1.

Op 29 maart 2022 hebben Kamerleden Rajkowski (VVD) en Van Weerdenburg (PVV) een motie ingediend die ten eerste vraagt om te onderzoeken hoe apparatuur en programmatuur van organisaties uit landen met een tegen Nederland gerichte offensieve cyberagenda geweerd kunnen worden uit aanbestedingen van de rijksoverheid (Kamerstuk 26 643, nr. 830) Ten tweede wordt gevraagd een scan uit te voeren op de aanwezigheid van apparatuur of programmatuur van organisaties uit landen met een tegen Nederland gerichte offensieve cyberagenda in de vitale infrastructuur.

2.

Daarnaast is in het hoofdlijnendebat digitalisering op 30 juni jl. (Handelingen II 2022/23, nr. 99, item 5 en 8) een tweede motie ingediend (en aangenomen) door Rajkowski, c.s. die de regering verzoekt om te komen met een richtlijn voor de rijksoverheid en haar leveranciers, dat producten of diensten van organisaties en bedrijven uit landen met een offensieve cyberagenda gericht tegen Nederland uit bepaalde aanbestedingen geweerd kunnen worden, en de Kamer hierover te informeren (Kamerstuk 26 643, nr. 874). Deze motie overlapt inhoudelijk met de motie Rajkowski (VVD) en Van Weerdenburg (PVV) uit maart 2022.

Met uw Kamer ziet het kabinet de risico’s en dreigingen die uitgaan van landen met een offensief cyber(spionage)programma tegen Nederlandse belangen. In onder meer het recente Cyber Security Beeld Nederland1 en het Dreigingsbeeld Statelijke Dreigingen2 wordt hier uitgebreid op ingegaan. Vanwege deze dreiging voelt het kabinet de noodzaak om alert te zijn en passende maatregelen te nemen ten aanzien van producten en diensten die wij als overheid verwerven. Dit mede ter voorkoming van spionage, sabotage en het ontstaan van risicovolle strategische afhankelijkheden van andere landen en/of partijen.

Het kabinet voert landenneutraal beleid. Dit betekent dat leveranciers uit specifieke landen door de aanbestedende dienst niet op voorhand categorisch worden uitgesloten, maar dat dit per casus op basis van een risicoafweging wordt bepaald.

Er is afgelopen periode en mede naar aanleiding van genoemde moties op drie terreinen sprake van intensivering. Als eerste is stevig ingezet op het sterker benutten van de huidige mogelijkheden binnen de Aanbestedingswetgeving en op het vergroten van de bewustwording ten aanzien van nationale veiligheidsrisico’s. Deze inzet ga ik verder versterken door middel van meer voorlichting en communicatie over de (juridische) mogelijkheden ten aanzien van veilig inkopen en aanbesteden. Ten tweede verplicht het kabinet de toepassing van passende instrumenten in het inkoop- en aanbestedingsproces door een nadere aanscherping van de kaderstelling, waarin procesafspraken zijn opgenomen, en door monitoring binnen de rijksoverheid. Ten slotte wordt een regeling opgezet (genaamd Algemene Beveiligingseisen rijksoverheid Opdrachten of afgekort ABRO) voor aanbestedingen van de rijksoverheid en de Nationale Politie die de nationale veiligheid raken. De hierboven genoemde terreinen komen aanbod in de onderliggende brief. Tevens besteed ik in deze context aandacht aan de samenwerking met de departementen en doorontwikkeling van instrumentarium ten aanzien van informatieveiligheid ten behoeve van het inkoopproces (Inkoopeisen Cybersecurity Overheid).

Het kabinet wil dat de Europese aanbestedingsregels voldoende toekomstbestendig zijn en ondersteunend zijn aan het doel van veilige inkoop. Hoewel er een aantal mogelijkheden binnen de aanbestedingsregelgeving zijn, kunnen niet altijd alle risico’s bij een aanbesteding volledig uitgesloten worden. De Minister van EZK onderzoekt welke extra maatregelen voor uitsluiting en risicomitigatie binnen de aanbestedingsregelgeving nodig en effectief zijn.

Over de Europese inzet op dit thema wordt u voor het zomerreces door de Minister van EZK geïnformeerd in de Kamerbrief over aanbesteden en derde landen.

Binnen het huidige kabinetsbeleid wordt, vanwege de dreiging van statelijke actoren, doorlopend ingezet op het identificeren en beheersen van risico’s voor de nationale veiligheid bij de inkoop en het gebruik van producten en diensten bij de rijksoverheid, lokale overheden en vitale aanbieders. Het uitgangspunt is om per inkoopopdracht risico’s voor de nationale veiligheid in kaart te brengen en hier waar nodig maatregelen op te treffen. Ter ondersteuning van dit beleid is in 2018 en 2019 instrumentarium ontwikkeld dat organisaties mogelijkheden biedt bij het maken van een risicoanalyse en het treffen van maatregelen. Dit instrumentarium bestaat uit:

• (1) een quickscan om risico’s te identificeren;

• (2) een handleiding voor het uitvoeren van een uitgebreidere risicoanalyse;

• (3) aanbestedingsrechtelijke handvatten voor het beheersen van risico’s

Dit instrumentarium is openbaar en te vinden op de site van PIANOo, Expertisecentrum aanbesteden. Er wordt ondersteuning geboden vanuit de rijksoverheid (Ministerie van BZK, EZK en de NCTV) bij de toepassing van het instrumentarium.

Op dit moment wordt gewerkt aan een actualisatie en aanscherping van het instrumentarium. Dit is binnen de rijksoverheid een verplicht kader met procesafspraken. De verwachting is dat dit voor de zomer van 2023 wordt afgerond. Deze geactualiseerde instrumenten worden ook openbaar gemaakt en worden wederom verspreid binnen de rijksoverheid, lokale overheden en vitale aanbieders. Daarnaast worden ook verschillende activiteiten georganiseerd om de bewustwording over dit thema en de mogelijkheden om risico´s te beheersen te vergroten, zowel bij de rijksoverheid, lokale overheden als vitale aanbieders.

Bij de beoordeling van risico’s ten aanzien van spionage, beïnvloeding of sabotage door statelijke actoren of andere partijen is het van belang om een aantal overwegingen mee te nemen in de hierboven genoemde risicoanalyse. Het kabinet heeft deze overwegingen onder andere gehanteerd bij het verwerven van antivirussoftware, apparatuur en programmatuur van aanbieders van Nederlandse mobiele telecomnetwerken en het communicatiesysteem voor hulpdiensten C2000.6

• 1. Is de partij die de dienst of product levert afkomstig, of staat hij onder controle van een partij, uit een land met wetgeving die commerciële of particuliere partijen verplicht samen te werken met de overheid van dat land, in het bijzonder met staatsorganen die zijn belast met een inlichtingen- of militaire taak, of is de partij een staatsbedrijf?

• 2. Is de partij die de dienst of product levert afkomstig uit een land met een actief offensief inlichtingenprogramma gericht op Nederland en Nederlandse belangen of een land waarmee de Nederlandse relatie dusdanig gespannen is dat acties die Nederlandse belangen aantasten voorstelbaar zijn?

• 3A. Krijgt de partij die de dienst of product levert uitgebreide toegang tot gevoelige locaties, gevoelige ICT-systemen en vitale infrastructurele installaties of werken, waarbij misbruik een nationaal veiligheidsrisico kan vormen?

• 3B. Zijn er beheersmaatregelen mogelijk en realiseerbaar die de nationale veiligheidsrisico’s die in het geding zijn voldoende beschermen?

Deze overwegingen moeten in samenhang met elkaar worden bekeken en alleen wanneer alle overwegingen van toepassing zijn, en blijkt dat nationale veiligheidsrisico’s niet voldoende kunnen worden beheerst, worden waar juridisch mogelijk partijen uitgesloten. Voor zover de huidige juridische mogelijkheden voor specifieke producten of diensten ontoereikend zijn wordt ingezet op het creëren van nieuwe mogelijkheden. Denk daarbij aan de besluiten die het kabinet heeft genomen ten aanzien antivirussoftware, mobiele telecomnetwerken en communicatiesystemen voor hulpdiensten.

Aanvullend hierop werkt het kabinet tevens aan het ontwikkelen van beveiligingseisen ten aanzien van haar leveranciers. Hiertoe wordt een regeling opgezet voor aanbestedingen van de rijksoverheid en de Nationale Politie die de nationale veiligheid raken: de ABRO (Algemene beveiligingseisen rijksoverheid Opdrachten), doorontwikkeld vanuit de huidige ABDO (Algemene Beveiligingseisen voor Defensie Opdrachten) van het Ministerie van Defensie. De ABDO bevat bepalingen voor de opdrachtnemer met betrekking tot de fysieke beveiliging, (digitale) informatiebeveiliging en cybersecurity, (wijzigingen in) eigendomsstructuren, economische veiligheid, screening van personeel en procedures bij incidenten. Deze bepalingen/maatregelen dragen significant bij aan het voorkomen van (digitale)spionage, het weglekken van kennis en ongewenste overnames. Opdrachtnemers worden contractueel verplicht deze beveiligingseisen in te voeren. De rijksoverheid start hiervoor een meerjarig programma.

Naast de samenwerking met de verantwoordelijke departementen en het Ministerie van Defensie worden ook relevante uitvoeringsorganisaties zoals de Nationale Politie bij het vervolg betrokken. Mede gezien het feit dat de Nationale Politie bezig is met de uitvoering van de motie Van Nispen (SP) van 19 mei 20227, die raakt aan dit onderwerp. In deze motie is al eerder aandacht gevraagd om bij aanbestedingen die de nationale veiligheid raken aan veiligheidsvereisten een zwaarder belang toe te kennen.

In 2023 en 2024 zal het kader met beveiligingseisen worden opgezet en vindt besluitvorming plaats. Eind 2024 start de uitvoeringsfase waarbij gezamenlijk de uitvoering opgepakt wordt ten behoeve van aanbestedingen van de rijksoverheid en relevante uitvoeringsorganisaties, die de nationale veiligheid raken.

De overheid hanteert de Baseline Informatiebeveiliging Overheid (BIO) als standaard om zich te weren tegen dreigingen gericht tegen de informatievoorziening van de overheid. Voor de vertaling naar meer specifieke eisen per in te kopen dienst of product zijn eisen ten aanzien van cybersecurity ontwikkeld. Deze eisen komen samen in een online-instrument welke beschikbaar is voor iedereen, met de naam «Inkoopeisen Cybersecurity Overheid (ICO)». De hedendaagse dreigingen vergen echter een meer specifiek eisenpakket per dienst of product, daarom worden aanvullende instrumenten ontwikkeld om dit eisenpakket aan te scherpen.

Deze cybersecurity-eisen kunnen als basis dienen om het programma van eisen op te stellen voor aanbestedingen en deze vervolgens op te nemen in af te sluiten contracten. Dit draagt tevens bij aan de eisen die overheid stelt aan haar leveranciers. Onlangs is dit aan uw Kamer gemeld in de Nederlandse Cybersecurity strategie8 en in de Werkagenda Waardengedreven Digitaliseren die 4 november jl. aan uw Kamer is aangeboden9. In de Werkagenda is aangegeven dat uiterlijk eind 2025 via wetgeving is geborgd dat de normensets voor veilig inkopen van ICT-producten en -diensten verplicht worden toegepast door overheden.

Het ICO-instrument is sinds 2021 beschikbaar via de site BIO-overheid.nl10 voor alle overheidsorganisaties en ook voor leveranciers van ICT-producten en -diensten. Er loopt een meerjarig programma om overheidsorganisaties te helpen bij het gebruik van het ICO-instrument.

Verder geldt voor rijksoverheidsorganisaties ook een jaarlijkse audit- en verantwoordingssystematiek en een monitorende rol van CIO/CISO Rijk voor de implementatie en naleving van rijksbreed informatiebeveiligingsbeleid en -kaders.

Het kabinet geeft met het geheel aan bovengenoemde maatregelen om het veilig inkopen binnen de overheid te bevorderen, het verplicht stellen van het gebruik van het genoemde instrumentarium, ontwikkeling van de ABRO en de doorontwikkeling van het ICO-instrument, invulling aan de gevraagde richtlijn van uw Kamer.