Cyberveiligheid – maar dan alleen de internationale dimensie. Dat klinkt mal, zoiets als de eengemaakte Europese markt, maar alleen het deel buiten Nederland. De fractiewoordvoerders Buitenlandse Zaken vonden deze week een indringend adviesrapport in hun voorbereidingsmapje voor een debat met de minister over internationale cyberveiligheid – en een halve brief (want alleen het internationale deel daarvan). Kamerleden die gaan over Digitale Zaken kregen van die briefwisseling alleen een cc. Hoe komt ‘Nederland’ zo tot een strategische cyberaanpak?
Elke dag zijn er in Nederland digitale aanvallen in allerlei vormen: gerichte inzet van nepnieuws, gijzelsoftware, spionage via computers door trollen en wormen. Dat baart de nodige zorgen voor ons aller nationale veiligheid, zegt ook de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Hoe help je bedrijven en burgers zich daartegen te wapenen als overheid en hoe kan je digitale aanvallen als land voorkomen? Dat gebeurt door veel ambtelijke acties en overleggen, die samen bekend staan onder de noemer ‘cyberveiligheidsbeleid’.
Veel spelers
Veel organisaties zijn in Nederland bezig met de organisatie van onze cyberveiligheid. Onderzoekers van de onafhankelijke evaluatiedirectie van het Ministerie van Buitenlandse zaken (IOB) beschreven in een helder rapport wie dat precies zijn.
Wat meteen opvalt is dat nationaal en internationaal beleid door elkaar heen lopen. Dat ligt voor de hand, want veel cyberdreigingen komen vanuit het buitenland ons land binnen en Nederland zet onze expertise ook internationaal in. Zo werkt het ministerie van Defensie aan onze offensieve en verdedigende cybercapaciteit, nationaal en binnen de NAVO; het ministerie van Buitenlandse Zaken aan diplomatieke inzet en coördinatie van de aanpak van cyberaanvallen; het ministerie van Justitie & Veiligheid aan de aanpak van cybercriminaliteit, onder meer via het Europese agentschap ENISA; het ministerie van Economische zaken en Klimaat voor ons bedrijfsleven en aan de promotie van de grote Nederlandse expertise op dit gebied in het buitenland, de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en de inlichtingen-, en veiligheidsdiensten aan het voorkomen van digitale spionage en tot slot is er het ministerie van Binnenlandse Zaken en Koninkrijksrelaties om desinformatie tegen te gaan en een open overheid te promoten; waarover zij mede onderhandelen met de andere EU-lidstaten
Verkokering
Het is dus vooral belangrijk dat al die overheidsdienaren niet langs elkaar heen werken en op de hoogte zijn van wat er in andere Haagse en internationale gebouwen gebeurt. Zo moet, staat in het rapport met de duidelijke titel ‘Verbeter de verbinding’, dubbel werk worden voorkomen en gezorgd worden dat cyberbeleid coherent is. Omdat in Nederland alle ministeries zelfstandig zijn, is die opgave geen sinecure. Denk aan de encryptie van WhatsApp berichten: dat verhindert open communicatie maar is belangrijk als het gaat om privacy en de opsporing van strafbare feiten. De ene dienst zegt dit, het deelbelang van een ander ministerie is anders – is er draagvlak voor een besluit?
Strategie – dat kan de overheid leren van het bedrijfsleven – is iets anders dan het knippen en plakken van stukjes tekst over de deelbelangen van organisatiedelen. Het is meer dan het beroemde citaat van toenmalig fractievoorzitter Alexander Pechtold (D66) in een Kamerdebat waarin een bewindspersoon meende dat een stapel urgente adviesrapporten aan de overheid ‘in samenhang moest worden bezien’: ‘Zal ik er een nietje doorheen slaan? ‘ Strategie doet van au: een strateeg beslecht botsende belangen en capaciteits-, en organisatievragen. Dat ontdekte Minister van Buitenlandse Zaken Hoekstra toen de Kamer hem recent genadeloos grilde over een andere zaak: het gebrek aan actie bij het afdwingen van het Europese sanctiepakket tegen Rusland. Hoon van Kamerleden en columnisten was zijn deel. Maar iedereen die de Haagse silo’s kent, snapte ook wat de minister van Buitenlandse Zaken parten speelt in zijn coördinerende rol: de grote verkokering, die mede komt door onze formele afspraken dat elke minister voor zijn eigen beleidsterrein verantwoordelijk is.
#hoedan
Vooral de complimenten over onze diplomatieke toppositie in het buitenland vielen goed bij de minister van Buitenlandse Zaken, valt te lezen in deze reactie op het IOB-rapport. Maar de eerste aanbeveling van de onderzoekers was procesgericht, namelijk om na te gaan op welke manier departement-overstijgende aansturing van cybersecurityzaken het beste kan worden vormgegeven en daar werk van te maken. Op die suggestie werd in de ‘beleidsreactie’ niet gereageerd.
Het rapport ‘Verbeter de verbinding’ werd in de Tweede Kamer geagendeerd voor een procedurevergadering van de commissie Buitenlandse Zaken op 11 oktober. In zo’n tweewekelijks overleg besluiten de fracties over de behandeling van stukken. Juist vanwege het overkoepelende karakter werd de Kamerleden in dit geval ambtelijk gesuggereerd om de coördinerende commissie Digitale Zaken dit debat met de regering te laten voeren. Dat zijn Kamerleden die in een nieuwe commissie ‘DiZa’ bij voorkeur alle stukjes en beetjes ‘digitaal’ in het overheidsbeleid verzamelen voor hun parlementaire controle. Een discussie over hoe je tot een integrale afweging komt is koren op hun molen. Maar in de besluitenlijst van het overleg van de woordvoerders Buitenlandse Zaken (een ‘procedurevergadering’) is te lezen dat dit verzoek aan de fracties tevergeefs was.
Nietmachine
Het debat met de minister van Buitenlandse Zaken vond plaats op woensdag 13 april. Er stond nog een cyberstuk geagendeerd van minister van Justitie & Veiligheid Yesilgöz. Daarvan werd maar de helft geagendeerd – alleen het internationale deel. De Kamercommissie Buitenlandse Zaken, vandaar. De woordvoerders van Digitale Zaken kregen van alle stukken alleen een kopie.
In het debat werden ook weinig woorden vuilgemaakt aan het advies over de vraag naar het #hoedan. Wel werd door de minister toegezegd dat na de zomer een geïntegreerde cyberveiligheidsstrategie gepresenteerd zal worden en dat daarover een debat wordt georganiseerd. Daarbij moet dus worden opgelet dat het adviesrapport tegen die tijd zal zijn afgedaan en opgeborgen in de annalen van het parlement. Het zou jammer zijn als het geluid van de Haagse nietmachine de noodzakelijke inhoudelijke én procesmatige keuzes in onze nationale cyberstrategie overstemt.
