Niet alles wat uit de Verenigde Staten komt, is onwelkom. Jen Easterly, directeur Cybersecurity and Infrastructure Security Agency van het US Department of Homeland Security zei vorig jaar: ‘We don’t have a cybersecurity problem. We have a software quality problem. [...]We have a multi-billion dollar cybersecurity industry because for decades, technology vendors have been allowed to create defective, insecure, flawed software.’ Een vrouw naar ons hart. Informatiebeveiliging begint immers bij “goede waar”. Veel incidenten zijn te wijten aan gebrekkige softwareontwikkeling, onvoldoende testen en te weinig onderhoud, waarbij beveiliging bijzaak is en fouten autonoom of door (on)opzettelijk handelen tot verstoring en misbruik leiden. Dat geldt voor ict-producten en diensten en de wetgevers dwingt ‘security by design’ steeds vaker af. Beveiligingsmaatregelen moeten dus vanaf het begin worden ingebouwd in plaats van pas later toegevoegd. Vergeet hierbij het principe van security by default niet. Dit houdt in dat ict bij levering als uitgangspunt een standaard beveiligde configuratie moeten hebben. Volgens sommigen falen CISO’s omdat zij de taal van de bestuurskamer niet spreken. Wij draaien het om. Op grond van de NIS2-richtlijn hebben de individuele bestuurders van de ongeveer 8000 entiteiten een kennisplicht in dit domein. Het kennisproces begint met het inzicht dat informatiebeveiliging een multidisciplinair vakgebied is waarin technische, organisatorische en juridische expertise samenkomen en naadloos moeten samenwerken. Dit multidisciplinaire karakter vereist voortdurende bijscholing en een gestructureerde dialoog tussen bestuurders, CISO’s, organisatiedeskundigen en juristen. De regulering van informatiebeveiliging is inmiddels een eigen vakgebied geworden en in onze visie uitgegroeid tot een kernonderdeel van het digitaal recht. De oorzaak? De structurele afhankelijkheid van computersystemen en -netwerken, falende zelfregulering en de groeiende dreigingen in omvang, diversiteit en intensiteit. Gebrekkige ict, nieuwe technologie, menselijke fouten, sjoemelende organisaties, criminaliteit en statelijke actoren vormen een bonte en wisselende samenloop van continue dreigingen. De juridische aspecten van informatiebeveiliging winnen telkens aan belang, maar beperken zich niet uitsluitend tot de bescherming van gegevens en fundamentele rechten, zoals vaak het geval is bij single-issue-wetgeving. Het informatiebeveiligingsrecht is een interdisciplinair domein dat de klassieke indeling in staatsrecht, privaatrecht, strafrecht en bestuursrecht horizontaal doorkruist. Dit juridisch integratiespecialisme vraagt ook om een breedbeeldvisie.