Onze cybersecuritysector is jong en kent veel toetredende spelers. In dit landschap willen we voor afnemers van diensten meer transparantie aanbrengen. Ook willen we waarborgen bieden voor de kwaliteit van de diensten die onze sector levert. Hieraan werken we in onze werkgroep kwaliteit en transparantie.
Cybersecurity Woordenboek
Het cybersecurity woordenboek legt zo’n 780 cybersecurity termen uit in begrijpelijke taal. We ontwikkelden dit woordenboek met ruim 90 organisaties en vele Nederlandse cybersecurity professionals, en tevens in samenwerking met het ECP, Platform voor de Informatiesamenleving. Deze gezamenlijke inspanning maakt het mogelijk om gebruikers van cybersecuritydiensten beter te ondersteunen of als specialist de directie beter te informeren. Met het woordenboek kunnen zij eenvoudiger het gesprek aangaan. Het is een waardevolle gids voor iedereen die werkt aan de digitale weerbaarheid van Nederland, of er meer over te weten wil komen. In november 2024 is het woordenboek herzien en beschikbaar gemaakt in de vierde druk.
Buyers guide securitytesten
We hebben op 1 juli 2021 de buyers guide securitytesten gepubliceerd. Met dit document hopen we dat organisaties een specifiekere uitvraag kunnen doen in de markt als zij behoefte hebben aan een securitytest. Dit document geeft heldere definities van de verschillende diensten en laat zien wat de huidige mogelijkheden zijn op dit gebied. Op deze manier kunnen organisaties scherper kiezen wat bij hen past, maar met deze informatie kunnen bijvoorbeeld ook offertes beter met elkaar vergeleken worden.
Buyers guide gedrag, awareness en organisatiecultuur
Er zijn de laatste jaren veel nieuwe inzichten ontstaan over de wijze waarop veilig gedrag van medewerkers kan worden gestimuleerd. Dat heeft ertoe geleid dat in de cybersecuritymarkt een breed scala aan dienstverlening op dit gebied is ontstaan. In de buyers guide 'gedrag, awareness en organisatiecultuur' hebben we op een rij gezet waarmee je rekening moet houden als je met dit onderwerp aan de slag wilt én hebben we een overzicht gemaakt van veel voorkomende dienstverlening op dit gebied.
Risicoklassenindeling Digitale Veiligheid
Een cyberincident kan grote gevolgen hebben. Toch is digitale veiligheid bij veel ondernemers een ondergeschoven kindje. Vaak ontbreekt de kennis om de digitale beveiliging goed op orde te brengen. Ondernemersorganisaties en vakinhoudelijke experts hebben de handen ineengeslagen en een instrument ontwikkeld om het MKB weerbaarder maken tegen cyberaanvallen: de Risicoklassenindeling Digitale Veiligheid.
Leaflet Coordinated Vulnerability Disclosure
De maatregelen die Nederlandse bedrijven nemen om zich te beschermen tegen cybercrime zijn niet altijd toereikend. Cyberveilig Nederland vindt dat het inzetten van ethische hackers een belangrijke oplossing is om je beter te wapenen tegen de risico’s en voor het verbeteren van de informatiebeveiliging. Daarom heeft Cyberveilig Nederland in 2019 een stappenplan ontworpen om organisaties te helpen zogenaamde ‘coordinated vulnerability disclosure’ te implementeren. Het stappenplan helpt organisaties ervaring op te bouwen met CVD zodat het daadwerkelijk van toegevoegde waarde is bij het verbeteren van de eigen informatiebeveiliging.
Ontwikkeling certificering voor cybersecuritydiensten
Samen met andere (koepel)organisaties werken we onder leiding van het CCV aan diverse certificeringsschema’s voor cybersecuritydiensten. Een eerste schema voor penetratietesten sinds 2021 beschikbaar. In 2022 heeft het keurmerk de Computable awards gewonnen in de categorie Resilience.
Schema’s voor awareness en opleiden (mei 2025) en incident respons (najaar 2025) komen binnenkort beschikbaar. Door deze keurmerken kunnen cybersecurity dienstverleners met dit certificaat aantonen dat hun testen van goede kwaliteit zijn. We zijn bezig met het ontwikkelen van vergelijkbare schema's voor SOC-diensten en risico. De (door) ontwikkeling vindt plaats met input van betrokken leden.
Cyberveilig Nederland behartigt de belangen van de cybersecuritysector richting stakeholders zoals de overheid, wetenschap en politiek. Dat doen we door actief te reageren op (internet)consultaties van wet- en regelgeving zoals de Cyberbeveiligingswet (NIS2), input te leveren bij (commissie)debatten van de Tweede Kamer en in gesprekken met ambtenaren en politici.
In de afgelopen jaren zijn veel verschillende cybersecurityrapporten, strategieën en roadmaps gepubliceerd waar Cyberveilig Nederland een bijdrage aan heeft geleverd, zoals de Nederlandse Cybersecurity Strategie (NLCS) en verschillende publicaties van de Cyber Security Raad.
