THEMAVERHAAL: Maatschappelijke vraag naar weerbaarheid stelt AIVD voor nieuwe uitdagingen

  • Het aantal organisaties dat de AIVD om actuele informatie en praktisch advies vroeg nam in 2023 toe.
  • Om meer organisaties te laten profiteren van de unieke kennis van de AIVD, werkt de dienst vaker samen, ook buiten de rijksoverheid.
  • De AIVD onderzocht in 2023 de kansen en de risico’s van artificiële intelligentie voor de veiligheid van Nederland.

De AIVD doet niet alleen inlichtingenonderzoek naar dreigingen tegen Nederland. Het is ook de taak van de dienst om op basis van zijn inlichtingenpositie bij te dragen aan het verhogen van de weerbaarheid van de overheid, vitale sectoren, kennisinstellingen en (delen van) het bedrijfsleven. De AIVD maakt hen meer bewust van de gevaren van spionage, sabotage en kennisdiefstal, adviseert over adequate veiligheidsmaatregelen, helpt de rijksoverheid staatsgeheimen te beschermen, en geeft organisaties die door spionage en kennisdiefstal zijn getroffen perspectief en advies.

De AIVD wordt de afgelopen jaren steeds meer bevraagd op die weerbaarheidstaak. Ook in 2023 nam het aantal organisaties dat de AIVD om actuele informatie en praktisch advies vroeg toe. Dat heeft alles te maken met het groeiend aantal cyber- en spionage-incidenten waarmee Nederlandse hightechbedrijven, kennisinstellingen en de rijksoverheid te maken krijgen, en met het groeiende maatschappelijk besef van die gevaren. De behoefte aan advies en handelingsperspectief komt steeds vaker van niet-traditionele partners van de AIVD. Dat wil zeggen van organisaties buiten de rijksoverheid en de vitale sectoren die de AIVD van oudsher adviseert. Bovendien gaan vragen vaker over concrete situaties.

Dat stelt de dienst voor uitdagingen. De gegroeide behoefte aan weerbaarheids advies en -producten vraagt meer capaciteit van de dienst. De AIVD heeft daarom in 2023 geïnvesteerd in de onderwerpen kennisveiligheid, economische veiligheid en de bescherming van vitale belangen.

De dienst heeft bovendien de samenwerking gezocht met andere relevante partijen. Dat is efficiënt: via samenwerkingsverbanden kunnen méér organisaties tegelijk profiteren van de kennispositie van de AIVD. En het is effectief, want weerbaarheid vraagt om een aanpak die is gecoördineerd – binnen de Nederlandse overheid, en tussen de overheid en de maatschappij. Zo droeg de AIVD in 2023 verder bij aan het (in januari 2022 opgerichte) Loket Kennisveiligheid. Alle relevante overheidspartijen werken daarin samen om Nederlandse kennisinstellingen te helpen met veiligheidsvragen. In 2023 werden meer dan tweehonderd casussen ingediend.

Ook was de AIVD in 2023 betrokken bij de oprichting van het Ondernemersloket Economische Veiligheid (OLEV). Dat is hét aanspreekpunt bij de overheid voor kennisintensieve midden- en kleinbedrijven die vragen hebben over economische veiligheid. Ook de MIVD en diverse ministeries zijn betrokken bij het loket.

De AIVD zocht de samenwerking afgelopen jaar ook buiten de Rijksoverheid. Voor een pilot deelde de dienst voor het eerst ook dreigingsinformatie met publieke en private partijen. Dat gebeurde in het programma Cyclotron. Dat is opgericht om het voor publiek-private partijen mogelijk te maken bij (dreigende) cyberincidenten snel en gericht informatie te delen.

Veilige vitale processen en een veilige overheid

Een ander belangrijk thema op het gebied van weerbaarheid in 2023 was de bijdrage die de AIVD leverde aan de veiligheid van vitale sectoren. Sabotage (digitaal of fysiek) van vitale processen kan de nationale veiligheid van Nederland bedreigen. Voor bedrijven in die sectoren maakt de AIVD specifieke, op hen toegesneden dreigingsbeelden en (veiligheids)adviezen. In 2023 werden die in het bijzonder gemaakt voor de Nederlandse energiesector, de telecommunicatiesector, de maritieme sector en de burgerluchtvaart.

Ook droeg de AIVD bij aan het Programma Bescherming Noordzee Infrastructuur van het ministerie van Infrastructuur en Waterstaat. Dat is gericht op de bescherming van de vitale maritieme infrastructuur in Nederlandse kustgebieden en de Nederlandse Exclusieve Economische Zone. De AIVD duidde welke statelijke dreigingen daartegen zijn onderkend en droeg ook bij aan het Programma Aanpak Havens. Verder nam de dienst deel aan een nieuwe publiek-private samenwerking die zich concentreert op het veilig maken en houden van windmolenparken op de Noordzee.

Weerbaarheid vraagt om een aanpak die is gecoördineerd – binnen de Nederlandse overheid, en tussen de overheid en de maatschappij

De AIVD maakte diverse dreigings- en risicoanalyses die bijdragen aan de weerbaar heid van de Nederlandse burgerluchtvaart. Die analyses zijn gemaakt op verzoek van de Nationaal Coördinator en Terrorismebestrijding en Veiligheid (NCTV) en het ministerie van Infrastructuur en Waterstaat. De dienst beantwoordde daarnaast doorlopend vragen uit de sector, begeleidde adviestrajecten en gaf veiligheidsbriefings.

