Het Nationaal Cyber Security Center (NCSC) kan niets doen tegen bedrijven, instanties en vitale overheden die zijn adviezen niet volgen om hun computersystemen te updaten en beter beveiligen. Ook na gerichte waarschuwingen, zelfs aan vitale overheden, is het afwachten of er actie wordt ondernomen. Het NCSC kan niet ingrijpen of dwingen om maatregelen te nemen, omdat dit niet onder de bevoegdheden valt.

Een woordvoerster van het NCSC reageert daarmee op berichtgeving zaterdag in de Volkskrant over interne netwerken van honderden bedrijven en instanties die door een lek maandenlang open lagen. Kwaadwillenden konden er makkelijk in komen via de zogeheten VPN, een beveiligde verbinding tussen de gebruiker en een intern netwerk. Bronnen zeggen tegen de krant dat het onder meer gaat om KLM, defensiebedrijven, het ministerie van Veiligheid en Justitie en Luchtverkeersleiding Nederland.

Nog steeds zijn tientallen bedrijven kwetsbaar, omdat zij ondanks waarschuwingen van de leverancier én van het NCSC nog steeds geen cruciale update hebben uitgevoerd, zo voert de krant IT-beveiligingsexpert Matthijs Koot op.