuis onder andere bezig als rapporteur voor de tweede Network and Information Security-richtlijn, NIS2, een behoorlijk groot pakket voor cybersecuritywetgeving voor heel Europa. Met de NIS2 worden extra cyberbeveiligingsmaatregelen verplicht voor Europese bedrijven en instellingen.
Hoe bevalt die rol?
“Rapporteur zijn is vooral een bestuurlijke rol, dus je moet de verschillende politieke fracties op één lijn krijgen op een document van 40-50 pagina’s vol met wetsartikelen. Dat is soms echt een pittige exercitie.”
Pittig, maar leuk?
“Jazeker. Het leuke van parlementaire werk in Europa is dat je de tijd hebt voor de inhoud.”
Minder camera’s
Vragen als ‘wat betekent dit?’ en ‘waarom vinden we dit?’ zijn belangrijk. “Je kunt collega’s rustig op inhoud uitleggen waarom je ergens voor kiest. Geen verschillen uitvergroten en druk om te scoren voor de camera.”
Het Brusselse wetgevingsproces bevalt Groothuis dan ook goed. “De inhoud staat echt voorop en dat garandeert een goed wetgevingsproces.”
En als een wetgevingsvoorstel van de Europese Commissie er eenmaal is, kun je onderhandelen. Dit doet Groothuis dan nu ook. Een aantal weken geleden kreeg hij snel een mandaat om namens het Europees Parlement te onderhandelen met de lidstaten.
Waarom kozen ze jou?
“Ik denk dat ze daar wel iemand voor zoeken die ook weet van de hoed en de rand over hoe dit zich in de praktijk uitwerkt. Want als je zegt dat je elk cybersecurity incident binnen 24 uur moet melden, wat bijvoorbeeld de Europese Commissie wil, dan zeg ik ‘niet doen!’. Want dat is mij namelijk in mijn vorige baan bij het ministerie van Defensie in Den Haag niet vaak gelukt.”
Bijsturen
Groothuis vertelt dat je in het begin van een cybersecurity incident vaak nog niet precies weet wat de aard en omvang is. “En dan heel snel te weten welke systemen precies gehackt zijn en welke data gecompromitteerd is, dat duurt meestal langer dan vierentwintig uur.”
Waarom stelt de Commissie dat dan voor?
Groothuis noemt dit een goed voorbeeld van dat praktijkervaring loont. “Ik weet niet of de Commissie met hun poten in de klei heeft gestaan. Ik in ieder geval wel. En ik zeg gewoon wat ik ervan vind en maak er politiek van.”
Bijsturen is belangrijk volgens Groothuis. “Omdat je anders een soort van vergiftigde wet krijgt waar de cyber security gemeenschap er niet mee uit de voeten kan.”
En zo heeft Groothuis nog talloze voorbeelden, zoals een watermerk voor deepfake video’s. “Er kan grote maatschappelijke ongerustheid ontstaan. En het minste wat ik wil is dat er een watermerk op de video’s komt. Ja, in het Commissievoorstel van de Digital Services Act (DSA) stond het niet.”
Onderhandelen met de Fransen
In het nieuwe jaar tikt Groothuis de NIS2 wet af met de Fransen, die dit jaar het voorzitterschap op zich nemen. “Gelukkig zijn de Fransen gretig om het te doen. En zij vinden het ook belangrijk dat het snel gebeurt.”
Hoe merk je dat ze gretig zijn?
“Als ik zie wat voor team ze hebben opgetuigd om deze onderhandelingen te doen, dan wordt het inhoudelijk en pittig. Mensen die weten waar ze het over hebben. Ze hebben vast gedacht iets tegenover de praktijkervaring van Groothuis te moeten zetten,” zegt Groothuis lachend.
Overbelast
In ieder geval is Groothuis blij met de Franse gretigheid, want cybersecurity moet veel hoger op de agenda komen. “Onze politie en veiligheidsdiensten worden behoorlijk overbelast door aangiftes en incidenten omtrent cybersecurity. En die kunnen dat niet meer aan. Er is een parallel met corona. De ziekenhuizen zijn ook overbelast, dus nemen we maatregelen. Dat moeten we hier ook doen: betere bescherming zodat er minder incidenten komen en de diensten ontlast worden.”
Het gaat nog even duren voordat de nieuwe wetgeving is geïmplementeerd, maar je kunt er als bedrijf of instelling alvast op vooruitlopen, moedigt Groothuis aan. “Dat afwachtende, daar houd ik niet van. Als je ziet hoe ernstig het is moet je nu alvast handelen.”
Maak het hackers moeilijk
Met al een paar simpele maatregelen kun je het hackers moeilijker maken. “Goed wachtwoordbeheer, maar denk ook aan op tijd updaten, back-ups maken en twee-factor-authenticatie instellen.”
“Denk niet ‘ik ben een koekjesfabriek op een industrieterrein, ze hebben het niet op mij gemunt,’ tegenwoordig gaat het erom of je vitaal bent voor het businessmodel van ransomware groepen, en dat ben je al snel.”
Er klinkt weer bonjour op de achtergrond. Dit keer niet op straat, maar Groothuis loopt het Europees Parlement binnen; mondkapje op en een beslagen bril. De ochtendwandeling in Straatsburg is op z’n eind.
