Besluit van de Minister-President, Minister van Algemene Zaken van 1 juni 2013, nr. 3119942, houdende beveiligingsvoorschrift Rijksdienst 2013

De Minister-president, Minister van Algemene Zaken, handelend in overeenstemming met het gevoelen van de ministerraad;

Besluit:

Artikel 1 Begripsbepalingen

In dit besluit wordt verstaan onder:

a. Lijnmanager:

het diensthoofd dat verantwoordelijk is voor een dienstonderdeel.

b. Te beschermen belang:

belangen waarbij in geval van compromittering, of de mogelijkheid van compromittering, nadelige gevolgen, of een risico daarop, kan ontstaan voor de betrouwbaarheid en continuïteit van de primaire processen van de rijksoverheid, delen daarvan of voor andere belangen van de Staat, van zijn bondgenoten of van één of meer ministeries.

c. Integrale beveiliging:

het selecteren, implementeren en periodiek evalueren van een samenhangend stelsel van beveiligingsmaatregelen van de organisatie, medewerkers, materieel, informatiesystemen, gebouwen en overige objecten op basis van risicomanagement.

d. Risicomanagement:

inzichtelijk en systematisch inventariseren, beoordelen en – door het treffen van maatregelen – beheersbaar maken van risico’s en kansen, die het bereiken van de doelstellingen van de organisatie bedreigen dan wel bevorderen, op een zodanige wijze dat verantwoording kan worden afgelegd over de gemaakte keuzes.

e. Dienstonderdeel:

een onder de verantwoordelijkheid van de desbetreffende Minister ressorterende instelling, dienst of bedrijf.

Artikel 2 Plaatsbepaling en reikwijdte

  • 1. Dit voorschrift geldt voor de Rijksdienst, waartoe gerekend worden de ministeries met de daaronder ressorterende diensten, bedrijven en instellingen.

  • 2. Deze regeling is van toepassing op de integrale beveiliging van de Rijksdienst.

  • 3. De departementale secretaris-generaal kan voor zijn eigen ministerie bepalen dat deze regeling op dienstonderdelen met een bijzondere taak of delen van die dienstonderdelen niet van toepassing is.

Artikel 3 Verantwoordelijkheid Rijksdienst

  • 1. De minister die conform het besluit van het constituerend beraad of ministerraad belast is met de integrale beveiliging van de Rijksdienst, is beleidsverantwoordelijk voor de integrale beveiliging van de Rijksdienst, alsmede de inrichting en werking van de organisatie van de beveiliging van de Rijksdienst.

  • 2. De secretaris-generaal van zijn ministerie wijst een rijksbeveiligingsambtenaar aan die belast is met het bewaken van het integrale karakter en de consistentie van de Rijksbrede kaders voor beveiliging alsmede het toezicht op de werking van de integrale beveiliging van de Rijksdienst.

  • 3. De rijksbeveiligingsambtenaar is verantwoordelijk voor de realisatie van rijksbreed toezicht op de naleving van de Rijksbrede kaders. Hij bevordert een gezamenlijke aanpak van beveiligingsissues en -belangen wanneer deze bij meerdere departementen spelen.

  • 4. De rijksbeveiligingsambtenaar kan namens zijn secretaris-generaal, gehoord en na instemming van de departementale secretaris-generaal, in het geval van een (mogelijke) ernstige inbreuk op de beveiliging van departement overstijgende systemen of diensten, of een risico daarop, aanwijzingen geven aan iedere ambtenaar teneinde eventuele gevolgen van een inbreuk op de beveiliging te beperken.

Artikel 4 Departementale verantwoordelijkheid

  • 1. De departementale secretaris-generaal is eindverantwoordelijk voor de integrale beveiliging en de inrichting en werking van de departementale beveiligingsorganisatie.

  • 2. De departementale secretaris-generaal stelt, binnen de rijksbrede kaders, het departementale integrale beveiligingsbeleid vast.

  • 3. De departementale secretaris-generaal wijst een departementale beveiligingsambtenaar aan die zorg draagt voor het toezicht op de integrale beveiliging van het departement, hierover adviseert en ter zake hiervan incidenten laat onderzoeken alsmede zorg draagt voor het toezicht op de organisatie van de beveiliging van het departement. Er kan voor twee of meer ministeries één beveiligingsambtenaar wordt aangesteld.

  • 4. De secretaris-generaal kan een beveiligingscoördinator aanstellen voor een dienstonderdeel.

  • 5. De departementale beveiligingsambtenaar wordt functioneel aangestuurd door de rijksbeveiligingsambtenaar.

  • 6. De beveiligingsambtenaar rapporteert periodiek over de stand van de departementale integrale beveiliging aan zijn secretaris-generaal en informeert hierover periodiek de rijksbeveiligingsambtenaar.

  • 7. De departementale beveiligingsambtenaar kan namens de secretaris-generaal aanwijzingen geven aan iedere ambtenaar binnen zijn departement voor zover dat noodzakelijk is voor de uitvoering van het integrale beveiligingsbeleid en de naleving van de beveiligingsvoorschriften.

Artikel 5 Verantwoordelijkheid lijnmanager

  • 1. Binnen het geheel aan kaders is de lijnmanager verantwoordelijk voor de integrale beveiliging van zijn organisatie(onderdeel), de inrichting en werking van de organisatie daarvan, evenals de zorg voor en de beveiliging van het te beschermen belang die aan zijn onderdeel is toevertrouwd.

  • 2. De lijnmanagemer is verantwoordelijk voor het treffen van maatregelen voor de integrale beveiliging van het te beschermen belang op basis van risicomanagement.

Artikel 6 Slotbepaling

  • 1. Het Beveiligingsvoorschrift 2005 wordt ingetrokken.

  • 2. Dit besluit treedt in werking met ingang van 1 juni 2013.

  • 3. Dit besluit wordt aangehaald als het Beveiligingsvoorschrift Rijksdienst 2013.

  • 4. Dit besluit zal met toelichting in de Staatscourant worden geplaatst.

De Minister-President,

Minister van Algemene Zaken, M. Rutte.

TOELICHTING

Aanhef

Deze regeling vervangt het Beveiligingsvoorschrift 2005. Dit beveiligingsvoorschrift vloeit voort uit de belegging door het constituerend beraad of de ministerraad van de systeemverantwoordelijkheid voor integrale beveiliging van de Rijksdienst bij één minister, onverminderd hetgeen gesteld is in het Coördinatiebesluit Organisatie en Bedrijfsvoering Rijksdienst 2011, en sluit aan bij de vastgestelde verantwoordelijkheden en bevoegdheden van de andere ministers. Er is aansluiting gezocht bij de methodiek die reeds werd gehanteerd in het Beveiligingsvoorschrift 2005, het Voorschrift informatiebeveiliging rijksdienst (VIR) en het Voorschrift informatiebeveiliging rijksdienst-bijzondere informatie (VIR-BI). Daar waar het Beveiligingsvoorschrift regels stelt voor de algemene beveiligingszorg gaan het VIR en het VIR-BI nader in op specifieke aspecten. Het VIR stelt nadere regels als het gaat om de algemene informatiebeveiliging en het VIR-BI voor de beveiliging van bijzondere informatie (staatsgeheimen en overige bijzondere informatie waarvan kennisname door niet-gerechtigden nadelige gevolgen kan hebben voor de belangen van de Staat, zijn bondgenoten of van één of meerdere ministeries). Gezien het belang van de beveiliging van de rijksdienst, en de beveiliging van informatiesystemen, waaronder volgens het VIR ook de beveiliging van informatie wordt verstaan, hebben alle ministers ten aanzien daarvan hun verantwoordelijkheid. Doel van deze regeling is om te komen tot een logische opbouw van de beveiligingsvoorschriften voor de rijksoverheid. Vanuit een integrale visie op de beveiliging van de rijksdienst moet worden gekomen tot een afgewogen geheel van organisatorische, personele, bouwkundige en elektronische maatregelen voor de bescherming van de primaire belangen van de rijksoverheid. Deze regeling vormt de basis voor de organisatie van de beveiliging van de Rijksdienst.

Artikel 1

Onder b:

De primaire processen staan centraal bij het bepalen van de te beschermen belangen. Daartoe behoren ook de processen die hieraan ondersteunend zijn.

Onder c:

Integrale beveiliging ondersteunt en borgt de betrouwbaarheid en continuïteit van de bedrijfsprocessen van het ministerie. Integrale beveiliging is geen doel op zich, het beschermt tegen onder meer dreigingen als gevolg van opzettelijk menselijk handelen en onopzettelijk menselijk falen. Het integrale karakter van de beveiliging komt tot uiting in de samenhang tussen de maatregelen in de verschillende onderdelen van het primaire proces en de – daaraan ondersteunende – bedrijfsvoering en -middelen.

Onder d:

Onder risicomanagement wordt verstaan het in een inzichtelijk afwegingsproces bepalen van de beveiligingsmaatregelen, waarbij de maatregelen proportioneel, efficiënt en effectief zijn in relatie tot de belangen, de reële dreigingen en onderkende risico’s. Hierbij wordt ook inzichtelijk gemaakt welke restrisico’s worden geaccepteerd.

Artikel 2

Lid 1:

Tot de rijksdienst behoren de ministeries met hun directoraten-generaal, centrale en stafdirecties, buitendiensten en intern verzelfstandigde dienstonderdelen.

Lid 3:

Op grond van lid 3 kan de departementale secretaris-generaal bepalen dat deze regeling voor een dienstonderdeel met een bijzondere taak, (deels) niet van toepassing is. Hierbij valt ondermeer te denken aan dienstonderdelen met een verhoogd beveiligingsrisico zoals de AIVD en NCTV. Bij gebruik van de afwijkingsruimte van lid 3 dient, op basis van een verantwoording over de afwijking, conform het principe ‘pas toe of leg uit’, overeenstemming te zijn tussen de betrokken minister en de minister die conform het besluit van het constituerende beraad belast is met de integrale beveiliging van de Rijksdienst.

Artikel 3

Lid 1:

De minister die conform het besluit van het constituerend beraad of ministerraad belast is met de integrale beveiliging van de Rijksdienst, is beleidsverantwoordelijk voor de integrale beveiliging van de Rijksdienst. Bij de ondertekening van deze regeling ligt deze verantwoordelijkheid bij de minister voor Wonen en Rijksdienst. Ingevolge het Coördinatiebesluit Organisatie en Bedrijfsvoering Rijksdienst 2011 kan deze minister bovendien kaders stellen ter bevordering van de eenheid, de kwaliteit of de efficiëntie van de bedrijfsvoering bij de ministeries. Het uitoefenen van deze bevoegdheid tot het stellen van kaders vindt plaats na overleg met de andere ministers.

Lid 2:

De rijksbeveiligingsambtenaar (rijks-BVA) heeft als primaire functie de consistentie en het integrale karakter van die normen rijksbreed te borgen. De rijks-BVA stimuleert de ontwikkeling van Rijksbrede kaders voor beveiliging, adviseert inhoudelijk aan de verschillende (beleids)domeinen en houdt toezicht op naleving en op de uitvoering van maatregelen. De rijks-BVA analyseert daartoe de kwaliteit van de beveiliging in context van relevante (o.a. politiek-bestuurlijke) ontwikkelingen. Lacunes, overlap en tegenstrijdigheden in de diverse beleidslijnen en nadere regelgeving worden voorkomen of opgelost. In dat verband adviseert de rijks-BVA over het toepassen van risicomanagement binnen het Rijk, op beveiligingsdossiers en aanpalende terreinen zoals generieke ICT en generieke dienstverlening. Daartoe behoort de standaardisatie van methoden en technieken binnen de rijksdienst op het terrein van de integrale beveiliging.

Lid 3:

De rijks-BVA draagt proactief bij aan de gedachtevorming binnen de interdepartementale gremia op het terrein van de bedrijfsvoering en is gesprekspartner op rijksniveau voor de instanties die zijn belast met specifieke onderdelen van de integrale beveiliging.

De rijks-BVA is verantwoordelijk voor de realisatie van rijksbrede toezichtactiviteiten ten aanzien van de implementatie en de uitvoering van de kaders. Het rijksbrede toezicht is een stelsel van toezicht dat ook binnen de departementen is georganiseerd. Bij de ministeries zijn deze taken belegd bij de lijnmanager (artikel 5 lid 4) en de beveiligingsambtenaar (artikel 4 lid 3).

Lid 4:

In het geval van een (mogelijke) ernstige inbreuk op de beveiliging van departementoverstijgende systemen of diensten, of een risico daarop, laat de rijks-BVA onverwijld maatregelen treffen om (zo veel als mogelijk) de beveiliging te laten herstellen, verdere schade door de inbreuk of het risico daarop bij een vermoeden of mogelijke inbreuk te laten beperken. Daarbij wordt recht gedaan aan bestaande nationale- of sectoroverstijgende crisisstructuren. De rijks-BVA stemt onverwijld af met de betrokken departementen over de (mogelijke) inbreuk of het risico daarop en de genomen maatregelen. De rijks-BVA beschikt daartoe over een aanwijzingsbevoegdheid namens zijn secretaris-generaal. Alvorens de aanwijzingsbevoegdheid te kunnen hanteren is eerst instemming nodig van de SG’s van de betrokken departementen. Aangezien individuele ambtenaren hieraan opvolging moeten geven, is het geven van dergelijke aanwijzingen een middel dat de rijks-BVA slechts in uitzonderingssituaties zal inzetten, en pas nadat de SG’s van de betrokken departementen hiervoor toestemming hebben gegeven.

Artikel 4

Lid 3 en 4:

De departementale beveiligingsambtenaar (BVA) adviseert, ondersteunt, houdt toezicht en onderzoekt incidenten, en legt daarover verantwoording af aan de departementale SG die eindverantwoordelijk is voor de departementale integrale beveiliging.

De BVA draagt ten minste zorg voor:

  • het geven van gevraagd en ongevraagd advies aan de politieke en ambtelijke leiding over de inrichting en werking van de organisatie van de beveiliging binnen het departement en andere beveiligingsonderwerpen. Daartoe volgt hij de algemene ontwikkelingen op het gebied van integrale beveiliging. En maakt hij gebruik van rijksbrede kaders en richtlijnen. Indien de (bedrijfs)processen binnen het departement dat noodzakelijk maken, draagt de BVA zorg voor de vereiste vertaling van de rijksbrede kaders.

  • het opstellen, implementeren en evalueren, binnen de Rijksbrede kaders, van het departementale integrale beveiligingsbeleid.

  • het opstellen van departementale risicoanalyses en het departementale integrale beveiligingsplan.

  • Het opstellen en onderhouden van de lijst vertrouwensfunties en de coördinatie van veiligheidsonderzoeken.

  • de uitvoering van toezicht op het functioneren van (de organisatie van) de beveiliging binnen zijn ministerie en op de implementatie, werking en effectiviteit van de vastgestelde beveiligingsmaatregelen.

  • het bevorderen van de bewustwording over beveiligingsrisico’s.

  • de afhandeling, opvolging en advies bij belangrijke beveiligingsincidenten.

  • de rapportage over de integrale beveiliging van het departement.

  • De BVA is:

  • algemeen aanspreekpunt contactpersoon voor de rijks-BVA, de AIVD, politie, (rijks)recherche en de NCTV.

  • het aanspreekpunt de persoonsbeveiliging conform het Stelsel Bewaken en Beveiligen.

De secretaris-generaal kan een beveiligingscoördinator aanstellen voor een dienstonderdeel. Deze kan worden belast met (een deel van) de taken van de BVA voor het betreffende dienstonderdeel.

Leden 5 en 6:

De BVA wordt door de rijks-BVA functioneel aangestuurd, evenwel met inachtneming van ieders onderscheiden verantwoordelijkheden. De BVA wordt immers hiërarchisch aangestuurd door de eigen dienstleiding. In deze praktijk hoort hierbij tevens een operationele aansturing: prioritering en toedeling van werkzaamheden. Functionele aansturing door de rijks-BVA betekent dat deze vakinhoudelijke aanwijzingen kan geven aan (individuele) BVA’s ter bevordering van de eenheid van handelen, normering en waardering ten aanzien van beveiliging in de Rijksdienst. Om een sluitend stelsel van de departementale en interdepartementale planning- en controlcycli te doen ontstaan, rapporteert de beveiligingsambtenaar hierover aan zijn SG en informeert hierover de rijks-BVA. De rijks-BVA voert hiertoe structureel overleg met de departementale BVA’s, zowel in een interdepartementaal overlegorgaan als bilateraal.

Lid 7:

In het geval van een (mogelijke) inbreuk op de beveiliging van het departement of een dienstonderdeel, of en een risico daarop, neemt de BVA of de beveiligingscoördinator onverwijld maatregelen om (zo veel als mogelijk) de beveiliging te laten herstellen, verdere schade door de inbreuk of het risico daarop bij een vermoeden of mogelijke inbreuk te laten beperken en herhaling te voorkomen. De BVA beschikt over een aanwijzingsbevoegdheid namens de Secretaris-generaal van het departement.

De beveiligingscoördinator stelt onverwijld de BVA in kennis bij een inbreuk of vermoeden daarvan bij zijn dienstonderdeel. Indien de inbreuk of het vermoeden daarvan meer delen van de Rijksdienst dan het betreffende departement raakt of kan raken, stelt de BVA de rijks-BVA onverwijld in kennis.

Artikel 5

Lid 1:

Het besturingsmodel voor integrale beveiliging sluit aan bij de besturingsuitgangspunten binnen de departementen: de lijnmanager is integraal verantwoordelijk, en dus ook voor de integrale beveiliging van zijn onderdeel.

Lid 2:

Met betrekking tot de dreiging van specifieke tegenstanders, hun capaciteiten en modus operandi kan de BVA informatie aanreiken. Een deel van de informatie betrekt de BVA van de AIVD, de MIVD, de NCTV en andere niet voor een ieder toegankelijke bronnen die op dit terrein een taak hebben. Het geheel wordt zo opgezet dat verantwoording afgelegd kan worden over de gemaakte keuzes en het bereikte beveiligingsniveau. De lijnmanager rapporteert periodiek over de stand van de integrale beveiliging van zijn dienstonderdeel, over de onderkende risico’s, de ingezette beheers- en controle maatregelen alsmede over de effectiviteit van deze maatregelen en geaccepteerde restrisico’s aan zijn secretaris generaal en informeert hierover de beveiligingsambtenaar. De lijnmanager is tevens verplicht de beveiligingsambtenaar onmiddellijk te informeren over een inbreuk op de beveiliging.

De Minister-President,

Minister van Algemene Zaken, M. Rutte.

Naar boven