2 Vragenuur: Vragen Van Raak

Zoals elke dinsdag beginnen we met het mondelinge vragenuur. Vandaag beginnen we met de vraag van de heer Van Raak van de SP-fractie aan de minister van Justitie en Veiligheid, die ik ook van harte welkom heet. De vraag gaat over het interne netwerk van honderden bedrijven en ministeries dat maandenlang wagenwijd openlag. Het woord is aan de heer Van Raak namens de SP.

Het woord is aan de minister van Justitie en Veiligheid.

We hebben het over energiebedrijven, we hebben het over defensiebedrijven en we hebben het over mediabedrijven, die dus maandenlang hun beveiliging niet op orde hadden en gewoon de deur open hadden staan voor spionage, kwaadwillendheid en manipulatie. Dat geldt dus ook voor het ministerie van Justitie en Veiligheid. Hoelang is het ministerie onderwerp geweest van oliebollerij? Hoelang heeft het geduurd voordat het gat gedicht is? We hebben iemand die waarschuwt, namelijk het Nationaal Cyber Security Centrum. Dat heeft in maart al gewaarschuwd. Alleen overheden en bedrijven hebben niets gedaan en zijn oliebollen geweest.

En dan is er ook een nationaal belang. Hoe komt het dat we deze beveiliging van vitale infrastructuur overlaten aan publieke belangen of ambtenaren die niet willen optreden? Waarom is het niet mogelijk om ervoor te zorgen dat het Nationaal Cyber Security Centrum bindend kan adviseren en dat er veel meer controle plaatsvindt? Waarom heeft de overheid bijvoorbeeld geen hackers in dienst om dit soort gaten op te sporen? Nu zijn we afhankelijk geweest van Matthijs Koot, die in zijn eigen tijd als beveiligingsexpert naar dit soort zaken heeft gezocht. Waarom worden er geen boetes uitgedeeld? Waarom hebben we geen toezichthouder die hier zelf naar op zoek kan gaan, vraag ik de minister.

Voordat ik daarop antwoord geef, wil ik toch enige nuance aanbrengen. Het is zo dat op 21 augustus dat hoogste beveiligingsadvies is afgekomen, want toen werd duidelijk dat de zogenaamde uitbuitingscode van die systemen openbaar beschikbaar zou komen. Toen is gezegd: nu moet men bij de bedrijven echt in de hoogste versnelling komen om dit aan te passen. Nu is het zo dat op dit moment de situatie is volgens de wet die we in deze Kamer een paar jaar geleden hebben aangenomen, namelijk de Wet beveiliging netwerken en informatiesystemen, de Wbni. In beginsel zet het NCSC als twee waarschuwingen niet helpen dit door naar het betrokken of verantwoordelijke ministerie en dat kan zogenaamde bestuursdwang opleggen.

Ik heb in de cybersecuritybrief van afgelopen zomer aan uw Kamer aangekondigd dat ik een studie doe naar de vraag of er geen centraal toezicht moet komen bij een aparte autoriteit. Eigenlijk is dat min of meer wat de heer Van Raak zegt: een soort autoriteit cyber security die voortaan doorzettingsmacht moet krijgen. Ik heb daar vandaag in een publicatie in een van de kranten over gezegd dat we er wel voor moeten oppassen dat het niet een soort A-Team wordt, want het moet nog wel binnen de verhoudingen van onze maatschappij. Ik deel dus het punt van de heer Van Raak dat we moeten gaan kijken naar een centrale autoriteit die op enig moment wel kan zeggen: nu gaan wij het zelf uitvoeren.

Daar ben ik blij mee. De minister neemt het serieus en zegt sorry voor wat er gebeurd is op het ministerie. Ik ben blij dat er iemand komt die doorzettingsmacht heeft. Komt er ook iemand die onderzoek gaat doen naar die lekken? Anders blijft de nationale veiligheid in gevaar. Ik denk niet dat dat een zaak is die we aan bedrijven kunnen overlaten. Reporter heeft ook aangetoond dat op dit moment nog honderden bedrijven een beveiligingslek hebben, dus ondanks de waarschuwingen. In maart is het begonnen. In augustus is er alarm geslagen. Het geldt voor deze VPN-aanbieder. Het geldt ook voor andere. Honderden bedrijven hebben het lek nog niet op orde. Kan de minister aangeven welke bedrijven dat zijn en hoeveel bedrijven het zijn, of heeft hij dat helemaal niet in beeld?

Het NCSC, het Nationaal Cyber Security Centrum, heeft wel degelijk de mogelijkheid, verschillende vormen zelfs, om het internet te scannen op bepaalde kwetsbaarheden die zich voordoen. Die bevoegdheid en capaciteit heeft het NCSC. Daar moeten we zeker mee doorgaan. Dat zouden we moeten koppelen aan zo'n autoriteit die ik net beschreef. Volgens mij denkt de heer Van Raak daar zelf ook aan. U zult begrijpen dat ik om vertrouwelijkheidsredenen niet aan u kan melden welke concrete bedrijven met dit probleem hebben gekampt. Maar weet dat het NCSC daar juist bovenop zit. Dat heb ik net geschetst.

Dank u wel, meneer Van Raak.

Laat ik eerst eens doen wat de geachte collega Van Raak kennelijk niet over zijn lippen krijgt, namelijk de minister complimenteren omdat hij substantiële actie onderneemt op dit probleem. Dat is heel goed. Ik zou wel nog iets meer invulling willen krijgen van het volgende. Daarmee sluit ik graag aan bij collega Van Raak. Dit is enorm urgente problematiek. In de plannen van de minister lees ik dat het nog wel even gaat duren voordat er iets gebeurt. Welke mogelijkheden ziet hij om echt op heel korte termijn al maatregelen te nemen om dit soort dingen te voorkomen?

We hebben die Wbni. Voor de kijkers thuis: hij heette oorspronkelijk de cybersecuritywet. Maar deze wet is uiteindelijk omgedoopt tot Wbni. Die wet geeft juist mogelijkheden aan overheden, met name aan ministeries, om echt met zogenaamde bestuursdwang een bedrijf te dwingen om bepaalde ingrepen te doen. Ik constateer nu dat we hier heel eerlijk over moeten zijn. Als we cybersecurity echt serieus willen nemen en goed op orde willen krijgen, moeten we dit centraal gaan inregelen. In vervolg op de brief die ik van de zomer heb gestuurd, zal ik spoedig bij de Kamer terugkomen met een nader uitgewerkt plan. Dan kom ik ook terug op de gedachte, de vraag, die vanuit de bedrijven zelf komt, namelijk: waarom doet u niet iets met een soort ketenaansprakelijkheid?

De vitale infrastructuur lag wagenwijd open. Er was geen whizzkid nodig om gebruik te maken van informatie en die in verkeerde handen te spelen. Het is wel belangrijk om na te gaan welke risico's er hier zijn gelopen en waarom er in april-mei geen actie is ondernomen.

De actie is ondernomen. Dat heb ik net beschreven in de eerste termijn van mijn beantwoording aan de heer Van Raak. Dat is ook de actie die we hebben beschreven in de wetgeving, de Wet bni. Dat proces moeten we met elkaar doorlopen. Ik zeg hier heel duidelijk: ik constateer dat er nog een ontbrekend element is. Dat is dat een onafhankelijke autoriteit op enig moment, na waarschuwingen, zou moeten kunnen zeggen: er gebeurt niets; wij zullen hierop door moeten pakken.

Ik ben blij dat de minister heel serieus is over dit onderwerp en spreekt over een centrale autoriteit. Maar het roept bij mij toch ook wel een vraag op. We hebben namelijk het Nationaal Cyber Security Centrum. Dat is er om dit soort problemen tijdig op te sporen en bedrijven en overheidsorganisaties te waarschuwen. Dat heeft het ook gedaan. Alleen, heeft het voldoende mogelijkheden om die coördinerende rol te spelen? Je kunt de stap zetten naar een nieuwe autoriteit, maar we hebben een Nationaal Cyber Security Centrum. Dat moet dan misschien wat meer bevoegdheden krijgen, maar dat is misschien wel een veel logischere weg. Ik ben dus even op zoek naar waar de minister nu aan denkt.

