Het onderzoek had als doel om helderheid te verkrijgen over wat een veiligheidsregio kan bijdragen aan digitale veiligheid, en veiligheidsregio’s handvatten te geven over hoe ze dit onderwerp kunnen aanvliegen. Voor het onderzoek interviewde Jan-Peter vijftien experts, onder wie een burgemeester, een directeur van een veiligheidsregio, meerdere cyberexperts, en een docent/onderzoeker. Ook deed hij literatuuronderzoek en las hij de regionale risicoprofielen en beleidsstukken van de 25 veiligheidsregio’s door als deskresearch.
Veiligheidsregio’s zijn zoekende
Cyber: wat moeten we er nu mee als veiligheidsregio? Een overkoepelende conclusie van het onderzoek is dat veiligheidsregio’s zoekende zijn naar hun rollen en taken. De wettelijke taken en bevoegdheden op het gebied van digitale veiligheid zijn beperkt. Wat de veiligheidsregio’s doen om de maatschappij digitaal veiliger te maken verschilt bovendien onderling, zo blijkt uit de beleidsstukken van de veiligheidsregio’s.
Cybergevolgbestrijding evident maar niet uitgekauwd
Er zijn meerdere manieren waarop veiligheidsregio’s kunnen bijdragen aan digitale veiligheid, zo blijkt uit het onderzoek. Eén rol is op het eerste gezicht evident: cybergevolgbestrijding. Daarbij richt een regionale crisisorganisatie zich op de effecten van een crisis met een cyberincident als trigger. Bijvoorbeeld: een sluis wordt gehackt en er ontstaat een overstroming. Dit is een reguliere (en zelfs wettelijke taak) voor een regionale crisisorganisatie en er is geen veiligheidsregio die dit niet doet of niet heeft opgenomen in het beleid. Als iets ingezoomd wordt, is de rol niet volledig ingevuld. Zo vroegen meerdere experts zich af of er niet meer cyberexpertise aanwezig moet zijn in de regionale crisisorganisatie.
Cybercrisismanagement: waar ligt de grens?
Een andere rol is cybercrisismanagement. Daarbij helpt een functionaris van de veiligheidsregio bij het bezweren van een intern cyberincident bij een organisatie, bijvoorbeeld in de rol van adviseur in een crisisteam. Dit is een rol die bijvoorbeeld de Veiligheidsregio Twente invulde bij de gemeente Hof van Twente, toen die gehackt werd. De meeste experts zien deze rol, maar zijn verdeeld over waar de grens ligt; helpt de veiligheidsregio ook andere (vitale) organisaties dan gemeenten? En hoe lang zou die ondersteuning dan mogen duren? Daarnaast kunnen gemeenten al bij de InformatieBeveiligingsdienst (IBD) en private partijen terecht voor dergelijke ondersteuning.
Risico’s onvoldoende in kaart
Een veiligheidsregio kan verder een rol spelen bij het in kaart brengen en analyseren van risico’s van digitale verstoringen met maatschappelijke impact. Volgens veel experts hebben veiligheidsregio’s daar nog te weinig zicht op, bijvoorbeeld in hun regionaal risicoprofiel. Een dergelijke analyse kan ook helpen bij het inzetten van de schaarse cyberexpertise in het geval van een bovenregionale of landelijke cybercrisis.
Partijen bij elkaar brengen
Een rol die veiligheidsregio’s verder (kunnen) oppakken is die van een platform, bijvoorbeeld om kennis en partners bij elkaar te brengen. Meerdere veiligheidsregio’s doen dat al in de koude fase, maar sommige experts zien ook in de warme fase van een (intern) cyberincident meerwaarde; een veiligheidsregio kan getroffen partners in contact brengen met organisaties die hen kunnen helpen.
Opleiden, trainen en oefenen
Verder kunnen veiligheidsregio’s bijdragen aan het Opleiden, Trainen en Oefenen binnen digitale weerbaarheid. Zo kunnen veiligheidsregio’s cybercrisisoefeningen (laten) organiseren, en crisisfunctionarissen cyberkennis bijbrengen. Maar ook het bijspijkeren van CISO’s over bijvoorbeeld de GRIP-structuur werd genoemd.
Geen digitale brandweer. Wel deelname in NRN
Het onderbrengen van een ‘digitale brandweer’ bij veiligheidsregio’s, die technische incident response doet, werd bijna unaniem afgewezen door de experts. Dat is momenteel prima geregeld via de private sector. Een optie die wel voorbijkwam is deelname aan het Nationaal Response Netwerk (NRN), zodra de veiligheidsregio’s een eigen Computer Emergency Response Team (CER) hebben.