Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 21 juni 2024

In de beantwoording van de Kamervragen over de «verhuizing van het .nl-domein» van 22 maart 20241 heb ik aangekondigd dat ik uw Kamer voor de zomer zou informeren over de voortgang van de stappen die we zetten inzake de voorgenomen migratie van SIDN naar de publieke cloud van Amazon Web Services (AWS). In deze brief bied ik u, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, een overzicht aan van de stand van zaken inclusief lopende acties.

Verschillende acties en onderzoeken zijn momenteel in uitvoering. Conclusies over het voorgenomen besluit van SIDN om het domeinregistratiesysteem in de cloud van AWS te willen migreren volgen daarom later. De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties en ik vinden het van belang dat we solide en volledig uitgewerkte conclusies kunnen presenteren voor deze complexe materie. We hebben daarbij besloten dat de kwaliteit van de onderzoeken en daarmee de uiteindelijke oordeelsvorming boven de snelheid van het proces dient te gaan.

Gesprek met belangenbehartigers cloud

Op 27 maart jl. ben ik samen met de Staatssecretaris Binnenlandse Zaken en Koninkrijksrelaties in gesprek gegaan met experts en belanghebbenden over de wijze waarop de Digitale Open Strategische Autonomie (DOSA) het beste kan worden geborgd voor vraagstukken rondom cloudinfrastructuur en -diensten. Ter sprake kwam de afhankelijkheid van grote niet-Europese aanbieders van clouddiensten, en dat het van essentieel belang is dat ongewenste en risicovolle strategische afhankelijkheden van een of enkele aanbieders worden beperkt.2 De aanwezigen constateerden dat het marktfalen en de afhankelijkheidsproblematiek op het terrein van cloud hoger op de politieke agenda dienen te komen. Daartoe is het belangrijk dat beleidsinzet voor het stimuleren van een concurrerend Europees cloudaanbod wordt geïntensiveerd. Het is cruciaal om daarbij samenwerking tussen de overheid en het bedrijfsleven te zoeken, zodat voldoende investeringen worden gedaan en vooruit wordt gekeken. Dit betekent dat ook de vraagarticulatie van cloudinfrastructuur en -diensten volwassener dient te worden. Aanwezigen benadrukten ook dat de (Rijks)overheid hier een rol in kan spelen. De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties heeft in dit verband aangegeven dat het kabinet momenteel het Rijksbrede cloudbeleid evalueert.

Quickscan

De resultaten van dit gesprek zijn meegenomen in de opdracht voor de quickscan. De quickscan wordt door KPMG uitgevoerd. De resultaten hiervan worden na de zomer verwacht en zullen worden gedeeld met de Tweede Kamer.

Het doel van de quickscan is om zicht te krijgen op specifieke technische functionaliteiten en relevante organisatorische en juridische aspecten van respectievelijk Nederlands en Europees aanbod van clouddiensten, in vergelijking met het aanbod van de dominante niet-Europese marktpartijen. Oftewel een beeld schetsen van de verschillen («de gap») tussen het aanbod van de lokale (Europese) partijen en de marktleiders. De bevindingen van de quickscan helpen ook om meer inzicht te verkrijgen in de verschillen qua aanbod, op basis van de door afnemers gestelde eisen.

De opdrachtnemer zal de inzichten uit bovenstaand onderzoeksdoel toepassen op de casus van het domeinregistratiesysteem van SIDN en de strategische criteria en specifieke criteria op functionaliteit en beveiliging die daarvoor gesteld worden in het Eraneos rapport3 voor SIDN. Het doel is om daarmee een beter beeld te krijgen of er een vergelijkbaar Nederlands of Europees alternatief beschikbaar is dat kan voldoen aan de eisen van partijen als SIDN voor haar domeinregistratiesysteem. De uitkomst van deze casus kan waardevol zijn voor andere vragende partijen die hoge eisen stellen aan de continuïteit en cyberveiligheid van de clouddienstverlening. Tot slot dient het onderzoek aanbevelingen te geven voor oplossingsrichtingen aan zowel de vraag- als aanbodzijde van de markt om de gevonden lacunes te ondervangen.

DPIA, DTIA en exitstrategie

SIDN heeft een externe partij, Considerati, ingeschakeld om een Data Protection Impact Assessment (DPIA) uit te voeren voor de migratie van het domeinregistratiesysteem. Daarnaast wordt een Data Transfer Impact Assessment (DTIA) uitgevoerd. De verwachting is dat de DPIA en DTIA na de zomer zijn afgerond. Daarnaast is SIDN bezig een exitstrategie op te stellen die zal toezien op zowel het snel kunnen verhuizen in het geval van problemen of calamiteiten, als het kunnen migreren naar een Europese of Nederlandse cloudprovider indien deze mogelijkheid zich aandient. Deze zal in lijn zijn met het Implementatiekader Risicoafweging Cloudgebruik Rijksoverheid.4

Analyses

SIDN is aangewezen door EZK als aanbieder van een essentiële dienst binnen onze digitale infrastructuur en valt daarmee binnen de reikwijdte van vitale infrastructuur. De Rijksinspectie Digitale Infrastructuur (RDI) houdt toezicht op SIDN op basis van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Sinds de beantwoording van de Kamervragen is er meerdere keren contact geweest met SIDN. SIDN heeft aangegeven het belang te zien van toezicht en zal de RDI actief informeren en betrekken bij de verschillende voorziene fasen in het voorgenomen migratietraject om de veiligheid, integriteit en continuïteit voor het .nl domein te garanderen. De toezichthouder zal blijvend meekijken op de beheersing van risico’s van het huidige en het toekomstige systeem en die van de exitstrategie.

Ten behoeve van verdere beleids- en besluitvorming in deze casus is, in aanvulling op bovenstaande acties, de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) verzocht een risicoanalyse uit te voeren. De AIVD voert deze analyse uit op basis van zijn wettelijke taak tot veiligheidsbevordering (Wet op de Inlichtingen- en Veiligheidsdiensten 2017, artikel 8).

Convenant

Mede in het kader van het convenant5 is met SIDN de afgelopen maanden veelvuldig contact geweest om opvolging te geven aan de acties. Kort na het verschijnen van de antwoorden op de Kamervragen heeft SIDN zelf een nadere toelichting gegeven op hun voorgenomen besluit en de internet sector inzicht gegeven in technische eisen die zij stellen aan het domeinregistratiesysteem en bijbehorende platform.

Tot slot benadruk ik graag dat de verhuizing van het domeinregistratiesysteem nog geen voldongen feit is. Er is afgesproken dat SIDN gedurende de looptijd van de hierboven genoemde acties en lopende onderzoeken geen onomkeerbare stappen zal zetten. Ik verwacht dat de genoemde acties na de zomer zijn afgerond en dat daarmee een helder inzicht wordt verkregen welke vervolgstappen gezet moeten worden. Besluitvorming daarover is aan het volgende kabinet.

Mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties

De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens