De Algemene Rekenkamer constateert in haar Verantwoordingsonderzoek 20181 een toename in het aantal onvolkomenheden op het gebied van informatiebeveiliging (11) en ICT (9) binnen de rijksoverheid.

Zowel het kabinet als uw Kamer hebben bij het Verantwoordingsdebat op 6 juni jongstleden (Handelingen II 2018/19, nr. 90, items 5 en 12) aangegeven deze situatie zorgelijk te vinden. Uw Kamer heeft mij in dit verband verzocht om nog voor het AO Functioneren Rijksdienst van 3 juli te laten weten hoe het kabinet de geconstateerde problemen gezamenlijk gaat aanpakken. Bij het WGO van 20 juni heb ik u tevens toegezegd om u te informeren over de voorziene doorontwikkeling van het Rijks ICT Dashboard, om ook het inzicht en de bruikbaarheid van de daar beschikbare verantwoordings-informatie structureel te verbeteren. Dat doe ik middels deze brief.

Bij de aanpak van de problematiek rond informatiebeveiliging en ICT zet het kabinet noodzakelijke stappen, zowel rijksbreed als binnen de eigen bedrijfsvoering van departementen. In deze brief ga ik in op beide typen maatregelen en hun onderlinge samenhang.

Hierbij staat voorop dat het kabinet de gevoelens van uw Kamer deelt dat de situatie op deze onderwerpen volgend jaar significant beter moet zijn dan het afgelopen jaar. Ik heb daarom met mijn kabinetscollega’s, aanvullend op de rijksbrede maatregelen in de Strategische I-agenda 2019–20212, gesproken over een gerichte aanpak van de onvolkomenheden op ICT en informatiebeveiliging in 2019.

Elk ministerie heeft de Rekenkamer reeds in een bestuurlijke reactie op het Verantwoordingsonderzoek 2018 laten weten hoe ze die onvolkomenheden binnen de eigen bedrijfsvoering willen aanpakken. Het volledige overzicht van maatregelen op deze onvolkomenheden, uitgesplitst per departement, deel ik graag met u als bijlage bij deze brief3.

Afspraak binnen het kabinet is dat ik de opvolging van deze acties dit jaar en in volgende jaren centraal ga coördineren, waarbij ik uw Kamer zoals toegezegd4 nog dit najaar van een tussentijdse voortgangsrapportage zal voorzien.

Daarbij zal ik ook ingaan op de voortgang van de rijksbrede maatregelen in de Strategische I-agenda 2019–2021.

Deze verdere invulling van mijn coördinerende rol is in lijn met de voornemens die ik in oktober vorig jaar met uw Kamer heb gedeeld. Ik heb u toen, in reactie op de eerdere bevindingen van de Rekenkamer over 2017, een brief gestuurd met de aankondiging van versterkte coördinerende bevoegdheden voor de Minister van BZK en een nieuw pakket aan sturingsmaatregelen voor het I-domein van het Rijk5.

In februari heb ik uw Kamer tevens de strategische I-agenda 2019–2021 toegestuurd (Kamerstuk 26 643, nr. 591), waarin naast deze nieuwe sturingsmaatregelen ook andere initiatieven in samenhang worden gepresenteerd. Hierbij gaat het bijvoorbeeld om initiatieven zoals de ontwikkeling van een meerjarig samenwerkingsplan tussen ICT-opleiders in het hoger onderwijs en de Rijksdienst, waarbij beoogd wordt nog in 2019 te starten met de uitvoering hiervan.

De uitvoering van deze meerjarenstrategie is in 2019 met grote urgentie gestart. Geprioriteerde sturingsmaatregelen met voorziene oplevering in 2019 zijn onder meer de herziening van het functieprofiel van de departementale CIO’s en een kwaliteitskader voor departementale I-plannen.

Zoals ook aangegeven in mijn brief van 11 oktober (Kamerstuk 26 643, nr. 591) leggen deze maatregelen de basis voor de verbetering van de sturing en verantwoording over ICT binnen de Rijksdienst. De verbetering van het Rijks ICT Dashboard, die binnen de planperiode van de Strategische I-agenda 2019–2021 wordt uitgevoerd, moet volgen uit de implementatie van deze maatregelen.

Het Rijks ICT Dashboard is de afgelopen jaren ontwikkeld op basis van de informatiebehoefte van uw Kamer, waarbij de focus ligt op informatievoorziening over grote ICT-vernieuwingsprojecten. De Algemene Rekenkamer merkt in dit verband terecht op dat op het Rijks ICT Dashboard nu nog geen verantwoordingsinformatie beschikbaar is over ICT-beheeraspecten6.

Met voorgenoemde sturingsmaatregelen wordt de aansluiting van de departementale informatieplanning op de begrotings- en beleidscyclus verbeterd en fungeert de CIO voortaan als eigenaar van het departementale I-plan. De CIO krijgt daarmee een concrete bevoegdheid, verantwoordelijkheid en een verbeterde informatiepositie in de hele levenscyclus van ICT; inclusief ICT-beheeraspecten.

Om de kosten die hiermee samenhangen beter in beeld te krijgen is in 2019 ook een pilot gestart die zich richt op beheeractiviteiten met een meerjarig ICT-component van ten minste € 5 miljoen.

Gekeken wordt naar modernisering, doorontwikkeling, onderhoud (preventief en correctief) en jaaraanpassingen van de bestaande ICT-systemen. De uitkomsten van deze pilot zijn relevant om te komen tot een uitgebreidere informatievoorziening op het Rijks ICT Dashboard.

Voor een effectieve aanpak van informatiebeveiliging is een belangrijke taak weggelegd voor de departementale Chief Information Security Officers (CISO’s). Parallel aan de herziening van het functieprofiel van de CIO wordt het functieprofiel van de departementale CISO’s geformaliseerd.

In 2019 wordt gewerkt aan de ontwikkeling van een nieuw informatiebeveiligingsniveau, waarmee actieve weerstand wordt geboden tegen digitale dreigingen van statelijke actoren. Tevens is in april de nieuwe Baseline Informatiebeveiliging Overheid gepubliceerd7, waarvan ik de rijksbrede implementatie binnen de planperiode van de Strategische I-agenda ga faciliteren en coördineren.

In het CIO-beraad zal de voortgang op de aanpak van onvolkomenheden en de voortgang op de Strategische I-agenda continu aandacht krijgen. Hierbij wordt een goede balans gezocht tussen enerzijds monitoring van de voortgang en anderzijds versterking van de uitvoering. Ik heb CIO Rijk daarnaast verzocht om in het licht van de bevindingen van de Algemene Rekenkamer te bezien of en waar aanvullende rijksbrede maatregelen nodig zijn.

Daarbij kijken we onder andere op welke plekken meer acute capaciteit nodig is, waarbij een beroep gedaan kan worden op de pool van ICT-experts van I-interim Rijk. Ook verwacht ik voor de Rijksdienst veel meerwaarde van het nieuwe Cyber Traineeship, waarvan de eerste lichting in september dit jaar start. Die aanvullende expertise geeft een extra stimulans aan het realiseren van voorgenoemde acties.