De Rijksoverheid en vitale aanbieders worden straks gedwongen om kritieke kwetsbaarheden in hun systemen te repareren.
Deze maatregel moet situaties zoals met het beveiligingslek in Citrix voorkomen. Minister Grapperhaus van Justitie en Veiligheid maakte dit bekend tijdens de presentatie van het jaarlijkse Cybersecuritybeeld Nederland (CSBN) aan de Tweede Kamer.
“Pas toe of leg uit”-systematiek
Het voorkomen van maatschappelijke ontwrichting door incidenten binnen vitale processen heeft de hoogste prioriteit binnen de Nederlandse Cybersecurity Agenda. Daarom werkt het kabinet aan een “pas toe of leg uit”-systematiek voor vitale aanbieders en de Rijksoverheid. Bij ernstige beveiligingslekken, zoals in het geval van een high-high beveiligingsadvies van het Nationaal Cyber Security Centrum (NCSC), dienen deze partijen mitigerende maatregelen te nemen. Als ze dit niet doen, krijgen ze de plicht om aan een, door de verantwoordelijke minister gemandateerde, organisatie uit te leggen waarom ze deze maatregelen verzuimen te nemen.
Citrix-beveiligingslek
“Als er een soortgelijke situatie plaatsvindt zoals tijdens de problemen met Citrix-software, is de vrijblijvendheid van het nemen van maatregelen voorbij”, luidt het standpunt van het Ministerie van Justitie en Veiligheid. Grapperhaus stelt verder dat de nieuwe maatregel ervoor moet zorgen dat beveiligingsadviezen van het NCSC beter worden opgevolgd. In het geval van het Citrix-beveiligingslek had het NCSC hiervoor gewaarschuwd. Binnen de Rijksoverheid voerden echter verschillende organisaties de geadviseerde oplossing niet door, of niet op tijd.
Klik hier voor het nieuwsbericht van de Rijksoverheid en het Cybersecuritybeeld Nederland CSBN 2020.