Regeringen vill öka Nederländernas digitala motståndskraft, stärka cybersäkerhetssystemet och hantera digitala hot. För detta syfte har den nederländska cybersecuritystrategin (NLCS) 2022–2028 formulerats. För att få insikt i effekterna av NLCS, lära sig av dem och kunna redovisa genomförandet av NLCS utförs en utvärdering. Som förberedelse för utvärderingen har Dialogic, på uppdrag av WODC, genomfört en nollmätning av NLCS-aktiviteter och utarbetat en övervakningsram.
Den nederländska cybersecuritystrategin är en uppföljning av den nederländska cybersäkerhetsagendan (NSCA) och syftar till att vara en framåtblickande, hållbar vision för att stärka den digitala säkerheten i Nederländerna. I NLCS har konkreta mål och aktiviteter fastställts för 4 grundpelare:
- Myndigheters, företags och samhällsorganisationers digitala motståndskraft genom bl.a.: inrättande av en nationell cybersäkerhetsmyndighet.
- Säkra och innovativa digitala produkter och tjänster genom bl.a.: en europeisk förordning som ställer cybersäkerhetskrav på tillverkare av t.ex. mjukvara.
- Bekämpning av cybersäkerhetshot från stater och kriminella genom bl.a.: investeringar i underrättelse- och säkerhetstjänsternas forskningskapacitet samt bekämpning av cyberbrott av polis och åklagarmyndighet.
- Cybersäkerhetsarbetsmarknad, utbildning och medborgarnas digitala motståndskraft genom bl.a.: medvetandekampanjer för att öka medborgarnas motståndskraft samt omskolning och vidareutbildning.
Energetisk start på aktiviteter
Undersökningen visar att kärnaktiviteterna inom de fyra pelarna väl överensstämmer med målen för NLCS och att övervägande delen av aktiviteterna är mätbara. Det framgår också att en energisk start har gjorts med genomförandet av NLCS. Rekommendationen är att fokusera på aktiviteter som behövs innan ytterligare åtgärder kan vidtas i denna fas av genomförandet. Till exempel, vidareutvecklingen av lagstiftningsramar, såsom ändringen av lagen om säkerhet för nätverk och informationssystem (Wbni) och lagförslaget om att främja företagens digitala motståndskraft. Om dessa lagstiftningsramar inte har fastställts försenas därmed relaterade aktiviteter, såsom tillsynsåtgärder.
Konkreta val behövs för att kompensera bristen på cybersäkerhetspersonal
Dessutom identifieras ett antal hinder för att uppnå vissa mål. Till exempel avsätts relativt lite resurser för att öka cybersäkerhetskompetensen på arbetsmarknaden. Dessutom är detta mål knutet till den allmänna arbetskraftsbristen för andra yrken. Bristen på cybersäkerhetspersonal prioriteras på samma sätt som andra brister, såsom inom vården eller andra tekniska yrken. Då inga tydliga val görs konstaterar forskarna att värdet av NLCS inom detta område är oklart. När konkreta val görs kan beslutsfattare dra nytta av olika pågående arbetsmarknadsundersökningar för att riktat övervaka utbudet av cybersäkerhetskompetens och bedöma i vilken utsträckning målet nås att utbilda mer cybersäkerhetspersonal.
Översikt över effektiviteten av konfidentiella aktiviteter behövs
En annan utmaning är att ha överblick över genomförandet och effektiviteten av de aktiviteter som genomförs av informations- och säkerhetstjänsterna. Dessa konfidentiella aktiviteter utgör en väsentlig del av NLCS och anspråk på en betydande del av resurserna. Forskarna kunde inte uttala sig om denna del av NLCS. För implementering, framsteg och justering av NLCS är det av stor vikt att det inom den nederländska regeringen finns överblick och kontroll över dessa aktiviteter för att möjliggöra interna diskussioner om den relativa effektiviteten av dessa policyåtgärder.
Utvärderingsrapporten skickades till parlamentet den 8 februari. Läs den relevanta parlamentsanteckningen
här.
