Meer dan voedsel en water in een noodpakket: digitale paraatheid en cyberveiligheid cruciaal voor Nederlandse veerkracht

Nederland sluit zich aan bij het Europese advies om in geval van een ramp, een cyberaanval of een oorlog genoeg in huis te hebben om het drie dagen te kunnen redden zonder hulp van buitenaf, aldus minister Van Weel van Justitie en Veiligheid. Cyberbeveiligingsbedrijf Check Point Software pleit voor een bredere kijk op paraatheid. Hoewel het aanleggen van een basis noodpakket een verstandige eerste stap is, benadrukt Check Point dat de onzichtbare laag die moderne noodhulp ondersteunt, digitaal is. Van elektriciteit tot hulpdiensten, gezondheidszorg tot voedseldistributie, alles draait digitaal, en die laag is steeds vaker doelwit van cyberaanvallen. “Cyberveiligheid is allang geen puur IT-verhaal meer. Het is een maatschappelijke verantwoordelijkheid geworden”, zegt Zahier Madhar, security engineer expert bij Check Point.

Of het nu gaat om stroomvoorziening, voedselketens, gezondheidszorg of communicatiesystemen—elk onderdeel van moderne noodhulp is afhankelijk van digitale systemen. En die zijn steeds vaker het doelwit van cyberaanvallen. De cyberaanval op het Oekraïense elektriciteitsnet in 2015, waarbij meer dan 230.000 mensen zonder stroom kwamen te zitten, en de verstoring van de Colonial Pipeline in de Verenigde Staten in 2021 door ransomware, die leidde tot paniekaankopen en lege tankstations, tonen aan dat digitale kwetsbaarheden directe impact kunnen hebben op het dagelijks leven.

Nederland is hierop geen uitzondering. Gemeenten, ziekenhuizen, landbouwbedrijven en mkb digitaliseren volop, maar hebben zelden de budgetten of expertise om zich afdoende te beschermen.

De afgelopen zes maanden werden Nederlandse organisaties wekelijks gemiddeld 1.038 keer aangevallen. In die periode waren de gezondheidszorg (gemiddeld 3.164 aanvallen per week), de consultancysector (gemiddeld 1.382 aanvallen per week) en de retail/wholesale (gemiddeld 1.179 aanvallen per week) de meest geviseerde sectoren.

De verantwoordelijkheid voor digitale veerkracht mag niet enkel bij burgers of ondergefinancierde organisaties liggen. De oproep om batterijen en flessenwater te kopen is een begin, maar de beveiliging van systemen waarvan die voorraden afhankelijk zijn verdient focus. De Europese NIS2-richtlijn is daarin een belangrijke stap. Dit breidt de cyberverplichtingen uit naar meer sectoren en legt strengere meldingsplichten op. NIS2 erkent dat fysieke, cyber- en hybride dreigingen steeds meer met elkaar verweven zijn. Overheden, zowel op Nederlands als Europees niveau, moeten beleid koppelen aan adequate financiering en uitvoering.

Dreigingsactoren bluffen minder en slaan vaker toe. Ondersteuning van kennisontwikkeling, het delen van inlichtingen en praktische initiatieven voor veerkracht zijn daarom cruciaal. Check Point pleit voor een evenwichtige aanpak: geen angst zaaien, maar ook geen kop in het zand.

Beleid moet worden ondersteund door concrete financiering, opleidingen en testscenario’s, zegt Check Point. Net zoals fysieke paraatheid vraagt om een noodpakket en evacuatieplan, vraagt digitale paraatheid om goed beschermde systemen, continuïteitsplannen en investeringen in digitale hygiëne.