De vaste commissie voor Justitie en Veiligheid heeft een aantal vragen en opmerkingen voorgelegd aan de Minister van Justitie en Veiligheid over de brief van 23 januari 2020 inzake «Overzicht op hoofdlijnen Citrix-kwetsbaarheden» (Kamerstuk 26 643, nr. 660), over de brief van 11 februari 2020 inzake «Analyse van de gelopen risico’s door de kwetsbaarheden in de virtual private network (VPN) software van het bedrijf Pulse Secure» (Kamerstuk 26 643, nr. 666), over de brief van 13 februari 2020 inzake «Verzoek aan de commissie over het aanhouden van een verslag van schriftelijk overleg over het overzicht op hoofdlijnen Citrix-kwetsbaarheden» (Kamerstuk 26 643, nr. 667) en over de brief van 20 maart 2020 inzake «Kabinetsreactie op het rapport «Voorbereiden op digitale ontwrichting» van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) en een overzicht van de geleerde lessen van de Citrix-problematiek» (Kamerstukken 26 643 en 30 821, nr. 673).

De vragen en opmerkingen zijn op 17 april 2020 aan de Minister van Justitie en Veiligheid voorgelegd. Bij brief van 25 mei 2020 zijn de vragen beantwoord.

De voorzitter van de commissie, Van Meenen

Adjunct-griffier van de commissie, Burger

Inhoudsopgave

I.	Vragen en opmerkingen vanuit de fracties		2
	1.	Inleiding	2
	2.	Overzicht op hoofdlijnen Citrix-kwetsbaarheden	2
	3.	Kabinetsreactie op het rapport «Voorbereiden op digitale ontwrichting» van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) en een overzicht van de geleerde lessen van de Citrix-problematiek	5
	4.	Cybersecurity en corona	10
	5.	Overig	13
II.	Reactie van de Minister van Justitie en Veiligheid		13

I. Vragen en opmerkingen vanuit de fracties

1. Inleiding

De leden van de VVD-fractie hebben kennisgenomen van de geagendeerde brieven voor het schriftelijk overleg Cybersecurity en hebben hier nog enkele vragen en opmerkingen over.

De leden van de PVV-fractie hebben kennisgenomen van de brieven die zijn geagendeerd voor het schriftelijk overleg Cybersecurity. Zij hebben nog vragen over de brief «kabinetsreactie op het rapport «Voorbereiden op digitale ontwrichting» van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) en een overzicht van de geleerde lessen van de Citrix-problematiek».

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van de agenda en stukken van het schriftelijk overleg cybersecurity. Zij hebben enkele vragen.

De leden van de GroenLinks-fractie hebben met interesse kennisgenomen van de verschillende brieven over cybersecurity, met name over de Citrix-kwetsbaarheid en over het rapport «Voorbereiden op digitale Ontwrichting» van de WRR. De huidige crisis rond de COVID-19 pandemie laat eens te meer het belang zien van een zo goed mogelijke voorbereiding op crisissituaties. Voornoemde leden hebben nog enkele vragen bij de verschillende brieven.

2. Overzicht op hoofdlijnen Citrix-kwetsbaarheden

3. Kabinetsreactie op het rapport «Voorbereiden op digitale ontwrichting» van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) en een overzicht van de geleerde lessen van de Citrix-problematiek

4. Cybersecurity en corona

De leden van de VVD-fractie willen stilstaan bij de signalen die hen bereiken over nieuwe vormen van cybercrime en een voorziene toename van digitale aanvallen. Cybercriminelen die de huidige crisis rondom corona aangrijpen om bijvoorbeeld thuiswerkers te hacken, ziekenhuissystemen te ondermijnen of CEO-fraude te plegen (waarbij een financieel medewerker een dringende mail krijgt die afkomstig lijkt te zijn van de directeur waarin gevraagd wordt om direct een bepaald bedrag over te maken). Voornoemde leden willen ook stilstaan bij veilig digitaal thuiswerken. Welke ontwikkelingen ziet u? Hoe wordt dit gemonitord en op welke wijze zijn onze veiligheidsdiensten voorbereid om hierbij snel op te treden? Kunt u daarbij aangeven op welke wijze in internationaal verband wordt samengewerkt en hoe informatie wordt gedeeld om te voorkomen dat criminelen op grote schaal misbruik maken van de huidige crisis? Welke concrete maatregelen worden in internationaal verband genomen om de uitwisseling van informatie te bevorderen?

De leden van de D66-fractie constateren dat cybersecurity hand in hand gaat met een steeds verder digitaliserende samenleving. Die ontwikkeling was al gaande vóór de huidige coronacrisis en die ontwikkeling wordt nu op veel gebieden verder versneld. Neem al die mensen die nu thuiswerken, thuis onderwijs volgen of digitale doktersconsulten voeren. De impact van de Citrix-kwetsbaarheid van begin dit jaar zou enkele maanden later nog veel grotere maatschappelijke en economische gevolgen hebben. Voornoemde leden menen daarom dat de urgentie van goed cybersecuritybeleid verder is toegenomen door de coronacrisis. Deelt u deze mening? Welke gevolgen op het gebied van cybersecurity ziet u als gevolg van de coronacrisis? Bent u van mening dat de coronacrisis noopt tot heroverweging van de aanwijzing van wat «essentiële diensten» zijn in het kader van de Wbni, bijvoorbeeld als het gaat om hosting- of datacenters?

5. Overig

De leden van de CDA-fractie zijn verheugd over de extra inspanningen voor onderzoek en innovatie op het gebied van cybersecurity (ruim 20 miljoen euro) voor onderzoek en innovatie op het gebied van cybersecurity (zie de brief «Resultaten verkenningen en vervolgaanpak cybersecurity kennisontwikkeling en innovatie» (Kamerstuk 26 643, nr. 674) van de Staatssecretaris van Economische Zaken en Klimaat) maar vragen tegelijkertijd hoe die inspanningen zich verhouden tot investeringen in andere landen. Kunt u aangeven welke soortgelijke investeringen in landen als Duitsland en Frankrijk worden gedaan? Denkt u dat de Nederlandse investering voldoende is om toptalent en topkennis aan ons land te binden? Ook vragen deze leden of bij het antwoord op deze vragen de constatering van TNO dat de totale onderzoekscapaciteit in Nederland op het vlak van cybersecurity bescheiden is.

II. Reactie van de Minister van Justitie en Veiligheid

1. Inleiding

Ik dank de leden van de vaste commissie voor Justitie en Veiligheid voor hun opmerkingen en vragen over de brieven inzake «Overzicht op hoofdlijnen Citrix-kwetsbaarheden» (Kamerstuk 26 643, nr. 660), «Analyse van de gelopen risico’s door de kwetsbaarheden in de virtual private network (VPN) software van het bedrijf Pulse Secure» (Kamerstuk 26 643, nr. 666), «Verzoek aan de commissie over het aanhouden van een verslag van schriftelijk overleg over het overzicht op hoofdlijnen Citrix-kwetsbaarheden» (Kamerstuk 26 643, nr. 667), «Kabinetsreactie op het rapport «Voorbereiden op digitale ontwrichting» van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) en een overzicht van de geleerde lessen van de Citrix-problematiek» (Kamerstukken 26 643 en 30 821, nr. 673). Hieronder beantwoord ik de gestelde vragen. Voor het Zomerreces ontvangt uw Kamer nog een brief met een beleidsreactie op het Cyber Security Beeld Nederland (CSBN2020) en de voortgangsrapportage van de Nederlandse Cyber Security Agenda (NCSA) naar aanleiding van deze brief en de hierboven genoemde brieven ga ik op een later moment graag nog eens met uw Kamer in gesprek.

2. Overzicht op hoofdlijnen Citrix-kwetsbaarheden

De leden van de VVD-fractie vragen naar de periode tussen het bekend worden van de kwetsbaarheid op 17 december en het actief publiekelijk informeren van vitaal aanbieders op 9 januari. Een gedetailleerde tijdslijn van gebeurtenissen heb ik met uw Kamer gedeeld per brief van 23 januari2 en via de technische briefing aan uw Kamer op diezelfde dag. De VVD-fractie stelt dat het Nationaal Cybersecurity Centrum (NCSC) pas vanaf 9 januari 2020 vitale gebruikers van de betreffende Citrix producten (Citrix-ADC en Citrix-Gateway) actief publiekelijk geïnformeerd heeft over de kwetsbaarheid. Het NCSC heeft echter al op 18 december 2019 een eerste beveiligingsadvies over deze kwetsbaarheid gepubliceerd en actief gedeeld met haar doelgroepen, waaronder organisaties in de vitale infrastructuur. In de dagen en weken daaropvolgend is – wanneer daar aanleiding toe was – het advies door het NCSC geactualiseerd. Het advies waarover de VVD-fractie spreekt betreft dus het geactualiseerde advies dat is gebaseerd op eerdere actief gedeelde adviezen van het NCSC hierover. De aanleiding voor het actualiseren van het advies op 9 januari 2020 was de verwachting dat er op korte termijn een zogeheten exploitcode publiekelijk bekend zou worden waarmee de kwetsbaarheid kon worden misbruikt. Tevens werd bekend dat er actief werd gezocht naar kwetsbare systemen, potentieel door kwaadwillende. De hierboven genoemde leden vragen mij ook welke concrete maatregelen naast het informeren van vitale aanbieders door het NCSC zijn genomen tussen het publiekelijk informeren over de kwetsbaarheden op 9 januari 2020 en het advies met betrekking tot het afsluiten van het Citrix systeem uitgegeven op 17 januari 2020. Ik verwijs u naar het gedetailleerde overzicht dat ik hierover heb gedeeld per brief van 23 januari3 en per technische briefing aan uw Kamer op diezelfde dag. De leden van de VVD-fractie vragen naar het te volgen protocol in geval van een lek in het betreffende Citrix-systeem. Het NCSC publiceert honderden adviezen per jaar over kwetsbaarheden. Er bestaat daarom niet voor elke afzonderlijke leverancier een apart protocol voor opvolging bij kwetsbaarheden. In het algemeen geldt dat het NCSC aan de hand van een inschalingsmatrix adviezen inschaalt op ernst en een advies opstelt hoe om te gaan met de kwetsbaarheid. Het is van belang dat vitale aanbieders zelf in beeld hebben welke software zij gebruiken en daaropvolgend een risico-inschatting maken bij kwetsbaarheden in deze software. Daarnaast werk ik samen met vitale aanbieders, sectorale toezichthouders en vakdepartementen aan een methodiek van »pas toe of leg uit» bij ernstige beveiligingsadviezen, in deze gevallen zullen toezichthouders actief nagaan of adviezen zijn opgevolgd door vitale aanbieders of dat er een goede reden is om dit niet te doen. Voor alle overheidslagen geldt daarnaast de verplichte maatregel: als de kans op misbruik en de kans op schade bij misbruik beiden hoog zijn, worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen4. Daarnaast geldt voor de rijksoverheid een meldplicht (binnen 72 uur) aan het NCSC bij geconstateerde inbreuken5; de andere bestuurslagen hebben een meldplicht bij hun sectorale Computer emergency response team (CERT). Ik blijf tenslotte de oproep doen om beveiligingsadviezen van het NCSC zo snel als mogelijk op te volgen en zodoende kans op misbruik te voorkomen. De VVD-fractie vraagt ook of kan worden aangegeven waarom de sectorale toezichthouders niet zijn geïnformeerd op 9 januari 2020 in plaats van 13 januari. De eerste prioriteit van het NCSC is het waarschuwen van doelgroep-organisaties die de betreffende systemen gebruiken waarin kwetsbaarheden zijn geconstateerd. Zij zijn namelijk degenen die als eerste actie moeten ondernemen om misbruik van de kwetsbaarheden te voorkomen. Ik ben het met de leden van de VVD-fractie eens dat het tijdig delen van dreigingsinformatie met de toezichthouders van vitale aanbieders van groot belang is. Zij hebben een belangrijke rol in het stelsel en kunnen organisaties er in het kader van hun toezichthoudende taken op wijzen dat zij nog kwetsbaar zijn en dat zij de nodige beveiligingsmaatregelen moeten treffen. Om de positie van de toezichthouders te versterken kondigde ik in mijn brief van 29 oktober 2019 aan dat het NCSC meer informatie met toezichthouders zal uitwisselen6. Het rechtstreeks informeren van de toezichthouders over de Citrix-kwetsbaarheid is een goed voorbeeld van deze intensievere samenwerking. Er wordt ondertussen verder gewerkt aan het binnen de wettelijke kaders nader inrichten van de informatiedeling en overige samenwerking tussen NCSC en sectorale toezichthouders, waarbij de snelheid van informatiedeling ook als factor wordt meegewogen. Hierdoor zullen toezichthouders waar mogelijk voor hen relevante dreigingsinformatie van het NCSC ontvangen.

De leden van de VVD-fractie vragen vervolgens in hoeverre de rijksoverheid en vitale aanbieders die gebruik maken van de betreffende Citrix software risico hebben gelopen. De leden van de GL-fractie vragen daarnaast ook in hoeverre de veiligheid van niet-vitale processen in gevaar is geweest door Citrix. De AIVD en MIVD bevestigden destijds dat een statelijke actor de kwetsbaarheid in Citrix-servers gebruikte bij voorbereidingen op cyberspionage. Een groot deel van de rijksoverheid en de vitale aanbieders hebben de beveiligingsadviezen van het NCSC tijdig opgevolgd. CIO Rijk hield daarbij voor de rijksoverheid een overzicht bij van organisaties die de betreffende Citrix-software hadden afgeschakeld of – als dat niet was gebeurd – welke mitigerende maatregelen zij namen en wat de impact daarvan was. Het beeld is dat de gevolgen – anders dan enkele dagen problemen met het werken op afstand – voor de rijksoverheid beperkt zijn gebleven. Voor de vitale aanbieders komt dit beeld overeen. Voor wat betreft niet-vitale aanbieders zijn mij bijvoorbeeld uit de media signalen bekend dat er pogingen tot misbruik zijn geweest bij niet vitale organisaties. De leden van de VVD-fractie benoemen dat het NCSC op 16 januari 2020 op basis van informatie van specialisten beoordeelde dat de effectiviteit van de eerder uitgegeven tussentijdse mitigerende maatregelen onvoldoende zekerheid konden bieden. Zij vragen om welke mitigerende maatregelen het ging. Het betrof de mitigerende maatregelen die door Citrix zelf werden gepubliceerd tot een sluitende oplossing beschikbaar zou zijn. Het NCSC heeft in dat kader op 16 januari bij zijn doelgroepen aangegeven dat het onduidelijk was of de tussentijdse mitigerende maatregelen van Citrix in alle gevallen effectief zouden zijn voor het voorkomen van misbruik. Daarop heeft het NCSC zelf aanvullende beveiligingsmaatregelen aanbevolen, waaronder IP-whitelisting en het instellen van een zogeheten webapplicatiefirewall. Naast deze aanvullende beveiligingsmaatregelen heeft het NCSC geadviseerd te overwegen om systemen met de betreffende Citrixproducten uit te schakelen of waar mogelijk de aanvullende maatregelen te treffen7. De leden van de CDA-fractie vragen mij vervolgens naar de juistheid van de inschatting door de Nederlandse overheid over de effectiviteit van de door Citrix zelf afgekondigde mitigerende maatregelen. Daarover kan ik u vertellen dat mede op basis van technisch onderzoek het NCSC beoordeelde dat de effectiviteit van de tussentijdse mitigerende maatregelen van Citrix onvoldoende zekerheid konden bieden. Ik blijf daarom achter het gevoerde beleid staan rondom de Nederlandse aanpak van de kwetsbaarheid in Citrix-ADC en Citrix-Gateway. De leden van de CDA-fractie vragen mij ook naar de overige factoren – naast het juist doorvoeren van de mitigerende maatregelen van Citrix – die van toepassing waren op de bescherming van de gebruikers tegen deze kwetsbaarheid. Het NCSC is tot het advies van 16 januari 2020 – om waar nodig de kwetsbare Citrix-systemen uit te schakelen -gekomen op basis van onduidelijkheid over de effectiviteit van de maatregelen die door Citrix waren gepubliceerd.8 De hierop volgende adviezen van het NCSC over hoe verder te handelen hadden mede te maken met de tijdigheid waarin organisaties de mitigerende maatregelen hadden getroffen, welke versies in gebruik waren en was tevens afhankelijk van de dreiging die uitging naar deze organisaties. De leden van de VVD-fractie vragen of kan worden aangegeven in hoeverre het NCSC de dialoog is aangegaan met de betreffende organisaties om nader in te gaan op de beweegredenen achter het wel of niet uitvoeren van de mitigerende maatregelen. Ik benadruk dat deze risicoafweging in de eerste plaats door organisaties zelf moet worden gemaakt omdat zij kunnen bepalen of het wel of niet doorvoeren van beveiligingsmaatregelen impact kan hebben op de veiligheid en op de continuïteit van de bedrijfsvoering van deze organisaties. Het wel of niet doorvoeren van maatregelen vergt namelijk uitvoerige kennis van de veelal complexe digitale infrastructuur van deze organisaties. Ik kan u melden dat het NCSC voortdurend in contact staat met zijn doelgroepen (rijksoverheid en Vitaal). Uit de Citrixevaluatie blijkt dat er nog enkele verbeterpunten zijn. Hier ga ik de komende tijd mee aan te slag. Deze lessen worden o.a. meegenomen bij het opstellen van de handreiking Landelijk Dekkend Stelsel en het responskader bij digitale incidenten.

De leden van de VVD-fractie willen weten in welke mate het NCSC, of andere organisaties binnen de rijksoverheid, verantwoordelijk zijn voor het zoeken naar een sluitende oplossing voor de kwetsbaarheden. De kwaliteit van een product is allereerst de verantwoordelijkheid van de leverancier. Dat geldt dus ook voor softwareleveranciers. Zij zijn het beste in staat om de benodigde beveiligingsupdates te ontwikkelen voor hun eigen product indien daar kwetsbaarheden in worden gesignaleerd. Het NCSC kan daartoe een rol spelen door informatie over kwetsbaarheden, die mede naar aanleiding van meldingen in het kader van Coordinated Vulnerability Disclosure (CVD) is verkregen met leveranciers te delen. Daarnaast werkt mijn collega van het Ministerie van EZK aan de uitvoering van de «Roadmap Digitaal Veilige Hard- en Software». Deze Roadmap biedt een samenhangend pakket aan maatregelen om onveiligheden in hard- en software te voorkomen, kwetsbaarheden op te sporen en om de gevolgen daarvan te mitigeren. Naast aanbieders van digitale producten en diensten hebben gebruikers (overheden, bedrijven en consumenten) een eigen verantwoordelijkheid om de vraag naar digitaal veilige producten en diensten te stimuleren en een risico-afweging te maken welke producten en diensten zij gebruiken.

De leden van de VVD-fractie vragen wanneer het Digital Trust Center (DTC) op de hoogte is gesteld over de Citrix kwetsbaarheden door het NCSC. Ook vragen zij in hoeverre er informatie is gedeeld tussen het NCSC en het DTC en in hoeverre niet-vitale aanbieders actief geïnformeerd zijn over de Citrix kwetsbaarheden. Citrix maakte op 17 december 2019 bekend dat er sprake was van een kwetsbaarheid in de genoemde Citrix producten. Het NCSC heeft daarom op 18 december 2019 een eerste beveiligingsadvies voor deze kwetsbaarheid gepubliceerd. In de daaropvolgende periode zijn deze adviezen meerdere keren geactualiseerd. Daarbij heeft het NCSC uiteraard doorlopend samenwerkingspartners, zoals het DTC, zoveel als mogelijk geïnformeerd over de ontwikkelingen, zodat zij hun eigen doelgroep actief konden benaderen. Het DTC heeft vrijwel direct na het bekend worden van opschaling van deze kwetsbaarheid op 24 december continu actuele informatie over de kwetsbaarheid aan haar doelgroep van niet-vitale bedrijven gestuurd. Het heeft hiertoe al zijn kanalen ingezet: nieuwsberichten op de website, sociale media en e-mails aan de samenwerkingsverbanden van bedrijven. Al deze berichten zijn gebaseerd op de berichten van het NCSC inclusief de duiding en het geboden handelingsperspectief. Tevens heeft het DTC daar waar noodzakelijk input geleverd voor de diverse (interdepartementale) crisisberaden. De leden van de GL-fractie vragen hoe de Minister aankijkt tegen de kritiek van niet-vitale organisaties dat de verstrekking van specifieke informatie ten tijde van de Citrix-kwetsbaarheid tekortschoot. Deze leden vragen om in te gaan op de rol van het Digital Trust Centre (DTC). Zowel het NCSC als het DTC hebben actief gecommuniceerd over de Citrix-kwetsbaarheid via diverse kanalen. In beginsel zijn organisaties, binnen de (Rijks)overheid, de vitale infrastructuur en daarbuiten, zelf verantwoordelijk voor de beveiliging van hun digitale systemen en het verhelpen van kwetsbaarheden binnen die systemen. De adviezen van het NCSC en het DTC zijn bedoeld om deze organisaties hiertoe in staat te stellen. Voortdurend wordt gekeken op welke wijze informatie beter en sneller gedeeld kan worden: zowel tussen de overheid en het bedrijfsleven als tussen organisaties onderling. Het kabinet werkt toe naar een Landelijk Dekkend Stelsel van cybersecurity samenwerkingsverbanden. Dit stelsel is echter nog in ontwikkeling, de gesignaleerde verbeterpunten worden hierin meegenomen. De leden van de GL-fractie willen weten wat het kabinet van plan is om het functioneren van het DTC bij toekomstige cyberincidenten te verbeteren. Momenteel wordt er door het Ministerie van EZK gewerkt aan het laten voldoen van het DTC aan de wettelijke voorwaarden waardoor het DTC aangewezen kan worden als een organisatie die objectief kenbaar tot taak heeft andere organisaties of het publiek te informeren (OKTT). In geval van een dergelijke aanwijzing kan het NCSC ook persoonsgegevens in relatie tot informatie over digitale kwetsbaarheden en dreigingen (bv. IP-adressen), die het NCSC als bijvangst van de reguliere taakuitoefening ten behoeve van Rijk en vitaal heeft verkregen, voor zover relevant voor de taakuitoefening van het DTC, delen met het DTC. Daarnaast zal er praktische invulling worden gegeven aan de samenwerkingsafspraken tussen DTC en NCSC, teneinde het DTC bij cyberincidenten voor zover mogelijk door het NCSC nog gerichter van voor het niet-vitale bedrijfsleven relevant handelingsperspectief te voorzien.

Vanuit de fracties VVD, CDA en GL zijn vragen gesteld die ingaan op de scope van de evaluatie die door COT is uitgevoerd naar aanleiding van de problematiek rondom Citrix in januari 2020. De samenvatting van deze evaluatie is met uw Kamer gedeeld per brief van 20 maart9. Ik kan u allereerst toelichten dat de scope van de evaluatie de werking van het gehele stelsel is geweest. De evaluatie van de samenwerking in het gehele stelsel – het Landelijk Dekkend Stelsel – biedt juist relevante inzichten om de digitale weerbaarheid te verhogen. De focus op één actor zou een te beperkte scope zijn om interessante inzichten te signaleren. Om die reden zijn er door het Instituut voor Veiligheids- en Crisismanagement (COT) diverse lessensessies opgezet samen met de partners uit het Landelijk Dekkend Stelsel, waaronder sectorale computercrisisteams, vitale aanbieders, NCSC en CIO-Rijk. Uit deze evaluatie kunnen wat mij betreft waardevolle lessen worden getrokken die bijdragen aan het verhogen van de weerbaarheid in Nederland. De leden van de VVD vragen daarnaast expliciet naar het functioneren van de nationale crisisorganisatie en of deze geëvalueerd gaat worden. Voor een crisis in het digitale domein met aanzienlijke maatschappelijke gevolgen is het Nationaal Crisisplan Digitaal opgesteld, dit plan sluit aan op het Nationaal Handboek Crisisbesluitvorming. Het Nationaal Crisisplan Digitaal (NCP-Digitaal) is in februari door dit kabinet vastgesteld en met uw Kamer gedeeld10. Het plan is een leidraad om op hoofdlijnen snel inzicht en overzicht te creëren in de bestaande afspraken op nationaal niveau en de aansluiting met de betrokken publieke en private partners op regionaal/lokaal en internationaal niveau. Ik wil de lessen die voortkomen uit de Citrix evaluatie expliciet meenemen in de actualisering van het NCP-Digitaal die nog ter hand wordt genomen voor het einde van 2020. Deze evaluatie en de door het COT op verzoek opgestelde aanvullende reflectie op het NCP-Digitaal biedt aanvullende punten om mee te wegen in deze actualisering. De leden van de GL-fractie en VVD-fractie vragen naar een evaluatie over het functioneren van het NCSC. De GL-fractie vraagt in aanvulling of ik bereid ben de rol van het NCSC bij digitale crisisbeheersing nog eens tegen het licht te houden. Ik kan u daarover zeggen dat er bij de Citrix-evaluatie onder leiding van het COT een lessensessie heeft plaatsgevonden ten aanzien van het optreden van het NCSC binnen het Landelijk Dekkend Stelsel. De bevindingen daaruit zijn reeds verwerkt in de evaluatie door het COT die uw Kamer heeft ontvangen. De rol van het NCSC neem ik mee in het opstellen van het responskader voor incidenten met een digitale component. De leden van de CDA-fractie vragen of er geen aanleiding is juist de start van het Citrix-incident, de melding en het assessment van dat incident aan een nadere evaluatie te onderwerpen, inclusief de vraag welke betekenis kan en moet worden toegekend aan de termijn van 90 dagen waarbinnen een leverancier de tijd krijgt om een lek te herstellen. In dat kader vragen de leden van de CDA-fractie of zij de rapportage van het COT juist hebben gelezen in die zin dat het COT naar de primaire waardering van het beveiligingsincident geen onderzoek heeft gedaan, maar deze als uitgangspunt heeft aangenomen. Zoals ik eerder heb aangegeven was de scope van de evaluatie de werking van het gehele stelsel. De brief aan uw Kamer van 23 januari11 kunt u raadplegen voor meer achtergrond over de keuzes die zijn gemaakt ten aanzien van de waardering van het beveiligingsincident. Ik hoop u daarmee voldoende inzicht te hebben verschaft in hoe de gegeven adviezen tot stand zijn gekomen. Ten aanzien van de termijn van 90 dagen kan ik u aangeven dat dit gaat om een gebruik binnen de industrie. Ik ga echter niet over de bedrijfsvoering van het Amerikaanse bedrijf Citrix, inclusief de van toepassing zijnde hersteltermijn van kwetsbaarheden in hun producten. Mijn focus ligt op het zo veel mogelijk beperken van de impact van de betreffende kwetsbaarheden in Nederland.

De leden van de VVD-fractie vragen zich af voor wat betreft het toekomstige gebruik van het Citrix systeem van de rijksoverheid welke lessen zijn getrokken uit het Citrix-incident. Daarnaast vragen zij zich af hoe veilig de huidige manier is waarop de rijksoverheid gebruik maakt van het Citrix systeem. Voor het gebruik van alle software binnen de rijksoverheid zijn eisen en richtlijnen opgesteld door mijn collega van BZK. Deze gelden ook voor Citrix. Het is primair de verantwoordelijkheid van iedere organisatie binnen de rijksoverheid om deze regels na te leven en toe te passen in zijn systemen. CIO Rijk monitort dit. Als ontwikkelingen daar aanleiding toe geven kunnen deze eisen en regels worden aangepast.

De leden van de GL-fractie vragen of ik iets kan zeggen over de verantwoordelijkheid voor de kwetsbaarheid in de betreffende Citrix producten. De producent van de software is in beginsel verantwoordelijk voor kwetsbaarheden in de software en het ontwikkelen van oplossingen voor deze kwetsbaarheden. Dat dit soort kwetsbaarheden ontstaan is niet uit te sluiten, het ontwikkelen van software is voor een groot deel mensenwerk en hierbij kunnen fouten worden gemaakt waardoor kwetsbaarheden ontstaan. In een gedigitaliseerde maatschappij kunnen dit soort kwetsbaarheden grote impact hebben. Het is daarom wel belangrijk dat aanbieders zo snel mogelijk een oplossing aanbieden voor de gevonden kwetsbaarheden. In het geval van Citrix heeft het NCSC over het uitkomen van een sluitende oplossing in contact gestaan met Citrix en heeft aangedrongen op het snel beschikbaar stellen van een sluitende oplossing. De leden van de GL-fractie vragen naar de schaal die is gebruikt bij de inschaling van de kwetsbaarheid in Citrix ADC en Citrix Gatewayservers. Kwetsbaarheden worden door het NCSC behandeld aan de hand van een inschalingsmatrix12. Het NCSC heeft de Citrix-kwetsbaarheid aanvankelijk ingeschaald op een middelgrote kans op misbruik met een hoge kans op schade bij misbruik, en heeft dit later bijgesteld naar de hoogste classificatie (hoog/hoog). Deze kwetsbaarheid werd middels de Common Vulnerability Scoring System (CVSS) door Citrix zelf qua ernst ingeschaald op een 9,8 op een schaal van 1 t/m 10. Deze CVSS-score is input voor de uiteindelijke inschaling van een kwetsbaarheid door het NCSC. De leden van de GL-fractie vragen daaropvolgend waarom het dringende advies tot uitschakelen van de betreffende Citrix systemen drie dagen later kwam na inschaling van 9,8 op 17 januari. Voor een uitgebreid overzicht van gebeurtenissen in deze periode verwijs ik uw kamer naar de brief van 23 januari13. Hierin wordt uitgebreid de aanloop beschreven richting het advies omtrent het uitschakelen van de betreffende Citrix systemen. Eveneens vragen dezelfde leden of de inschaling in die periode verder is opgelopen. Dat is niet het geval geweest.

De leden van de GL-fractie vragen mij wat ik van de signalen vond dat het voor veel organisaties onduidelijk was wie de regie voerde tijdens de Citrix-kwetsbaarheid. Wat mij betreft zijn dit signalen om serieus te nemen, de NCTV neemt deze dan ook mee in de actualisatie van het Nationaal Cisisplan Digitaal. Daarnaast heb ik in de kabinetsreactie op het WRR-rapport «Voorbereiden op digitale ontwrichting»14 verschillende maatregelen aangekondigd die bijdragen aan het aanscherpen van de verschillende rollen en verantwoordelijkheden tijdens een digitaal incident. Zo werkt de NCTV samen met het NCSC aan een handreiking Landelijk Dekkend Stelsel (LDS) waarbinnen de verschillende rollen en mogelijkheden tijdens en voorafgaand aan een digitaal incident worden geschetst voor partijen die niet binnen de primaire doelgroepen van het NCSC (rijksoverheid of vitale aanbieders) vallen. Een ander voorbeeld is de uitwerking van het responskader bij digitale incidenten. Dit kader maakt inzichtelijker wat de rollen van de verschillende operationele partijen zijn tijdens een digitaal incident. De leden van GroenLinks vragen mij wat de gevolgen zijn van meer nationale regie door de overheid voor wat betreft aansprakelijkheid. Wat meer nationale regie voor de aansprakelijkheid betekent hangt af van de precieze invulling van deze regie en de omstandigheden. In het algemeen kunnen we stellen dat adviezen vanuit de rijksoverheid die oproepen tot bijvoorbeeld het weren van bepaalde producten consequenties kunnen hebben voor de desbetreffende producent, die hierdoor mogelijk juridische stappen zal overwegen. Daarom worden dit soort vergaande adviezen alleen gegeven als er sprake is van een aantoonbaar risico voor de nationale veiligheid. De leden van de GL-fractie vragen in hoeverre er gedurende de periode van de Citrix problematiek contact is geweest met de cybersecuritydiensten van andere lidstaten en van de Europese Commissie om adviezen en maatregelen onderling af te stemmen? Zoals ik al in mijn eerste brief hierover op 20 januari 2020 heb aangegeven staat het NCSC in voortdurend contact met internationale partners15. Ook gedurende de periode rondom de Citrix problematiek is meerdere malen contact en afstemming geweest met collega-organisaties in het buitenland. Het NCSC heeft t.o.v. andere partners een stevig advies gegeven. Het advies van mijn ministerie op 17 januari 2020 om waar mogelijk Citrix uit te schakelen was mede op basis van een beveiligingsadvies van de AIVD. Nederland is een land dat in sterke mate gedigitaliseerd is en daarnaast kent Nederland een groot aantal klanten van Citrix-producten. Daarmee kan de impact van een kwetsbaarheid in deze producten dan ook groot zijn, waardoor een stevig advies als passend is beoordeeld. Organisaties in andere landen maken hun eigen afwegingen op basis van hun nationale situatie en komen zodoende zelf tot een advies dat passend is voor het betreffende land.

De leden van de CDA-fractie vragen om – zo nodig vertrouwelijk – de Kamer te informeren waar de inlichtingeninformatie uit bestond, die werd gebruikt voor de inschatting dat de kwetsbaarheid daadwerkelijk zou worden misbruikt en waarschijnlijk zelfs al werd misbruikt. In het openbaar worden geen uitspraken gedaan over het kennisniveau en de werkwijzen van de inlichtingen- en veiligheidsdiensten. In voorkomende gevallen kan de Kamer via de geëigende kanalen worden geïnformeerd. De leden van de CDA-fractie vragen welke maatregelen genomen worden om juist in de diagnose-fase van een (groot) cyberincident meer kennis en kunde in te bouwen en vragen of hierbij wordt meegenomen dat het NCSC niet zelf in staat is om diepgaander technisch onderzoek uit te voeren en hierbij afhankelijk is van andere partijen. Ten aanzien van dat laatste vragen zij welke andere partijen dit zijn. Sinds het uitbrengen van de Nederlandse Cybersecurity Agenda (NSCA) in 2018 werkt het kabinet aan de daarin vervatte ambities en doelstellingen waaronder het op orde brengen van de slagkracht. Er wordt voortdurend gewerkt om deze slagkracht te vergroten en incidenten uit het verleden te evalueren om te bepalen wat nodig is in de toekomst. Een van de initiatieven voor het versterken van de kennispositie en daardoor de taakuitoefening van publieke partijen en het als gevolg daarvan meer en sneller bieden van het handelingsperspectief aan belanghebbende organisaties, is het in de kabinetsreactie op het WRR-rapport aangekondigde samenwerkingsplatform tussen het NCSC, AIVD, MIVD, OM en Politie. Juist door het zo veel als mogelijk bijeenbrengen van informatie en het verrichten van gezamenlijke analyses, kan in de diagnose-fase kennis en kunde bijeengebracht worden en meer handelingsperspectief worden gecreëerd. Daarnaast is het belangrijk om te benadrukken dat elk cyberincident anders is. Sommige incidenten komen voor in systemen die bijvoorbeeld specifiek zijn voor een bepaalde organisatie of sector en alleen daarbinnen – in de eigen organisatieomgeving en context – gebruikt worden. In zulke gevallen zal het NCSC waar mogelijk schakelen met organisaties in de doelgroep (Rijk, vitaal) of met een sectoraal computercrisisteam, om gebruik te maken van hun sectorspecifieke kennis en kunde van de in die sector gebruikte systemen. Tenslotte zijn organisaties in beginsel zelf verantwoordelijk voor het organiseren van hun digitale veiligheid en het nemen van passende maatregelen om cyberincidenten op juiste wijze af te handelen. De private cybersecuritysector heeft daarbij een belangrijke rol en voert op contractbasis vaak als eerste technisch onderzoek uit naar een cyberincident bij een organisatie.

3. WRR

De leden van de PVV-fractie willen weten hoe het kabinet – met onverminderde inzet en investeringen- ons land digitaal veilig gaat houden en zich voorbereidt op digitale incidenten. Cybersecurity is een prioriteit van dit kabinet en er zijn al veel belangrijke maatregelen in gang gezet bij de overheid, (vitale) bedrijven en andere organisaties. Deze maatregelen richten zich op preventie, maar ook op onze respons op digitale incidenten. Ook de komende periode zal om onze digitale weerbaarheid te borgen over de hele breedte geïnvesteerd moeten worden om de ontwikkelingen bij te kunnen houden. Voor een overzicht van concrete stappen die zullen worden gezet om Nederland digitaal veilig te houden verwijs ik u graag naar de tabel «Versterking Cybersecuritystelsel: Respons en Weerbaarheid» in de kabinetsreactie op het WRR rapport «Voorbereiden op digitale ontwrichting»16. De Cyber Security Raad zal daarnaast eind 2020 een advies geven over waarin volgens hen de komende jaren geïnvesteerd moet worden om Nederland digitaal veilig te houden. De leden van de D66-fractie vragen wanneer ik kan aangeven dat Nederland wél voldoende is voorbereid op digitale ontwrichting. De overheid neemt een tal van maatregelen om de digitale weerbaarheid te verhogen en ons zo goed mogelijk voor te bereiden op digitale incidenten. Dit zijn preventieve maatregelen bijvoorbeeld via regelgeving (beveiligingseisen) en voorlichting, maar ook detectie- en responsemaatregelen en – in geval van strafbare feiten bij cybercrime -opsporing en vervolging. Dit blijft echter een enorme uitdaging die wordt vergroot door de snelheid waarmee digitale technologie en het gebruik daarvan zich ontwikkelt. De leden van D66 vragen vervolgens welke indicatoren ik gebruik om vast te stellen of we voldoende voorbereid zijn en of ik over voldoende middelen en bevoegdheden beschik. Digitale weerbaarheid van Nederland is een breed concept waar helaas geen alomvattend meetinstrument voor is. Het beeld van onze weerbaarheid baseren we op verschillende onderzoeken en instrumenten. Sectorale toezichthouders hebben zicht op de weerbaarheid van vitale aanbieders en werken aan een inspectiebeeld cybersecurity waarmee inzicht wordt verkregen in de weerbaarheid van de vitale infrastructuur. Ook rapporten van bijvoorbeeld de Algemene Rekenkamer bieden inzicht. Dit soort rapportages laten steeds zien dat er stappen zijn genomen maar ook dat er nog enorm veel moet gebeuren om alle ontwikkelingen bij te houden en dat we ook de komende jaren over de hele linie moeten investeren in onze digitale weerbaarheid.

De leden van de SP-fractie vragen zich af of de overheid niet achter de feiten heeft aangelopen gezien de uitspraken van de WRR over het ontbreken van een uitgebreide crisisorganisatie voor digitale incidenten en waarom de regering dit WRR-rapport nodig heeft gehad om in actie te komen. Ik onderstreep de conclusie dat een goed functionerende samenleving weerbaar is in het fysieke domein én in het digitale domein. Daarom is een van de NCSA prioriteiten ook slagkracht op orde brengen, en is daar ook door dit kabinet in geïnvesteerd. De afgelopen jaren hebben we stappen gezet om onze digitale weerbaarheid te verhogen en ons voor te bereiden op een crisis met digitale elementen. Ik vind daarom niet dat we ons pas veel te laat bewust werden van de problematiek. Het meest concrete voorbeeld hiervan is de ontwikkeling van het Nationaal Crisis Plan Digitaal (NCP-digitaal) dat in februari naar uw Kamer is verzonden. De eerste versie van dit crisisplan is in 2011 ontwikkeld. Het WRR rapport onderstreept wat mij betreft nogmaals het belang van deze en nieuwe maatregelen en is daarmee een welkome waarschuwing. De leden van de SP-fractie vragen mij hoe ik het kan verklaren dat alle maatregelen die tot nu toe door de regering zijn genomen gericht zijn op preventie terwijl de WRR erop wijst dat cyberaanvallen niet zijn te voorkomen maar vooral de vraag is wat ertegen te doen valt. We kunnen cyber aanvallen nooit helemaal voorkomen, maar we kunnen met behulp van preventieve maatregelen het aantal en de impact wel sterk beperken. Bovendien helpen maatregelen die zijn gericht op preventie en paraatheid ook vaak bij snel herstel na een cyberaanval. Bijvoorbeeld door vooraf een incidentresponsplan op te stellen en deze te oefenen zodat wanneer een incident zich voordoet men adequaat kan reageren en de (vitale) dienstverlening snel hersteld kan worden. Daarnaast neemt dit kabinet wel degelijk maatregelen die ons in staat stellen snel en adequaat te reageren op digitale incidenten. Hierbij valt te denken aan de oprichting van het Nationaal Respons Netwerk en de ontwikkeling van het NCP-Digitaal.

De leden van de GroenLinks-fractie informeren naar de deadline en reikwijdte van de verkenning naar de wettelijke bevoegdheden bij het ingrijpen tijdens een digitale crisis. De leden vragen hierbij naar de bevoegdheden bij digitale incidenten waar de nationale veiligheid niet in het geding is en naar de bevoegdheden met betrekking tot zowel vitale als niet-vitale organisaties. Ik verwacht deze verkenning begin 2021 af te ronden. De verkenning focust zich op bevoegdheden die het kabinet heeft om in te grijpen bij een digitale crisis. Het doel is om het beschikbare instrumentarium voor zowel vitale als niet-vitale organisaties inzichtelijk te krijgen. Over de precieze invulling van deze verkenning zal ik uw Kamer zoals hierboven ook aangegeven in de Kamerbrief CSBN2020/Voortgang NCSA informeren. De leden van de VVD-fractie vragen zich af hoe het in de kabinetsreactie genoemde samenwerkingsplatform zich zal verhouden tot het aangekondigde nationale responskader. Zoals in de kabinetsreactie benoemd, heeft het samenwerkingsplatform tot doel om informatie over cyberdreigingen en -incidenten door verschillende publieke partijen (AIVD, NCSC, etc.) bijeen te brengen en gezamenlijke analyses te verrichten en hierdoor meer en sneller handelingsperspectief aan belanghebbende organisaties te kunnen bieden. Het nationale responskader ziet echter op afspraken tussen een breder aantal partijen over incidentrespons in geval van een incident met digitale componenten. Beiden zullen complementair zijn aan elkaar.

