Evalueringrammeverk og Nullpunktsmåling for den nederlandske cybersikkerhetsstrategien.

Den nederlandske regjeringen ønsker å øke Nederlands digitale motstandsdyktighet, styrke cybersikkerhetssystemet og håndtere digitale trusler. For å oppnå dette, har den nederlandske Cybersecurity-strategien (NLCS) 2022-2028 blitt formulert. For å få innsikt i effektene av NLCS, lære av den, og kunne stå til ansvar for gjennomføringen, blir den evaluert. I forberedelse til evalueringen har Dialogic utført en nullmåling av NLCS-aktivitetene på vegne av WODC, og har utarbeidet et monitoreringsrammeverk. Den nederlandske Cybersecurity-strategien bygger videre på den nederlandske Cyber Security-agendaen (NSCA) og er ment som en fremtidsrettet, bærekraftig visjon på å styrke den digitale sikkerheten i Nederland. I NLCS er det formulert konkrete mål og aktiviteter for 4 søyler: - Digital motstandsdyktighet for offentlig sektor, bedrifter og organisasjoner inkluderer etablering av nasjonal myndighet for cybersikkerhet. - Sikre og innovative digitale produkter og tjenester inkluderer europeisk forordning som stiller krav om cybersikkerhet til produsenter, for eksempel programvare. - Bekjempe cybertrusler fra stater og kriminelle inkluderer investeringer i etterretnings- og sikkerhetstjenestenes forskningskapasitet og bekjempelse av cyberkriminalitet av politi og påtalemyndighet. - Cybersecurity arbeidsmarked, utdanning og digital motstandsdyktighet for borgerne inkluderer bevissthetskampanjer for å øke borgeres motstandsdyktighet, samt omskolering og videreutdanning. Rapporten viser at kjerneaktivitetene i de fire søylene i stor grad samsvarer med målene i NLCS, og at flertallet av aktivitetene er målbare. Det viser også at gjennomføringen av NLCS har startet raskt. Det anbefales å fokusere på aktiviteter som må gjennomføres før etterfølgende tiltak kan settes i verk. For eksempel, videreutviklingen av lovgivningsrammer, som endringer i lov om sikring av nettverk og informasjonssystemer (Wbni) og lovforslaget om å fremme digital motstandsdyktighet for bedrifter. Manglende fastsettelse av slike lovgivningsrammer forsinket tilhørende aktiviteter som opprettelse av tilsyn. Videre konkrete valg er nødvendige for å løse mangelen på cybersecurity-personell. Noen målsetninger vil være vanskelig å oppnå på grunn av begrenset ressurser og generell arbeidskraftmangel. Ved ikke å gjøre klare valg på dette området, blir merverdien av NLCS på dette feltet uklar. Når mer konkrete valg tas, kan beslutningstakere dra nytte av pågående undersøkelser på arbeidsmarkedet for å målrette tilbudet av cybersikkerhetskompetanse og vurdere i hvilken grad målet om å utdanne mer cybersecurity-personell oppnås. Det er også behov for bedre oversikt over gjennomføringen og effekten av aktivitetene utført av informasjons- og sikkerhetstjenestene. Disse konfidensielle aktivitetene utgjør en vesentlig del av NLCS og bruker en betydelig del av ressursene. Forskerne kan ikke uttale seg om denne delen av NLCS. For implementering, fremdrift og justeringer av NLCS er det viktig at den nederlandske regjeringen har oversikt og kontroll over disse aktivitetene, slik at det kan føres interne diskusjoner om den relative effektiviteten av disse politiske tiltakene. Evalueringen ble sendt til andre kammer den 8. februar. Les den relevante brevet til kammeret her.