Gebruik van beveiligingsadviezen van het Nationaal Cyber Security Centrum

De Inspectie Veiligheid en Justitie heeft onderzocht wat aangesloten organisaties doen met de beveiligingsadviezen van het Nationaal Cyber Security Centrum (NCSC) en wat de meerwaarde ervan is voor de ontvangende partijen. Uit het onderzoek blijkt dat alle organisaties de beveiligingsadviezen van het NCSC lezen, beoordelen en indien nodig de noodzakelijke maatregelen treffen. Hierbij maakt de Inspectie de kanttekening dat de informatie over de kwetsbaarheid vaak al op een andere manier bekend is.

Kwetsbaarheid hard- of software

Beveiligingsadviezen van het NCSC attenderen organisaties erop dat er in bepaalde hard- of software een kwetsbaarheid zit en bieden hiervoor een oplossing aan. Uit het onderzoek blijkt dat organisaties in meer of mindere mate ook zelf onderzoeken of sprake is van kwetsbaarheden in hun hard- en software. De beveiligingsadviezen van het NCSC zijn voor deze organisaties dus een aanvulling op de eigen acties. Het inspectieonderzoek wijst voorts uit dat veel organisaties reeds voor de ontvangst van het beveiligingsadvies op de hoogte zijn van de betreffende kwetsbaarheid.

Heroverweging beveiligingsadviezen

De Inspectie concludeert dat de meerwaarde van de beveiligingsadviezen – in de huidige vorm – is gelegen in het feit dat ze afkomstig zijn van een onafhankelijke autoriteit met een gezaghebbende positie, niet zo zeer in de inhoud en kwaliteit ervan. De Inspectie beveelt aan om het product te heroverwegen, zodat het beter aansluit op de behoeften en eigen activiteiten van de doelgroep. In het rapport geeft de Inspectie aan op welke onderdelen deze heroverweging mogelijk is.

In het rapport ‘Gebruik van beveiligingsadviezen van het Nationaal Cyber Security Centrum’ vindt u een meer gedetailleerde weergave van de bevindingen van de Inspectie.