Vragen van de leden Yesilgöz-Zegerius en Aartsen (beiden VVD) aan de Minister van Justitie en Veiligheid en de Staatssecretaris van Economische Zaken en Klimaat over het bericht «Providers gaan bedrijven waarschuwen voor beveiligingslekken» (ingezonden 9 oktober 2020).

Antwoord van Minister Grapperhaus (Justitie en Veiligheid) en van Staatssecretaris Keijzer (Economische Zaken en Klimaat), mede namens de Minister van Economische Zaken en Klimaat (ontvangen 30 november 2020).

Vraag 1

Bent u bekend met bovenstaand bericht?1

Antwoord 1

Ja.

Vraag 2

Klopt het dat de Nationale Beheersorganisatie Internetproviders (NBIP) binnenkort meldingen van het Nationaal Cyber Security Centrum (NCSC) kan gaan ontvangen over dreigingsrisico’s omdat het NBIP als samenwerkingsverband is aangemerkt als objectief kenbaar tot taak (OKTT)? Zo ja, bent u bereid om de Kamer halfjaarlijks op de hoogte te houden van de uitbreidingen van het landelijk dekkend stelsel? Zo nee, waarom niet?

Antwoord 2

Het klopt dat de Nationale Beheersorganisatie Internetproviders (NBIP) eerder krachtens de Wet beveiliging netwerk- en informatiesystemen (Wbni) is aangewezen als organisatie die objectief kenbaar tot taak heeft andere organisaties of het publiek te informeren over dreigingen en incidenten met betrekking tot andere netwerk- en informatiesystemen dan die van vitale aanbieders of de rijksoverheid (OKTT). Dit maakt het voor het Nationaal Cyber Security Centrum (NCSC) mogelijk om de NBIP, met inachtneming van de wettelijke kaders, informatie over dreigingen en incidenten met betrekking tot systemen van de doelgroep van de NBIP te verstrekken, die het NCSC heeft verkregen bij analyses in het kader van de primaire taakvervulling (bijstand aan vitaal en Rijk, etc.). Zie het antwoord op vraag 7 voor een nadere toelichting op de verstrekking van deze informatie. Meer in het algemeen publiceert het NCSC op haar website publiekelijke informatie over bekende kwetsbaarheden, beveiligingsadviezen en andere adviezen waarmee organisaties hun weerbaarheid kunnen vergroten. De inzet op de uitbreiding van het Landelijk Dekkend Stelsel (LDS) vindt plaats binnen de kaders van de Nederlandse Cyber Security Agenda (NCSA).2 Over de voortgang van de NCSA, inclusief initiatieven die plaatsvinden in het kader van het LDS, wordt jaarlijks aan uw Kamer gerapporteerd. De volgende rapportage zal zijn voor de zomer 2021. Ik realiseer mij dat er nog veel werk moet worden verricht om te komen tot een daadwerkelijk LDS. Vandaar dat ik het WODC heb gevraagd onderzoek te doen naar de stand van zaken en de verbeterpunten van dit stelsel. Uw Kamer is hierover geïnformeerd op 17 november jl.

Vraag 3

Vanaf wanneer wordt voorzien dat de NBIP meldingen van het NCSC kan gaan ontvangen over dreigingsinformatie?

Antwoord 3

Zoals in het antwoord op vraag 2 aangegeven, kan het NCSC reeds aan de NBIP, een krachtens de Wbni als OKTT aangewezen organisatie, dreigings- en incidentinformatie, verstrekken met betrekking tot netwerk- en informatiesystemen van hun doelgroep. In verband met eerder gesignaleerde belemmeringen wordt thans onderzocht welke mogelijkheden tot informatiedeling binnen de bestaande wettelijke kaders nog verder ontwikkeld zouden kunnen worden.

Vraag 4

Deelt u de mening dat ondernemers die niet zijn aangesloten bij brancheorganisaties met een OKTT-status of een sectoraal expertisecentrum voor cybersecurity (CERT) adequate hulp moeten kunnen krijgen van het Digital Trust Center (DTC)? Zo ja, kunt u toelichten waarom het NBIP als OKTT wel binnenkort meldingen kan ontvangen van het NCSC terwijl het Digital Trust Center, waarvan meer dan een miljoen ondernemers in hun informatievoorziening afhankelijk zijn, dat nog steeds niet kan? Zo nee, waarom niet?

Antwoord 4

De digitale weerbaarheid is primair een eigen verantwoordelijkheid, ook van bedrijven. Het DTC biedt informatie, advies en tools aan om niet-vitale bedrijven in staat te stellen invulling te geven aan deze eigen verantwoordelijkheid. Daarnaast kan eenieder en dus ook niet-vitale bedrijven, zoals in antwoord 2 aangegeven, via de website, kennisnemen van algemene beveiligingsadviezen van het NCSC. Het NCSC en het DTC werken bovendien vanuit hun onderscheidenlijke taken nauw samen waar het gaat om afstemming in externe overheidscommunicatie. Ook wisselen het NCSC en het DTC als kenniscentra zo veel als wettelijk mogelijk informatie en kennis(producten) uit.

