Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 16 oktober 2018

Als onderdeel van de Agenda Digitale Overheid «NL DIGIbeter»1 stuur ik uw Kamer de toegezegde nadere uitwerking van maatregelen om de informatieveiligheid bij de overheid te verhogen.

Dat het zaak is dat de overheid meebeweegt en zelf initiatieven ontplooit om mee te kunnen met de ontwikkelingen op het gebied van digitalisering heb ik uitgewerkt in de recente overheidsbrede agenda «NL DIGIbeter». Uitvoering van deze agenda vraagt om blijvende aandacht voor de risico’s die verdergaande technologische en maatschappelijke ontwikkelingen brengen. Om hieraan tegemoet te komen is overheidsbreed een actie-agenda opgesteld.

Bij de uitwerking van de actie-agenda wordt er op kennis en expertise samengewerkt, waarbij het basisprincipe is en blijft dat afzonderlijke overheidsorganisaties zelf verantwoordelijk zijn en blijven voor hun informatieveiligheid. Zodoende stuurt de Minister van BZK uw Kamer binnenkort een brief over de versterking van de centrale sturing op ondermeer informatiebeveiliging bij de Rijksdienst en de sectorspecifieke maatregelen die zij hierop treft. Mijn rol is overheidsbrede samenwerking te stimuleren en daar waar het kan en nodig is randvoorwaardelijke kaders op te stellen.

Focus actie-agenda

De overheid heeft een grote verantwoordelijkheid ten aanzien van de beveiliging van gegevens die burgers en ondernemers aan haar toevertrouwen en de ICT -systemen waarmee zij werkt. Het op orde hebben en houden van het eigen informatieveiligheidsbeleid is dan ook randvoorwaardelijk voor de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en systemen. Zodoende focust een aantal maatregelen zich op het op orde brengen en houden van de informatieveiligheid van overheidsorganisaties en het bevorderen van overheidsbrede samenwerking. Het gaat er ondermeer om dat overheidsorganisaties richtlijnen betekenis geven in hun eigen ICT- bedrijfsvoering, hierover verantwoording afleggen en zichzelf blijven trainen.

Verder neemt het belang van informatieveiligheid aanzienlijk toe in de digitale communicatie van overheden met burgers en ondernemers. Voor het vergroten van de digitale veiligheid is het essentieel dat overheidsorganisaties moderne veiligheidsstandaarden in hun ICT hanteren. De standaarden gaan misbruik van afzenderschap (d.w.z. spoofing en phishing) tegen en zorgen ervoor dat de communicatie van overheden met burgers en ondernemers niet zo maar afgeluisterd of gemanipuleerd kan worden. Om die reden focust een aantal maatregelen zich op het bieden van een veilige digitale dienstverlening aan burgers en ondernemers, maar ook op maatregelen die ervoor zorgen dat belangrijke voorzieningen van de digitale overheid in voldoende mate zijn opgewassen tegen uitval/stilstand.

Overheidsbrede maatregelen

Baseline informatiebeveiliging overheid (BIO)

