De opbouw van cyberrisico’s Naast omvangrijk slachtofferschap met schade tot gevolg, laat het jaarlijkse Cybersecuritybeeld Nederland (CSBN) zien dat cyberrisico´s steeds meer toenemen (NCTV, 2024a). In het licht van bovenstaande is het dan ook niet verwonderlijk dat de Cyber Security Raad (CSR) - een nationaal en onafhankelijk adviesorgaan van het kabinet dat is samengesteld uit vertegenwoordigers van publieke en private organisaties en de wetenschap - het nieuwe kabinet adviseert om meer te investeren in digitale veiligheid. De CSR waarschuwt dat de huidige inspanningen en investeringen in cybersecurity niet genoeg zijn om de groeiende digitale dreigingen vanuit statelijke actoren en cybercriminelen het hoofd te bieden (Emerce, 2024). Los van het feit dat meer investeringen nodig zijn, en dat de Nederlandse staat van mening lijkt te zijn dat de bedrijven, burgers en gemeenten zelf verantwoordelijk zijn voor het verbeteren van hun cyberweerbaarheid37, rijst de vraag waar dan in te investeren? Om die vraag te beantwoorden is het nodig om eerst goed naar het begrip cyberrisico te kijken en hoe daar mee om te gaan. Onlangs publiceerde SURF, de ict-coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen, een ‘formule’ voor het berekenen van risico in informatiebeveiliging, wat ook de beveiliging van fysieke informatie omvat (zie figuur 6) (Van Deursen, & Altawekji, 2023). Algemeen gesteld is risico de kans op een incident maal de impact. Binnen de mogelijkheid dat een cyberincident optreedt (kans) is het voor cybersecurity nuttig om een onderscheid te maken tussen dreiging en kwetsbaarheid. Daar waar de politie en het Openbaar Ministerie zich vooral richten op het bestrijden van dreigingen via opsporing en vervolging van criminelen en het verstoren van criminele activiteiten (Openbaar Ministerie & Politie, 2024), nemen bedrijven traditioneel vooral maatregelen om kwetsbaarheden te verhelpen en zich te beschermen tegen cyberdreiging. Hoofdstuk 3 De opbouw van cyberrisico’s 37 In het akkoord tussen de Rijksoverheid en de Nederlandse gemeenten, gepubliceerd in de Staatscourant in december 2023, zijn bijvoorbeeld afspraken gemaakt over de cyberweerbaarheid van gemeenten. Echter, er zijn geen specifieke middelen toegekend om deze afspraken te realiseren. Zie ook Kamerstuk 26643, nr. 1112, https://zoek.officielebekendmakingen.nl/ kst-26643-1112.html 25
RkJQdWJsaXNoZXIy ODY1MjQ=