Deze week trad de Wet gegevensverwerking en meldplicht cybersecurity in werking. Wat is dat voor een wet?

„Deze wet is een eerste grote stap in de opmaat naar de cybersecuritywet. Energiebedrijven en banken, maar ook overheidsinstellingen zoals Rijkswaterstaat, zijn met ingang van volgend jaar verplicht om grote cyberincidenten bij het NCSC te melden. Het bedrijf dat die melding doet, krijgt van ons de garantie dat we daar vertrouwelijk mee omgaan.”

Zijn de eerste meldingen al binnen?

„Wij krijgen doorlopend meldingen. Het Centraal Bureau voor de Statistiek berichtte onlangs nog dat een op de vijf bedrijven ervaring heeft met cybercriminaliteit. Gelukkig nemen bedrijven cybersecurity serieus en hebben we in Nederland de laatste tijd nog geen grote incidenten gehad.”

Nog nooit?

„Alleen in 2011, toen het Nederlandse bedrijf DigiNotar werd gehackt. Dat bedrijf zorgde voor de beveiliging van Nederlandse overheidswebsites. Daardoor kon verkeer naar die webpagina’s worden onderschept. Bijna alle computers van de overheid vielen uit. De hack werd opgeëist door een 21-jarige Iraniër die handelde uit sympathie voor zijn land.”

Wat doet het NCSC als het ziet dat een bedrijf of overheidsinstantie in Nederland digitaal onder vuur ligt?

„Daarvoor liggen plannen klaar. We maken in zo’n geval eerst een analyse van wat er gebeurt. We informeren andere bedrijven. Als het om een groot cyberincident gaat, kunnen we ook daadwerkelijk hulp op locatie verlenen of hulp inschakelen van publieke en private partners via het Nationaal Respons Netwerk.”

In Oekraïne werd eind 2015 het energienetwerk gehackt. Miljoenen mensen zaten zonder stroom. Hoe realistisch is zo’n scenario in Nederland?

„Je kunt een hack nooit honderd procent uitsluiten. We hebben wel een stevige basis op het gebied van cybersecurity. Zo is de hack in Oekraïne ook onderzocht door een Nederlands cybersecuritybedrijf. De kennis die zij opdeden, deelden ze met onze energiesector. Een belangrijke taak van het NCSC is dat het ervoor zorgt dat bedrijven gegevens niet voor zichzelf houden, maar met elkaar delen.”

U bent ook vervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Krijgen we in de toekomst te maken met digitaal terrorisme?

„Niet direct. Tot nu toe zien we dat de grootste dreiging komt van cybercriminelen en statelijke actoren. Criminelen gebruiken bijvoorbeeld ransomware, gijzelsoftware om geld te verdienen. Of ze sturen, zogenaamd vanaf het e-mailaccount van de baas van een groot bedrijf, een mail naar de financieel directeur met de opdracht om snel een grote som geld over te maken naar een bepaald rekeningnummer. Statelijke actoren zoals Iran, Rusland en China, zijn weer vaker gericht op sabotage en spionage.”

Maar hoe waarschijnlijk is het dat een terrorist drinkwater vergiftigt, een kerncentrale hackt of de stroomvoorziening platlegt?

„We houden met alle scenario’s rekening. En kijken in hoeverre bepaalde groepen in staat zijn zo’n aanslag te plegen. De kans op een digitale terroristische aanslag is op dit moment minder groot. Wel gaan we ervan uit dat het in de toekomst een dreiging wordt waar we rekening mee moeten houden.”

De digitale weerbaarheid blijft achter bij de dreiging, stelde u eerder. Verliest Nederland de digitale strijd?

„Nederland heeft de samenwerking met Europa nodig. In dat verband kunnen we bijvoorbeeld zorgen voor veilige en gecertificeerde hard- en software. Zo komt de basisveiligheid op orde.

Binnen Nederland moeten we hier wel aan blijven trekken. Digitalisering wordt steeds meer onderdeel van ieders leven. Dus criminaliteit wordt steeds vaker digitaal. Nu al zijn er meer cyberhacks dan dat er fietsen worden gestolen.”

Wat verwacht u van een nieuw kabinet?

„Mijn streven is dat we meer in de pas gaan lopen met de dreiging. Dat betekent dat er investeringen nodig zijn. In de politie. In kennis en onderwijs. En in Europese samenwerking.”

Kunnen burgers een steentje bijdragen aan een cyberveiliger Nederland?

„Jazeker. Ik geef drie tips. Zorg ten eerste voor goede wachtwoorden en gebruik niet overal dezelfde. Hou daarnaast je sofware up-to-date, dan ben je tegen de meeste gevaren beschermd. Wees ten slotte voorzichtig met openbare WiFi. Informatie die je daarover verstuurt, is niet veilig.

Lees meer over dit onderwerp in ons thema Digitale media.