"Informatie komt vaak niet bij de juiste persoon terecht", zegt Frank Breedijk, hoofd informatiebeveiliging bij Schuberg Philis. Volgens Matthijs Koot, werkzaam bij Secura en als onderzoeker verbonden aan de Universiteit van Amsterdam, heeft dit te maken met een gebrek aan een landelijke coördinatie.

In Nederland hebben we het Nationaal Cyber Security Centrum (NCSC). "De naam suggereert dat ze zich ontfermen over de cybersecurity van heel Nederland", vertelt Breedijk. "Maar dat is niet het geval."

"Het NCSC heeft hele nuttige algemene informatie publiek beschikbaar gemaakt, ook hun contacten met Citrix zijn waardevol gebleken. Maar als ze een lijstje krijgen met een aantal 'oliebollen' die nog niets aan hun kwetsbare systemen hebben gedaan, dan knippen ze dat lijstje in tweeën. De vitale en rijksoverheidsorganisaties op het lijstje worden netjes op hun problemen geattendeerd, en met het tweede deel zegt het NCSC niks te kunnen en mogen doen."

Koot herkent die ergernis van Breedijk. "Als ik ze een lijst stuur met kwetsbare servers, pakken ze daaruit alleen de servers die bij een overheidsinstantie of 'vitale organisatie' horen. Het NCSC is geen beschermengel van heel digitaal Nederland."

Het NCSC valt onder het ministerie van Justitie en Veiligheid en heeft de taak om "vitale aanbieders en onderdelen van het Rijk" te informeren en adviseren over dreigingen voor het netwerk. Andere organisaties, zoals zorg- en onderwijsinstellingen, vallen niet onder de wettelijke taakstelling van het NCSC.

Zo wist het NCSC in december al van de kwetsbaarheid in Citrix. De vitale organisaties werden daarvoor actief gewaarschuwd, maar niet-vitale organisaties niet.

Het NCSC laat aan NU.nl weten wel een algemene waarschuwing over Citrix doorgespeeld te hebben aan zogenaamde CERT's, Computer Emergency Response Teams. Dat zijn expertisecentra op het gebied van cybersecurity die zich richten op een bepaalde sector. Ook het Digital Trust Center (DTC), dat zich richt op bedrijven in Nederland, werd ingelicht. De taak ligt vervolgens bij hen om de kwetsbare organisaties te informeren.

Maar niet alle sectoren hebben een CERT. Het is voor organisaties niet verplicht om zich bij een CERT aan te sluiten. Dat doet dan ook niet iedereen. Daardoor krijgen niet alle kwetsbare organisaties de melding binnen, vertelt Koot. "Ook medewerkers van CERT's zijn beperkt in tijd en geld. In sommige gevallen komt de CERT-taak bovenop een reguliere baan."

Koot zegt dat organisaties zelf verantwoordelijk zijn en blijven voor de beveiliging van hun eigen systeem. "Dat is wettelijk zo en moet ook zo blijven. Wel blijkt nu uit de Citrix-kwetsbaarheid dat er maatschappijbreed niet scherp en snel genoeg wordt gehandeld als nieuwe kwetsbaarheden bekend worden."

Een woordvoerder van minister Ferd Grapperhaus van Justitie en Veiligheid benadrukt dat de afgelopen dagen intensief is samengewerkt met "alle betrokken vakdepartementen en organisaties". Grapperhaus vertelde woensdag tijdens het mondelinge vragenuur in de Tweede Kamer dat bevriende naties Nederland complimenteerden over de aanpak van de Citrix-problematiek.