Momenteel stellen overheden hun informatieveiligheidsbeleid vast aan de hand van een basisnormenkader, ook wel de baseline informatiebeveiliging genoemd. Het Rijk hanteert de Baseline Informatiebeveiliging Rijksdienst (BIR), de provincies de Interprovinciale Baseline Informatiebeveiliging (IBI), de waterschappen de Baseline Informatiebeveiliging Waterschappen (BIWA) en de gemeenten de Baseline Informatiebeveiliging Gemeenten (BIG). De aanstaande Baseline Informatiebeveiliging Overheid (BIO) bundelt de huidige afzonderlijke baselines per overheidslaag (Rijk, provincies, waterschappen en gemeenten) en kan worden beschouwd als de «kapstok» waaraan de elementen van informatiebeveiliging per overheidslaag opgehangen kunnen worden.2 De ontwikkeling van de BIO betreft een doorontwikkeling van de sectorspecifieke baselines en biedt een uniforme basis om te zorgen dat de beveiliging van informatie(systemen) bij alle bedrijfsonderdelen van de overheid bevorderd wordt. De BIO wordt dit jaar nog vastgesteld en alle overheidslagen starten hierna met de implementatie. Hiervoor is het van belang dat bestuurders, ambtelijke top, middenmanagement, (ICT-)professionals en stakeholders op adequate wijze invulling geven aan de gestelde eisen en principes uit de BIO. Om de verschillende doelgroepen hierin zo goed mogelijk te faciliteren is voorzien in een interbestuurlijk ondersteuningsprogramma, waarbij het de bedoeling is dat overheden per 2021 zelf voorzien in die ondersteuning voor de eigen organisatie. Verkend wordt of de systematiek van de BIO in een algemene maatregel van bestuur (AmvB), horende bij de aanstaande Wet Digitale Overheid, kan worden opgenomen.

Digitale veiligheid van hard- en software (DVHS)

In de Roadmap DVHS3 van de Staatssecretaris van EZK wordt een samenhangende aanpak geboden om als Nederland voorop te lopen bij het bevorderen van de digitale veiligheid van hard- en software. De Roadmap DVHS geeft mede invulling aan de Nederlandse Cyber Security Agenda.4 De overheid kan de digitale veiligheid van de gehele productontwikkelingscyclus bevorderen. Door criteria hierover in het inkoopbeleid op te nemen moeten aanbieders van de overheid voldoen aan deze eisen. De overheid kan met haar inkoopbeleid de vraagzijde van digitaal veilige producten stuwen. Zij is namelijk een belangrijke gebruiker. Hierdoor ontstaat een prikkel voor aanbieders om digitaal veilige producten op de markt te brengen. Ook geeft de overheid hiermee het goede voorbeeld: kijk naar de digitale veiligheid van hard- en software voordat je dit koopt. Zodoende wordt onderzocht welke aanvullende maatregelen voor de digitale veiligheid van hard- en software bij inkoop binnen de overheid nodig en gewenst zijn.

Eenduidige Normatiek Single Information Audit (ENSIA)

Voor het gemeentelijke domein is een methode opgezet om de administratieve lasten op informatieveiligheid terug te brengen en tegelijkertijd de gemeentelijke bestuurlijke verantwoording te verstevigen. Zodoende richt dit traject zich op een eenduidige normatiek van diverse centrale regelingen5 en focust het zich op een eenmalige uitvraag aan gemeenten. Door de bestuurlijke verantwoording (horizontale verantwoording) plaats te laten vinden in de gemeentelijke planning- en controlcyclus, wordt het gemeentebestuur versterkt in zijn rol meer zicht te krijgen op de informatieveiligheid in zijn gemeente; dit stelt het bestuur in staat beter te sturen en verantwoording af te leggen aan de gemeenteraad. Deze methodiek met de naam ENSIA wordt sinds 2017 bij alle gemeenten geïmplementeerd. ENSIA wordt nog doorontwikkeld en op sommige terreinen inmiddels ook door waterschappen gebruikt. De bestuurslagen – provincies en waterschappen – worden actief geïnformeerd over ENSIA, zodat deze methodiek (na optimalisaties) wellicht eveneens kan worden ingezet bij die overheidslagen.6

i-Bewustzijn Overheid

Aan de basis van informatieveiligheid moet de wil bestaan om veilig te handelen. Daarvoor is het noodzakelijk dat bestuurders, managers en medewerkers zich bewust zijn van de digitale dreigingen, de eigen rol en consequenties/risico’s van het eigen handelen en de daarmee samenhangende (bedrijfs)risico’s. Om die reden is voorzien in een overheidsbrede i-bewustzijnaanpak om bestuurders, managers en medewerkers blijvend te doen beseffen hoe belangrijk informatieveiligheid is en hun alertheid, kennis en vaardigheden op dit vlak te vergroten. De aanpak richt zich op een actueel en breed toepasbaar aanbod van documenten, leer- en communicatiemiddelen, campagnemateriaal en praktijkvoorbeelden en stimuleert hiermee samenwerking tussen de verschillende overheden. Overheden en Alert Online7, veiliginternetten.nl8 en het Digital Trust Centre9 gaan samenwerken om kennis en aanpak te delen.