De werkgroep Public Affairs bespreekt de input voor rapporten en debatten, bepaalt de standpunten van de vereniging en bereid reacties voor op actuele ontwikkelingen.
Kamerbrieven
Vanuit Cyberveilig Nederland voeren we gesprekken met Kamerleden. Ook staat het onderwerp cybersecurity vaak geagendeerd op de (Tweede Kamer) agenda. Cyberveilig Nederland geeft regelmatig input voor deze overleggen middels kamerbrieven.
2025:
2024:
2022:
Position paper Digitale veiligheid als voorwaarde voor digitale transformatie
Vanuit CVNL hebben we in 2020 een position paper geschreven over hoe het verkleinen van de digitale kwetsbaarheid van Nederland een gemeenschappelijke uitdaging is, die vraagt om een actieve en stimulerende rol van de overheid en politiek. Cyberveilig Nederland geeft haar visie op de rol die cybersecurity speelt in deze digitale transformatie.
De volgende vijf ambities voor het nieuwe kabinet zijn hierin leidend:
In 2025:
Position papers Nationaal Cybersecurity Lab
Cyberveilig Nederland was één van de intiatiefnemers van het Nationaal Cybersecurity Lab. In dit ‘lab’ worden wetenschappers en het bedrijfsleven bijeen gebracht om wetenschappelijke inzichten met best practices vanuit het bedrijfsleven te combineren. De overheid is klankbord. Na de labsessie wordt een position paper met een kernachtige weergave van de oplossingen openbaar gemaakt en verspreid. Er zijn in totaal 3 position papers gepubliceerd:
Reageren op relevante wet- en regelgeving
De Europese Unie heeft een hoeveelheid aan wetgeving voor cybersecurity gemaakt. Dit betekent dat we de komende jaren met veel nieuwe wetgeving te maken gaan krijgen als sector: in de advisering van onze klanten of omdat we zelf aan deze wetten en regels moeten voldoen. De belangrijkste zijn de Cyberbeveiligingswet (NIS2) en de Verordening Cyberweerbaarheid (CRA). Vanuit de werkgroep PA geven we input. Resultaten hiervan zijn:
Tijdslijn relevante wetten en regels
2024
2025
Zitting in Cyber Security Raad
Directeur Cyberveilig Nederland zit namens de cybersecurity sector als toehoorder in de Cyber Security Raad (CSR). De CSR is nationaal en onafhankelijk adviesorgaan van het kabinet en is samengesteld uit hooggeplaatste vertegenwoordigers van publieke en private organisaties en de wetenschap. De CSR zet zich op strategisch niveau in om de cybersecurity in Nederland te verhogen
Samenwerking met brancheorganisaties uit het digitale domein
Sinds 2020 werken we actief samen met andere brancheorganisaties die de digitale infrastructuur sector vertegenwoordigen. Activiteiten die hieruit zijn voortgekomen zijn onder andere de Digitale Binnenhof Academy en gezamenlijke brieven richting overheid en politiek en de organisatie van een debat met kamerleden over de digitale toekomst.
Om Nederland een onaantrekkelijk doelwit te maken voor digitale aanvallen is het essentieel dat
publieke en private partijen sneller (onderling) informatie delen over digitale dreigingen en incidenten. Hierdoor ontstaat een breed gedragen inzicht in actuele problematiek en wordt handelingsperspectief gecreëerd waardoor incidenten elders kunnen worden voorkomen of de impact wordt verminderd.
Vanuit CVNL hebben we de afgelopen jaren hard gewerkt aan meer transparantie en het delen van informatie vanuit de sector.
Mijlpalen project Melissa
Jaarbeeld ransomware
Het Jaarbeeld Ransomware biedt inzicht in ransomware-aanvallen in Nederland en is gebaseerd op geanonimiseerde aangeleverde gegevens over ransomware-aanvallen door aangesloten cybersecuritybedrijven, politie, OM en het NCSC. Het jaarbeeld is ontstaan vanuit de samenwerking Melissa. In 2023 is het eerste jaarbeeld gepubliceerd.
Betrokken partijen delen maandelijks informatie over ransomware-incidenten. Het doel is om beter inzicht te krijgen hoe vaak en op welke manier organisaties in Nederland worden getroffen door ransomware-incidenten. Want over hoe meer actuele informatie we beschikken, hoe effectiever we ransomware kunnen bestrijden.
Project Melissa
Melissa is een samenwerkingsverband tussen het Openbaar Ministerie, het NCSC, de politie, Cyberveilig Nederland en diverse van onze leden. Het gezamenlijke doel is om Nederland een onaantrekkelijk doelwit te maken voor ransomwarecriminelen. Melissa in eind 2024 gevalueerd door de Universiteit Leiden.
Programma Cyclotron
Het programma Cyclotron is een publiek-private samenwerking tussen overheid, bedrijven en maatschappelijke organisaties. Deze samenwerking moet leiden tot een platform waarbinnen publieke en private partijen informatie delen over digitale incidenten en dreigingen. Zo helpt programma Cyclotron om Nederland een onaantrekkelijk doelwit te maken voor digitale aanvallen.
