Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 26 juni 2023

Het belang van een digitaal weerbare samenleving is door dit kabinet al meermaals onderstreept. In de Nederlandse Cybersecurity Strategie (NLCS) is aangegeven dat dit belang zo groot is dat het realiseren van deze weerbaarheid niet alleen een verantwoordelijkheid is van individuele organisaties, maar dat zij hierbij passende ondersteuning moeten krijgen vanuit de overheid. Om dit te bereiken heeft het kabinet onder andere besloten om de bestaande cybersecurity rijksoverheidsorganisaties, het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid (JenV) en het Digital Trust Center (DTC) en het Computer Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP), beide van het Ministerie van EZK, te integreren in één nieuwe organisatie. Dit betekent dat er één centrale, zichtbare en effectieve organisatie komt die de nationale cybersecurityorganisatie wordt.

Doel van de integratie is om de versnippering in het cybersecuritystelsel tegen te gaan en de schaarse expertise zo efficiënt mogelijk in te zetten. Na de integratie kunnen alle organisaties in Nederland terecht bij één herkenbaar loket voor cybersecurityadvies, bijstand bij digitale incidenten en kan de nieuwe nationale cybersecurityorganisatie snel en adequaat reageren op dreigingen en incidenten op nationaal en sectoraal niveau. De eerste belangrijke stappen in de integratie zijn reeds gezet. De organisaties werken al zoveel mogelijk samen. Bijvoorbeeld door het gezamenlijk organiseren van het waarschuwen van slachtoffers en doelwitten van een cyberaanval en te komen tot één set van meest effectieve maatregelen voor alle organisaties in Nederland waardoor zij zich beter kunnen weren tegen aanvallers.

In deze brief informeren wij u conform toezegging in het Commissiedebat Digitale Zaken van 15 december jl. (Kamerstuk 26 643, nr. 961) over de voortgang van de integratie van het NCSC, DTC en CSIRT-DSP.

Stand van zaken

De afgelopen periode is in gezamenlijkheid van de betrokken organisaties gewerkt aan de opdracht en randvoorwaarden om de transitie naar één nationale cybersecurityorganisatie zorgvuldig te doorlopen, met aandacht voor de bestaande dienstverlening, medewerkers en stakeholders. Dit proces heeft bijgedragen aan wederzijds begrip van elkaars werkwijze en mogelijkheden tot synergie. Daarmee is een mooie stap gezet richting de toekomst. De Minister van JenV wordt de eigenaar van de vernieuwde organisatie. JenV en EZK vervullen samen de rol van opdrachtgever. De vernieuwde organisatie is dadelijk gefundeerd op de sterke eigenschappen van de huidige organisaties. Dit zal de vernieuwde organisatie in staat stellen om alle organisaties in Nederland, groot of klein, publiek of privaat, vitaal of niet-vitaal van passende informatie en kennis te voorzien en hulp te bieden bij incidenten.

De transitie zal gefaseerd verlopen zodat er zoveel mogelijk rekening gehouden kan worden met aankomende wetgeving en lopende trajecten uit de Nederlandse Cybersecurity Strategie (NLCS). Daarom worden in ieder geval twee fases onderscheiden: de initiële fase tot 1 oktober 2024 en de optimalisatiefase die loopt tot 1 januari 2026. Na afronding van de initiële fase dient bereikt te zijn dat de vernieuwde organisatie de hierboven genoemde hoofdtaken in samenhang en in voldoende mate kan uitvoeren. Daarbij moet in ieder geval uitvoering kunnen worden gegeven aan de Wet beveiliging en informatiesystemen (Wbni), inclusief de Europese Network and Information Security (NIS2) richtlijn, aan sectorale wetgeving waarbinnen CSIRT-taken worden verricht en, nadat deze is aangenomen, aan de Wet bevordering digitale weerbaarheid bedrijven (Wbdwb) die momenteel in uw Kamer ligt. De huidige organisaties voeren na de initiële fase geen eigenstandige koers meer en bestaan alleen nog in formele zin in hun huidige vorm. In de periode tot 1 januari 2026 worden de taken en processen vervolgens volledig geïntegreerd en geoptimaliseerd. De digitale infrastructuur, nodig voor een optimale uitvoering van alle taken, is dan ook ontwikkeld en in gebruik genomen. De vernieuwde organisatie ontwikkelt zich in de optimalisatiefase van een tijdelijke werkorganisatie naar een geformaliseerd vernieuwde organisatie.

