Dagelijks worden organisaties en bedrijven getroffen door ransomware. De AIVD noemt cyberspionage steevast de grootste dreiging voor Nederland en criminelen maken door middel van phishing en bankhelpeskfraude vele miljoenen euro's buit. Nog anderhalve week en dan gaat Nederland weer naar de stembus, maar wat zijn de politieke partijen van plan als het gaat om cybersecurity en de aanpak van cybercrime?

Net als bij voorgaande verkiezingen heeft Security.NL de verkiezingsprogramma's doorgelicht. In een serie van drie delen kijken we naar wat de politieke partijen die nu in de Tweede Kamer zitten voor plannen hebben als het gaat om privacy, cybersecurity en digitalisering. Na het eerste deel over privacy nu het tweede deel over cybersecurity. In bepaalde gevallen is er voor de duidelijkheid gekozen om punten samen te vatten. Sommige partijen hebben in hun verkiezingsprogramma geen plannen wat betreft cybersecurity benoemd en zijn daarom niet in onderstaande overzicht opgenomen.

• Versterken (digitale) slagkracht inlichtingendiensten zodat zij sneller en makkelijker informatie kunnen krijgen om nationale veiligheid te beschermen tegen cyberaanvallen en andere (digitale) dreigingen.
• Veilige cloud. Om defensiedata zo veilig mogelijk te houden, moet Nederland op een zo kort mogelijke termijn beschikken over een nationale cloud op Nederlandse bodem onder Nederlandse jurisdictie, die bij voorkeur wordt ontworpen en beheerd door Nederlandse bedrijven. Een zoveel mogelijk Nederlandse publiek-private crypto-organisatie is hiervoor belangrijk.
• Nationale Politie versterken met extra (digitale) wijkagenten en cyberexperts.
• Beschermen nationale veiligheid tegen digitale uitval. De overheid bereidt scenario’s voor voor het geval van grootschalige cyberaanvallen of -storingen. De overheid gaat sneller en meer dreigingsinformatie delen met (vitale) bedrijven. Hierbij wordt hulp van ethische hackers binnen bestaande juridische kaders verwelkomd. Vaker oefenen op digitale uitval en vitale aanbieders moeten beschikken over zo veel mogelijk terugvalopties zodat kritieke processen zoals betalingsverkeer, drinkwater, waterkeringen en energie niet stilvallen bij uitval.
• De economie digitaal veiliger en weerbaarder maken. Ongewenste strategische afhankelijkheden van onvrije landen afbouwen. Economische veiligheid versterken door vitale sectoren en strategische sectoren beter te beschermen tegen digitale spionage en sabotage door onder andere meer in te zetten op publiek-private samenwerking en strenger te toetsen op buitenlandse investeringen, overnames en fusies.
• Werken aan een Nationaal Actieplan Quantum om economie en maatschappij voor te bereiden op de veiligheidsrisico’s van quantumtechnologie zodat veilige digitale communicatie ook in de toekomst mogelijk blijft.
• Vijandige digitale apparatuur weren. Digitale apparatuur zoals douanescanners in mainports en camera’s die worden gebruikt in overheids- en andere kernen van kritieke economische processen mogen niet meer afkomstig zijn uit landen met een offensieve cyberagenda (dreigingslanden). In het kader van de nationale veiligheid aanbestedingsregels aanscherpen om deze producten te kunnen weren en om digitale spionage en sabotage tegen te gaan.
• Cybercriminelen zwaarder straffen. Huidige straffen op cybercriminaliteit meer in lijn brengen met de huidige omvang en maatschappelijke impact van cybercrime door de maximale straffen op cybercriminaliteit te verhogen van vier jaar naar acht jaar.
• Veilig en weerbaar in de digitale wereld. Naast dat digitale veiligheid en weerbaarheid van de overheid in onder andere de uitvoering versterken, mensen weerbaarder maken tegen bestaande en nieuwe vormen van digitale criminaliteit zoals vriend-in-noodfraude, phishing en spoofing. Extra aandacht voor het beschermen van kinderen tegen online misbruik.
• Nieuwe vormen van digitale oplichting en fraude met behulp van kunstmatige intelligentie actief tegengaan door digitale vaardigheden en kennis te versterken en door te werken aan transparantie en veiligheidswaarborgen voor kunstmatige intelligentie. Het watermerken van materiaal dat is gegenereerd met behulp van kunstmatige intelligentie, wordt de norm.
• Ondernemers helpen in strijd tegen cybercriminelen. Om ondernemers weerbaarder te maken tegen serieuze vormen van cybercrime, zoals ransomware landelijk mkb-keurmerk voor IT-leveranciers invoeren, structureel oefenen op digitale aanvallen en (mkb-)ondernemers de mogelijkheid geven om de digitale beveiliging van hun bedrijf te laten testen met een cyberweerbaarheidsscan. Ondernemers ondersteunen bij het in kaart brengen van kansen en risico’s van komende transities.

• We zorgen voor voldoende waarborgen om ons te wapenen tegen spionageactiviteiten en cyberaanvallen.
• We versterken de expertise binnen de politie op het gebied van cybercriminaliteit.
• In de strafrechtketen moet meer tijd en ruimte komen voor de professionals van de politie, het Openbaar Ministerie en de opsporingsdiensten om door te rechercheren in strafzaken waarin dat nodig is, bijvoorbeeld op het gebied van cybercriminaliteit of financiële opsporing.
• De overheid moet regelmatig testaanvallen uitvoeren op onze eigen digitale infrastructuur en bedrijven moeten hiertoe gestimuleerd worden. Zo kunnen we zwakke punten opsporen en aanpakken voordat ze een echt probleem worden.
• D66 is blij met de ontwikkelingen op het gebied van de Europese Wet inzake cyberveerkracht. We willen dat producten altijd veilig zijn. Nederland wordt op dit gebied een voorloper en stimuleert een vlotte uitrol van deze wet.
• Op dit moment is er een meldplicht voor datalekken, maar geen centraal register waarin mensen kunnen nagaan of hun gegevens zijn gelekt. Daarom pleiten we voor een Europees datalekregister waarin de gemelde datalekken centraal inzichtelijk worden gemaakt.
• Nederlandse overheid zal in Europa pleiten voor een quantum-proof standaard voor de beveiliging van gevoelige overheidsinformatie, bijvoorbeeld bij overheden, financiële instellingen, de gezondheidszorg, kritieke infrastructuur en defensiecontracten.
• End-to-end encryptie blijft wat D66 betreft een grondrecht. Zo kunnen advocaten, journalisten, mensenrechtenactivisten en ieder ander veilig online communiceren zonder dat ze bespioneerd worden door kwaadwillenden. Metadata (data over data, zoals wanneer, naar wie en hoe laat berichten zijn verzonden) worden opgenomen binnen het briefgeheim.
• Voortaan neemt de overheid digitale autonomie mee in het inkoopproces van nieuwe technologische producten, zoals camera’s en sensoren.
• Nederland zet in op een Europees netwerk van leveranciers van netwerkapparatuur. Dit draagt bij aan de digitale autonomie en verkleint onze afhankelijkheid van leveranciers van buiten Europa.
• Om effectief te opereren in het cyberdomein, de ruimte en om de kansen van artificiële intelligentie te benutten, werkt defensie nauw samen met kennisinstituten, mensenrechtenorganisaties en het bedrijfsleven.
• Om ongewenste inmenging en spionage tegen te gaan, rusten we onze inlichtingen- en veiligheidsdiensten uit met adequate bevoegdheden om in het snel veranderende (digitale) landschap effectief bedreigingen voor de nationale veiligheid en de democratische rechtsorde te kunnen afwenden.
• We maken kennisinstellingen bewust van de risico’s op diefstal bij samenwerking met wetenschappers, studenten en instellingen uit landen die gezien worden als strategische opponenten. Samen met de kennisinstellingen stellen we een protocol op voor dergelijke samenwerkingen.
• D66 wil dat er grenzen gesteld worden aan het gebruik van technologie, hardware en software die een veiligheidsrisico met zich meebrengen uit landen die als strategische opponenten gezien worden.

• Aanpak online misdaad en criminaliteit. Online criminaliteit moet als ‘high impact crime’ kunnen worden geclassificeerd en behandeld. Zo blijven online overtredingen niet ongestraft en worden de daders van online haat en bedreigingen, de verspreiders van wraakporno, van kindermisbruikmateriaal en cyberoplichting eerder opgespoord en effectief aangepakt.
• Aanpak cybermisdaad. De politie krijgt meer capaciteit om cyberoplichting, online haat en bedreigingen, de verspreiding van beelden van seksueel misbruik, kindermisbruik, wraakporno en andere vormen van digitale criminaliteit aan te pakken.
• Bedrijven die de maatschappij in gevaar brengen door hun IT-producten of diensten onvoldoende tegen misbruik te beveiligen, worden daarvoor verantwoordelijk gehouden.
• De overheid investeert in defensieve capaciteiten om onze vitale infrastructuur te beschermen tegen cyberaanvallen.
• Samen met bondgenoten werken we aan de bescherming van fysieke en digitale infrastructuur tegen sabotage, aan de afweer van spionage en desinformatiecampagnes en aan de versterking van cyberveiligheid.
• Digitaal briefgeheim. Wij leggen het recht op end-to-end encryptie vast. Nederland neemt geen wetten aan die achterdeurtjes in encryptie inbouwen en komt ook in internationaal verband op voor de vertrouwelijkheid van communicatie en het recht op encryptie.
• Samen met Europese partners investeert Nederland in een Europese digitale infrastructuur. Deze omvat publiek-civiele alternatieven voor de platforms en diensten van Big Tech en een veilige cloud.

• Aan het gebruik van cloud- en communicatiediensten door de overheid worden strikte eisen gesteld op het gebied van cybersecurity en privacy. Zo nodig ontwikkelt de overheid eigen cloud- en communicatiediensten, al dan niet in samenwerking binnen Europa en weert van spionage verdachte bedrijven uit de telecom-infrastructuren.
• Het MKB in Nederland ondervindt veel schade van cybercriminaliteit. Ransomware aanvallen kunnen bijvoorbeeld verstrekkende gevolgen hebben voor kleine bedrijven. Het CDA wil dat het MKB wordt ondersteund in het verbeteren van de digitale veiligheid.
• We gaan de impact van cybercrime tegen door criminelen het zo moeilijk mogelijk te maken en blijven werken aan het vergroten van de cyberweerbaarheid van alle Nederlanders.
• Wij streven naar digitale Europese soevereiniteit.

• Er komt meer capaciteit voor de aanpak van georganiseerde en digitale criminaliteit.

• De overheid zet zich in voor het realiseren van cybereisen aan apparatuur.
• Voor veilige verdere digitalisering is een domeinoverstijgende regie op samenwerking nodig, waarbij cybersecurity, digitale autonomie, bestrijding van cybercrime en kennisontwikkeling als integrale onderdelen en noodzakelijke randvoorwaarden worden gezien. Er wordt geïnvesteerd in voldoende cyberbewustzijn en dus digitale geletterdheid van burgers.
• China en de Verenigde Staten beheersen de digitale wereld. We blijven zeer kritisch over de buitenlandse invloed op technologie en het internet.
• We houden end-to-end encryptie in stand.

• Bescherming van vitale sectoren. Sommige bedrijven in ons land zijn essentieel voor onze dagelijkse manier van leven. Die moeten beveiligd zijn, zeker ook digitaal. Er komen Europese wettelijke veiligheidseisen waar deze bedrijven aan moeten voldoen.
• Versterk de opsporing. Rechercheurs worden in staat gesteld hun veeleisende en ingrijpende werk goed uit te oefenen. Daarom willen we meer rechercheurs, investeren in vakmanschap en modernisering van de ICT.
• Investeer in digitaal kundige politie. Deze tijd vraagt een digitaal vaardige en innovatieve politie. Er wordt geïnvesteerd in digitale expertise van speciale teams tegen cybercriminaliteit, maar ook in verbreding van de kennis binnen de politie als geheel, omdat bijna alle criminaliteit een digitale component heeft.
• Weerbaar tegen digitale oorlog. Nederland moet zich goed blijven beschermen tegen spionage, diefstal van militaire technologie, ontwrichting door desinformatie en het hacken van wapensystemen en vitale infrastructuur (zoals waterkering) en wapensystemen. Extra geld voor defensie gebruiken voor het verbeteren van cyberveiligheid.
• Nederland zet in op hoogtechnologische capaciteiten, om te kunnen optreden tegen dreigingen vanuit het cyberdomein en hybride dreigingen. Hiermee beschikt onze krijgsmacht over unieke capaciteiten die het verschil maken bij bondgenootschappelijke optredens.
• Waakhond Digitale Veiligheid. Er is beter toezicht nodig op wat bedrijven en overheden met onze gegevens doen en welke algoritmes en technieken ze inzetten. De Autoriteit Persoonsgegevens wordt daarom uitgebreid tot een sterke toezichthouder voor Digitale Veiligheid.
• Veilige digitalisering in publieke sector. Goede bescherming van data bij publieke instanties is cruciaal. Daarom wil de ChristenUnie dat er heldere richtlijnen worden gehanteerd voor de bescherming van publieke data bij alle overheden.

• We zorgen voor voldoende mandaat voor overheidsinstellingen om de dreiging in het cyberdomein het hoofd te kunnen bieden.
• We moeten bereid zijn te investeren in technologie en artificial intelligence om de onzichtbare kracht te versterken en de onzichtbare dreigingen het hoofd te bieden.
• Inlichtingendiensten moeten actiever worden in cyberaanvallen en het bedrijfsleven actief helpen met het verstoren van cyberaanvallen met het verstoren van cyberaanvallen. Met de toegang tot de kabel kunnen ze dat veel beter dan dit vanuit de cybersecurity ooit mogelijk is. Het is in ons landsbelang om de veiligheidsdiensten meer ruimte te geven om discretionaire bevoegdheden te gebruiken in hun werk. De voorwaarde die wij hieraan stellen is dat deze bevoegdheden wettelijk gekaderd worden, achteraf door toezichthouders gecontroleerd kunnen worden en verdedigd moeten kunnen worden.
• De bevoegdheden van het Cyber Commando van Defensie moeten uitgebreid worden zodat zij effectiever kan opereren. Middelen van actoren die bijdragen aan oorlogsvoering tegen het Nederlands belang moeten makkelijker afgepakt of bevroren kunnen worden.
• Het Defensie Cyber Commando krijgt toestemming om soft cyberoperaties te verkennen, ter voorbereiding op inzet van de krijgsmacht, ter handhaving of bevordering van de internationale rechtsorde.
• Eens per halfjaar vormt de NVR de nationale data- en technologie raad (NDTR) tezamen met het Nationaal Cyber Security Centrum, het Defensie Cyber Commando, de Autoriteit Persoonsgegevens, de Nationale Politie, de NCTV en de Joint Sigint Unit. De NDTR stippelt de prioriteiten en strategie van Nederland in het digitale landschap uit.

• Ondernemers moeten ondersteund worden bij het werken aan meer cyberveiligheid. De inzet en capaciteit van het Digital Trust Centre moet versterkt worden.
• Overheid en bedrijfsleven dienen afspraken te maken over de cyberveiligheid van kritieke infrastructuur. Hogere veiligheidsstandaarden voor de kritieke delen van de digitale processen zijn absoluut noodzakelijk. Cruciaal is het frequent en grootschalig testen van de beveiliging.
• De bevoorrading van supermarkten is belangrijk voor onze samenleving. Onderzoek is nodig naar de digitale kwetsbaarheid van deze logistiek.
• De regels voor verkoop van riskante AI-systemen aan buitenlandse partijen moeten aangescherpt worden. We moeten ook zelf investeren in kunstmatige intelligentie om te voorkomen dat China en de VS alle touwtjes in handen krijgen.
• Om goed voorbereid te zijn op digitale oorlogvoering moet meer budget worden vrijgemaakt voor het defensie-cybercommando en de MIVD. Meer mensen kunnen zorgen voor meer kennis en slagkracht bij defensieve én offensieve inzet. Naast de operationele systemen moeten ook logistieke systemen volwaardig beveiligd worden. Waar nodig worden inlichtingen- en veiligheidsdiensten extra toegerust voor deze taak. Dit is ook van belang voor onze economische veiligheid.
• De overheid investeert meer in de ondersteuning van scholen ten aanzien van digitale veiligheid.
• Er moet meer politie- en recherchecapaciteit beschikbaar komen voor digitale vormen van fraude.
• De bediening van bruggen, sluizen en spoorwissels is kwetsbaar voor digitale aanvallen en verstoringen doordat systemen verouderd zijn. Investeringen in goede beveiliging en betere ICT-systemen zijn nodig.
• Nederland en Europa moeten de strategische soevereiniteit op digitaal vlak vergroten. Enerzijds gaat het om alertheid op het gevaar van bijvoorbeeld 5G-technologie uit China. Anderzijds moeten we digitale schermutselingen niet zomaar als ‘oorlog’ bestempelen.
• Een ‘Deltaplan’ voor bescherming van vitale digitale en fysieke infrastructuur tegen aanvallen van hackers vanuit bijvoorbeeld China en Rusland.

DENK - 'Nu is het moment' (pdf)

• We investeren meer in een veilige digitale infrastructuur. Met name kleinere organisaties moeten meer hulp krijgen van de overheid om hun digitale veiligheid op orde te krijgen.

• Bedrijven en kennisinstellingen met kostbare technische informatie moeten worden geholpen bij het versterken van hun cybersecurity. Daarnaast moeten organisaties en het midden- en kleinbedrijf op een veilige en vertrouwelijke manier informatie over kwetsbaarheden kunnen delen. Aanbieders van essentiële diensten moeten extra beschermd worden tegen mogelijke cyberaanvallen.
• We implementeren een centrale aanpak die ervoor zorgt dat de overheid (en met name de kritieke infrastructuur) uiterlijk in 2028 ‘kwantumbestendig’ is. Codes die met de huidige technologie waterdicht zijn versleuteld, kunnen namelijk eenvoudig gekraakt worden door kwantumcomputers. Daarbij moeten de overheid en het bedrijfsleven samenwerken om tot een hogere cryptowendbaarheid te komen.
• Volt wil ethisch hacken verder aanmoedigen. We leggen daarom naar Belgisch voorbeeld het recht op ongevraagd ethisch hacken wettelijk vast. Nederland heeft een bloeiende cultuur van mensen die het internet veiliger maken door technisch onderzoek te doen. Alle organisaties die belangrijk zijn voor de samenleving moeten snel en positief reageren wanneer een ethisch hacker een digitaal probleem vindt en meldt. Na een afgesproken tijd mag de hacker het gevonden probleem breed bekend maken, in overleg met het Nationaal Cyber Security Centrum (NCSC).

• Een contra-offensief tegen cyberterrorisme en cybercrime: investeren in digitale capaciteit en expertise en verruiming van de opsporingsbevoegdheden.
• Inlichtingen- en veiligheidsdiensten krijgen extra middelen om Nederland te beschermen tegen de groeiende ernstige dreigingen uit het buitenland.

• End-to-end encryptie blijft gewaarborgd. Dit is het digitale briefgeheim: beveiligde communicatie tussen twee personen zonder dat een derde partij hier toegang toe heeft. Dit is een onmisbare bescherming van het recht op privacy en veilige communicatie.

• BVNL is vastberaden om het behoud van encryptie te waarborgen, omdat dit essentieel is voor de bescherming van persoonlijke gegevens en het communicatiegeheim. We zullen ons verzetten tegen pogingen om encryptie te verzwakken of te verbieden, en in plaats daarvan investeren in veilige technologieën die privacy en online veiligheid bevorderen.
• De overheid moet wetten en regels opstellen met betrekking tot cybersecurity, waaronder privacywetten, meldingsvereisten bij datalekken en strafrechtelijke vervolging van cybercriminelen.
• We moeten bewustwording creëren rondom cybersecurity bij zowel burgers als bedrijven. Door middel van voorlichtingscampagnes kunnen mensen worden geïnformeerd over mogelijke risico's en hoe ze zichzelf kunnen beschermen.
• De overheid werkt samen met andere landen om informatie uit te wisselen en gezamenlijk op te treden tegen cyberdreigingen.
• Er wordt een nationale strategie ontwikkeld om de digitale veiligheid te waarborgen.
• De overheid gaat samenwerken met internationale organisaties en de private sector om kennis en middelen te bundelen en gezamenlijk op te treden tegen cyberdreigingen.
• We gaan investeren in onderzoek naar nieuwe technologieën en methodologieën op het gebied van cybersecurity.

