De Rijksoverheid en vitale aanbieders worden straks verplicht om kritieke kwetsbaarheden in hun systemen te verhelpen of aan een toezichthouder uit te leggen waarom ze dit niet doen. Dit moet situaties zoals met het beveiligingslek in Citrix voorkomen, zo heeft minister Grapperhaus van Justitie en Veiligheid laten weten bij de presentatie van het jaarlijkse Cybersecuritybeeld Nederland (CSBN) aan de Tweede Kamer.
Grapperhaus stelt dat het voorkomen van maatschappelijke ontwrichting door incidenten binnen vitale processen de hoogste prioriteit binnen de Nederlandse Cybersecurity Agenda heeft. Om dergelijke verstoringen te voorkomen werkt het kabinet aan een "pas toe of leg uit"- systematiek voor vitale aanbieders en de Rijksoverheid. Bij ernstige kwetsbaarheden, zoals in het geval van een high-high beveiligingsadvies van het NCSC, moeten deze partijen mitigerende maatregelen nemen of uit kunnen leggen aan een door de verantwoordelijke minister gemandateerde organisatie, bijvoorbeeld een toezichthouder, waarom ze deze niet nemen.
"Als er een soortgelijke situatie plaatsvindt zoals tijdens de problemen met Citrix-software, is de vrijblijvendheid van het nemen van maatregelen voorbij", aldus het ministerie van Justitie en Veiligheid. Grapperhaus voegt toe dat de nieuwe maatregel ervoor moet zorgen dat beveiligingsadviezen van het NCSC beter worden opgevolgd. In het geval van bijvoorbeeld de Citrix-kwetsbaarheid had het NCSC hiervoor gewaarschuwd. Binnen de Rijksoverheid bleken er echter verschillende organisaties te zijn die de geadviseerde oplossing niet of niet tijdig hadden doorgevoerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.