Hoort digitale veiligheid in het defensiebudget?

Wie denkt dat oorlog alleen op land, zee of in de lucht wordt uitgevochten, kijkt weg van de realiteit. De eerste klap van een conflict is steeds vaker digitaal: het uitschakelen van netwerken, het ontregelen van logistiek, het platleggen van ziekenhuizen, havens of overheidsdiensten. Denk aan NotPetya, dat begon als een aanval op Oekraïense infrastructuur, maar wereldwijd bedrijven lamlegde. Of aan de reeks wiper-aanvallen rond de inval in Oekraïne, waarbij systemen binnen seconden uitvielen.

'Wie miljarden investeert in fysieke slagkracht, maar digitale aanvallen onvoldoende meeneemt, laat een kwetsbare flank open', stelt Matthijs van der Wel-ter Weel, Strategic Advisor bij Orange Cyberdefense. 'We moeten digitale weerbaarheid met dezelfde urgentie behandelen als fysieke dreigingen.'

Nationale verantwoordelijkheid

Het NAVO-besluit is duidelijk: minimaal 3,5% van het bbp moet gaan naar defensie, en 1,5% naar infrastructuur die bijdraagt aan veiligheid. Maar hóe dat laatste bedrag wordt besteed, is aan de lidstaten zelf.

Orange Cyberdefense pleit er daarom voor dat Nederland een deel van die 1,5% investeert in digitale weerbaarheid. Want de werkelijkheid is: digitale veiligheid ís nationale veiligheid. En je kunt je in de 21e eeuw niet blijven verschuilen achter bondgenoten. In de fysieke wereld leerden we dat pas laat, dus in de digitale wereld moeten we niet dezelfde fout maken.

Van reactief naar voorbereid: drie maatregelen

Orange Cyberdefense presenteert drie concrete maatregelen die Nederland direct weerbaarder maken, zonder nieuwe bureaucratie:

1. Breid het mandaat van het NCSC uit naar álle sectoren

Nederland kent een groeiend netwerk van cybersecurityorganisaties, van het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) tot sectorale CSIRTs, de Politie, Defensie en toezichthouders. Maar bij een grote digitale crisis ontbreekt één cruciaal element: centrale regie. Wie heeft bij een crisis de leiding? En dat maakt ons kwetsbaar.

Het NCSC beschikt over kennis, capaciteit en ervaring, maar mag op dit moment alleen een beperkt aantal organisaties en de Rijksoverheid ondersteunen. Bedrijven of bijvoorbeeld Gemeenten daarbuiten mogen niet proactief worden geïnformeerd, zelfs niet bij bekende dreigingen. Daardoor ontstaat een versnipperd landschap waarin niemand het voortouw móet nemen. Juist op het moment dat snelle besluitvorming en gecoördineerd handelen essentieel zijn.

Wat moet er gebeuren?
 

• Geef het NCSC het wettelijke mandaat om álle sectoren te waarschuwen en te ondersteunen, dus ook buiten de vitale infrastructuur.
• Zorg voor één nationaal platform met actuele dreigingsinformatie en praktische handelingsadviezen, toegankelijk voor zowel publieke als private organisaties.
• Breid de rol van het NCSC uit van signalering naar actieve coördinatie bij incidenten: wie onderneemt actie, wat heeft prioriteit, en hoe beperk je de schade?

Leg de bijbehorende verantwoordelijkheden en communicatielijnen vast in crisisscenario’s, zodat bij een incident direct duidelijk is wie welke rol vervult.

2. Maak ruimte voor innovatie

De Nederlandse overheid stelde in 2023 voor het eerst subsidie beschikbaar voor het ontwikkelen van nieuwe securityoplossingen via het Cybersecurity Innovation Fund (CIF-NL). Daarmee werd erkend dat we niet alleen buitenlandse securityproducten moeten inkopen, maar ook eigen innovatie moeten stimuleren. De regeling was echter beperkt: één korte openstelling, een klein budget, en tot nu toe geen zicht op wat het heeft opgeleverd. Nieuwe aanvragen zijn sindsdien niet mogelijk, terwijl de urgentie van digitale autonomie juist is toegenomen.

Wat nodig is:
 

• Structurele voortzetting van het innovatieprogramma, met jaarlijkse openstellingen.
• Snelle publicatie van resultaten van eerdere rondes, zodat duidelijk wordt wat werkt.
• Toegankelijke voorwaarden voor start-ups, scale-ups en kennisinstellingen.

3. Investeer gericht in bescherming tegen digitale oorlogsvoering

De extra 1,5% van het defensiebudget voor veiligheid is dé kans om Nederland weerbaarder te maken tegen statelijke cyberaanvallen. Deze dreigingen zijn fundamenteel anders dan ransomware: ze worden maanden of jaren voorbereid, combineren IT- en OT-aanvallen en zijn gericht op strategische ontwrichting, zoals het platleggen van energiecentrales, transportnetwerken of communicatiesystemen.

Bescherming hiertegen vraagt om een samenhangende, specialistische aanpak met maatregelen als zero trust-architectuur, diepgaande netwerksegmentatie en OT-specifieke securitytesten. Ook continue threat hunting en het structureel dichten van kwetsbaarheden, inclusief in de toeleveringsketen, zijn essentieel. Omdat deze verdedigingslagen kostbaar en complex zijn, is actieve overheidssteun noodzakelijk.

Wat moet er gebeuren?
 

• Fiscale stimulansen zoals aftrekbaarheid van cyberinvesteringen en het schrappen van btw op cybersecurityproducten voor burgers.
• Directe financiering om vitale en essentiële organisaties én hun ketenpartners op een hoger beveiligingsniveau te brengen.

Geen technische bijzaak

Digitale aanvallen ondermijnen onze economie, democratie en autonomie, zonder dat er één schot gelost hoeft te worden. Volgens Orange Cyberdefense is het daarom tijd om cybersecurity te behandelen als strategische capaciteit, niet als technische bijzaak. “We beschermen geen servers, we beschermen onze samenleving, soevereiniteit en stabiliteit”, aldus Van der Wel-ter Weel. “Wie digitale weerbaarheid niet centraal stelt, bouwt nationale veiligheid op drijfzand.”