Incident response capaciteit

Cybersecurity-incidenten zijn lastig te voorspellen en te voorkomen en dergelijke incidenten los je vaak niet alleen op. Juist omdat online veiligheid geen zaak is van één partij, is het van belang dat overheid en bedrijfsleven permanent slim samenwerken om van Nederland de meest open en veilige online samenleving te maken. In de Nederlandse Cyber Security Agenda van de Minister van J&V is het belang van een landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden genoemd, gericht op het versterken van de slagkracht van publieke en private partijen. Zo is er voor elke overheidslaag een Computer Emergency Response Team (CERT) dat overheidsorganisaties ondersteunt bij ICT-incidenten. Het Nationaal Cybersecurity Centrum (NCSC) is het CERT voor het Rijk en vitale organisaties. Provincies hebben de CERT-functie op dit moment individueel geregeld en verkennen de mogelijkheid van aansluiting bij een overheidsbrede CERT. De waterschappen hebben sinds april 2017 samen met Rijkswaterstaat een CERT Watermanagement en de gemeenten hebben sinds 2013 een eigen CERT, de Informatiebeveiligingsdienst (IBD). Ik hecht aan het belang van een landelijk dekkend stelsel en stimuleer de overheidsbrede samenwerking op dit terrein. Daarom wordt er de komende jaren een impuls gegeven aan het overheidsbreed oefenen met incidenten. Het permanent oefenen is van groot belang voor het overheidsbrede samenspel met relevante private partijen. Op die manier kan er al aan de voorkant beter op elkaar worden ingespeeld.

Vitale digitale overheid

Versleuteling basisregistraties

In het Regeerakkoord (bijlage bij Kamerstuk 34 700, nr. 34) is opgenomen dat gegevens van burgers in basisadministraties en andere privacygevoelige informatie altijd versleuteld worden opgeslagen. Zodoende wordt gestart met een onderzoek naar de wijze waarop de huidige veiligheidsmaatregelen afdoende bescherming bieden tegen mogelijke beveiligingsrisico’s. Uitgangspunt daarbij is het beschermen van privacygevoelige informatie. Hieruit kan volgen dat registraties en/of onderdelen van registratiesystemen die nu niet versleuteld zijn dat voortaan wel moeten worden.

Verhogen adoptie informatieveiligheidsstandaarden

Ondersteunend daaraan is het uitvoeren van frequente metingen op de implementatie van informatieveiligheidsstandaarden van groot belang. Eerder is er door het Platform Internet Standaarden een meetinstrument ontwikkeld, te vinden op www.internet.nl. Met behulp van een financiële impuls wordt deze tool beschikbaar gemaakt voor bulkmetingen, zodat geautoriseerde partijen grote aantallen domeinnamen in één keer kunnen testen. Hierdoor kan een vinger aan de pols worden gehouden ten aanzien van de voortgang van de eerder genoemde implementatieafspraken.

Veilige overheidswebsites

Om de beveiliging van overheidswebsites verder te bevorderen, wordt de open informatieveiligheidsstandaard HTTPS verplicht, zoals eerder aan uw Kamer toegezegd in 2017. Deze standaard (die te herkennen is aan het kenmerkende slotje in de adresbalk van de internetbrowser) zorgt ervoor dat de verbinding en gegevensuitwisseling tussen de bezoeker en de overheidswebsite zijn versleuteld, waardoor het voor kwaadwillenden onmogelijk is deze gegevens te onderscheppen. Bovendien kan de bezoeker dankzij HTTPS controleren of hij/zij direct met de website die hoort bij de gebruikte domeinnaam, contact heeft en niet met een vervalste website (spoofing). De Wet Digitale Overheid, die naar verwachting in 2019 van kracht zal worden, biedt de mogelijkheid open standaarden aan te wijzen voor een verplichting bij AmvB. De AMvB voor HTTPS is naar verwachting per medio 2019 van kracht.