Het is heel goed dat de heer Verhoeven dat punt hier echt even expliciet benoemt. Het gaat mij er niet om om weer een nieuw loket of iets dergelijks te maken. Waar het mij om gaat, is dat het NCSC geen doorzettingsmacht heeft. Dus ze kunnen niet tegen bedrijf X, een heel groot bedrijf dat een rol speelt in de vitale infrastructuur, zeggen: en nu gaat u het doen, u krijgt een aanzegging en anders komen we het over een maand voor u doen. Die bevoegdheid moet er komen. Ik wil er graag zeker ook met de heer Verhoeven als specialist over in gesprek of dat het NCSC zou moeten worden of dat we het elders moeten beleggen. In ieder geval moeten we dat goed gaan inrichten.

Tweede vraag van de heer Verhoeven.

Het is fijn dat we inderdaad kunnen gaan kijken naar hoe we dat precies gaan organiseren, op een manier die aansluit bij wat we al hebben in plaats van dat er weer iets nieuws komt.

Overigens, er is nog een andere suggestie die ik de minister zou willen doen. D66 en de VVD hebben een halfjaar geleden, denk ik, een motie ingediend met als oproep om de vitale infrastructuur in zijn volledigheid te scannen en de gaten snel te dichten. Ik krijg zo hier en daar het gevoel dat de minister daar nog niet zo heel veel prioriteit aan geeft. Ik zou hem nooit een oliebol noemen, maar ik zou het wel oliedom vinden als we daar niet werk van zouden maken. Het is gewoon een aangenomen Kamermotie die naadloos aansluit op hetgeen er afgelopen zaterdag in de Volkskrant stond.

Er ligt al een dergelijke scan van belangrijke delen van de vitale infrastructuur. Pijnlijk genoeg. Dat is het rapport van de Algemene Rekenkamer van maart over dit onderwerp. Naar aanleiding daarvan heb ik in mijn brief van deze zomer aan uw Kamer gezegd: ik denk dat de beste weg voorwaarts is dat die doorzettingsmacht er is. Die scan kan ik natuurlijk elke keer periodiek doen, maar het gaat erom — dat zegt het woord update al — dat die vitale systemen voortdurend bij de les blijven.

De minister gaf als antwoord op de vraag van de heer Van Raak aan dat het klopt dat er organisaties zijn geweest die achterliepen met de update. Dat vind ik een iets te vriendelijke formulering voor wat er echt aan de hand is, dat is namelijk dat systemen en netwerken wagenwijd openlagen voor kwaadwillenden. De minister zegt: als ze het dan zelf niet regelen, komen wij het wel doen. Daarbij wil ik de minister vragen of hij dan ook aandacht wil hebben voor bedrijven en mkb'ers die daarbij ondersteuning nodig hebben. Mag ik die opmerking van deze minister op deze manier verstaan en bedoelt hij dat ook zo? Ik zou ook heel graag een analyse willen — ik begrijp dat dit nu niet kan — van de risico's die we de afgelopen tijd hebben gelopen, onder andere bijvoorbeeld doordat het ministerie van Justitie en Veiligheid hiermee ook te maken had.

Een echte doorwrochte analyse, laat ik die toezeggen, want dan gaan we, denk ik, het beknopte gedeelte van dit debat nu te buiten. Ik denk wel dat het NCSC — dat is in ieder geval de opzet van de wet geweest — dit op tijd heeft gesignaleerd en ook tijdig dat hoogstebeveiligingsadvies heeft gegeven. Ik heb hier, voorzitter, juist om tegemoet te komen aan die kleine bedrijven, het cybersecurity woordenboek dat ik u graag zo dadelijk namens het NCSC en mijzelf zou willen overhandigen. Dat is vandaag uitgekomen en is een eerste stap op weg naar het voor iedereen toegankelijk maken van wat cybersecurity is, want alleen dán kunnen we iedereen die cybersecurity aanbieden.

Dank u wel.