Tijdens het hele transitieproces wordt er al zoveel mogelijk gewerkt vanuit het perspectief van de nieuwe organisatie. Zo werken er momenteel al medewerkers uit de operatie van zowel het Digital Trust Center als het CSIRT-DSP samen met medewerkers van de operatie van het Nationaal Cyber Security Center om beter bekend te raken met elkaars werkzaamheden en de daarvoor gebruikte systemen. Daarnaast wordt er gekeken naar de ontwikkeling van gezamenlijke informatieproducten die relevant zijn voor vitale en niet-vitale organisaties en hoe winst kan worden behaald in de communicatie richting hen. Ook hebben de drie organisaties nu al handen in één geslagen voor het ontsluiten van informatie op het gebied van doelwit- en slachtoffernotificatie.2

Om de gehele transitie te realiseren wordt op dit moment een transitiemanager aangesteld. De transitiemanager zal de transitie coördineren en de voortgang van de transitieopdracht en bijkomende afspraken bewaken. De transitiemanager onderhoudt ook de afstemming met andere relevante wetgevings- en NLCS-trajecten.

Uw Kamer wordt periodiek geïnformeerd over de voortgang van de transitie. Dit zal in de rapportage over de voortgang van de NLCS gebeuren.

Naast bovenstaande ontwikkelingen willen wij u ten slotte ook graag informeren over de uitvoering van een andere actie uit het de Nederlandse cybersecuritystrategie (NLCS), namelijk de verkenning die is uitgevoerd naar het organiseren van de in de NIS2 vastgelegde CSIRT-taken. Door deze nieuwe richtlijn krijgen meer sectoren verplichtingen op het gebied van cybersecurity, zoals het nemen van beveiligingsmaatregelen om cyberbeveiligingsrisico’s voor hun netwerk- en informatiesystemen te beheersen. Tegelijkertijd krijgt de overheid voor meer sectoren de verplichting om te adviseren over digitale dreigingen en indien nodig bijstand te verlenen.

Rapport beleidskader herinrichting Computer Security Incident Respons Team (CSIRT) stelsel

Het uitbrengen van de NLCS, het implementeren van de NIS2 en de bovenstaande integratie naar één nationale cybersecurity organisatie was mede aanleiding een verkenning te laten uitvoeren naar de (her)inrichting van het CSIRT-stelsel in Nederland. Het Ministerie van Justitie en Veiligheid heeft namens de vakdepartementen een onafhankelijke verkenning laten uitvoeren naar de vormgeving van een beleidskader voor het herinrichten van het CSIRT-stelsel met een nationale en sectorale CSIRTs, rekening houdend met de impact van de NIS2-richtlijn en sectorale cybersecuritywet- en regelgeving. De Minister van Justitie en Veiligheid biedt u dit rapport aan.

In het rapport worden scenario’s geschetst met daarbij onder andere aandacht voor politieke verantwoordelijkheden van vakministers, uitvoerbaarheid en toekomstbestendigheid van het stelsel. Het rapport doet daarbij aanbevelingen over te hanteren uitgangspunten voor een nieuw stelsel en stelt vervolgstappen voor om te komen tot implementatie. De uitkomsten van het rapport worden meegenomen in het implementatietraject van de NIS2 richtlijn. Over de precieze inhoud van de implementatiewetgeving en bijbehorende implementatiekeuzes, ook ten aanzien van de inrichting van het CSIRT-stelsel, zal uw Kamer bij de parlementaire behandeling van de wetsvoorstellen separaat worden geïnformeerd.

De concept implementatiewet zal naar verwachting in het najaar van 2023 in consultatie worden gebracht.

De Minister van Justitie en Veiligheid, D. Yesilgöz-Zegerius

De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens