| Ingediend | 30 november 2022 |
|---|---|
| Beantwoord | 23 december 2022 (na 23 dagen) |
| Indiener | Lisa van Ginneken (D66) |
| Beantwoord door | Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66) |
| Onderwerpen | bestuur economie ict openbare orde en veiligheid organisatie en beleid rijksoverheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2022Z23575.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20222023-1167.html |
Ja.
Forum Standaardisatie meet twee keer per jaar in hoeverre een set internetdomeinen van de overheid voldoet aan de relevante informatieveiligheidsstandaarden van de «pas toe of leg uit»-lijst. Over de gemeten standaarden zijn implementatieafspraken met een deadline gemaakt: de zogenoemde «streefbeeldafspraken». Uit de meest recente meting blijkt dat de helft, 50%, van alle Rijksoverheid- domeinnamen voldoet aan de streefbeeldafspraken voor webdomeinen.
De internetdomeinen van de overheid moeten aan al deze standaarden voldoen, en deze moeten ook nog correct geconfigureerd zijn om mee te tellen in het percentage dat geheel voldoet. De toepassing van deze standaarden is primair de verantwoordelijkheid van iedere overheidsorganisatie zelf en het niet volledig voldoen kan ook als reden hebben dat de standaarden onjuist zijn geconfigureerd.
Of de adoptie van de standaarden ingewikkeld is, verschilt per standaard, maar ook per wijze waarop ICT bij een organisatie is ingeregeld. Zo is bijvoorbeeld de adoptie (en «strenge» configuratie) van de anti-email-phishing standaard DMARC3 ingewikkelder, wanneer meerdere externe partijen namens die organisatie mail versturen (bijv. ten behoeve van mailinglijsten en enquêtes). Ook zijn veel organisaties afhankelijk van hun externe leverancier. Zo biedt de meest gebruikte cloudmail-provider van de overheid default geen IPv64 en geen DANE5. Voor het Rijk is Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon Web Services (SLM), belegd binnen het Ministerie van Justitie en Veiligheid (JenV), verantwoordelijk voor de communicatie met de leveranciers. JenV vraagt samen met Forum Standaardisatie al sinds 2019 aandacht voor de implementatie van de standaarden. De implementatie van deze standaarden is door Microsoft steeds in tijd opgeschoven. SLM en Forum Standaardisatie hebben Microsoft opnieuw gewezen op de verplichting voor de Nederlandse Overheid deze standaard toe te passen en hebben Microsoft gevraagd de huidige ultieme invoerdatum van juli 2023 hoe dan ook te garanderen.
Het blijft belangrijk dat overheden hun leverancier aanspreken op tekortkomingen en zo nodig overstappen naar een leverancier die de standaard wel goed ondersteunt. Maar ook bij ingewikkelder implementatie is adoptie zeker mogelijk, getuige het groot aantal organisaties dat hun internetdomeinen wel binnen het afgesproken tijdspad op orde heeft gebracht. Ik verwacht dan ook van alle organisaties dat ze alsnog aan de regels gaan voldoen.
Het tekort aan IT’ers bij de rijksoverheid speelt in zekere zin een rol om te voldoen aan de implementatie van verplichte securitystandaarden. Ook het Rijk heeft namelijk te maken met een tekort aan IT’ers en dat draagt bij aan het tijdig handelen. Echter kunnen we niet causaal vaststellen dat een tekort aan IT’ers bijdraagt aan het niet voldoen aan de gemaakte afspraken. Zoals onder vraag 3 toegelicht, kunnen andere oorzaken ook bijdragen aan een onvoldoende toepassing van de standaarden zoals afhankelijkheid van externe leveranciers en/of een gebrekkig domeinbeleid.
Ik blijf mij inzetten voor een veilige en betrouwbare overheid op het internet. In de beantwoording van Kamervragen over cookies op overheidswebsites6 van 1 november jl., heb ik aangekondigd medeoverheden en rijksoverheidsorganisaties per brief te wijzen op het belang te voldoen aan geldende wet- en regelgeving. In diezelfde brief zal ik eveneens aandacht vragen voor de implementatie van de informatieveiligheidsstandaarden.
Die brief bied ik aan de Vereniging van Nederlandse Gemeenten, het Interprovinciaal Overleg, de Unie van Waterschappen, de CIO Rijk, de Manifestgroep en Klein Lef aan. In die brief spreek ik de diverse overheden aan op hun verantwoordelijkheid om zich te houden aan de gemaakte afspraken. Indien een overheidsorganisatie het IT-beheer heeft uitbesteed, is het van belang de ICT-dienstverlener formeel te verzoeken om ondersteuning van de betreffende standaarden, en daarbij te wijzen op beschikbare how-to's en te vragen om een concrete planning.
Als de huidige leverancier te weinig medewerking verleent, moeten overheden overwegen om over te stappen naar een leverancier die wel voldoet aan de afgesproken standaarden. Om geschikte leveranciers te vinden kan informatie uitgewisseld worden met collega-overheden die leveranciers hebben die wel de afgesproken standaarden ondersteunen.
Het is belangrijk dat het Ministerie van JenV zo spoedig mogelijk voldoet aan de verplichte open informatieveiligheiddstandaarden van Forum Standaardisatie. Na het kerstreces wordt uw Kamer door de Minister van JenV geïnformeerd over de termijn waarop de standaarden zijn geïmplementeerd. Deze implementatie en het beheer van e-mail-en webdomeinen moet in de ICT-agenda’s van de JenV-onderdelen worden gepland. Domeinbeheer is noodzakelijk opdat het Ministerie van JenV blijft voldoen aan deze standaarden.