Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 9 mei 2022

Bij de begrotingsbehandeling van BZK op 27 oktober 2021 (Handelingen II 2021/22, nr. 14, items 3 en 7) heeft het lid Rajkowski (VVD) gevraagd naar de stand van zaken van een generiek kader voor vitale digitale overheidsvoorzieningen. Dit naar aanleiding van de Kamerbrief Voortgang informatieveiligheid bij de overheid van 18 maart 20211. Daarop is toegezegd dat de Tweede Kamer hierover aan het eind van het eerste kwartaal 2022 verder zou worden geïnformeerd2.

Vanwege de formele criteria is het aantal als vitaal aangewezen processen beperkt.3. Daarom is bij de toezegging aangegeven dat naar een ruimere groep belangrijkste informatieprocessen en informatiesystemen van de overheid wordt gekeken waar de vitale processen een onderdeel van zijn. Het gaat onder meer om belangrijke informatieprocessen waar de vakminister ook verantwoordelijk is voor de beveiliging ervan bij andere, (decentrale) autonome overheidsorganisaties. Enkele voorbeelden hiervan zijn DigiD (vitaal), de Basisregistratie Grootschalige Topografie (BGT) en de Structuur Uitvoeringsorganisatie Werk en Inkomen (Suwi) keten. Wat deze processen in de praktijk gemeenschappelijk hebben, is dat de betreffende vakminister interbestuurlijk en interdepartementaal beveiligingseisen stelt en interbestuurlijk en interdepartementaal toeziet op de naleving ervan. Deze eisen en toezicht komen naast de eisen van de Baseline Informatiebeveiliging Overheid (BIO) en de verantwoording over de BIO aan het eigen controlerend orgaan (Gemeenteraad, provinciale staten, Tweede Kamer, etc).

Voor het opstellen van het beoogde generiek kader zijn twee onderzoeken uitgezet. Als eerste is een onderzoek uitgevoerd om te bepalen welke concrete criteria er zijn om deze belangrijkste informatieprocessen en informatiesystemen af te bakenen en vervolgens te bepalen of er zinnige gemeenschappelijke beveiligingseisen kunnen worden bepaald voor al deze processen en informatiesystemen. Als tweede is een onderzoek uitgevoerd naar efficiënt toezicht door een uniforme verantwoording over informatieveiligheid aan zowel het «eigen» controlerend orgaan als interbestuurlijk.

De planning was dat deze onderzoeken zouden lopen tot het eind van 2021, waarna de resultaten van beide onderzoeken met alle bestuurslagen konden worden besproken. Uw Kamer zou dan hierover aan het eind van het eerste kwartaal verder worden geïnformeerd.

Beide uitbestede onderzoeken hebben vertraging opgelopen en waren eind 2021 niet gereed. Beide onderzoeken zijn pas recent tot een afronding gekomen en gepubliceerd4. Overleg met de verschillende bestuurslagen zal dan ook binnenkort plaatsvinden, waarbij de betekenis en impact van beide rapporten besproken zal worden evenals de inrichting van toezicht. Ik ga ervan uit dat ik uw Kamer medio juni meer inhoudelijk kan informeren.

Ten slotte wil ik uw Kamer er graag op wijzen dat op vitale processen en informatiesystemen al rijksbrede en overheidsbrede informatiebeveiligingsregels van toepassing zijn. Het gaat in het bijzonder om het Voorschrift Informatiebeveiliging Rijksdienst (VIR)5 en de Baseline Informatieveiligheid Overheid (BIO)6. De proportionele aanpak van informatieveiligheid die in deze kaders rijksbreed respectievelijk overheidsbreed wordt gehanteerd, vereist dat per proces telkens een samenhangend pakket aan passende maatregelen wordt bepaald en toegepast. Ook voor vitale processen en informatiesystemen moet worden bepaald wat passende maatregelen zijn, gelet op het belang van deze processen en de impact die een verstoring op deze processen kan hebben.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen