Verslag vergadering Commissie voor Economie, Werk, Sociale Economie, Wetenschap en Innovatie
Verslag
De heer Buysse heeft het woord.
Minister, digitalisering en het gebruik van de nieuwe digitale toepassingen kennen een grote en versnelde evolutie. Dat hebben we zeker sinds 13 maart, maar ook daarvoor, allemaal kunnen vaststellen. Dat geldt voor de particulier die van vandaag op morgen plots van thuis uit moet of mag werken, of de kinderen moet begeleiden tijdens hun online onderwijs, en dikwijls ook nog de combinatie van beide tegelijkertijd. Maar dat geldt ook voor de overheid en voor onze ondernemingen. Het is, gezien de bevoegdheid van deze commissie, natuurlijk over die laatste groep dat ik het vandaag wil hebben.
Naast de vele voordelen en mogelijkheden die digitalisering met zich meebrengt voor onze economie, zijn er onlosmakelijk ook enkele risico’s aan verbonden. Er moet immers voor gezorgd worden dat zowel de systemen, de gegevens als de communicatie veilig blijven en niet in verkeerde handen vallen of verkeerd gemanipuleerd worden. Cybercriminaliteit is dan ook een belangrijk fenomeen, dat met de gepaste middelen moet worden aangepakt. In uw beleidsnota stelde u dat het de ambitie is om ondernemingen mee voor te bereiden op de implementatie van cybersecurity, iets waar wij natuurlijk ten volle achter staan. Daarvoor is er een Vlaams beleidsplan inzake cybersecurity opgesteld, dat door de Vlaamse Regering vorig jaar is goedgekeurd. Met dat plan wil de Vlaamse Regering een bijkomende impuls geven aan de digitalisering van het Vlaamse bedrijfsleven en aan de implementatie van cybersecuritytechnologie in het bijzonder. Het plan bestaat uit het voeren van strategisch onderzoek en de implementatie van cybersecurity, waarbij wordt samengewerkt met het Agentschap Innoveren en Ondernemen (VLAIO), en voorziet in de nodige opleiding en training. Het globale programma wordt opgevolgd door een stuurgroep, die de werking en impact evalueert en waar nodig bijstuurt.
Aangezien tijdens deze coronaperiode cyberaanvallen en criminaliteit op dat vlak helemaal niet verminderden – volgens een aantal signalen zelfs integendeel –, is het noodzakelijk dat de uitvoering van het beleidsplan strikt wordt opgevolgd. Daarom heb ik vandaag een aantal concrete vragen voor u, minister.
Naar aanleiding van de cyberaanval op Picanol gaf u tijdens de plenaire vergadering van 15 januari dit jaar aan dat de stuurgroep zou samenkomen om de toestand te evalueren en desnoods bij te sturen. Is dat ondertussen al gebeurd? Zo ja, wat waren de bevindingen van de stuurgroep en hoe wordt daaraan tegemoetgekomen? Tijdens diezelfde plenaire vergadering werd er ook gesteld dat er experten zouden worden opgeleid, zodat bedrijven een scan zouden kunnen laten uitvoeren om te zien hoe veilig hun bedrijf is. Wat is de stand van zaken daaromtrent? Hebt u er zicht op hoeveel Vlaamse bedrijven momenteel al een cybersecurityplan hebben? Wordt dat ergens bijgehouden of bevraagd? Neemt u nog andere initiatieven om bedrijven te sensibiliseren omtrent de problematiek?
Bij VLAIO loopt momenteel de oproep voor thematische ICON-projecten (Interdisciplinair Coöperatief Onderzoek) rond cybersecurity. 21 april was de afsluitdatum voor de aanmelding van kandidaten. Hoeveel projectaanvragen zijn er al aangekondigd? Er zou begin 2020 ook een nieuwe website gelanceerd worden om alle betrokken doelgroepen te informeren over het beleidsplan. Is die website al online? Zo niet, wanneer wordt de lancering ervan verwacht? En welke andere initiatieven bent u nog van plan te nemen om de Vlaamse bedrijven nog weerbaarder te maken tegen cyberaanvallen?
Minister Crevits heeft het woord.
Het is de ambitie van de beleidsagenda om de maturiteit inzake cybersecurity bij Vlaamse ondernemingen fors te verhogen. De verschillende acties daartoe zijn volop in voorbereiding. Er wordt natuurlijk rekening gehouden met gebeurtenissen op het terrein. Naast de aanvallen, zoals bij Picanol, is in het kader van corona ook opgemerkt dat thuiswerk een risico is dat men niet mag onderschatten. De stuurgroep onder voorzitterschap van Stijn Bijnens is ondertussen al tweemaal samengekomen, op 3 februari en op 18 mei. De academische en bedrijfsexperten in de stuurgroep volgen de operationalisering en uitrol van de beleidsagenda op en geven de nodige feedback aan VLAIO en het Departement Economie, Wetenschap en Innovatie (DEWI). De uitvoering zit op schema. Er moet op dit ogenblik niet bijgestuurd worden.
De cybersecuritydienstverlening aan bedrijven zit op drie niveaus. Op het eerste niveau onderscheiden we acties die gericht zijn op het sensibiliseren en informeren van bedrijven. Op het tweede niveau situeert zich het eerstelijnsadvies en groepscoaching van bedrijven. Het derde niveau is gericht op meer diepgaand individueel advies en vraagt heel grote expertise.
De activiteiten in het eerste en tweede niveau zullen uitgevoerd worden door onder andere de sectororganisaties, federaties en hogescholen, elk met hun specialisten. Zo is er vandaag binnen de proeftuinen industrie 4.0 al een initiatief onder impuls van Howest. Dit zal grotendeels gebeuren met VLAIO-ondersteuning, onder andere via het nieuwe contract ondernemerschap. Dit dossier zal de komende weken naar de Vlaamse Regering gaan. We zouden daarin ook in middelen voorzien voor cyberbeveiliging.
De dienstverlening in het derde niveau zal opgenomen worden door de zeer gespecialiseerde private markt. Recent werd een selectieprocedure opgestart om via een raamovereenkomst een pool van dienstverleners te selecteren. Het gaat om een raamcontract van vier jaar waarbinnen jaarlijks een bedrag van 3,5 miljoen euro ter beschikking gesteld zou worden. Voor kleinere vragen kunnen ondernemingen bovendien ook een beroep doen op de kmo-portefeuille.
Het is de bedoeling dat de niveaus goed met elkaar verbonden worden. Het Team Bedrijfstrajecten van VLAIO kan hierbij ook als doorverwijzer optreden.
Er wordt momenteel geen prioriteit gegeven aan het ontwikkelen van een nieuwe gemeenschappelijke scan, want er zijn al heel wat scans die goed ingezet kunnen worden. Er is ook een Cyber Security Coalition, een partnerschap met tachtig spelers uit de academische wereld, openbare instanties en de private sector. In de tweede helft van 2020 zullen ze een nieuwe zelfscan voor kmo’s lanceren. Het is goed dat alle Belgische en Vlaamse stakeholders daarbij betrokken zijn.
37 procent van de Vlaamse ondernemingen met minstens 10 werknemers heeft een gedocumenteerde aanpak inzake ICT-beveiliging. Deze cijfers komen van Statistiek Vlaanderen van 2019. Dat zijn dus bedrijven met een structurele aanpak. In de ondernemingen met minstens 250 werknemers beschikt 84 procent over een dergelijke aanpak. Bij kleine ondernemingen met 2 tot 9 werknemers is dat maar 15 procent. Hieruit kunt u afleiden dat er ongelooflijk veel werk te doen is richting kmo's.
Met 37 procent ligt Vlaanderen boven het EU-gemiddelde en boven het Belgische gemiddelde. Dat is tweemaal 34 procent. Bij de top 3-landen, namelijk Denemarken, Ierland en Zweden, heeft meer dan de helft van de ondernemingen een gedocumenteerd ICT-veiligheidsbeleid.
Er komt een gerichte communicatiecampagne door VLAIO.
Het klopt dat er momenteel een ICON-oproep voor cybersecurityprojecten openstaat bij VLAIO. De oproep verloopt in twee fasen. Recent werd de verplichte vooraanmelding afgesloten. Hierbij werden acht voorstellen ingediend over cybersecurity. De volledige projectvoorstellen worden in de loop van juni verwacht. Ik hoop dat het Hermesbeslissingscomité onmiddellijk na de zomer een beslissing zal nemen over de toewijzing.
