Cybergevolgbestrijding, wat moet een veiligheidsregio daarmee?
Op 28 december 2021 publiceerde het Instituut Fysieke Veiligheid (IFV) een interessant rapport. Het was een weergave van de gedane verkenning naar de benodigde kennis en kunde voor regionale cybergevolgbestrijding. Ik heb met veel interesse het rapport gelezen. Ik draag graag bij aan een veilig(er) Nederland. De cyberdreiging is een relevante maatschappelijke ontwikkeling die de veiligheid van Nederland onder druk kan zetten.
Ik zie in mijn dagelijks werk veiligheidsregio’s worstelen met de vraag wat hun rol zou moeten zijn in de voorbereiding op en bij de aanpak van (de gevolgen van) een cyberincident. Maar vanwaar die worsteling, als de aangrijpingspunten zo evident lijken? In dit artikel probeer ik een focus aan te brengen.
Vitale belangen van de samenleving
De auteurs komen met vier aangrijpingspunten om verschillende disciplines beter met elkaar te verbinden. Want deze disciplines zijn nodig voor de respons op cyberincidenten. Zo concluderen zij op grond van diverse andere studies. Het gaat over ICT, cybersecurity expertise, crisisbeheersing en bedrijfsvoering.
De aangrijpingspunten lijken op het eerste gezicht evident en ook niet al te complex voor veiligheidsregio’s om mee aan de slag te gaan. Kortweg noemen ze:
- verhogen kennispeil cyber onder crisisfunctionarissen
- verhogen kennispeil crisisbeheersing onder ICT-functionarissen
- investeren in bruggenbouwers die de verschillende kennisdisciplines aan elkaar verbinden (voor de beeldspraak wordt de OvD-Cyber geïntroduceerd)
- organiseren van gezamenlijke scenario-/ oefenbijeenkomsten voor de verschillende disciplines
Om te weten wat nodig is bij cyberincidenten, is het niet anders dan bij alle incidenten dat het van belang is om helder te hebben wat er eigenlijk aan de hand is en hoe erg dat is. Of meer in lijn met de hypothetische situatie van een cyberincident: wat bedreigt ons en hoe erg is dat? Vanuit het perspectief van een veiligheidsregio, slaat dat “ons” dan op het verzorgingsgebied van de regio. En gaat het niet over een cyberincident waar medewerkers van een veiligheidsregio last van hebben.
Voor de definitie van het begrip veiligheid kennen we in Nederland de vitale belangen van de samenleving. Het redeneren vanuit vitale belangen voor het ontwikkelen van veiligheidsstrategieën is helpend. Immers wanneer de vitale belangen geraakt worden, kan de continuïteit van (het functioneren van) de samenleving onder druk komen te staan. Door het beschermen van de vitale belangen, werken we aan een veilig(er) Nederland.
Diverse indelingen worden gehanteerd. Mijn voorkeur gaat uit naar de juridische indeling van vitale belangen, gebaseerd op het staatsnoodrecht en de consistentie met de Grondwet, Statuut van het Koninkrijk en overige internationaalrechtelijke verplichtingen. Deze indeling is internationale rechtsorde, nationale rechtsorde (waaronder de openbare orde), openbare veiligheid en economische veiligheid.
Deze indeling helpt namelijk bij het inzicht van de (dreigende) aantasting van een vitaal belang, direct ook het inzicht te krijgen is wie dan verplicht en bevoegd is om daar iets aan te doen. Zie hiervoor de actuele uitwerking in bestuurlijke netwerkkaarten en bevoegdhedenschema's op de website van het IFV.
De vitale belangen zijn te operationaliseren door het toepassen van impactcriteria. Bij de (dreigende) aantasting van de openbare orde en de (algemene) openbare veiligheid, hebben we het over de gevolgen van een incident voor mensen, have&goed en leefomgeving.
Verplichtingen en bevoegdheden bij cyber?
Een belangrijk onderscheid om te maken bij het vormen van een veiligheidsstrategie - ook voor cyber - is helder te hebben wie het bevoegd gezag is om wat te doen. In het kader van het beschermen van de openbare orde en de (algemene) openbare veiligheid is dat de burgemeester, of in uitzonderlijke gevallen de voorzitter veiligheidsregio. Deze heeft onder andere een regionale crisisorganisatie tot haar beschikking om dat te kunnen doen. Dit wordt ook wel de algemene keten genoemd. Daarnaast zijn er functionele ketens die corresponderen met uiteenlopende beleidsterreinen. Uiteraard dienen de betrokken partijen in zowel de algemene keten als in de functionele ketens elkaar te informeren. Dat kan in de regionale crisisorganisatie.
