Ingediend | 9 oktober 2020 |
---|---|
Beantwoord | 30 november 2020 (na 52 dagen) |
Indieners | Thierry Aartsen (VVD), Dilan Yeşilgöz-Zegerius (VVD) |
Beantwoord door | Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Mona Keijzer (staatssecretaris economische zaken) (CDA) |
Onderwerpen | economie ict |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2020Z18401.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20202021-955.html |
Ja.
Het klopt dat de Nationale Beheersorganisatie Internetproviders (NBIP) eerder krachtens de Wet beveiliging netwerk- en informatiesystemen (Wbni) is aangewezen als organisatie die objectief kenbaar tot taak heeft andere organisaties of het publiek te informeren over dreigingen en incidenten met betrekking tot andere netwerk- en informatiesystemen dan die van vitale aanbieders of de rijksoverheid (OKTT). Dit maakt het voor het Nationaal Cyber Security Centrum (NCSC) mogelijk om de NBIP, met inachtneming van de wettelijke kaders, informatie over dreigingen en incidenten met betrekking tot systemen van de doelgroep van de NBIP te verstrekken, die het NCSC heeft verkregen bij analyses in het kader van de primaire taakvervulling (bijstand aan vitaal en Rijk, etc.). Zie het antwoord op vraag 7 voor een nadere toelichting op de verstrekking van deze informatie. Meer in het algemeen publiceert het NCSC op haar website publiekelijke informatie over bekende kwetsbaarheden, beveiligingsadviezen en andere adviezen waarmee organisaties hun weerbaarheid kunnen vergroten. De inzet op de uitbreiding van het Landelijk Dekkend Stelsel (LDS) vindt plaats binnen de kaders van de Nederlandse Cyber Security Agenda (NCSA).2 Over de voortgang van de NCSA, inclusief initiatieven die plaatsvinden in het kader van het LDS, wordt jaarlijks aan uw Kamer gerapporteerd. De volgende rapportage zal zijn voor de zomer 2021. Ik realiseer mij dat er nog veel werk moet worden verricht om te komen tot een daadwerkelijk LDS. Vandaar dat ik het WODC heb gevraagd onderzoek te doen naar de stand van zaken en de verbeterpunten van dit stelsel. Uw Kamer is hierover geïnformeerd op 17 november jl.
Zoals in het antwoord op vraag 2 aangegeven, kan het NCSC reeds aan de NBIP, een krachtens de Wbni als OKTT aangewezen organisatie, dreigings- en incidentinformatie, verstrekken met betrekking tot netwerk- en informatiesystemen van hun doelgroep. In verband met eerder gesignaleerde belemmeringen wordt thans onderzocht welke mogelijkheden tot informatiedeling binnen de bestaande wettelijke kaders nog verder ontwikkeld zouden kunnen worden.
De digitale weerbaarheid is primair een eigen verantwoordelijkheid, ook van bedrijven. Het DTC biedt informatie, advies en tools aan om niet-vitale bedrijven in staat te stellen invulling te geven aan deze eigen verantwoordelijkheid. Daarnaast kan eenieder en dus ook niet-vitale bedrijven, zoals in antwoord 2 aangegeven, via de website, kennisnemen van algemene beveiligingsadviezen van het NCSC. Het NCSC en het DTC werken bovendien vanuit hun onderscheidenlijke taken nauw samen waar het gaat om afstemming in externe overheidscommunicatie. Ook wisselen het NCSC en het DTC als kenniscentra zo veel als wettelijk mogelijk informatie en kennis(producten) uit.
Zoals aangegeven in de beantwoording op vraag 2, is het voor het NCSC mogelijk om, met inachtneming van de wettelijke kaders, informatie over dreigingen en incidenten met betrekking tot systemen van de doelgroep van de OKTT aan een organisatie te verstrekken. Dit indien deze organisatie is aangewezen als organisatie die objectief kenbaar tot taak (OKTT) heeft andere organisaties of het publiek te informeren over dreigingen en incidenten met betrekking tot andere netwerk- en informatiesystemen dan die van vitale aanbieders of de rijksoverheid. Hierbij gaat het om informatie die het NCSC heeft verkregen bij analyses in het kader van de primaire taakvervulling en die betrekking heeft op andere netwerk- en informatiesystemen dan die van vitale aanbieders of de rijksoverheid.
Het NCSC en het DTC werken nauw samen en zijn ook voortdurend, samen met de NCTV, in gesprek over de mogelijkheden om binnen het landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden informatie te delen. Waar mogelijk, verbinden zij hier, voor de betrokken organisaties, handelingsperspectief aan. Alleen dan wordt de digitale weerbaarheid van Nederland immers daadwerkelijk verhoogd. Onderdeel van de samenwerking tussen het NCSC en het DTC is ook het binnen de wettelijke kaders optimaliseren van de onderlinge informatie-uitwisseling. In het kader daarvan wordt ook een aanwijzing krachtens de Wbni van het DTC als OKTT bezien. Momenteel wordt door het Ministerie van EZK gewerkt aan het laten voldoen van het DTC aan, voor overheidsorganisaties vanwege de AVG meer strenge, voorwaarden waardoor het krachtens de Wbni aangewezen zou kunnen worden als organisatie waaraan het NCSC concrete dreigingsinformatie kan delen die betrekking heeft op het niet-vitale bedrijfsleven. Het DTC zou dan de bedrijven over de dreigingsinformatie kunnen informeren. Het Ministerie van EZK is bezig met de voorbereidende werkzaamheden hiervoor. Het streven is dat deze nieuwe dienstverlening begin volgend jaar kan starten.
