| Ingediend | 20 december 2021 |
|---|---|
| Beantwoord | 31 januari 2022 (na 42 dagen) |
| Indiener | Barbara Kathmann (PvdA) |
| Beantwoord door | Raymond Knops (CDA), Ferdinand Grapperhaus (CDA), Stef Blok (VVD) |
| Onderwerpen | criminaliteit economie ict openbare orde en veiligheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z23974.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-1517.html |
Het kabinet is bekend met het rapport van de Onderzoeksraad voor Veiligheid OVV «Kwetsbaar door software – lessen naar aanleiding van beveiligingslekken door software van Citrix» en het bijbehorende bericht van de OVV. Zoals aangegeven in de Kamerbrief van 16 december 2021 zal het kabinet het rapport zorgvuldig bestuderen en binnen de wettelijke reactietermijn van zes maanden schriftelijk richting de OVV reageren. Uw Kamer zal daarover worden geïnformeerd.2
Zoals aangegeven in de Nederlandse Cybersecurity Agenda en de Roadmap Digitaal Veilige Hard- en Software zijn organisaties in de eerste plaats zelf verantwoordelijk voor cybersecurity. Voor softwarefabrikanten geldt dat zij primair verantwoordelijk zijn voor de digitale veiligheid van de door hen aangeboden producten en diensten. Daarnaast kunnen afnemers van ICT-producten en diensten (consumenten en organisaties) de vraag naar digitaal veilige ICT-producten en diensten stimuleren. Dit stimuleert aanbieders om te investeren in de digitale veiligheid van hun ICT-producten en diensten. De overheid staat voor de publieke belangen, stimuleert marktpartijen om hun eigen verantwoordelijkheid te nemen en is zelf ook een afnemer van ICT-producten en diensten. Zoals de OVV aangeeft zijn alle partijen van elkaar afhankelijk om de digitale veiligheid in de samenleving en economie te borgen. De afgelopen kabinetsperiode is met een samenhangend pakket aan maatregelen in de Roadmap Digitaal Veilige Hard- en Software ingezet op het verhogen van het digitale veiligheidsniveau van ICT-producten en diensten. Over de jaarlijkse voortgang van de Roadmap Digitaal Veilige Hard- en Software bent u geïnformeerd door de Minister van Economische Zaken en Klimaat op 30 november 2021.3 Voorbeelden van maatregelen uit deze roadmap zijn de inzet van EZK voor de begin dit jaar gerealiseerde Europese cybersecurity markttoegangseisen voor draadloos verbonden apparaten onder de Radio Equipement Directive, de ontwikkeling van Europese cybersecurity certificering voor ICT-producten, diensten en processen onder de Cyber Security Act, een non-paper over de in ontwikkeling zijnde Cyber Resilience Act als horizontale Europese regulering voor de cybersecurity van ICT-producten en diensten en de door BZK en EZK ontwikkelde cybersecurity inkoopeisen voor alle overheidsorganisaties. De Roadmap Digitaal Veilige Hard- en Software is onderdeel van de rijksbrede Nederlandse Cybersecurity Agenda. Over de jaarlijkse voortgang van de Nederlandse Cybersecurity Agenda bent u voor het laatst geïnformeerd op 28 juni 2021.4
Daarnaast wordt momenteel gewerkt aan het ontwikkelen van een integrale Nederlandse Cybersecuritystrategie waarin met name ook de ambities uit het coalitieakkoord nader worden uitgewerkt. Deze strategie wordt zodra gereed met uw Kamer gedeeld. De digitale veiligheid van ICT-producten en diensten zal hier integraal onderdeel van zijn. Ook zal uiteraard worden bezien op welke wijze het kabinet de verschillende aanbevelingen van de OVV kan meenemen ten behoeve van de ontwikkeling van deze strategie en het verder versterken van het cybersecuritystelsel in Nederland en Europa.
Zoals aangegeven bij vraag 1 is het kabinet het OVV-rapport zorgvuldig aan het bestuderen en zal het voor de zomer hierop een kabinetsreactie geven. Het rapport van de OVV laat zien dat cybersecurity een complex vraagstuk is en de aanbevelingen van de OVV in samenhang moeten worden bezien. Er is niet één afzonderlijke maatregel die de digitale veiligheid kan realiseren. Bij de besluitvorming over de opvolging van deze aanbeveling zal het bestaande instrumentarium in volle breedte in ogenschouw moeten worden genomen.
Een voorbeeld hiervan is de Baseline Informatiebeveiliging Overheid (BIO), die van kracht is op de aanschaf van ICT-producten en diensten door de overheid. De BIO schrijft voor dat overheidsorganisaties ook bij inkoop op basis van risicomanagement bepalen aan welke veiligheidseisen bijvoorbeeld ICT-producten en -diensten moeten voldoen. Om hen daarbij te helpen, hebben de Ministeries van BZK en EZK gezamenlijk een inkoophulpmiddel ontwikkeld, de zogenaamde ICO-wizard.5 De overheid is een grote afnemer van ICT-producten en diensten en kan als grote marktpartij de vraag in de markt stimuleren naar digitaal veilige ICT-producten en diensten.
Europese samenwerking op dit terrein is van groot belang. Een voorbeeld van een van de huidige maatregelen is de inzet op de ontwikkeling van Europese cybersecuritycertificeringschema’s onder de Cyber Security Act. De Cyber Security Act is het Europese raamwerk waarbinnen cybersecuritycertificeringsschema’s worden ontwikkeld voor verschillende categorieën ICT-producten, diensten en processen. Nederland zet hierbij in op de ontwikkeling van een certificeringschema voor softwarebeveiliging. Ook voor deze vraag geldt dat het kabinet de aanbevelingen op dit vlak nog nader zal bestuderen en daarop zal ingaan in de eerdergenoemde kabinetsreactie.
Zoals aangegeven bij vraag 1 is het kabinet het OVV-rapport zorgvuldig aan het bestuderen. Het wettelijk vastleggen van de verantwoordelijkheid van fabrikanten voor veilige software en hun aansprakelijkheid voor de gevolgen van eventuele kwetsbaarheden zal op Europees niveau geregeld moeten worden. De OVV heeft deze aanbeveling dan ook gericht aan de Europese Commissie. Eventuele inzet in lijn met deze aanbeveling vanuit het kabinet zou dan ook gericht zijn op het beïnvloeden van besluitvorming hierover op Europees niveau.
Zoals aangegeven in de beantwoording op vraag 5 is deze aanbeveling van de OVV gericht aan de Europese Commissie. Vanwege het grensoverschrijdende karakter van de markt voor ICT-producten en – diensten ligt het in algemene zin voor de hand om dergelijke eisen op te leggen in internationaal en Europees verband. Gedurende de afgelopen periode heeft Nederland zich op basis van de Roadmap Digitaal Veilige Hard- en Software sterk gemaakt voor Europese maatregelen zoals cybersecurity certificering van ICT-producten, diensten en processen onder de Cyber Security Act en wettelijke cybersecurityeisen voor Europese markttoegang voor verbonden apparaten onder de Radio Equipment Directive.
Ook gaat Nederland actief het gesprek aan met de Europese Commissie over de ontwikkeling van horizontale regulering voor de cybersecurity van ICT-producten en diensten via de Cyber Resilience Act. Hiervoor is een non-paper opgesteld en aangeboden aan Uw Kamer op 14 december 2021.6
Hierbij deel ik u, mede namens de Minister van Economische Zaken en Klimaat en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, mede dat de schriftelijke vragen van het lid Kathmann (PvdA), van uw Kamer aan de Minister van Justitie en Veiligheid over het rapport Kwetsbaar door software – Lessen naar aanleiding van beveiligingslekken door software van Citrix (ingezonden 20 december 2021) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.