Ingediend | 20 oktober 2021 |
---|---|
Beantwoord | 26 november 2021 (na 37 dagen) |
Indieners | Mark Strolenberg (VVD), Queeny Rajkowski (VVD) |
Beantwoord door | Raymond Knops (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (CDA) |
Onderwerpen | bestuur criminaliteit economie gemeenten ict openbare orde en veiligheid |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z18275.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-887.html |
Iedere digitale aanval op een overheidsorganisatie is er één te veel. De realiteit is dat digitale dreigingen toenemen. Vanuit mijn stelselverantwoordelijkheid voor de digitale overheid stel ik kaders en ondersteun ik waar nodig om het openbaar bestuur digitaal veilig te laten functioneren.
Ik deel het beeld dat op het terrein van informatieveiligheid binnen en buiten de overheid veel werk te doen is. De digitale dreiging is groeiende en alle organisaties wereldwijd kampen met dit vraagstuk. Het is een breed maatschappelijk vraagstuk waar naast gemeenten, ook andere publieke organisaties mee kampen.
Verder deel ik de mening dat overheidsorganisaties voorbereid moeten zijn op digitale aanvallen. Inderdaad zijn aanvallen nooit 100% te voorkomen. Vandaar dat ik uw Kamer graag wijs op de Baseline Informatiebeveiliging Overheid (BIO)3. Dit is het algemene basisnormenkader voor informatieveiligheid voor de gehele overheid, waarin ook eisen en maatregelen zijn opgenomen over het beheer van informatiebeveiligingsincidenten. Concreet stelt de BIO in hoofdstuk 16 «Beheer van informatiebeveiligingsincidenten» onder meer verplicht dat er verantwoordelijkheden en procedures tot op directieniveau zijn vastgesteld voor een snelle, doeltreffende en ordelijke respons op informatiebeveiligingsincidenten. Er worden eisen gesteld aan het rapporteren van incidenten. Gezien het belang ervan zijn deze eisen in de BIO, conform de systematiek van de BIO4, nader vertaald in maatregelen zoals de verplichting een intern meldloket te hebben met vastgestelde afhandelingsprocedures. En de meldingsprocedure moet voor iedereen in de organisatie kenbaar zijn. Ook beschrijft de BIO hoe afhankelijk van de ernst van een incident verder moet worden gereageerd. Draaiboeken en protocollen zijn daarmee impliciet onderdeel van een totaalpakket van de verplichtingen en aan maatregelen, die voortvloeien uit hoofdstuk 16 van de BIO.
Ik deel dan ook het standpunt dat het hebben van draaiboeken en protocollen van belang is om snel in te kunnen spelen op digitale ontwrichting. Gemeenten zijn verantwoordelijk voor hun informatieveiligheid binnen de geldende kaders, ook voor het opstellen van draaiboeken en protocollen voor incidenten. Het college van burgemeester & Wethouders draagt de eindverantwoordelijkheid voor hun gemeente en de gemeenteraad controleert.
Digitale aanvallen zijn niet allemaal hetzelfde. De kennis en kunde die nodig is om de nodige stappen te zetten, verschilt per aanval. Gemeenten kunnen indien nodig ondersteuning krijgen van de Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten (VNG). Vanuit de kaderstellende en ondersteunende rol van BZK voert het Centrum Informatiebeveiliging een Privacybescherming (CIP) sinds 2019 een overheidsbreed ondersteuningsprogramma uit. Het voornaamste doel hiervan is adviezen en ondersteuningsmiddelen aanreiken aan overheden, gericht op het geïmplementeerd krijgen van de BIO.
Ten slotte maak ik u graag attent op de jaarlijkse overheidsbrede cyberoefening en de bijbehorende webinars5 die erop zijn gericht op de digitale weerbaarheid van de overheid te vergroten. Aan deze oefening nemen veel verschillende overheidspartijen deel. De laatste cyberoefening met meer dan 1000 deelnemers vond op 1 november plaats.
Zie antwoord vraag 2.
Zie antwoord vraag 2.
In mijn reactiebrief6 op de motie Yesilgöz-Zegerius7 heb ik aangegeven hoe ik uitvoering geef aan de motie. Ik herhaal hier kort wat ik in mijn reactiebrief heb gesteld, namelijk dat ik in mijn beleid niet inzet op één cyberverdedigingsprotocol voor alle gemeenten, omdat de ene situatie niet de andere is. Hoe er daadwerkelijk moet worden gehandeld is weliswaar context-afhankelijk, maar wel onderworpen aan eisen. Zoals ik hierboven heb aangegeven stelt de BIO eisen aan het afhandelen van informatiebeveiligingsincidenten met inbegrip met vastgestelde procedures.
Naar aanleiding van het artikel van AG Connect wil ik hieraan nog een paar opmerkingen toevoegen. Ten eerste: informatieveiligheid is een gezamenlijke verantwoordelijkheid. Ik noemde eerder dat informatieveiligheid bij gemeenten onder de eindverantwoordelijkheid van het College van B&W valt. Het is van belang dat waar dat niet of onvoldoende gebeurt, zij hun verantwoordelijkheid nemen en gaan uitoefenen; de gemeenteraad dient hier ook op toe te zien. Gemeenten worden hierbij ondersteund door de VNG en de IBD voor gemeenten.
Ik ondersteun dit door de controlerende taak (het horizontale toezicht) van de gemeenteraad te versterken met onder andere de aanpak Eenduidige Normatiek Single Information Audit (ENSIA), waarover uw Kamer is geïnformeerd op 18 maart jl. in de Voortgangsbrief Informatieveiligheid.8 ENSIA heeft tot doel te komen tot een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid bij gemeenten. De focus van ENSIA ligt op verantwoording richting de gemeenteraad, het hoogste politieke orgaan van de gemeente. Echter, omdat gemeenten ook verantwoording afleggen aan de rijksoverheid waar het gaat om het gebruik van landelijke voorzieningen, helpt ENSIA de gemeenten in één keer verantwoording af te leggen over informatieveiligheid gebaseerd op de normen die gelden voor de Nederlandse overheid, de BIO. Met ENSIA sluit de verantwoording over informatieveiligheid aan op de planning- en controlcyclus van de gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van zijn gemeente en kan het beter sturen en verantwoording afleggen aan de gemeenteraad.
Ook de VNG ziet het belang en de urgentie van adequate digitale weerbaarheid toenemen. Ze biedt op het terrein van informatieveiligheid de gemeenten daarbij op allerlei wijzen ondersteuning, zoals ook op het terrein van incidentmanagement. VNG en IBD trekken lessen uit incidenten en stellen deze lessen openbaar beschikbaar. Dit geldt onder andere voor de geleerde lessen van de door u aangehaalde incidenten, de hacks bij de gemeenten Lochem en Hof van Twente en de Citrix-problematiek.
De IBD heeft voor gemeenten een aantal producten beschikbaar gesteld die ingaan op het voorkomen van digitale incidenten, maar ook op de wijze waarop een incident kan worden afgewikkeld. Het incident bij de gemeente Hof van Twente heeft onder andere geleid tot de ontwikkeling van het «kaartje in de meterkast» voor gemeentesecretarissen9. Dit document helpt de gemeente om vooraf de juiste stappen te bepalen in geval van een incident. Via de vakvereniging worden gemeentesecretarissen gewezen op dit initiatief.
Om gemeenten te helpen met het verhogen van de digitale weerbaarheid heeft de IBD een ondersteuningspakket ontwikkeld voor de processen en maatregelen uit de BIO met de hoogste prioriteit. In dit ondersteuningspakket wordt naast preventieve maatregelen en bewustwording ook ingezet op bedrijfscontinuïteitbeheer (BCM) en zijn concrete handreikingen voor incident en responsmanagement beschikbaar voor alle gemeenten. Zoals gesteld in mijn reactie op de motie Yesilgöz-Zegerius worden de Veiligheidsregio’s betrokken bij crisis en incidenten volgens de Gecoördineerde Regionale Incidentbestrijdingsprocedure (GRIP) en kan opgeschaald worden naar de nationale crisisstructuur.
Met dit ondersteuningspakket zie ik dat de gemeenten voortvarend bezig zijn. Tegelijkertijd ben ik met de VNG, de rijksoverheid, de Unie van Waterschappen en het Interprovinciaal overleg doorlopend in gesprek om gezamenlijk de digitale weerbaarheid van de overheid te versterken tegen de telkens wijzigende dreigingen.