Wie is er in het kader van cyber bevoegd gezag?
De bestuurlijke netwerkkaarten 21a. telecommunicatie en 21b. cybersecurity verwijzen alleen naar de burgemeester of voorzitter veiligheidsregio ten aanzien van de gevolgen van onbereikbaarheid van telecommunicatie. Daarnaast worden diverse andere gezagsdragers aangehaald in deze bestuurlijke netwerkkaarten.
In het geval van (dreigende) uitval van vitale openbare elektronische communicatiediensten en/of netwerken (zie BNK 21a) is het bevoegd gezag de minister van EZK (maatregelen jegens telecomsector), de minister van JenV (computercriminaliteit en persoonlijke levenssfeer) en de burgemeester of voorzitter veiligheidsregio (alleen ten aanzien van de gevolgen van onbereikbaarheid).
In het geval van inbreuk op internetveiligheid (cybersecurity) is het bevoegd gezag Minister van JenV (computercriminaliteit, persoonlijke levenssfeer en cybersecurity).
Deze functionele ketens zijn dus aan zet.
Echter, het belangrijkste inzicht dat deze bestuurlijke netwerkkaarten geven, is dat iedere organisatie zelf verantwoordelijk is voor de aanpak van cyberincidenten.
Kortom; het bevoegd gezag bij de dreigende aantasting van de openbare orde en de (algemene) openbare veiligheid, heeft maar een heel beperkte verplichting bij cyberincidenten.
De veiligheidsregio is verantwoordelijk voor de organisatie van rampenbestrijding en crisisbeheersing. De regionale crisisorganisatie is verantwoordelijk voor de uitvoering van de rampenbestrijding en crisisbeheersing. Dat is toch, ook in het kader van cyber gevolgbestrijding, een wezenlijk verschil.
Veiligheidsregio of regionale crisisorganisatie
Het tweede onderscheid wat van belang is om te maken, is over welke organisatie we praten. In het rapport van het IFV worden de verschijningsvormen veiligheidsregio en regionale crisisorganisatie door elkaar gehaald, ook voor wat betreft de aangrijpingspunten. Nu zul je denken, dat is toch hetzelfde? Maar niets is minder waar.
Een veiligheidsregio is een bestuurlijk construct. Veiligheidsregio’s zijn op basis van een gemeenschappelijke regeling ingesteld. In de regeling wordt aan het bestuur van een veiligheidsregio een aantal taken en bevoegdheden overgedragen (artikelen 8 en 9 van de Wet veiligheidsregio’s). Eén van die taken is het organiseren van de rampenbestrijding en de crisisbeheersing (art. 9 lid d Wvr.)
Een regionale crisisorganisatie is een responsief construct dat in meer of mindere mate geactiveerd kan worden onder gezag van één of meerdere burgemeester of voorzitter veiligheidsregio. Dit activeren gebeurt wanneer er sprake is van (dreigende) aantasting van de openbare veiligheid. De mate van inzet is dan nog afhankelijk van het al dan niet in (moeten) stellen van een operationeel leider namens het bevoegd gezag. Bij het instellen van dergelijke afwijkende gezagslijnen, praten we dan ook over een ramp of een crisis.
Kortom; de veiligheidsregio is verantwoordelijk voor de organisatie van rampenbestrijding en crisisbeheersing. De regionale crisisorganisatie is verantwoordelijk voor de uitvoering van de rampenbestrijding en crisisbeheersing. Dat is toch, ook in het kader van cyber gevolgbestrijding, een wezenlijk verschil.
Volgen we de inzichten in de Geïntegreerde Buitenland- en Veiligheidsstrategie 2018-2022 [2], dan is het onderscheid nog eenvoudiger te maken.
De veiligheidsstrategie is gebaseerd op de 3 V’s van veiligheid: voorkomen, verdedigen en versterken. Vertalen we dat naar regionale crisisbeheersing, dan is te stellen dat de veiligheidsregio zich richt op versterken van (het stelsel van) crisisbeheersing en de regionale crisisorganisatie zich richt op het voorkomen en verdedigen van crises. Bij dit laatste is het overigens wel van belang om proportionaliteit en subsidiariteit in ogenschouw te blijven houden. Populair gesteld; zorg ervoor dat het belang van de maatregel in verhouding staat tot de inbreuk (proportioneel) en dat wat je doet, de minst zware manier is om het beoogde effect te bereiken (subsidiair).
Met bovenstaand komen we aan de achilleshiel van het veiligheidsbeleid, want wie is verplicht en bevoegd om wat te doen? Zeker in het geval van cyberincidenten een manifeste vraag.
Samenhang in het stelsel
Koppelen we de inzichten aan elkaar, dan valt te stellen dat de organisatie veiligheidsregio namens het bevoegd gezag op de openbare orde en de (algemene) openbare veiligheid, erop is toegerust om (het stelsel van) crisisbeheersing te versterken. De regionale crisisorganisatie is bij de (dreigende) aantasting van de openbare orde en de (algemene) openbare veiligheid aan zet om namens het bevoegd gezag de onveilige situatie te voorkomen en tegen de onveilige situatie te verdedigen.
Dan terug naar de gevolgen van cyberincidenten. Een cyberincident heeft niet in directe zin gevolgen voor mensen, have&goed en leefomgeving (openbare veiligheid), zoals een brand, een verkeersongeluk, een pandemie of een overstroming dat wel heeft. Wel in indirecte zin kan een cyberincident leiden tot de aantasting van de openbare veiligheid. Bijvoorbeeld het verstoren van de drinkwatervoorziening door een hack bij het drinkwaterbedrijf. Het uitvallen van de verkeerslichten op een druk verkeersplein en de ongelukken die dat veroorzaakt. Of het ontregelen van het openbaar vervoer op een koude winteravond waardoor reizigers vast komen te zitten. Allemaal gebeurtenissen, waarbij de “trigger” misschien wel een cyberincident is. Maar wie moet daar dan wat aan doen?
Is de regionale crisisorganisatie onder het gezag van de burgemeester of voorzitter veiligheidsregio dan de organisatie die iets gaat doen aan dat cyberincident? Volgens de nederlandse wet- en regelgeving is iedereen zelf verantwoordelijk en/ of ligt het gezag bij verschillende ministers. Moet de veiligheidsregio, die belast is met het versterken van (het stelsel van) crisisbeheersing op basis van datzelfde algemene gezag, zich daar dan wel mee bezig houden?
Conclusie
Terug naar het rapport van het IFV, de gestelde aangrijpingspunten en mijn conclusie.
Wat ontbreekt is de brede beschouwing op de context (wat bedreigt ons en hoe erg is dat?). Daarnaast verzuimen de auteurs om te beschouwen wie waartoe verplicht en bevoegd is in het geval van cyberincidenten. Zo ontbreekt bijvoorbeeld iedere verwijzing naar bestuurlijke netwerkkaarten. Zonder deze twee elementen worden vervolgens wel punten genoemd ten aanzien van “kennis en kunde”.
Dat kennis het vermogen is om te bepalen wat er gedacht en gedaan moet worden is een enorme open deur.
Kernvraag is echter bij wie die kennis verwacht mag worden. En dat raakt aan de achilleshiel van het veiligheidsbeleid: wie is bevoegd en wie informeert wie? (Brainich, 2004).
In het geval van (dreigende) uitval van vitale openbare elektronische communicatiediensten en/of netwerken (zie BNK 21a) is het bevoegd gezag de minister van EZK (maatregelen jegens telecomsector), de minister van JenV (computercriminaliteit en persoonlijke levenssfeer) en de burgemeester of voorzitter veiligheidsregio (alleen ten aanzien van de gevolgen van onbereikbaarheid).
In het geval van inbreuk op internetveiligheid (cybersecurity) is het bevoegd gezag Minister van JenV (computercriminaliteit, persoonlijke levenssfeer en cybersecurity).
Deze functionele ketens zijn dus aan zet.
Wanneer ook de openbare orde en/ of de (algemene) openbare veiligheid wordt bedreigd of aangetast vereist dat uiteraard wel afstemming tussen ketens.
- Maar moeten crisisfunctionarissen dan meer weten over cyber?
- Moeten ICT-functionarissen dan meer weten over crisisbeheersing?
- Hebben veiligheidsregio’s (of regionale crisisorganisaties?) daarvoor een OvD-Cyber nodig?
Ik denk dat alleen het laatste aangrijpingspunt volstaat; kom tot samenwerking door gezamenlijke inspanning voor de verschillende disciplines. Niet om elkaars vak te leren, maar om te ervaren dat ieder vanuit eigen professionaliteit in staat is om datgene te doen wat (op basis van bevoegd gezag) belegd is.
Schoenmaker, blijf bij je leest.