Hoe gaan we hiermee om?

Beleid over cybercriminaliteit en ransomware is volop in ontwikkeling. Enkele staten, waaronder Nederland, hebben de mogelijkheid onderzocht om betalingen aan hackers strafbaar te tellen, maar dat is tot heden nergens ingevoerd. De overheid geeft slechts een dringend advies om niet te betalen in het geval van gijzelsoftware.

Het Nationaal Cyber Security Centrum (NCSC) als spin in het web coördineert de landelijke aanpak en adviseert partijen. Het werkt hierin nauw samen met cybersecuritybedrijven, verzekeraars en de politie. Daarnaast is het Digital Trust Center (DTC) ingericht ter ondersteuning van het bedrijfsleven.

Het is niet per definitie verboden losgeld te betalen maar soms kan het wel strafbaar zijn, afhankelijk van de context. Dit is deels te verklaren vanuit een geopolitiek perspectief op ransomware, vooral als er sprake is van betalingen aan gesanctioneerde individuen of groepen uit onvrije landen als Rusland, Iran en Noord-Korea.

“Ransomware payments benefit illicit actors and can undermine the national security and foreign policy objectives of the United States” (Dept of Treasury, 2021)

“The UK has sanctioned 7 Russian cyber criminals through coordinated actions with the US government.” (HM Government, 2023)

Welke wetten hebben we om dit tegen te gaan?

De meest relevante huidige wetgeving is de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni 2018) in Nederland. De Wbni komt voort uit Europese wetgeving en introduceerde verplichte meldplicht en zorgplicht voor belangrijke entiteiten. Uit evaluatie bleek dat de implementatie in de Europese lidstaten te wensen over laat. Het EU-bedrijfsleven is momenteel niet weerbaar genoeg voor de cyberdreigingen en de weerbaarheid is ongelijk verdeeld over lidstaten en sectoren. Ook bleek dat er geen gezamenlijk beeld bestaat over de dreigingen en uitdagingen waar de EU voor staat.

Daarom werd de NIS2 richtlijn gelanceerd in januari 2023, als opvolging van NIS1. Nederland heeft nog tot oktober 2024 om deze richtlijn om te zetten in nationale wetgeving middels een update van de Wbni. Veel meer sectoren vallen onder NIS2 dan voorheen en de richtlijn dwingt partijen ook tot dialoog met leveranciers.