Herkenbaarheid van overheidswebsites en e-mail

Burgers en ondernemers moeten overheidswebsites kunnen onderscheiden van andere websites. Om die reden komt er een onderzoek onder burgers en ondernemers naar de wenselijkheid te komen tot één domeinnaam-extensie voor alle e-mailadressen en websites van de Nederlandse overheid.15 Uit dit onderzoek zal moeten blijken wat het voor ontvangers van e-mail en bezoekers van websites lastig maakt om te bepalen of een verzender daadwerkelijk namens de overheid e-mailt, en of een website echt van de overheid is. Aanbevelingen die uit dit onderzoek naar voren komen kunnen bijdragen aan de bestrijding van het toenemende fenomeen van (spear)phishing.16

Verankering in wet- en regelgeving

Zoals eerder gesteld, geldt voor informatieveiligheid het basisprincipe dat afzonderlijke overheidsorganisaties zelf verantwoordelijk zijn en blijven voor hun informatieveiligheid. Vanwege het groeiend belang voor een veilige digitale overheid wordt eveneens gewerkt aan wetgeving waarin (minimum)eisen ten aanzien van informatieveiligheid worden vastgelegd. Een wettelijke basis waaraan de informatieveiligheid binnen de overheid moet voldoen, is ondersteunend aan het verder borgen en verhogen van veilige overheidsdienstverlening. Het doel hiervan is dat burgers en ondernemers erop moeten kunnen vertrouwen dat de gegevens die zij met de overheid uitwisselen, veilig zijn. Dit geldt ook voor de gegevensuitwisseling tussen overheden onderling. Op dit moment wordt regelgeving voorbereid over informatieveiligheid bij de toegang tot digitale overheidsdienstverlening (eID), alsmede over verplichte toepassing van de (technische) standaard HTTPS. Tevens wordt onderzoek gedaan naar het gebruik van algoritmen door overheden en komt er een kabinetsvisie ten aanzien van open source. Bezien wordt of en hoe meer generiek informatieveiligheidsbeleid een plaats moet krijgen in een volgende tranche van de aanstaande Wet Digitale Overheid.

Tot slot

Het naar een hoger plan tillen van informatieveiligheid binnen overheidsorganisaties blijft de komende jaren één van mijn speerpunten. Het functioneren van de overheid is in sterke mate afhankelijk van een goede sturing op en gebruik van digitale voorzieningen en infrastructuur. Het goed regelen van informatieveiligheid is hier onlosmakelijk mee verbonden. Dit binnen de overheid samen doen, zodat kennis, producten en oplossingen voor informatieveiligheid over en weer kunnen worden gedeeld, helpt het effect te vergroten en beperkt tevens de kosten. De komende tijd zal het accent ook worden gelegd op het delen van de overheidsbrede expertise, daar er sprake is van een groeiend tekort aan cybersecurity experts. Transparantie over de aanpak binnen de overheid helpt organisaties elkaar te vertrouwen. Burgers, ondernemers en andere organisaties moeten kunnen blijven vertrouwen op de overheid, ook in het digitale tijdperk. Overheidsorganisaties zijn zelf verantwoordelijk voor de wijze waarop het informatieveiligheidsbeleid in hun organisatie gestalte krijgt. Mijn taak als Staatssecretaris zie ik als kaderstellend, voorts ondersteunend, en waar nodig aanjagend naar alle overheidslagen.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops