26 643 Informatie- en communicatietechnologie (ICT)

Nr. 739 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 5 februari 2021

Met deze brief informeer ik uw Kamer over de stand van zaken van een aantal toezeggingen en maatregelen rond de ICT en informatiebeveiliging binnen de Rijksdienst. Dit doe ik aan de hand van de volgende indeling:

  • 1. Evaluatie CoronaMelder

  • 2. Besluit CIO-stelsel Rijksdienst

  • 3. Voortgang transitie Bureau ICT-toetsing

Evaluatie ontwikkelproces CoronaMelder

Tijdens het debat op 2 september 2020 heeft de Minister van VWS uw Kamer toegezegd om mij te vragen de ontwikkeling van CoronaMelder app te evalueren en de lessen te trekken om de omgang van de overheid met ICT te verbeteren1. In de aanbiedingsbrief bij de BIT-rapportages van afgelopen 12 oktober heb ik uw Kamer geïnformeerd over mijn voornemen om het Adviescollege ICT-toetsing (voormalig Bureau ICT-toetsing) te vragen om het ontwikkelproces van CoronaMelder app te evalueren ten behoeve van het lerend vermogen binnen de Rijksdienst2. Ik heb het Adviescollege inmiddels verzocht om de realisatie van de CoronaMelder app te evalueren. Het Adviescollege ICT-toetsing is begin 2021 gestart met de evaluatie en zal voor zover mogelijk richting het eind van de zomer over de uitkomsten van de evaluatie rapporteren.

Besluit CIO-stelsel Rijksdienst 2021

Zoals aangekondigd in de kabinetsreactie van 20 december 2019 – in reactie op het onderzoek van ABDTOPConsult naar de versterking van de governance rond informatievoorziening binnen de Rijksdienst – is het afgelopen jaar gewerkt aan een solide juridische grondslag voor het CIO-stelsel3. In dit besluit worden de rollen, taken, verantwoordelijkheden en bevoegdheden van functionarissen binnen het CIO-stelsel – inclusief de nieuw gecreëerde functie van Chief Information Security Officer Rijk (CISO Rijk) – in goede samenhang geformaliseerd.

Inmiddels kan ik uw Kamer melden dat het Besluit CIO-stelsel Rijksdienst 2021 in de ministerraad van 18 december 2020 is vastgesteld en als bijlage bij deze brief is opgenomen4. Belangrijke aanbevelingen van ABDTOPConsult, zoals de versterking van de positie van departementale CIO’s en de verzwaring en herpositionering van de CIO Rijk binnen het stelsel, zijn hierin geborgd. Ook is met inachtneming van de gewijzigde motie van het lid Middendorp5 die aan het ABDTOPConsult-advies ten grondslag lag, goed gekeken welke formele sturingselementen uit het financiële domein benut konden worden voor versterking van het CIO-stelsel.

Die parallel is onder meer zichtbaar in de positionering van departementale CIO’s rechtstreeks onder de secretaris-generaal van een ministerie, in de stelselafspraken over coördinatie en informatie-uitwisseling en in de sturing langs de lijn van meerjarige departementale informatieplannen.

Informatiebeveiliging

De bijzondere aandacht voor informatiebeveiliging in dit besluit, als integraal onderdeel van het CIO-stelsel, doet recht aan de toegenomen digitale dreigingen en de noodzaak om hier een stevige besturing voor in te richten. De nieuwe functie van CISO Rijk speelt hierbij een belangrijk rol, onder meer als coördinator bij rijksbrede informatiebeveiligingsincidenten en -calamiteiten. De werking van de ingerichte sturing is in december 2020 beproeft tijdens incident met SolarWinds. De CISO Rijk kon op basis van een inventarisatie snel de rijksbrede risico’s inzichtelijk maken. Over deze situatie heeft mijn collega van Justitie en Veiligheid (JenV) uw Kamer op 1 februari jl. geïnformeerd. Eerder heb ik uw Kamer bericht dat er wordt gewerkt aan versnelling op enkele maatregelen rond het thema informatiebeveiliging.

Inmiddels ligt er een concept voor de handreiking kwetsbaarhedenscans en een voorstel voor «pas toe of leg uit» bij beveiligingsadviezen. Daarnaast ben ik met mijn collega van JenV in gesprek over de samenwerking tussen het NCSC en CIO Rijk en verdere uitrol van het Nationaal Detectie Netwerk.

Samen optrekken met de BVA’s

Ontwikkeling van het besluit vond plaats in nauwe samenwerking met de CIO’s en CISO’s van de departementen, grote uitvoeringsorganisaties en anderen betrokkenen binnen de Rijksdienst. Vanwege de samenhang tussen informatiebeveiliging en de integrale beveiliging van de Rijksdienst was ook aanpassing en actualisatie nodig van het juridische kader dat op de integrale beveiliging van toepassing is. Het bestaande beveiligingsvoorschrift Rijksdienst 20136 is daarom ingetrokken en vervangen door een Besluit BVA-stelsel Rijksdienst 2021 dat gelijktijdig met het Besluit CIO-stelsel Rijksdienst is vastgesteld en hier bijgesloten7.

Ik heb de CIO Rijk gevraagd om de rijksbrede implementatie van het besluit in samenwerking met het CIO-beraad te coördineren. In dit verband heb ik ook de Auditdienst Rijk verzocht om in de eerste helft van 2021 te starten met een nulmeting. De resultaten van deze nulmeting kunnen worden gebruikt voor het opstellen van implementatieplannen per ministerie. Ik ga die implementatie (laten) ondersteunen vanuit CIO-Flex, een pool van hooggekwalificeerde ICT-specialisten die op aanvraag volledig ten dienste staat van het CIO-stelsel. Over de voortgang van de rijksbrede implementatie informeer ik uw Kamer periodiek in de reguliere voortgangsrapportages van de I-agenda en I-strategie voor de Rijksdienst.

Instelling Adviescollege ICT-toetsing

In december vorig jaar werd het instellingsbesluit voor het Adviescollege ICT-toetsing, de opvolger van het Bureau ICT-toetsing (BIT), afgerond en gepubliceerd8. Per 1 januari dit jaar is het nieuwe adviescollege een feit. Ook zijn per diezelfde datum drie leden van het adviescollege benoemd.

Permanente positionering

Met de tussenstap op basis van een ministerieel besluit is de continuïteit in de advisering op onder andere ICT-projecten binnen de Rijksdienst geborgd. Daarnaast biedt het tijdelijke instellingsbesluit mij de ruimte om tot een goed wetsvoorstel te komen voor het adviescollege in zijn definitieve vorm, omdat het besluit geldt voor de periode tot 1 januari 2023.

Het interne wetgevingsproces is inmiddels in volle gang. Daarbij werk ik met alle betrokkenen nauw samen aan de instellingswet voor de permanente positionering van het Adviescollege ICT-toetsing.

Uitbreiding en verbreding takenpakket

Naast deze verzelfstandiging krijgt het nieuwe adviescollege ook een uitbreiding van zijn huidige takenpakket. Naast de huidige toetsen op de beheersbaarheid van projecten en programma’s met een meerjarige ICT-component van meer dan € 5 miljoen, zal het nieuwe adviescollege bijdragen aan de taakvolwassenheid en het lerend vermogen van het CIO-stelsel. Daarnaast zijn de werkzaamheden verbreed met het adviseren over ICT-activiteiten, zoals vernieuwing, beheer en onderhoud.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops


X Noot
1

Debat op 2 september 2020 over de Tijdelijke bepalingen in verband met de inzet van een notificatieapplicatie bij de bestrijding van de epidemie van covid-19 en waarborgen ter voorkoming van misbruik daarvan (Tijdelijke wet notificatieapplicatie covid-19 (Kamerstuk 35 538) (Handelingen II 2019/20, nr. 96, items 3 en 6)a.

X Noot
2

Kamerstuk 26 643, nr. 716, p. 3

X Noot
3

Kamerstuk 26 643, nr. 656

X Noot
4

Stcrt. 2020, nr, 62488 (bijlage 1 bij deze brief) Raadpleegbaar via www.tweedekamer.nl

X Noot
5

Kamerstuk 35 000 VII, nr. 34

X Noot
6

Besluit van de Minister-President, Minister van Algemene Zaken van 1 juni 2013, nr. 3119942, houdende beveiligingsvoorschrift Rijksdienst 2013

X Noot
7

Stcrt. 2020, nr. 62488 (bijlage 2 bij deze brief) Raadpleegbaar via www.tweedekamer.nl

Naar boven