In 2024 publiceerden Els De Busser en ik (Parto Afshari): The New F-word: the case of fragmentation in Dutch cybersecurity governance. De centrale vraag in dit artikel is of dit governancelandschap überhaupt als versnipperd kan worden beschouwd. Ondanks het ontbreken van duidelijke drempels voor wanneer institutionele structuren als zodanig kunnen worden aangemerkt, vormden de 29 organisaties die wij aantroffen, verdeeld over 7 ministeries, een overtuigend bewijs. En nu, twee jaar later, is er al een lichte verschuiving richting meer integratie.

Sinds januari 2026 zijn het Nationaal Cyber Security Centrum (NCSC, Ministerie van Justitie en Veiligheid), het Digital Trust Centre (DTC, Ministerie van Economische Zaken en Klimaat) en het Computer Security Incident Response Team voor digitale dienstverleners (C‑SIRT‑DSP, idem) officieel samengevoegd tot één organisatie: het NCSC. Positief nieuws, omdat deze stap hun werkwijzen samenvoegt, de effectiviteit vergroot en een centraal aanspreekpunt creëert voor vitale infrastructuur en publieke en private organisaties in Nederland op het gebied van cybersecurity en dreigingsinformatie.

House of Cyber

De aankondiging van het House of Cyber tilt de samenwerking naar een hoger niveau en zal naar verwachting de informatie-uitwisseling tussen partners op het gebied van cybersecurity versterken. Dit initiatief, naar het voorbeeld van het Franse ‘Campus Cyber’, werd enkele jaren geleden al voorgesteld door de voormalige directeur van het NCSC. Het toekomstige House of Cyber moet de plek worden waar meerdere publieke en private organisaties samenkomen om aan cybersecurity te werken in één gebouw, gevestigd in Den Haag (Mariahoeve). Ze willen onderdank bieden aan een breed scala aan organisaties, waaronder het NCSC, de Nationale Politie, het Ministerie van Defensie, TNO en The Hague Security Delta.

Een unieke stap, gezien de ruimtelijke fragmentatie waarmee deze organisaties momenteel te maken hebben. Ruimtelijke fragmentatie verwijst naar de fysieke afstand tussen actoren en organisaties. De integratie kan zorgen voor een betere herkenning van partnerorganisaties, intensievere samenwerking, snellere uitwisseling van informatie en kennis, meer informele interactie en effectievere coördinatie tijdens acute cyberdreigingen. Daarnaast kan met de oprichting van een centrum waarin expertise wordt gebundeld, het tekort aan (technische) cybersecuritykennis worden verminderd. Dit bevordert niet alleen het delen van expertise, maar kan ook de huidige concurrentie hierom tussen publieke en private organisaties verminderen. Door de fysieke barrières van ruimtelijke fragmentatie weg te nemen, kunnen reistijden afnemen en toegangsprocedures mogelijk sneller en meer geharmoniseerd verlopen.

Verder zou er een gedeelde cultuur kunnen ontstaan waarin de verschillende publieke en private organisatieculturen samensmelten tot een collectieve cultuur met een gemeenschappelijke bestaansreden en doel: het versterken van digitale weerbaarheid.

Recente cyberaanvallen in Nederland hebben de urgentie van betere samenwerking opnieuw onderstreept. Denk bijvoorbeeld aan de hack bij telecomprovider Odido, die opnieuw liet zien hoe nauw publiek en privaat met elkaar verweven zijn. Zo onderhouden het NCSC en het Ministerie van Economische Zaken nauw contact met telecomproviders over actuele kwetsbaarheden en dreigingen. Ze werken ook samen met vele sectorale Information Sharing and Analysis Centers (ISAC’s) in Nederland. Daarnaast was er intensief contact tussen de Nederlandse politie, de Autoriteit Persoonsgegevens, Odido en Veiliginternetten.nl om mogelijk misbruik van gelekte gegevens te beoordelen en slachtoffers te adviseren over hoe zij de gevolgen kunnen beperken.

Uitdagingen

De relevantere vraag is echter niet of deze maatregel wenselijk is, maar welke potentiële uitdagingen in overweging moeten worden genomen. Ik bespreek er hier drie.

Ten eerste roept het vragen op over de mate waarin organisaties de benodigde juridische mandaten hebben om informatie met elkaar te delen, aangezien bestaande juridische barrières niet verdwijnen door het delen van één gebouw.

Ten tweede kan samen gehuisvest zijn weliswaar fysieke barrières verminderen, maar hoewel organisaties een gezamenlijke ingang delen, blijven het afzonderlijke entiteiten. Dit roept vragen op over de verschillende toegangs- en beveiligingsprotocollen die zij hanteren. Extra interne barrières voor toegang en uitwisseling kunnen daardoor het doel van dit initiatief ondermijnen. Met het risico om Kafkaiaans te klinken, stel ik dat de zoektocht naar meer coördinatie en integratie paradoxaal genoeg juist bestaande beperkingen binnen de cybersecurity‑governance kan aanscherpen, met extra bureaucratie tot gevolg.

Ten derde betekent het samenbrengen van verschillende cyberteams uit diverse publieke en private organisaties in één gebouw tegelijk dat deze teams loskomen van hun eigen organisatorische context en cultuur. Integratie op het ene vlak kan onbedoeld leiden tot fragmentatie op een ander vlak. Het vinden van een balans daartussen is daarom essentieel.

Uiteindelijk is het House of Cyber een veelbelovend initiatief dat integratie bevordert en een integrale aanpak biedt voor het tegengaan van digitale dreigingen en het versterken van digitale weerbaarheid. De centrale vraag die we ons echter moeten blijven stellen, is: in hoeverre 'fragmenderen' we de governance van cybersecurity werkelijk?

• veiligheid

Delen op Facebook Delen via Bluesky Delen op LinkedIn Delen via WhatsApp Delen via Mastodon