Inleiding
Met de digitalisering van de samenleving neemt ook het economisch belang van cyberveiligheid toe. Dit geldt zowel voor overheden (nationale veiligheid en de veiligheid van vitale processen en infrastructuur), als voor het bedrijfsleven (en burgers). Europese Commissievoorzitter Juncker stelde dat “Europa nog steeds niet goed is toegerust om met cyberaanvallen om te gaan”. Voor Nederland, als één van de meest gedigitaliseerde landen ter wereld, ligt er een kans om een internationaal leidende rol te spelen op het gebied van cyberveiligheid. Nederlandse bedrijven en cyberspecialisten kunnen in Spanje zowel marktkansen verzilveren door het aanbieden van cyberveiligheidsoplossingen, als partners vinden om de technologieontwikkeling in deze sector voort te zetten. Dit document, dat is samengesteld door de Nederlandse ambassade in Madrid, geeft een overzicht van state-of-play van cybersecurity in Spanje: het beleid, de laatste ontwikkelingen bij overheid en bedrijfsleven, almede uitdagingen en bedreigingen.
Nationale Cybersecurity Strategie Spanje
De Spaanse “Raad voor Nationale Veiligheid” heeft in juli 2018 overeenstemming bereikt over de uitwerking van een nieuwe strategie voor cybersecurity. Het betreft een actualisering van de strategie uit 2013, waarin nu ook de doelstellingen van de nationale veiligheidsstrategie worden meegenomen.
De Spaanse Staatssecretaris voor Digitalisering, Francisco Polo, heeft aangegeven van Spanje (en in het bijzonder de stad León) de wereldwijde “hoofdstad voor cybersecurity” te willen maken. In de Spaanse concept-rijksbegroting voor 2019 is voorzien dat het personeelsbestand van het Spaanse Nationaal Instituut voor Cybersecurity, INCIBE (opgericht in León in 2006), de komende drie jaar met 70% zal uitbreiden.
In 2019 zal INCIBE -na een eerdere editie in 2016- opnieuw een Seed Capital regeling openstellen voor ondernemers die een bedrijf willen oprichten in Spanje op het gebied van cybersecurity:
Ciberemprende
De overheid wil hiermee innovatieve cybersecurity technologiebedrijven ondersteunen, talent aantrekken en de cybersecuritymarkt verder ontwikkelen. Het agentschap voor het aantrekken van investeringen in Spanje, Invest in Spain, heeft de cybersecurity sector ook als investeringskans geïdentificeerd voor buitenlandse bedrijven. Het volgende document biedt Engelstalige informatie over de sector in Spanje:
Invest in Spain – cybersecurity
Spanje heeft 12 sectoren gekenmerkt als vitale infrastructuur: overheid, water, voedingsmiddelen, energie, ruimtevaart, chemie-industrie, nucleaire industrie, R&D installaties, zorg, financieel en belastingsysteem, ICT, en vervoer en transport. Net als in Nederland, is ca. 80% van de vitale infrastructuur in handen van private of semi-private bedrijven. Hiervoor zal de publiek-private samenwerking zoveel mogelijk moeten worden versterkt.
Wetgeving
De Europese Richtlijn inzake cybersecurity, de netwerk- en informatieveiligheid (NIB) richtlijn 2016/1148, is op 7 september 2018 omgezet in Spaans nationaal recht via Real Decreto-ley 12/2018.
Hoe staat de Spaanse cyberveiligheid ervoor?
Spanje staat op de 19 e plaats (Nederland op de 17e) in de Global Cybersecurity Index, een rapport van de Internationale Telecommunicatie Unie (ITU) van de Verenigde Naties dat kijkt naar de toewijding van 194 landen aan informatiebeveiliging.
“Welvaart voedt cybermisdaad, maar het zorgt niet automatisch voor beveiliging”, zo concludeert ITU. In Spanje ontving het centrum voor meldingen van veiligheidsincidenten, INCIBE-CERT, in 2014 nog 18.000 meldingen, terwijl dit in 2017 is gestegen naar meer dan 123.000 meldingen. Het aantal cyberaanvallen ligt vele malen hoger en neemt met exponentiële snelheid toe.
Volgens een rapport van onderzoeksbureau FTI Consulting onder 500 leidinggevenden van bedrijven met vestiging in Spanje, is één op de vier bedrijven in het afgelopen jaar slachtoffer van datadiefstal door cyberaanvallen geweest. Het onderzoek wijst tevens uit dat cyberaanvallen de voornaamste risico- en zorgfactor zijn voor de bedrijven, boven politieke factoren of concurrentie. Dienstverlenende bedrijven hebben het grootste risico om dor cyberaanvallen getroffen te worden, hoewel de industrie het gevoeligst is voor de gevolgen van technologische disruptie. Spaanse ICT-dienstverleners hebben ook grote belangen in de dienstenverstrekking in Nederland. Zo levert technologiebedrijf Indra de ICT voor de luchtverkeersleiding Schiphol en regelt het de ticketing van het Gemeentelijk Vervoersbedrijf Amsterdam.
Uit een rapport van PwC blijkt dat de gemiddelde investeringen van Spaanse bedrijven in informatieveiligheid blijft stijgen, van 3,1 miljoen euro in 2012 naar 3,9 miljoen euro in 2016. Echter, de grote Spaanse multinationals die actief zijn in vitale sectoren, zoals bijv. de financiële sector, stijgen met hun investeringen hier ver bovenuit, tot bedragen over de honderd miljoen euro per jaar.