Ik deel de mening dat het de digitale veiligheid van Nederland vergroot als zowel vitale als niet-vitale organisaties worden geïnformeerd over relevante dreigingen, incidenten en kwetsbaarheden. Om die reden zijn algemene beveiligingsadviezen van het NCSC via de website openbaar beschikbaar en werkt het kabinet aan de totstandkoming van een landelijk dekkend stelsel (LDS) waarin, met inachtneming van de wettelijke kaders, relevante informatie breder, efficiënter en effectiever gedeeld kan worden. Binnen dat LDS spelen het NCSC en het DTC een belangrijke rol.
Zoals in het antwoord op vraag 4 is aangegeven, wordt door het Ministerie van EZK gewerkt aan het laten voldoen van het DTC aan de voorwaarden waardoor het DTC krachtens de Wbni aangewezen zou kunnen worden als organisatie waaraan, onder de bij de beantwoording van vraag 4 benoemde voorwaarden, het NCSC concrete dreigingsinformatie kan delen die betrekking heeft op het niet-vitale bedrijfsleven.
Zie antwoord vraag 5.
Het NCSC kan, binnen de wettelijke mogelijkheden, gegevens over dreigingen en incidenten delen met de NBIP, voor zover deze gegevens betrekking hebben op en relevant zijn voor netwerk- en informatiesystemen van organisaties uit de doelgroep van NBIP. Daarbij kan het in elk geval persoonsgegevens aangaande kwaadwillende actoren betreffen, zodat organisaties door tussenkomst van de NBIP aan de hand daarvan bijvoorbeeld dreigingen kunnen detecteren in hun netwerken. Voor zover de te delen informatie (tevens) vertrouwelijke herleidbare gegevens met betrekking tot een aanbieder betreffen, is verstrekking hiervan aan een OKTT zoals de NBIP, vanwege de toepasselijkheid van de Wbni3, niet mogelijk. In de kabinetsreactie op het WRR-rapport «Voorbereiden op digitale ontwrichting»4 is als een van de verschillende maatregelen opgenomen dat wordt geïnventariseerd welke wettelijke bevoegdheden de overheid heeft bij digitale crisissituaties, zodat kan worden bezien waar eventuele aanvullingen nodig zijn. Het type niet-vitale bedrijven dat dreigingsinformatie kan ontvangen via de NBIP zijn de bedrijven die behoren tot de achterban van de NBIP.
Als organisaties in de doelgroep van de NBIP eveneens vitale aanbieders zijn, zullen zij informatie die relevant is voor de netwerk- en informatiesystemen die de vitale dienstverlening betreffen, direct van het NCSC ontvangen. Het kan dus zijn dat een vitale aanbieder ook (algemene) informatie via organisaties zoals de NBIP ontvangt als deze informatie relevant is voor vitaal en niet-vitaal.
Het landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden heeft tot doel om ervoor te zorgen dat, met inachtneming van de wettelijke kaders, informatie over cybersecurity zo breed, effectief en efficiënt mogelijk wordt gedeeld. De totstandkoming van een landelijk dekkend stelsel en het aansluiten van steeds meer sectoren is een verantwoordelijkheid van de verschillende vakdepartementen. Daarnaast zijn het NCSC en de NCTV in contact met sectoren om hen te stimuleren zich te organiseren.
De organisaties binnen het landelijk dekkend stelsel, bijvoorbeeld het NCSC en het DTC, hebben diverse samenwerkingsverbanden, zoals onder andere Information Sharing and Analysis Centers (ISAC’s), computercrisisteams en andere sectorale- en brancheorganisaties, waar ze in het kader van de vervulling van hun onderscheidenlijke taken mee samen werken. Bij het DTC zijn inmiddels al 30 samenwerkingsverbanden van bedrijven uit niet-vitale sectoren aangesloten en dit aantal zal verder toenemen. Dit landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden is jong, divers, dynamisch en voortdurend in ontwikkeling. Een overzicht hiervan, zoals gevraagd, is daardoor al snel ofwel incompleet en achterhaald, ofwel groot en complex. Mede daarom heb ik via het WODC onderzoek laten doen naar de stand van zaken en de verbeterpunten voor dit stelsel. Dit onderzoek schetst ook een overzicht van het huidige stelselUw Kamer is hierover op 17 november jl. geinformeerd.
De digitale dreiging die uitgaat van criminelen, maar ook van statelijke actoren heeft volgens het Cybersecuritybeeld Nederland 2020 een permanent karakter.6 Deze dreiging wordt het hoofd geboden langs de prioriteiten zoals uiteengezet in de NCSA en recente Kamerbrieven waarin de versterkte aanpak cybersecurity wordt beschreven,7 de kabinetsreactie op het WRR-rapport «Voorbereiden op digitale ontwrichting»8 en de beleidsreactie op het CSBN 2020, die tevens de voortgangsrapportage over de NCSA bevat.9 Bij de beleidsreactie op het WODC-rapport over Cybersecurity informatie-uitwisseling zoals genoemd onder vraag 8 zal ik u nader informeren over recente ontwikkelingen binnen het landelijk dekkend stelsel.
Ja.
Hierbij deel ik u mede namens de Staatssecretaris van Economische Zaken en Klimaat dat de schriftelijke vragen van de leden Yesilgöz-Zegerius en Aartsen (beiden VVD), van uw Kamer aan de Minister van Justitie en Veiligheid over het bericht «Providers gaan bedrijven waarschuwen voor beveiligingslekken» (ingezonden 9 oktober 2020) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.