Zoals aangegeven in de beantwoording op vraag 2, is het voor het NCSC mogelijk om, met inachtneming van de wettelijke kaders, informatie over dreigingen en incidenten met betrekking tot systemen van de doelgroep van de OKTT aan een organisatie te verstrekken. Dit indien deze organisatie is aangewezen als organisatie die objectief kenbaar tot taak (OKTT) heeft andere organisaties of het publiek te informeren over dreigingen en incidenten met betrekking tot andere netwerk- en informatiesystemen dan die van vitale aanbieders of de rijksoverheid. Hierbij gaat het om informatie die het NCSC heeft verkregen bij analyses in het kader van de primaire taakvervulling en die betrekking heeft op andere netwerk- en informatiesystemen dan die van vitale aanbieders of de rijksoverheid.

Het NCSC en het DTC werken nauw samen en zijn ook voortdurend, samen met de NCTV, in gesprek over de mogelijkheden om binnen het landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden informatie te delen. Waar mogelijk, verbinden zij hier, voor de betrokken organisaties, handelingsperspectief aan. Alleen dan wordt de digitale weerbaarheid van Nederland immers daadwerkelijk verhoogd. Onderdeel van de samenwerking tussen het NCSC en het DTC is ook het binnen de wettelijke kaders optimaliseren van de onderlinge informatie-uitwisseling. In het kader daarvan wordt ook een aanwijzing krachtens de Wbni van het DTC als OKTT bezien. Momenteel wordt door het Ministerie van EZK gewerkt aan het laten voldoen van het DTC aan, voor overheidsorganisaties vanwege de AVG meer strenge, voorwaarden waardoor het krachtens de Wbni aangewezen zou kunnen worden als organisatie waaraan het NCSC concrete dreigingsinformatie kan delen die betrekking heeft op het niet-vitale bedrijfsleven. Het DTC zou dan de bedrijven over de dreigingsinformatie kunnen informeren. Het Ministerie van EZK is bezig met de voorbereidende werkzaamheden hiervoor. Het streven is dat deze nieuwe dienstverlening begin volgend jaar kan starten.

Vraag 5 en 6

Deelt u de mening dat het voor de digitale veiligheid van Nederland van essentieel belang is dat zowel vitale als niet-vitale organisaties worden geïnformeerd over dreigingsinformatie? Zo ja, wat is de laatste stand van zaken omtrent het DTC te voorzien van een OKTT-status? Zijn er wettelijke barrières die voorkomen dat het DTC van deze status kan worden voorzien?

Zijn er de afgelopen tijd gesprekken gevoerd om te werken aan een OKTT-status voor het DTC? Zo ja, wat waren de uitkomsten van deze gesprekken? Zo nee, waarom niet? Kunt u de Kamer informeren over de voortgang van deze gesprekken?

Antwoord 5 en 6

Ik deel de mening dat het de digitale veiligheid van Nederland vergroot als zowel vitale als niet-vitale organisaties worden geïnformeerd over relevante dreigingen, incidenten en kwetsbaarheden. Om die reden zijn algemene beveiligingsadviezen van het NCSC via de website openbaar beschikbaar en werkt het kabinet aan de totstandkoming van een landelijk dekkend stelsel (LDS) waarin, met inachtneming van de wettelijke kaders, relevante informatie breder, efficiënter en effectiever gedeeld kan worden. Binnen dat LDS spelen het NCSC en het DTC een belangrijke rol.

Zoals in het antwoord op vraag 4 is aangegeven, wordt door het Ministerie van EZK gewerkt aan het laten voldoen van het DTC aan de voorwaarden waardoor het DTC krachtens de Wbni aangewezen zou kunnen worden als organisatie waaraan, onder de bij de beantwoording van vraag 4 benoemde voorwaarden, het NCSC concrete dreigingsinformatie kan delen die betrekking heeft op het niet-vitale bedrijfsleven.

Vraag 7

Gelet op het feit dat vitale bedrijven, zoals KPN en VodafoneZiggo die ook onderdeel uitmaken van het NBIP, al informatie krijgen van het NCSC, kunt u aangeven welk type niet-vitale bedrijven voortaan dreigingsinformatie krijgen via het NBIP? Welke meldingen zal het NCSC wel of niet gaan doorsturen naar het NBIP? Wordt hierin, ondanks dat het NBIP een OKTT-status heeft ook nog onderscheid gemaakt tussen informatie voor vitale en niet-vitale bedrijven gezien het aantal niet-vitale bedrijven dat onderdeel is van het NBIP?

Antwoord 7

Het NCSC kan, binnen de wettelijke mogelijkheden, gegevens over dreigingen en incidenten delen met de NBIP, voor zover deze gegevens betrekking hebben op en relevant zijn voor netwerk- en informatiesystemen van organisaties uit de doelgroep van NBIP. Daarbij kan het in elk geval persoonsgegevens aangaande kwaadwillende actoren betreffen, zodat organisaties door tussenkomst van de NBIP aan de hand daarvan bijvoorbeeld dreigingen kunnen detecteren in hun netwerken. Voor zover de te delen informatie (tevens) vertrouwelijke herleidbare gegevens met betrekking tot een aanbieder betreffen, is verstrekking hiervan aan een OKTT zoals de NBIP, vanwege de toepasselijkheid van de Wbni3, niet mogelijk. In de kabinetsreactie op het WRR-rapport «Voorbereiden op digitale ontwrichting»4 is als een van de verschillende maatregelen opgenomen dat wordt geïnventariseerd welke wettelijke bevoegdheden de overheid heeft bij digitale crisissituaties, zodat kan worden bezien waar eventuele aanvullingen nodig zijn. Het type niet-vitale bedrijven dat dreigingsinformatie kan ontvangen via de NBIP zijn de bedrijven die behoren tot de achterban van de NBIP.

Als organisaties in de doelgroep van de NBIP eveneens vitale aanbieders zijn, zullen zij informatie die relevant is voor de netwerk- en informatiesystemen die de vitale dienstverlening betreffen, direct van het NCSC ontvangen. Het kan dus zijn dat een vitale aanbieder ook (algemene) informatie via organisaties zoals de NBIP ontvangt als deze informatie relevant is voor vitaal en niet-vitaal.

Vraag 8

Overwegende dat het NBIP een informatiestatus heeft dat aansluit op het uitganspunt van het realiseren van een landelijk dekkend stelsel en dat ook recent het Cyber Weerbaarheidscentrum Brainport Eindhoven informatie mag ontvangen van het NCSC5, kan worden toegelicht welke sectoren er nu wel zijn afgedekt via OKTT’s en andere sectorale cybersecurity expertisecentra en welke nog niet? Kunt u een overzicht geven van het huidige landelijk dekkend stelsel? Zo nee, waarom niet?

Antwoord 8

Het landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden heeft tot doel om ervoor te zorgen dat, met inachtneming van de wettelijke kaders, informatie over cybersecurity zo breed, effectief en efficiënt mogelijk wordt gedeeld. De totstandkoming van een landelijk dekkend stelsel en het aansluiten van steeds meer sectoren is een verantwoordelijkheid van de verschillende vakdepartementen. Daarnaast zijn het NCSC en de NCTV in contact met sectoren om hen te stimuleren zich te organiseren.

De organisaties binnen het landelijk dekkend stelsel, bijvoorbeeld het NCSC en het DTC, hebben diverse samenwerkingsverbanden, zoals onder andere Information Sharing and Analysis Centers (ISAC’s), computercrisisteams en andere sectorale- en brancheorganisaties, waar ze in het kader van de vervulling van hun onderscheidenlijke taken mee samen werken. Bij het DTC zijn inmiddels al 30 samenwerkingsverbanden van bedrijven uit niet-vitale sectoren aangesloten en dit aantal zal verder toenemen. Dit landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden is jong, divers, dynamisch en voortdurend in ontwikkeling. Een overzicht hiervan, zoals gevraagd, is daardoor al snel ofwel incompleet en achterhaald, ofwel groot en complex. Mede daarom heb ik via het WODC onderzoek laten doen naar de stand van zaken en de verbeterpunten voor dit stelsel. Dit onderzoek schetst ook een overzicht van het huidige stelselUw Kamer is hierover op 17 november jl. geinformeerd.

Vraag 9

Bent u bereid om zich de komende maanden, gezien de reële en actuele dreiging van cybercriminaliteit, in te zetten voor het versneld uitbreiden van het landelijk dekkend stelsel? Zo ja, kunt u de Kamer zo spoedig mogelijk informeren over de te nemen stappen en het bijbehorende tijdspad? Zo nee, waarom niet?

Antwoord 9

De digitale dreiging die uitgaat van criminelen, maar ook van statelijke actoren heeft volgens het Cybersecuritybeeld Nederland 2020 een permanent karakter.6 Deze dreiging wordt het hoofd geboden langs de prioriteiten zoals uiteengezet in de NCSA en recente Kamerbrieven waarin de versterkte aanpak cybersecurity wordt beschreven,7 de kabinetsreactie op het WRR-rapport «Voorbereiden op digitale ontwrichting»8 en de beleidsreactie op het CSBN 2020, die tevens de voortgangsrapportage over de NCSA bevat.9 Bij de beleidsreactie op het WODC-rapport over Cybersecurity informatie-uitwisseling zoals genoemd onder vraag 8 zal ik u nader informeren over recente ontwikkelingen binnen het landelijk dekkend stelsel.

Vraag 10

Bent u bereid deze vragen te beantwoorden voorafgaande aan de behandeling van de begroting van Justitie en Veiligheid?

Antwoord 10

Ja.

Naar boven