Het Digital Trust Center (DTC) van het ministerie van Economische Zaken heeft vorig jaar 361 niet-vitale bedrijven direct gewaarschuwd voor het gebruik van kwetsbare software of gelekte wachtwoorden. De overheidsdienst informeerde het bedrijfsleven via de eigen website al over bekende beveiligingslekken, maar neemt sinds afgelopen zomer ook contact op met ondernemingen als die van kwetsbare software gebruikmaken of zijn gecompromitteerd.

De specifieke waarschuwingen van het DTC gingen onder andere over kwetsbaarheden in Microsoft Exchange en Pulse Connect Secure en gelekte wachtwoorden voor Fortinet vpn-servers. De informatie waarop de overheidsdienst acteert is afkomstig van derde partijen. Het gaat dan bijvoorbeeld om overzichten met ip-adressen van kwetsbare systemen. Organisaties op dergelijke lijsten kunnen door het DTC worden gebeld of gemaild.

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt de Rijksoverheid en vitale bedrijven voor cyberdreigingen. Om niet-vitale bedrijven te kunnen waarschuwen is het DTC een informatiedienst gestart. "Sinds de zomer zijn er 15 verschillende aanleidingen geweest om dergelijke bedrijven te notificeren, waarbij het DTC 361 bedrijven direct gewaarschuwd heeft voor een ernstige cyberdreiging", schrijft minister Adriaansens van Economische Zaken in een brief aan de Tweede Kamer.

Om ook bij grootschalige cyberdreigingen die duizenden individuele bedrijven raakt tijdig te kunnen waarschuwen, onderzoekt het DTC de schaalbaarheid van deze informatiedienst. Daarom loopt er parallel aan de uitrol van deze dienst voor het ongevraagd waarschuwen een pilot ‘gevraagd notificeren’. Met een testgroep van 57 bedrijven wordt in een pilot van twaalf maanden onderzocht of deze 'waarschuwingsdienst’ is te automatiseren. Tot op heden zijn er in de pilot zes bedrijven geautomatiseerd gewaarschuwd omtrent diverse kwetsbaarheden.

Om de taken en bevoegdheden van het DTC wettelijk te regelen wordt gewerkt aan het wetsvoorstel Bevordering digitale weerbaarheid bedrijven. Het streven is om het wetsvoorstel in het eerste kwartaal van dit jaar door de ministerraad goedgekeurd te krijgen en dan aan de Raad van State voor te leggen. Vooruitlopend op het wetsvoorstel, dat de juridische basis van het DTC nader regelt, is het mogelijk voor het DTC om dreigingsinformatie te kunnen ontvangen, verwerken en delen met niet-vitale bedrijven.