De AIVD droeg ook bij aan de invoering van nieuwe Europese richtlijnen die vitale processen veiliger moeten maken. Zo moet de Europese CER-richtlijn in 2024 worden verwerkt in Nederlandse regelgeving. De Critical Entities Resilience-richtlijn komt met nieuwe uitgangspunten voor de beveiliging van onder meer energie producenten en drinkwatervoorzieningsbedrijven. Meer sectoren worden voortaan als vitaal aangemerkt.

Diverse ministeries en de NCTV bepalen welke sectoren dat zijn, weerbaarheids analyses helpen daarbij. De AIVD leverde daarvoor dreigingsinformatie aan. Ook de Europese NIS2-richtlijn moet in 2024 worden uitgewerkt in Nederlandse wetgeving. De tweede Network and Information Security-richtlijn is gemaakt om de cyberveiligheid van essentiële diensten te vergroten. NIS2 bevat onder meer strengere beveiligingsnormen en meldingsvereisten bij cyberincidenten. De AIVD gaf organisaties die daarmee te maken hebben in 2023 adviezen en informatie over dreigingen en mogelijke maatregelen daartegen.

De AIVD stelde in 2023 een beschouwing op over welke risico’s er zijn als (rijks)ambtenaren applicaties gebruiken die zijn gemaakt in landen met een tegen Nederland gericht offensief cyberprogramma. Eén van die applicaties is TikTok. De beschouwing was voor het kabinet mede de reden om het beleid over het gebruik van apps op mobiele werkapparatuur aan te scherpen.

Veilige informatie en beveiligingsproducten

Samen met het ministerie van Defensie en de MIVD ziet de AIVD toe op de beveiliging van internationaal gerubriceerde informatie. Dat is de geheime informatie van de EU, de NAVO en het Europese ruimtevaartprogramma (ESA). De AIVD is National Security Authority, in die hoedanigheid doet de dienst inspecties bij onderdelen van de overheid en bedrijven die met zulke informatie mogen werken. De AIVD controleert zowel hun fysieke als digitale beveiliging.

De AIVD draagt ook bij aan de ontwikkeling van betrouwbare informatiebeveiligingsproducten. Cryptografische beveiligingsproducten kunnen niet zonder sleutel materiaal. De AIVD ontwikkelt en distribueert cryptosleutelmateriaal via de Nationale Distributie Autoriteit. De vraag daarnaar nam toe.

De AIVD onderzoekt welke risico’s AI met zich meebrengt en hoe je je daartegen kunt weren

De Nationale Cryptostrategie (NCS) schrijft voor hoe de overheid ervoor kan zorgen dat hoogwaardige informatiebeveiligingsproducten beschikbaar blijven voor zeer gevoelige informatie. De in 2023 onder die strategie (verder) ontwikkelde producten, worden binnenkort opgeleverd. In 2024 kan de ontwikkeling van nieuwe beveiligingsproducten voor andere behoeften beginnen. De AIVD en de ministeries die deelnemen aan de NCS verkennen hoe de Nederlandse cryptoindustrie verder kan worden versterkt. Dat is nodig om cryptoproducing nation te blijven, een status die Nederland op cryptogebied een belangrijke strategische positie geeft in de EU en NAVO.

Om geheime informatie veilig te kunnen delen met andere landen, maakt Nederland afspraken met hen in zogeheten General Security Agreements (GSA’s). Sinds eind 2019 is de AIVD verantwoordelijk voor de onderhandelingen over zulke beveiligings verdragen, die de dienst voert samen met de ministeries van Buitenlandse Zaken, Defensie en Economische Zaken en Klimaat. In 2023 zijn de GSA’s met België en Polen geratificeerd en in werking getreden.

Bescherming tegen de digitale dreigingen van de toekomst

De AIVD kijkt altijd vooruit naar technologieën die belangrijk voor Nederland kunnen worden. De AIVD onderzoekt onder meer (het veilige gebruik) van post quantum, cloud en artificiële intelligentie (AI). AI heeft het afgelopen jaar een enorme vlucht genomen, met name met de komst van ChatGPT, eind 2022. De AIVD onderzoekt wat AI kan bijdragen aan de weerbaarheid van Nederland, welke risico’s de technologie met zich meebrengt en hoe je je daartegen kunt weren, en hoe je AI-systemen kunt beveiligen. Over die beveiliging bracht de AIVD in 2023 de brochure ‘AI-systemen: ontwikkel ze veilig’ uit. Daarin beschrijft de AIVD aanvallen die op een AI-systeem kunnen worden gedaan. Ook geeft de brochure principes die organisaties kunnen gebruiken om AI-systemen veilig te ontwikkelen. De AIVD verkent bovendien welke impact generatieve AI (zoals Large Language Models, waar ChatGPT op gebaseerd is) kan hebben op cybersecurity in het algemeen. Het Nationaal Cyber Security Centrum en de Rijksinspectie Digitale Infrastructuur werken aan die verkenning mee.