De verwachting is dat we het webplatform in de maand juni kunnen lanceren. Er lopen op dit moment nog een aantal tests.
Ik hoop dat we tegen de zomer een krachtig pakket ter beschikking hebben voor de Vlaamse bedrijven. Daarnaast zal er in 2020 opnieuw een ESF-oproep (European Science Foundation) uitgezet worden. Deze zal vooral gericht zijn op het opleidingsaanbod voor ondernemingen inzake cybersecurity. Daarnaast blijven alle horizontale instrumenten binnen VLAIO beschikbaar. Binnen de lopende COOCK-oproep (Collectief Onderzoek & Ontwikkeling en Collectieve Kennisverspreiding) kunnen bedrijven voorstellen rond cybersecurity indienen. Ook de hogescholen hebben een specifieke oproep voor ICT-projecten via TETRA.
De heer Buysse heeft het woord.
Minister, ik dank u voor uw uitgebreide antwoorden. Ik heb tot nu toe een gemiddelde van een vraag om uitleg per jaar, dan mag ik al eens wat meer vragen stellen. Maar ik zal dat cijfer aanpassen zoals ook u de percentages over dit thema zult aanpassen.
Ik heb een bijkomende vraag. Cybercriminaliteit is per definitie grensoverschrijdend maar ook bevoegdheidsoverschrijdend. In de commissie Binnenlands Bestuur eergisteren had minister Somers het over de initiatieven die hij neemt voor de lokale besturen. Als ik me niet vergis, was een aantal maanden geleden de gemeente Willebroek slachtoffer van een cyberaanval. Ook federaal minister De Crem is daarmee bezig en dan is er ook nog de opvolging via Justitie. Hoe verloopt de samenwerking tussen de verschillende bevoegdheden?
De heer Vande Reyde heeft het woord.
Ik heb nog een kleine suggestie die ik eerder al heb gedaan in het kader van de beveiliging van lokale besturen, van hun cyberveiligheid, namelijk het inzetten van ethische hackers. Vlaanderen is inzake ethische hacking top van de wereld. Die hackers zijn verenigd in een aantal collectieven die me melden dat zij niet vaak worden ingezet of betrokken bij de plannen van de verschillende overheden daarover. Ik heb gezien dat er intussen al wat beterschap is en dat minister Somers een aantal contacten heeft gelegd. Ethische hacking kan heel nuttig zijn om de veiligheidslekken op te sporen op een relatief goedkope manier. Voor de initiatieven die u hebt uitgelegd, kan het echt nuttig zijn om die mensen daarbij te betrekken.
Minister Crevits heeft het woord.
Mijnheer Buysse, iedereen heeft zijn eigen bevoegdheden. Die samenwerking loopt wel goed maar wij richten ons vooral op de kmo’s en het bedrijfsweefsel om ervoor te zorgen dat bedrijven zich beter en sneller gaan wapenen.
Er is ook een strafrechtelijke kant wanneer er sprake is van criminaliteit, maar VLAIO richt zich vooral op de bedrijven.
Mijnheer Vande Reyde, u maakte vooral een opmerking. Of was het een vraag?
Het was een bijdrage. Hebt u het wel gehoord?
Jaja, het klonk me als muziek in de oren, maar ik wil niet te ver gaan in de positiviteit.
Het was een bijdrage.
De heer Buysse heeft het woord.
Ik las in een interessant artikel in de Knack van een maand geleden dat men bezig was een aantal internationale rapporten te ontleden waaruit bleek dat ons land – het ging niet over Vlaanderen op zich – het zesde meest kwetsbare land is inzake cybercriminaliteit. Alle initiatieven die u neemt, kunnen daaraan tegemoetkomen. Men zei ook dat de slachtoffers kmo’s zijn die altijd denken dat het niet bij hen maar wel bij de buurman zal gebeuren. Aangezien België het land van de kmo’s is, wil ik het belang daarvan nog eens benadrukken.
De vraag om uitleg is afgehandeld.