På väg mot ett landsomfattande cybersäkerhetssystem

För att stärka den digitala slagkraften hos offentliga och privata enheter i Nederländerna har det under de senaste åren arbetats med att skapa ett nationellt täckande system av samarbetspartner inom cybersäkerhet, där information om cybersäkerhet delas mer omfattande, effektivt och effektivare. Med Nationellt Cyber Security Centrum (NCSC, en del av Justitie- och Säkerhetsdepartementet), Digital Trust Center (DTC, en del av Ministeriet för Ekonomiska Ange och Klimat) och det ökande antalet samarbetspartners börjar detta nationella täckande system bli mer och mer verklighet. Det finns dock fortfarande målgrupper inom den icke-vitala sektorn (som små och medelstora företag), som inte får eller inte lyckas hitta viss önskad information, vilket utgör en säkerhetsrisk för dessa parter. Forskningsinstitutet Dialogic undersökte detta på uppdrag av WODC. I undersökningen har ett åtskillnad gjorts mellan två typer av information om cybersäkerhet: informationsmaterial (information och råd om cybermotståndskraft) och hotinformation (information om hot eller sårbarheter som rör specifika företag eller programvara). Målgrupperna för, behoven av samt juridiska begränsningar gällande dessa två typer av information är inte desamma, vilket också resulterar i olika slutsatser och möjliga åtgärder. Behov av informationsmaterial Undersökningen visar att små och medelstora företag samt enskilda näringsidkare har ett behov av information och råd om cybersäkerhet, såsom exempelvis en grundläggande genomgång av deras cybersäkerhet. Det framgår också att DTC för närvarande redan tillgodoser en betydande del av detta behov, men att parterna inte är medvetna om detta. En av rekommendationerna i undersökningen är därför att utveckla en kommunikationsstrategi för att öka kännedomen och tillgängligheten av DTC som central kontaktpunkt för cybersäkerhet. Behov av hotinformation Dela av hotinformation är ofta problematiskt på grund av juridiska begränsningar vad gäller delning av personuppgifter och spårbar konfidentiell information. Hotinformation som är relevant för den icke-vitala sektorn fastnar därför hos NCSC. I slutändan får framförallt gruppen icke-vitala företag som är cybermogna för närvarande inte tillräckligt med önskad information. Denna grupp har begränsad tillgång till den information de anser sig behöva för att kunna fungera i cybersäkerhetsavseende. Juridiska utvecklingen På sikt kan DTC bli den primära aktören för hotinformation för icke-vitala parter, genom att se till att DTC tar emot information från NCSC och vidarebefordrar denna till relevanta företag och samarbetspartners. Det är dock oklart när den nödvändiga lagliga grundvalen för DTC kommer att vara klar och informationsutbytet verkligen kan börja: början av 2021 är möjlig, men ett år senare är inte otänkbart. Hotinformation kan också direkt skickas från NCSC till andra samarbetspartners, utan att DTC agerar mellanhand, men även här uppstår juridiska hinder och osäkerheter. Förväntaskligen kommer det att bli tydligare på kort till medellång sikt och informationsutbytet kommer att bli enklare. Vill du veta mer om denna forskning? Kontakta Reg Brennenraedts.