• Samen met regionale ontwikkelingsmaatschappijen willen wij het mkb beter toerusten op het gebied van digitale weerbaarheid.
• Onwenselijke afhankelijkheid van grote Amerikaanse techbedrijven die de markt domineren. Eenzelfde afhankelijkheid bestaat ook wat betreft AI-modellen, software en cybersecuritymaatregelen. In Nederland en de EU moet de techindustrie worden gesteund om deze afhankelijkheid te verminderen.
• We willen de capaciteit van de digitale recherche vergroten om misdrijven te bestrijden en ervoor te zorgen dat digitale criminaliteit niet loont. Ook bedrijven moeten hun verantwoordelijkheid nemen bij de bestrijding van digitale criminaliteit.
• De informatiebeveiliging bij de landelijke en lokale overheid en bij vitale nutsbedrijven moet naar een hoger niveau getild worden. Ook onder burgers en bedrijven moet er meer aandacht komen voor dataveiligheid en cybersecurity.
• Het stelsel voor informatiebeveiliging moet worden herzien. Momenteel zijn er drie verschillende overheidsdiensten die onder drie afzonderlijke ministeries vallen, namelijk het Nationaal Cyber Security Centrum (NCSC), het Nationaal Bureau voor Verbindingsbeveiliging (NBV) en de Rijksinspectie Digitale Infrastructuur (RDI), die deels overlappende taken en rollen hebben rondom de weerbaarheid van overheidssystemen. Daar komt bij dat ieder ministerie zelf verantwoordelijk is voor de inrichting van haar informatiebeveiliging. Er moet een centrale autoriteit komen die regie neemt over de bescherming en beschikbaarheid van gegevens binnen de landelijke en lokale overheid en in de vitale sectoren, evenals het bevorderen van de digitale weerbaarheid van Nederland in algemene zin.
• Om onze overheidsgegevens beter te beschermen, moet de overheid weten waar de digitale infrastructuur staat, wie de eigenaar is en hoe data worden beveiligd – en hierop ook toezicht houden. Gevoelige overheidsdata worden zo veel mogelijk lokaal (on premise) opgeslagen of in specifieke gevallen bij nationale clouddienstaanbieders die onder rijkstoezicht staan. Voor het delen en verhandelen van deze data tussen verschillende overheidsorganisaties moeten strenge kaders gelden.
• De overheid moet werk maken van de migratie van overheidssystemen naar quantumveilige cryptografie, met bijzondere aandacht voor verouderde systemen die een lange levensduur hebben en onze vitale processen waarborgen.
• We moeten accepteren dat elk systeem dat op enige wijze aan het internet hangt, hoe goed beveiligd ook, in potentie vatbaar is voor hacks. Dit maakt dat in het geval van zeer gevoelige gegevens, zoals biometriegegevens voor paspoorten, de keuze gemaakt moet worden om additionele maatregelen te treffen om de kans op of impact van een eventuele hack te verkleinen. Hierbij is te denken aan decentrale opslag, geïsoleerde netwerken of zelfs fysieke kluizen.
• We moeten weerbaar worden tegen digitale verstoringen van onze democratische orde, zoals pogingen om verkiezingen te beïnvloeden, spionage, het hacken van essentiële voorzieningen en cyberwarfare. Dit vergt voldoende capaciteit en middelen voor onze veiligheidsdiensten MIVD en AIVD, maar ook duidelijke wettelijke kaders om de privacy van mensen te beschermen.
• Wij willen dat er meer wordt geïnvesteerd in de aanpak van digitale criminaliteit en strafbare feiten via internet en e-mail. Politie en justitie moeten ruimere mogelijkheden krijgen om criminaliteit te kunnen aanpakken en de schade daarvan te beperken.

Onderwerpen

Net als bij het onderwerp privacy besteden veel partijen ook aandacht aan cybersecurity. Het gaat dan vooral om het vergroten van de capaciteit en bevoegdheden van politie en inlichtingendiensten, digitale autonomie en soevereiniteit, vergroten van bewustzijn, het gevaar van cyberspionage en veilige opslag van gegevens. Ook benoemen verschillende partijen de dreiging van quantumcomputers, het gebruik van een nationale cloud en de inzet van ethische hackers. Volgende week het laatste deel in deze serie over het onderwerp digitalisering.