De leden van de VVD-fractie vragen of ik een overzicht kan geven van vitale aanbieders met zowel een meld- als zorgplicht en van vitale aanbieders met alleen een meldplicht. Voor een overzicht van de (categorieën van) vitale aanbieders, die hetzij als aanbieder van essentiële diensten (AED), hetzij als andere aangewezen vitale aanbieders (AAVA) zijn aangewezen verwijs ik u graag naar het overzicht hiervan in het Bbni. Voor digitale dienstverleners en AED’s17 geldt op grond van de Wbni zowel de zorgplicht als een dubbele meldplicht.18 Voor AED’s betekent dit dat voor hen een meldplicht geldt bij zowel het NCSC als bij de respectievelijke sectorale toezichthouder. Voor digitale dienstverleners betekent dit dat voor hen een meldplicht geldt bij zowel het CSIRT-DSP als bij het Agentschap Telecom. Daarnaast geldt voor AED’s ook de zogenaamde «zorgplicht».19 Voor AAVA’s20 geldt op grond van de Wbni een enkele meldplicht bij het Nationaal Cyber Security Centrum (NCSC). Sommige AAVA’s, zoals de telecomaanbieders21 hebben krachtens sectorale wetgeving al een meldplicht bij een sectorale toezichthouder en een zorgplicht, waardoor deze verplichtingen niet voor hen in de Wbni zijn opgenomen. De leden van de VVD-fractie vragen in hoeverre grote, niet-vitale bedrijven kunnen worden voorzien van voldoende specifieke informatie over digitale dreigingen door bijvoorbeeld een sectorale toezichthouder. Grote niet vitale bedrijven vallen over het algemeen niet onder een sectorale toezichthouder. Zij kunnen op diverse andere manieren worden voorzien van informatie over digitale dreigingen. Zo maken zij voor de continuïteit en beveiliging van hun digitale diensten vaak gebruik van commerciële aanbieders die hen van relevante informatie voorzien. Ook kan het NCSC voor niet-vitale bedrijven relevante aanvullende informatie over dreigingen en incidenten, die in het kader van de reguliere taakuitoefening is verkregen, delen met aangewezen sectorale cybersecurity organisaties die tot taak hebben om bepaalde niet-vitale bedrijven daarover te informeren zodat deze organisaties op hun beurt dergelijke informatie onder hun doelgroepen verspreiden. Hierbij is het wel van belang dat organisaties zich verenigen in een sectorale cybersecurity organisatie waarmee die informatie gedeeld kan worden. Daarnaast kunnen niet-vitale bedrijven terecht bij het Digital Trust Center (DTC) voor informatie en advies in het algemeen. Op dit moment wordt er door het Ministerie van EZK gewerkt aan het voldoen aan de voorwaarde voor de aanwijzing van het DTC krachtens de Wbni als OKTT, zodat ook via het DTC specifieke informatie over dreigingen en incidenten kan worden gedeeld. De leden van de VVD-fractie vragen aansluitend of ik een overzicht kan geven welke sectoren wel en welke geen sectorale toezichthouder kennen. Wanneer in de context van cybersecurity gesproken wordt over een sectorale toezichthouder worden in het bijzonder toezichthouders bedoelt die zijn aangewezen onder de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze wet voorziet uitsluitend in handhaving ten aanzien van de verplichtingen voor aanbieders van essentiële diensten (AED’s), een subcategorie van vitale aanbieders, en digitale dienstverleners. Voor digitale dienstverleners is het Agentschap Telecom de sectorale toezichthouder. Voor AED’s geldt het volgende:

AED-sector	Toezichthouder dienst
Energie	Agentschap Telecom
Digitale infrastructuur	Agentschap Telecom
Bankwezen	De Nederlandsche Bank N.V.
Infrastructuur voor de financiële markt	De Nederlandsche Bank N.V.
Vervoer	Inspectie Leefomgeving en Transport
Levering en distributie van drinkwater	Inspectie Leefomgeving en Transport
Gezondheidszorg1	Inspectie Gezondheidszorg en Jeugd

De leden van de D66-fractie vragen of ik nader in kan gaan op de mogelijkheid van het verbreden van het mandaat van het NCSC om relevante informatie ook te kunnen en mogen delen met partijen CERTS van niet-vitale sectoren, inclusief CERTS die tot taak hebben om leveranciers van essentiële ICT-diensten te ondersteunen, en hen te ondersteunen en zorg te dragen voor een actieve benadering van die partijen met kwetsbare systemen, die niet door een CERT vertegenwoordigd worden. De leden vragen of het kabinet bereid is om het mandaat van het NCSC hiertoe te verbreden, en de knelpunten die dit in de weg staan weg te nemen, en zo ja, op welke manier. Nederland kent een grote groep bedrijven die niet tot een vitale sector behoren: ongeveer 1,8 miljoen bedrijven. Die groep is niet alleen groot, maar ook erg divers als het gaat om hoe zij hun digitale processen hebben ingericht, hoe afhankelijk zij ervan zijn en wat hun volwassenheidsniveau is als het gaat om digitale veiligheid. Het DTC is een one stop cybersecurity shop voor het niet-vitale bedrijfsleven. Daarnaast fungeert het NCSC als aanspreekpunt voor andere aangewezen (sectorale) computercrisisteams en heeft het op grond van de Wbni de mogelijkheid om met deze sectorale computercrisisteams eventueel ook bepaalde vertrouwelijke dreigingsinformatie te delen. Naast het NCSC is ook het computer security incident response team voor digitale dienstverleners (CSIRT-DSP’s) op grond van de Wbni als CSIRT aangewezen; het NCSC en het CSIRT voor digitale diensten werken zo veel mogelijk samen. Het CSIRT-DSP’s kan eventueel ook andere computercrisisteams van informatie voorzien. Voor een optimale verspreiding van relevante informatie en de nodige schaalvergroting op dit gebied is het belangrijk dat sectoren zich in toenemende mate organiseren in samenwerkingsverbanden. Dit is de eigen verantwoordelijkheid van private en publieke organisaties. Het kabinet monitort de ontwikkeling van dit landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden voortdurend en kijkt waar verbeteringen nodig zijn. In de kabinetsreactie op het WRR-rapport «Voorbereiden op digitale ontwrichting» heb ik hiertoe verschillende trajecten aangekondigd. De leden van de VVD-fractie vragen of ik kan aangeven in hoeverre vitale aanbieders worden geïnformeerd over «high end risks» door het NCSC. Vitale aanbieders zijn een primaire doelgroep van het NCSC. Informatie over dreigingen en kwetsbaarheden wordt dan ook rechtstreeks aan vitale aanbieders verstrekt. Vitale aanbieders worden bijvoorbeeld over ernstige kwetsbaarheden die worden ingeschaald met een hoge kans op misbruik en een hoge (vervolg)schade actief geïnformeerd met informatie over welke mitigerende maatregelen getroffen kunnen worden. Bij de adviezen worden waar nodig en mogelijk ook de inzichten en informatie van nationale (veiligheids)partners en internationale CSIRT-collega’s betrokken.

De leden van de PVV-fractie vragen wanneer de eerstvolgende actualisatie van het Nationaal Crisisplan Digitaal (NCP-Digitaal) is voorzien. De eerstvolgende actualisatie van het NCP-Digitaal wordt ter hand genomen voor het einde van 2020. De leden van de VVD-fractie en GL-fractie vragen of de cyberoefening ISIDOOR wederom is uitgesteld tot 2021. Hierover is uw Kamer per brief van 9 april22 geïnformeerd. Ik kan u bevestigen dat ISIDOOR wordt uitgesteld tot een nader te bepalen moment in 2021. Voor de onderbouwing over dit besluit verwijs ik u door naar de eerdergenoemde brief van 9 april. De leden van de VVD-fractie vragen hoe de cyberoefening ISIDOOR zich verhoudt tot de aangenomen motie van het lid Weverling dat vraagt om een structureel digitaal oefen- en stresstestprogramma. Ik kan u daarover melden dat de oefening ISIDOOR integraal onderdeel uitmaakt van het genoemde programma. Deze oefening speelt een essentiële rol vanwege het belang van de oefening en de omvang van het aantal relevante deelnemers. De leden van de GL-fractie en VVD-fractie stellen vervolgens vragen over de verschillende elementen en de verdere invulling van het oefenprogramma, naar aanleiding van de aangenomen motie van het lid Weverling. Er wordt hard gewerkt aan de uitwerking van dit programma, waarbij ik alvast een korte toelichting zal geven op de drie sporen waarop wordt ingezet door dit kabinet. Over de voortgang hierop en de verdere uitwerking hiervan zal de Tweede Kamer jaarlijks worden geïnformeerd met de voortgangsbrief NCSA die ik nog voor het Zomerreces naar uw Kamer zal versturen. Het eerste spoor bestaat uit het door dit kabinet organiseren van grootschalige oefeningen in het kader van het Nationaal Crisisplan Digitaal. Het tweede spoor is de deelname van de overheid aan bestaande cyberoefeningen in verschillende sectoren. De aansluiting hierop is van belang om goed voorbereid te zijn en om leerpunten te signaleren in de samenwerking. Het derde spoor is het ontwikkelen van initiatieven op oefeningen in publiek privaat verband om oefeningen in verschillende sectoren verder te stimuleren. Zoals toegezegd informeer ik uw Kamer over de voortgang van het oefenprogramma bij de NCSA-voortgangsbrief die ik nog voor het Zomerreces naar uw Kamer zal versturen.

De leden van de CDA-fractie stellen verschillende vragen over vitale aanbieders. Allereerst of ik bereid ben om een vertrouwenspersoon binnen de vitale sectoren aan te stellen, zodat de NCTV/het NCSC specifieke informatie over externe dreigingen – zoals statelijke actoren – kan delen en de sector zich gerichter kan beschermen. Ik vind dat zeker een interessante suggestie. Dit punt zal ik nader verkennen als onderdeel van de reeds aangekondigde versterkte aanpak voor de bescherming van de vitale infrastructuur. Daarnaast vragen ze of ik in overleg kan treden met de vitale sector en hen kan betrekken bij de versterkte aanpak vitaal zoals aangekondigd in de Nationale Veiligheid Strategie. Dit ben ik zeker van plan, kenmerk van de bescherming van de vitale infrastructuur is nadrukkelijk een samenwerking met alle relevante partijen. Vanzelfsprekend worden dus ook de vitale aanbieders betrokken bij de versterkte aanpak. De leden van de GroenLinks-fractie vragen of het huidige onderscheid tussen vitale en niet-vitale aanbieders gehandhaafd moet blijven gezien dat de WRR benadrukt dat ook het functioneren van niet-vitale toeleveranciers van grote invloed kan zijn op de continuïteit van vitale processen. Ik besprak al eerder met u dat toeleveranciers heel belangrijk zijn voor het functioneren van de vitale processen. Dit is dan ook een belangrijk onderdeel van de versterkte aanpak vitale infrastructuur. Deze leden vragen vervolgens of ik kan aangeven wat dit betekent voor de rolverdeling tussen het NCSC en het DTC. Het NCSC en het DTC zijn complementair waarbij de rolverdeling tussen het NCSC en het DTC wordt bepaald aan de hand van verschillende doelgroepen. Het NCSC heeft primair tot taak organisaties binnen de rijksoverheid en vitale aanbieders van bijstand bij dreigingen en incidenten te voorzien. Daarnaast fungeert het, als centraal informatieknooppunt en expertisecentrum voor cybersecurity in Nederland, ook als aanspreekpunt binnen het LDS voor de andere sectorale computercrisisteams. Het DTC voorziet het niet-vitale bedrijfsleven van informatie en advies rondom dreigingen en kwetsbaarheden. Het NCSC en het DTC werken bij de uitoefening van hun onderscheidenlijke taken zo veel mogelijk samen. Partijen die in het kader van de versterkte aanpak vitale infrastructuur vitaal worden verklaard zullen daarmee onder de dienstverlening van het NCSC vallen. Toeleveranciers die niet vitaal zijn maar mogelijk wel diensten leveren ten behoeve van vitale processen vallen in beginsel binnen het domein van het DTC. Daarnaast is het streven om met de wijziging van het Besluit beveiliging netwerk- en informatie systemen als door aanbieders van essentiële diensten te nemen maatregel vast te leggen dat zij hun positie in de keten meenemen in de verplichte risico analyse. Dat betekent dat zij geen onveilige producten of diensten kunnen gebruiken ter ondersteuning van hun essentiële processen, omdat dit te grote risico’s voor de veiligheid van de essentiële dienst zouden kunnen impliceren die niet kunnen worden gemitigeerd. Op de naleving hiervan door AED’s vindt ook toezicht plaats. Voor sommige digitale dienstverleners (bijvoorbeeld verleners van cloudcomputerdiensten), die ook toeleveranciers van AED’s kunnen zijn, gelden krachtens de Wbni, in samenhang met een Europese uitvoeringsverordening23 ook wettelijke verplichtingen tot het treffen van beveiligingsmaatregelen. Hierop vindt ook toezicht plaats. Daarnaast vallen zij qua dienstverlening onder het CSIRT voor digitale diensten (CSIRT-DSP’s).

De leden van de GroenLinks-fractie vragen of ik de WRR analyse deel dat veel processen die de publieke taak raken zijn uitbesteed aan private partijen, veelal gevestigd in het buitenland, waardoor er een afhankelijkheid wordt gecreëerd van partijen waarover de overheid maar in beperkte mate invloed kan uitoefenen, ook in deze crisistijd. De leden vragen wat deze afhankelijkheid betekent voor onze capaciteit om risico’s in het digitale domein te beheersen. Tot slot vragen de leden of ik de mening deel dat de continuïteit van de samenleving hierdoor sterk afhankelijk is geworden van het doen en laten van private partijen en of deze afhankelijkheid niet te groot is. Nederland is als klein land met een open economie in grote mate afhankelijk van andere landen of partijen gevestigd in het buitenland. We zien dat in crisistijd deze afhankelijkheden sterker onder druk komen te staan. Ook in de Kamerbrief Tegengaan Statelijke dreigingen wordt dit benoemd24. Belangrijk hierbij is om zicht te hebben op mogelijke risico’s zodat deze kunnen worden gemitigeerd, dit geldt uiteraard ook voor risico’s in het digitale domein. Hier wordt door het kabinet op ingezet via verschillende instrumenten op o.a. het gebied van inkoop en aanbesteding, investeringen en overnames25 en het beschermen van kennis en technologie. De leden vragen specifiek naar aanbestedingen, het kabinet heeft hiervoor het nationaal veiligheidsbeleid bij inkoop en aanbesteding geïmplementeerd. Overheidspartijen zijn er volgens dit beleid aan gehouden om bij de inkoop en aanbesteding van producten en diensten, waaronder ICT producten, een risicoanalyse te maken en waar nodig maatregelen te nemen om ongewenste strategische afhankelijkheden, het risico op het in verkeerde handen vallen van gevoelige informatie of mogelijke verstoringen van de dienstverlening, te voorkomen of de eventuele impact daarvan te beperken. Afhankelijk van het type product of dienst kunnen de eisen die de overheid bij inkoop en aanbesteding stelt bepalend zijn voor de keuze van leverancier en additionele technische of organisatorische eisen worden gesteld. Het instrumentarium dat ter ondersteuning van dit beleid is ontwikkeld is ook ter beschikking gesteld aan vitale aanbieders. Ten slotte, het aanschaffen van ICT producten van buitenlandse, vaak niet Europese, ICT bedrijven is vaak moeilijk te vermijden. Niet Europese partijen domineren vaak de markt. Belangrijk is dat we hierbij voorkomen dat er onwenselijke strategische afhankelijkheden ontstaan met mogelijke risico’s voor onze nationale veiligheid. Om deze reden verwelkomt het Kabinet de ambitieuze en integrale digitaliseringsagenda van de Europese Commissie. Nederland hecht grote waarde aan Europese samenwerking op digitalisering om gezamenlijk bij te dragen aan het versterken van Europees digitaal leiderschap waarbij waarden en regels van de Europese democratische en duurzame maatschappij geborgd blijven. Daar waar de publieke belangen in het geding komen door ongewenste afhankelijkheden op technologie uit derde landen zal de EU moeten kiezen voor het verminderen van deze strategische afhankelijkheden. Voor Nederland is daarbij de balans tussen een open economie en het beschermen van eigen economische en maatschappelijke waarden van belang. De leden van de SP-fractie vragen mij of het niet beter zou zijn als de Nederlandse overheid zelf meer regie houdt over belangrijke digitale infrastructuren, bijvoorbeeld door de ontwikkeling van nieuwe software of digitale diensten binnen de Nederlandse grenzen te houden, zodat de Nederlandse toezichthouders kunnen toezien of de Nederlandse (digitale) samenleving wel voldoende wordt beschermd in geval van crisis. Veel producten en diensten rond digitale infrastructuren en -diensten zijn samengesteld uit onderdelen die uit meerdere landen komen. Nederland kan zo als klein land profiteren van het kunnen afnemen en leveren van producten en diensten met goede kwaliteit en prijs. Daar waar de publieke belangen (zoals veiligheid, bescherming van persoonsgegevens en privacy, (keuze)vrijheid maar ook verdienvermogen) in het geding komen door ongewenste afhankelijkheden van technologie uit derde landen, zal Nederland moeten kiezen voor het verminderen van deze strategische afhankelijkheden. Zoals gezegd is de balans tussen een open economie en het beschermen van eigen economische en maatschappelijke waarden van belang. Het kabinet is van mening dat het verminderen van ongewenste afhankelijkheden van derde landen en eventueel stimuleren van nieuwe software of digitale diensten het best in Europees verband kan plaatsvinden. Het kosteneffectief ontwikkelen van kwalitatief hoogwaardige productensoftware van eenzelfde kwalitatief niveau als dat van sommige grote buitenlandse aanbieders, zowel met het oog op functioneren als digitale veiligheid, vraagt om doorlopende grote investeringen. Daarnaast is er Europese regelgeving om digitale infrastructuren te beschermen. Tenslotte is er ter uitvoering van Europese regelgeving nationale wetgeving om digitale infrastructuren te beschermen, op de naleving waarvan toezichthouders toezien (onder andere de Telecommunicatiewet en de Wet beveiliging netwerk- en informatiesystemen).

De leden van het CDA vragen mij uit te leggen welke rol het DTC (Digitale Trust Center) vervult als het gaat om cybersecurity? Het DTC is de one-stop cybersecurity shop voor het niet-vitale bedrijfsleven in Nederland en heeft tot doel deze bedrijven weerbaar(der) te maken tegen cyberdreigingen. Het DTC wil informatie en handelingsperspectieven op het gebied van cybersecurity ontsluiten aan het niet-vitale bedrijfsleven op een niveau dat aansluit bij de behoefte van deze groep. Het DTC zal ook via eigen kanalen en via aangesloten samenwerkingsverbanden en individuele bedrijven informatie verzamelen die relevant is voor hun doelgroep. De focus in de eerste fase van het bestaan van DTC (2018–2020) is dat bedrijven in ieder geval een basisniveau van digitale veiligheid bereiken. In het verlengde van de conclusies en aanbevelingen van de evaluatie van DTC wordt in de komende jaren meer aandacht besteed aan bedrijven die een zekere mate van volwassenheid hebben ten aanzien van cybersecurity. Daarnaast stimuleert het DTC de totstandkoming van samenwerkingsverbanden onder meer om via dit netwerk kennis en best practices te delen. Voor het ontsluiten van informatie en advies voor meer volwassen bedrijven en voor de kennisdeling met en tussen de samenwerkingsverbanden en tussen grote en kleine bedrijven zal onder andere het door DTC ontwikkelde online platform worden gebruikt. De leden van het CDA informeren of het NCSC vanuit de wettelijke grondslag enkel informatie over dreigingen en incidenten kan delen met CERTS of OKTT. Het NCSC heeft, naast de primaire taak om Rijk en vitaal van bijstand bij dreigingen en incidenten te voorzien, ook tot taak om voor andere aanbieders relevante dreigingsinformatie, die het in het kader van die primaire taakuitoefening heeft verkregen te delen met andere CERTS of OKTT’s, wanneer dit voor de doelgroepen van die organisaties relevante informatie betreft. Deze verstrekking kan, indien CERTS of OKTT’s krachtens de de Wet beveiliging netwerk en informatiesystemen (Wbni) als zodanig zijn aangewezen, ook bepaalde vertrouwelijke dreigingsinformatie (bv. IP-adressen) betreffen. De leden van de bovengenoemde fractie vragen zich vervolgens af of het feit dat het DTC niet is aangewezen als OKTT als een beperking gezien moet worden. Ook de leden van de VVD fractie vragen zich af waarom het DTC tot dusver nog niet is aangemerkt als OKTT en of ik bereid ben om de voorwaarden te scheppen waardoor dit wel mogelijk is Om het NCSC in staat te kunnen stellen bijvangst, ook als het persoonsgegevens betreft, te kunnen delen met het DTC is inderdaad een aanwijzing als OKTT noodzakelijk. Momenteel wordt door het Ministerie van EZK gewerkt aan het voldoen van het DTC aan de voorwaarden waardoor het DTC krachtens de Wbni aangewezen kan worden als OKTT. Het is hierbij belangrijk om aan te geven dat de doelgroep van het DTC (niet-vitale bedrijfsleven) anders is dan die van het NCSC, de informatie van het NCSC zal niet in alle gevallen relevant zijn voor het DTC. Het DTC zal daarom naast de informatie die het van het NCSC ontvangt, ook andere informatiebronnen inzetten die goed aansluiten bij hun doelgroep. Het DTC heeft de ambitie een informatieknooppunt te zijn voor het niet-vitale bedrijfsleven, ook door informatie verkregen van de bedrijven zelf te ontsluiten voor andere bedrijven. De bovengenoemde leden vragen of ik bereid ben het functioneren van het Digital Trust Center (DTC) verder te onderzoeken en daarin mee te nemen hoe, gegeven de omvang van het DTC en het MKB, het DTC een vertrouwde positie kan innemen richting miljoenen ondernemers? Mijn collega van het Ministerie van EZK heeft zeer recent een externe evaluatie laten uitvoeren naar het functioneren van het DTC waaruit een aantal relevante aanbevelingen naar voren komen. Hierover is de kamer op 18 februari jl. geïnformeerd26.Het Ministerie van EZK werkt aan de implementatie van deze aanbevelingen. Een deel van deze aanbevelingen heeft ook betrekking op het verbeteren van de relatie met en relevantie voor de brede doelgroep van het DTC.

