De overheid heeft geen documenten over met malware besmette industriële controlesystemen (ICS) of beleidsdocumenten waarin staat hoe hiermee moet worden omgegaan. Dat blijkt uit een reactie van het ministerie van Algemene Zaken op een Wob-verzoek van de Volkskrant.

De krant probeerde via een beroep op de Wet openbaarheid van bestuur (Wob) informatie te krijgen over het
beleid ten aanzien van malware in ICS-systemen, zoals preventiemaatregelen, risicoanalyses over
de weerbaarheid van partijen en samenwerkingsverbanden tussen verschillende partijen die zich met de cyberveiligheid van ICS-systemen bezighouden.

Ook werden verschillende ministeries gevraagd om een overzicht van de gevallen waarbij malware in ICS-systemen was aangetroffen of informatie waaruit zou blijken om wat voor soort malware het ging en wat de verwijderkosten waren. Het ministerie laat echter weten dat ten aanzien van het verzoek van de Volkskrant geen documenten zijn aangetroffen (pdf).

ICS-systemen worden onder andere in de vitale infrastructuur gebruikt. Sinds 1 januari 2018 zijn organisaties binnen de vitale infrastructuur verplicht om ernstige digitale veiligheidsincidenten te melden bij het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. De meldplicht cybersecurity is onderdeel van de Wet gegevensverwerking die sinds oktober 2017 van kracht is. Afgelopen juni liet het minister van Justitie en Veiligheid in het Cybersecuritybeeld Nederland (CSBN) al weten dat er tot en met april 2018 geen meldingen waren gedaan in het kader van de meldplicht.