De kern van programma Cyclotron is samenwerking en informatiedeling tussen publieke- en private organisaties. Zo wordt relevante informatie snel verzameld en naar de juiste kanalen gestuurd voor analyse en respons. Daardoor kunnen organisaties binnen het netwerk snel reageren op (dreigende) aanvallen van cybercriminelen en andere (statelijke) actoren. Ook kunnen beveiligingsteams sneller reageren op nieuwe bedreigingen en maatregelen nemen om schade te beperken.
Cyberveilig Nederland en diverse van de leden zijn betrokken bij diverse use cases van Cyclotron. Ook participeren we in de Governance board van het programma.
Industriële automatiseringssystemen vormen het fundament van belangrijke fysieke processen, zoals de productie en verwerking van grondstoffen, het zuiveren van drinkwater, de bediening van sluizen en distributie van elektriciteit. De veiligheid van deze systemen is van fundamenteel belang voor de Nederlandse maatschappij en economie. Echter de kennis over cybersecurity in dit domein (vaak benoemd als Operationele Technologie – OT of Industrial Automation & Control Systems – IACS) is beperkt en gefragmenteerd.
IACS coalitie
Om het belang te benadrukken is vanuit de Nederlandse Cyber-securitystrategie (NLCS) de IACS coalitie opgericht. CVNL is private partner in de coalitie. Het doel van de IACS Coalitie is om de ontwikkelingen en activiteiten op dit vakgebied te volgen, te bundelen, er richting aan te geven en de kennis hierover vanuit het collectief te delen met anderen.
Door de samenwerking van CVNL met onder andere het NCSC, de RDI, de VNG en het Ministerie van IenW binnen de coalitie ontstaat een krachtige samenwerking van zowel publieke als private organisaties om de digitale weerbaarheid van het IACS landschap te verhogen. Dit draagt daarmee direct bij aan een veiligere leefomgeving binnen Nederland. Vanuit de IACS coalitie worden (kennis)producten ontwikkeld en wordt informatiedeling gestimuleerd.
Werken aan het thema informatiedeling vindt plaatst in een aantal publiek private samenwerkingen waarin op specifieke onderwerpen informatie wordt gedeeld. Op dit moment is dat via project Melissa (ransomware) en het programma Cyclotron (delen van dreigingsinformatie).
In het voortdurend veranderende dreigingslandschap wordt het steeds belangrijker dat we de handen ineenslaan en snel informatie met elkaar delen om de cyberweerbaarheid te vergroten. Cyberveilig Nederland werkt nauw samen met de overheid en andere stakeholders om waar mogelijk snel informatie met elkaar te delen.
Whitepaper ransomware
Cyberveilig Nederland (CVN) heeft in samenwerking met enkele van haar leden, de Nationale Politie en het Nationaal Cyber Security Centrum (NCSC) een Whitepaper Ransomware gepubliceerd. Doel van het whitepaper is het op een laagdrempelige manier bieden van inzicht en handelingsperspectief zodat organisaties zich beter kunnen beveiligen tegen cybercriminelen.
Dit is een whitepaper dat een eerste overzicht geeft van de problematiek rondom ransomware. Volgende whitepapers zullen zich meer verdiepen in andere aspecten van ransomware zoals varianten, enabling factoren als crypto-currency en de rollen van de verschillende dadergroepen en hoe slachtoffers daarmee te maken krijgen.
OKTT status toegekend door ministerie van Justitie en Veiligheid
Het Nationaal Cyber Security Centrum (NCSC) en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) hebben Cyberveilig Nederland in december 2020 aangewezen als schakelorganisatie (OKTT) binnen het landelijk dekkend stelsel. Hierdoor is intensievere informatie-uitwisseling tussen het NCSC en Nederlandse cybersecuritybedrijven mogelijk gemaakt. Door de wettelijke aanwijzing kan het NCSC relevante informatie over dreigingen, incidenten en kwetsbaarheden met Cyberveilig Nederland uitwisselen. Vanuit Cyberveilig Nederland wordt deze informatie vervolgens gedeeld met de organisaties en bedrijven die bij ons aangesloten zijn. Ook zijn er communicatiekanalen met het NCSC opgezet die het mogelijk maken om in geval van een calamiteit snel te kunnen schakelen.
Cyberveilig Nederland biedt training aan voor gebruikers van MISP
MISP is facto de standaard die organisaties van elke grootte, zowel publiek als privaat gebruiken voor het uitwisselen van cyber threat intelligence. Van technische Indicators of Compromise tot strategische informatie.
Cyberveilig Nederland biedt in 2024 een ééndaagse MISP gebruikerstraining aan. Hierin leren analisten een goede start te maken met het opslaan, correleren en delen van threat intelligence. Hiermee wordt nu nog losstaande incidentdata georganiseerd tot een body of knowledge én kan je organisatie gebruikmaken van de grote hoeveelheid intel die (al dan niet gratis) beschikbaar is.
Zie voor meer informatie over deze training het nieuwsbericht