De leden van D66 vragen hoe het kabinet aankijkt tegen de dubbele rol van verzekeringen (bijvoorbeeld bij randsomware) en of dit niet leidt tot meer cybercriminaliteit. Zoals ook geconstateerd in de reactie op het WRR rapport kunnen verzekeringen een belangrijke rol spelen bij het helpen van partijen met schade om de draad weer op te pakken. Hoewel complex, ziet het kabinet wel dat schade na cyberincidenten steeds vaker onder normale bedrijfspolissen valt. Waar het gaat om cybercrime heb ik in reactie op vragen hiertoe van Lid Verhoeven (D66) en in de kamerbrief naar aanleiding van berichtgeving over Universiteit Maastricht27 aangegeven dat het mijn voorkeur heeft dat de verzekeraar niet het losgeld vergoedt dat dan vervolgens in handen van criminelen terechtkomt, maar juist de geleden schade vergoedt door het niet betalen van dit losgeld. De leden van D66 vragen mij ook hoe het staat met de uitvoering van de motie van de leden Verhoeven en Laan-Geselschap28 over het scannen van overheidssystemen. In de reactie op het WRR-rapport wordt gemeld dat door CIO-Rijk in overleg met de NCTV en het NCSC verkend wordt hoe rijksoverheidsorganisaties een doorlopende kwetsbaarhedenscan in kunnen richten. Dit overleg vindt op dit moment plaats. CIO-Rijk zal hier nog dit jaar een handreiking voor rijksoverheidsorganisaties voor opstellen.

4. COVID-19

De leden van de CDA-fractie vragen naar aanleiding van een radiouitzending naar een reactie op de conclusie van de journalisten dat ongeveer de helft van de in één week zeer fors toegenomen nieuw geregistreerde domeinnamen die gelinkt konden worden aan COVID-19 niet te vertrouwen is en zich waarschijnlijk bezighoudt met phishing. Zij vroegen verder naar mogelijkheden voor de Nederlandse overheid om actief te werken aan het uit de lucht halen van dergelijke websites. Phishing is een door criminelen veel gebruikte methode om personen te verleiden kwaadaardige software te activeren en om privé gegevens af te geven waardoor vervolgens personen slachtoffer worden van onder andere bankfraude, oplichting of gijzelsoftware. Het kabinet investeert daarom fors om internetcriminelen op te sporen. Dat is echter niet voldoende. Omdat internetcriminelen steeds handiger worden om toegang te krijgen tot computers, tablets en smartphones, is het belangrijk dat mensen zelf ook alerter online worden. Vorig jaar hebben mijn collega van EZK en ik en een groot aantal bedrijven en brancheorganisaties het convenant «Preventie cybercriminaliteit» ondertekend op grond waarvan wij samen optrekken in de strijd tegen internetcriminaliteit. Hiervoor wees ik al op door deze partners recent geïntensiveerde aandacht voor eerst checken, dan klikken. Tot slot wordt jaarlijks ook veel aandacht besteed aan de online gevaren in de campagne Alert Online.

De leden van de CDA-fractie vragen mij welke vormen van video-conferencing worden gezien als veilig en betrouwbaar en vragen of ik bereid ben om op korte termijn een waardering te geven voor de veelgebruikte video-conferencing applicaties. Of door een onafhankelijke organisatie hier onderzoek naar te laten doen. Aangezien veel mensen thuiswerken tijdens de COVID-19 uitbraak is het voor organisaties van belang dat zij kunnen beschikken over digitaal veilige applicaties voor video-conferencing. In de gevraagde behoefte van de Kamer is reeds voorzien. Om organisaties te helpen om een geïnformeerde keuze te maken, hebben organisaties zoals de Autoriteit Persoonsgegevens en Bits of Freedom vergelijkingen gepubliceerd die handvatten bieden. Daarnaast hebben het NCSC en het Digital Trust Centre (DTC) informatie en diverse adviezen gepubliceerd over veilig thuiswerken, waaronder over videobellen en online vergaderen31. De leden van de CDA-fractie vragen of ik richtinggevende uitspraken kan doen naar overheidsorganen (landelijk en decentraal) om bepaalde video-conference-systemen of -applicaties niet te gebruiken. Op basis van het Coördinatiebesluit Organisatie, Bedrijfsvoering en Informatiesystemen Rijksdienst kan de Minister van Binnenlandse Zaken na overleg met de andere Ministers gebruikskaders stellen, waarna er advies gegeven wordt over het gebruik van onveilige video-conference-systemen binnen de rijksdienst. Decentrale overheidsorganen nemen zelf deze beslissing op grond van hun lokale verantwoordelijkheid.

De leden van de D66-fractie vragen of ik van menig ben dat de coronacrisis noopt tot heroverweging van de aanwijzing van wat «essentiële diensten» zijn in het kader van de Wbni, bijvoorbeeld als het gaat om hosting- of datacenters. U bent bekend met het traject herijking vitaal. De corona-ervaringen worden hier zeker in meegenomen. Daarbij geldt dat ook wordt bezien of de nu nog niet als aanbieders van essentiële diensten c.q. vitale aanbieders aangemerkte aanbieders alsnog als zodanig moeten worden aangemerkt in het Bbni. Voor wat betreft de datacenters, bij de beantwoording van de Kamervragen van lid Van den Berg (CDA) heeft de Staatssecretaris van Economische Zaken en Klimaat toegezegd dat het kabinet voornemens is om nader onderzoek te doen naar de vraag of datacenters alsnog onderdeel moeten worden van de vitale infrastructuur.

De leden van GroenLinks hebben ook gevraagd naar de stappen die bijvoorbeeld zijn ondernomen tegen nep-RIVM-websites en tegen malware-aanvallen tegen ziekenhuizen die de afgelopen periode actief zijn geweest. Daarnaast vragen de leden of er voldoende capaciteit en expertise voorhanden is om te voorzien in een adequaat handhavingsniveau. Zoals hiervoor aangestipt, worden de ontwikkelingen in de criminaliteit in deze periode van de crisis rond COVID 19 goed gevolgd. Op basis van de monitoring wordt met de betrokken partners gekeken of aanvullende interventies noodzakelijk zijn voor corona-specifieke criminaliteit zoals bijvoorbeeld phishing die inspeelt op corona. De politie heeft in verband met de Coronacrisis al in een vroeg stadium actief contact gezocht met ziekenhuizen (Z-CERT) en is voor hen bereikbaar in het geval van cybercrime aanvallen. De politie hanteert al een brede bestrijdingsstrategie met publieke en private partners in de aanpak van cybercrime, met naast opsporing aandacht voor alternatieve interventies zoals preventie en verstoring. Deze wordt ook voor de actuele dreiging ingezet. Mijn handelen is er onder andere op gericht om preventie te versterken en de weerbaarheid van de samenleving te vergroten. Dat gebeurt niet alleen met publieke organisaties maar ook met private partijen, bijvoorbeeld zoals verenigd in het convenant Eerst checken, dan klikken. Recentelijk, afgelopen 16 april, is door een groot aantal organisaties aandacht geschonken aan voorkoming van slachtofferschap van cybercriminaliteit. In dit verband wijs ik graag op de website www.veiliginternetten.nl. Daarnaast bespreken de verantwoordelijke teams van de politie ten aanzien van cybercrime wekelijks de ontwikkelingen om hier in de aanpak op in te spelen en in geval van aangifte onderzoek naar te doen.

De leden van de GL-fractie en de leden van de CU-fractie vragen mij of ik kan toelichten hoe vanuit het kabinet is bijgedragen aan de veiligheid en beveiliging van thuiswerkers met cruciale beroepen en de veiligheid van burgers in de digitale wereld. Het toenemende gebruik van digitale technologie tijdens de crisis heeft ervoor gezorgd dat de risico’s voor burgers en bedrijven zijn toegenomen. De huidige crisis heeft het belang van goede voorlichting over cybersecurity verder onderstreept. Het DTC heeft op haar website diverse pagina’s gewijd aan veilig thuiswerken, veilig video-bellen en het beveiligen van je thuisnetwerk. Het DTC heeft hierover ook zijn doelgroep geïnformeerd. Daarnaast heeft op 16 april het merendeel van de partners van het convenant Eerst checken, dan klikken, naast verscheidene andere partners zoals het Ministerie van BZK, een aantal waterschappen en gemeenten, ouderenbonden en een jongerenplatform aandacht besteed aan het risico van phishing. Daarbij is speciale aandacht besteed aan phishing met betrekking tot corona. Het betreft vooral uitingen op social media, waarbij is verwezen naar www.veiliginternetten.nl. Daar is een speciale pagina over internetveiligheid met betrekking tot corona ingericht. Daarnaast zijn ook publieke adviezen, o.a. over thuiswerken en online vergaderen, van het NCSC raadpleegbaar op de NCSC-website.

De leden van de CU-fractie vragen mij of een vrijwillige deelname aan de Corona-apps niet een harde eis behoort te zijn in plaats van een uitgangspunt. Met verwijzing naar de brief van de Minister van VWS van 21 april 202032. kan ik aangeven dat momenteel wordt verkend welke apps binnen een beleid van testen, traceren en thuisrapportage kunnen worden ingezet. Cruciale randvoorwaarden zijn privacy (inclusief dataprotectie), informatieveiligheid, grondrechten, nationale veiligheid en toegankelijkheid. Vrijwilligheid is geen eis aan de apps maar aan de inzet. Inzet van een app zal vrijwillig zijn. De leden vragen of naast commerciële partijen ook universiteiten en academische instellingen bij de uitwerking van de Corona-apps worden betrokken. De inzet is om te beschikken over een team met de juiste bouwers en ook met experts waaronder deskundigen van universiteiten en academische instellingen, van onder andere informatieveiligheid, privacy, grondrechten, nationale veiligheid en inclusie. Tot slot vragen de leden of de Data Protection Impact Assessment van de uiteindelijke applicaties openbaar worden gemaakt ten behoeve van het maatschappelijk vertrouwen. Hierover kan ik zeggen dat tenminste een samenvatting van de Data Protection Impact Assessment openbaar gemaakt zal worden. De Minister van VWS streeft naar volledige openbaarmaking als andere belangen dat niet in de weg staan zoals het openbaar maken van gevoelige bedrijfsinformatie.

De leden van de CU-fractie en de CDA-fractie vragen mij op welke wijze coördinatie van de cybersecurity in de zorgsector plaatsvindt met zorgpartijen en welke inspanningen er worden geleverd om ons internet stabiel en veilig te houden. De leden vragen of hierbij aandacht is voor de kleinere zorginstellingen en of de urgentieverklaring van de Cyber Security Raad (CSR) hierbij wordt betrokken. Om de verspreiding van COVID-19 tegen te gaan werken veel mensen thuis. Ook is het extra belangrijk dat de zorg zijn werk kan uitvoeren zoals normaal en niet verstoord wordt door bijvoorbeeld digitale aanvallen, zoals ook door de CSR benoemd. Beide aspecten hebben geleid tot extra maatregelen om de digitale weerbaarheid te verhogen. Het NCSC heeft een COVID-19 dossier op zijn website gepubliceerd met relevante adviezen, onder andere over hoe je veilig kan thuiswerken. Het computercrisisteam voor de Zorg, Zorg-CERT, werkt nauw met het NCSC samen om de digitale weerbaarheid van ziekenhuizen te verhogen. Zo deelt het NCSC waar mogelijk voor de zorg relevante incident- en dreigingsinformatie met Z-CERT. Z-CERT kan hierdoor analyses maken en de zorgsector van adviezen voorzien. Als er zich een incident voordoet met aanzienlijke gevolgen voor de continuïteit van een zorginstelling, kan het NCSC – bij een vrijwillige melding van de zorginstelling – ook rechtstreeks aan die instelling bijstand verlenen. Alle betrokken partijen kijken continue welke eventueel aanvullende inzet op het gebied van cybersecurity passend en nodig is. De leden van de CDA-fractie en GL-fractie willen weten of ik bekend ben met de private initiatieven en samenwerkingsverbanden om de overheid en met name de zorg te ondersteunen. De leden willen weten of het ministerie gebruikt maakt van deze initiatieven en welke kansen en risico’s ik voorzie in de samenwerking op cybersecurity tussen publiek en private organisaties. Daarnaast vragen de leden welke mogelijkheden ik zie om zorginstellingen te wijzen op het initiatief: wijhelpenziekenhuizen.nl, waarbij bedrijven zorginstellingen helpen op het gebied van cybersecurity. Publiek-private aanpak van cybersecurity is een belangrijk onderdeel van de Nederlandse cybersecurity aanpak. Ik verwelkom daarom het private initiatief «wijhelpenziekenhuizen». Dit initiatief is via diverse kanalen onder de aandacht gebracht van de zorginstellingen in Nederland. Z-CERT heeft met betrekking tot dit initiatief een coördinerende en verbindende rol door vraag en aanbod bij elkaar te brengen.

Ten aanzien van cybercriminaliteit vragen de leden van de CU-fractie voorts welke ontwikkelingen zichtbaar zijn in gedwongen prostitutie via het darkweb en apps als telegram. Wat is de stand van zaken in de opsporing? Hoe vaak is het afgelopen jaar gebruik gemaakt van de webcrawler? Wordt, sinds de afkondiging van een verbod op contactberoepen en de sluiting van seksinrichtingen, een toename geconstateerd van prostitutieadvertenties op genoemde kanalen? Wordt daar vervolgens ook op gehandhaafd? Sinds de afkondiging van het verbod op contactberoepen en de sluiting van seksinrichtingen, wordt een afname van prostitutieadvertenties gezien waarin fysieke seksuele diensten worden aangeboden. Wel is er een toename te zien van platformen die webcamsex aanbieden. De landelijk officier mensenhandel heeft, in afstemming met de G4-gemeenten, Groningen en Nijmegen en in samenspraak met het Ministerie van Justitie en Veiligheid, alle in Nederland actieve platform nogmaals gewezen op de noodverordening, inclusief de maatregel dat fysiek contact verboden is, en hen hierbij ook gewezen op hun maatschappelijke verantwoordelijkheid. Er worden vanuit de gemeente, in samenspraak met de politie, controles gedaan op die advertenties. Naast open bronnenonderzoek, wordt er ook gekeken naar de mogelijkheden om webcrawling technologie in te zetten t.b.v. de opsporing van mensenhandel. Hiertoe wordt door politie en OM gewerkt aan een juridisch handelingskader.

5. Overig

De leden van de CDA-fractie vragen zich af hoe de extra inspanningen (ruim € 20 miljoen) op kennis & innovatie zich verhouden tot investeringen in andere landen en welke soortgelijke investeringen in landen als Duitsland en Frankrijk worden gedaan? Het is lastig om deze landen met elkaar te vergelijken onder meer door verschillen in de rol van de centrale overheid, verschillen in de aanpak van kennisontwikkeling & innovatie en de wijze waarop investeringen gedaan worden (instrumenten). In Frankrijk zijn er verschillende ministeries en instanties betrokken bij de investeringen in cybersecurity. In Frankrijk bedragen investeringen door de centrale overheid ongeveer 230 miljoen per jaar, waarvan bijvoorbeeld grofweg de helft naar een grootschalig cyberprogramma gericht op het aannemen van «cyber-soldaten» (militair personeel met specialisatie op cybersecurity) gaat. Voor Duitsland is het verhaal ingewikkelder: meerdere ministeries houden zich met cybersecurity bezig en hebben een verscheidenheid aan instituten, initiatieven en strategieën ontwikkeld. Kennisontwikkeling en innovatie is een onderdeel van hun investeringen waarbij ieder ministerie, instituut en deelstaat vaak een eigen R&D budget heeft. Op federaal niveau is er naar schatting 108 miljoen beschikbaar, daarnaast zijn er per deelstaat wisselende hoeveelheden beschikbaar. Door de grote hoeveelheid aan spelers is het moeilijk om de totale omvang van de investeringen in één getal samen te vatten. Bovendien spelen factoren als inwonertal, grootte van de economie en autonomie van verschillende overheden hierbij een rol. Het Nederlandse beleid is juist gericht op het samenbrengen van de verschillende initiatieven en spelers. Nederland investeert daarbij op een andere manier in kennis & innovatie dan veel omringende landen. Grote nadruk ligt op (generieke) bottom-up instrumenten en een sterke verankering in publiek-private samenwerking. Dat is ook de opzet van de kennis- en innovatie-agenda Veiligheid, missie cyberveiligheid, één van de instrumenten die zal vallen onder het nieuwe samenwerkingsplatform waar uw Kamer per brief van 9 april 2020 is geïnformeerd door de Staatssecretaris van EZK, mede namens onder andere mijzelf. Dit instrument richt zich op duurzame samenwerking tussen publieke en private partijen over de hele keten heen. Via het nieuwe samenwerkingsplatform proberen we middelen, instrumenten en kennis binnen het cybersecuritydomein zo effectief mogelijk te bundelen en te benutten op het gebied van onderzoek, onderwijs en innovatie. De leden vragen vervolgens of de Nederlandse investeringen voldoende zijn om toptalent en topkennis aan ons land te binden? Tijdens het Algemeen Overleg AI en Sleuteltechnologie in maart jl., heb ik uw Kamer toegezegd om na te gaan welke factoren er zoal spelen rond het behouden van talent in Nederland. Daarbij kijken we ook of de aanwezigheid van voldoende middelen een rol speelt in de keuze om in Nederland te blijven of niet. Ik zal uw Kamer daar voor de zomer over informeren.

De leden van D66 en de VVD stellen verschillende vragen over de evaluatie van de NCSA en het onderzoek naar waar meer investeringen nodig zijn. In mijn brief over de het WRR-rapport en de evaluatie rondom de Citrix-problematiek kondigde ik aan dat de Cyber Security Raad een brede evaluatie van de aanpak van cybersecurity zal verrichten. Na overleg met de Raad is besloten dat zij een advies uitbrengen over investeringen die nodig zijn in cybersecurity voor het volgende kabinet33. Met het oog op de voorbereidingen hiervoor is de CSR verzocht om haar advies voor 15 december 2020 uit te brengen. Parallel hieraan zal bij het Wetenschappelijk Onderzoek en Documentatie Centrum (WODC) een verzoek worden uitgezet voor het verrichten van de evaluatie van de Nederlandse Cyber Security Agenda (NCSA), zoals toegezegd bij verzending van de NCSA aan de Kamer in april 2018. Dit dient een brede evaluatie te worden die de inspanningen van de overheid binnen de zeven ambities van de NCSA omvat. Binnen dit evaluatieonderzoek kunnen eerdere rapporten over specifieke aspecten van de Nederlandse cybersecurityaanpak, zoals de onderzoeken van de Algemene Rekenkamer waar de leden van de VVD aan refereren, worden meegenomen. De evaluatie van de NCSA zal in de loop van 2021 worden afgerond.