Het kabinet kijkt of organisaties moeten worden verplicht om grote ransomware-aanvallen op hun netwerk te melden. Daarnaast wordt er onderzoek gedaan naar de schade die ransomware in Nederland veroorzaakt en komt er geen fonds om het losgeld bij ransomware-aanvallen op het mkb te betalen. Dat liet minister Yesilgöz van Justitie en Veiligheid weten tijdens een commissiedebat in de Tweede Kamer over cybercrime.

Tijdens het debat kwamen verschillende onderwerpen aan bod, waaronder de integrale aanpak van cybercrime en online fraude. Zo werd onder andere ransomware besproken, waaronder de impact en de mogelijkheid voor slachtoffers om online aangifte te doen. "De politie werkt er daarom aan dat burgers online aangifte kunnen doen van ransomware. Daar wordt dus concreet aan gewerkt. Ik zal zorgen dat we in november hierover rapporteren", liet de minister weten.

Ze stelde ook dat het zicht op de aard en de omvang van ransomware een groot probleem is. "We weten het gewoon niet precies. Verifieerbare cijfers zijn er niet. Dat komt onder andere doordat niet van alle ransomware-aanvallen aangifte wordt gedaan. Daarom is het zo belangrijk dat we dit ook hier blijven agenderen, want dan kunnen we aan iedereen die ermee te maken heeft, weer een oproep doen: doe alsjeblieft wél aangifte."

Het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC), het kennisinstituut voor het ministerie van Justitie en Veiligheid, doet nu onderzoek naar de aard en omvang van de schade die ransomware bij bedrijven en organisaties in Nederland veroorzaakt. Rond de zomer zou het onderzoek gereed moeten zijn.

Losgeld

Yesilgöz was ook gevraagd of er een fonds voor het mkb moet komen waaruit het losgeld voor ransomware kan worden betaald. "Wij vinden het betalen van losgeld onwenselijk", reageerde de minister. "Want zo'n fonds zou eigenlijk neerkomen op een soort verzekering. Er zijn in Nederland verzekeraars die cyberverzekeringen afsluiten voor schade geleden bij een ransomware-aanval. Een apart fonds daarvoor zou in die zin dus niet nodig zijn."

De bewindsvrouw riep getroffen organisaties op om geen losgeld te betalen. "Ik begrijp dat het heel ingewikkeld is op het moment dat je dat meemaakt, maar wij blijven ertoe oproepen om geen losgeld te betalen. Dat doen we ook, of misschien wel met name, omdat het probleem na het betalen van losgeld niet zomaar voorbij is. Het is niet zo dat je er dan vanaf bent. Het garandeert niet dat criminelen de systemen weer toegankelijk maken of dat ze je vervolgens niet meer onder druk kunnen zetten met de data. En het uitbetalen van losgeld houdt uiteraard ook, helaas, het verdienmodel van de criminelen in stand."

Meldplicht

Eind 2021 pleitte de SP voor een meldplicht voor ransomware-aanvallen en tijdens het debat liet ook D66 weten hier voorstander van te zijn. "Wat betreft een meldplicht bij ransomware wordt nu in het kader van de Netwerk- en Informatiebeveiligingsrichtlijn gekeken naar een meldplicht bij ransomware bij grote incidenten. Die wordt ook geïmplementeerd, dus als we daar meer over kunnen melden, zal dat zeker volgen", liet Yesilgöz daarop weten. Ze heeft aangegeven de Tweede Kamer in het derde kwartaal van dit jaar over de meldplicht te informeren.

De Europese Netwerk- en Informatiebeveiligingsrichtlijn (de NIB-Richtlijn) is gericht op aanbieders van essentiële diensten in onder andere de energie-, de financiële- en vervoerssector en digitale dienstverleners, zoals clouddiensten, zoekmachines en online marktplaatsen. Voor deze bedrijven geldt een zorgplicht, wat inhoudt dat ze 'passende en evenredige' maatregelen moeten nemen om incidenten te voorkomen, en is er ook al een meldplicht om incidenten met aanzienlijke gevolgen te melden.