Besluit van de Minister-President, Minister van Algemene Zaken van 18 december 2020, nr. 4169072, tot vaststelling van een kader houdende de organisatie-inrichting van het BVA-stelsel binnen de Rijksdienst (Besluit BVA-stelsel Rijksdienst 2021)

De Minister-President, Minister van Algemene Zaken;

Handelend in overeenstemming met het gevoelen van de ministerraad;

Besluit:

§ 1 Algemeen

Artikel 1 Definities

In dit besluit wordt verstaan onder:

a. Rijksdienst:

de kerndepartementen en de daaronder ressorterende dienstonderdelen;

b. Dienstonderdeel:

een onder de verantwoordelijkheid van de desbetreffende minister ressorterende directie, afdeling, instelling, dienst of bedrijf;

c. Ambtelijke leiding:

hoogste ambtenaar van het ministerie, organisatieonderdeel;

d. BVA Rijk:

Beveiligingsautoriteit Rijk, bedoeld in artikel 7;

e. BVA:

Beveiligingsautoriteit, bedoeld in artikel 3;

f. BVC:

Beveiligingscoördinator, bedoeld in artikel 6;

g. CIO Rijk:

Chief Information Officer Rijk, bedoeld in artikel 10, eerste lid van het Besluit CIO-stelsel Rijksdienst 2021;

h. CIO:

Chief Information Officer, bedoeld in artikel 3, eerste lid, en artikel 9, eerste lid van het Besluit CIO-stelsel Rijksdienst 2021;

i. CISO Rijk:

Chief Information Security Officer Rijk, bedoeld in artikel 10, eerste lid, van het Besluit CIO-stelsel Rijksdienst 2021;

j. CISO:

Chief Information Security Officer, bedoeld in artikel 6, eerste lid, en artikel 9, derde lid van het Besluit CIO-stelsel Rijksdienst 2021;

k. Te Beschermen Belangen:

personen, informatie, informatiesystemen, materieel, goederen, imago en objecten, waarbij in geval van compromittering, of de mogelijkheid van compromittering, nadelige gevolgen, of een risico daarop, kan ontstaan voor de vertrouwelijkheid, beschikbaarheid en integriteit van de primaire processen van de rijksoverheid, delen daarvan of voor andere belangen van de Staat, van zijn bondgenoten of van één of meer ministeries;

l. Integrale beveiliging:

het selecteren, implementeren en periodiek evalueren van een samenhangend stelsel van beveiligingsmaatregelen voor de beveiliging van de Te Beschermen Belangen op basis van risicomanagement;

m. Risicomanagement:

inzichtelijk en systematisch inventariseren, beoordelen en – door het treffen van maatregelen – beheersbaar maken van risico’s en kansen, die het bereiken van de doelstellingen van de organisatie bedreigen dan wel bevorderen, op een zodanige wijze dat verantwoording kan worden afgelegd over de gemaakte keuzes.

n. Accreditatie:

de toestemmingverlening als bedoeld in artikel 2, derde lid, onderdeel 3, van het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie 2013.

Artikel 2 Reikwijdte

  • 1. Dit voorschrift geldt voor de Rijksdienst, waartoe gerekend worden de kerndepartementen en de daaronder ressorterende dienstonderdelen.

  • 2. De secretaris-generaal kan voor zijn eigen ministerie bepalen dat deze regeling op (delen van) dienstonderdelen met een bijzondere taak niet van toepassing is.

    Het Ministerie van Defensie heeft een eigenstandige positie op de door het Ministerie van Defensie te bepalen onderdelen van integrale beveiliging.

§ 2 BVA en BVC

Artikel 3 BVA - functie

  • 1. De minister die belast is met de leiding van een ministerie draagt zorg voor de aanstelling van een BVA. De BVA heeft een kaderstellende, adviserende en toezichthoudende rol over de integrale beveiliging van het departement. Er kan voor twee of meer ministeries één BVA aangesteld worden.

  • 2. De secretaris-generaal die belast is met de ambtelijke leiding van een ministerie, is eindverantwoordelijk voor de integrale beveiliging en de inrichting en werking van het departementale beveiligingsstelsel. Deze secretaris-generaal stelt, binnen de rijksbrede kaders, het departementale integrale beveiligingsbeleid vast.

  • 3. De BVA heeft een onafhankelijke positie en rechtstreeks toegang tot de secretaris-generaal van het ministerie. De onafhankelijke positie is nodig voor het systeemtoezicht op de opzet, bestaan en werking van de integrale beveiliging van het departement.

  • 4. De benoeming en het ontslag van een BVA geschiedt na overleg met de Minister van Binnenlandse Zaken en Koninkrijksrelaties.

  • 5. De BVA is verantwoordelijk voor het inrichten van de BVA-functie voor het ministerie en de onder haar ressorterende dienstonderdelen.

  • 6. De BVA is agendalid van de Bestuursraad van het ministerie.

  • 7. De BVA neemt, namens het ministerie, deel aan het BVA-beraad, bedoeld in artikel 10.

  • 8. De BVA is standaard lid van het departementale Kerncalamiteitenteam dat bijeengeroepen wordt in geval van een calamiteit die gevolgen heeft voor de bedrijfsvoering en veiligheid van de aanwezigen.

  • 9. De BVA-functie wordt zodanig ingericht dat over voldoende kennis en ervaring wordt beschikt om de taken, bedoeld in artikel 4, uit te voeren.

Artikel 4 BVA - taken

De secretaris-generaal die belast is met de ambtelijke leiding van een ministerie draagt aan de BVA met betrekking tot het ministerie, in ieder geval de volgende taken op:

  • 1. het opstellen van het (inter)departementale integrale beveiligingsbeleid wat ervoor zorgt dat de primaire processen van het departement en daardoor ook de Rijksdienst zo veel mogelijk ongestoord doorgang kunnen vinden;

  • 2. het opstellen van een meerjarige departementale visie ten aanzien van de integrale beveiliging, afgestemd op maatschappelijke en politiek-bestuurlijke ontwikkelingen en dreigingen;

  • 3. het opstellen van beleid over accreditaties zodat de secretaris-generaal vooraf toestemming verleent voor het verwerken van bijzondere informatie;

  • 4. het (doen en laten) uitvoeren van beveiligingsgerelateerde (periodieke) inspecties, audits en onderzoeken;

  • 5. het (laten) ontwikkelen en (laten) onderhouden van een calamiteitenplan en de uitvoeringsprotocollen en de sturing op de totstandkoming daarvan;

  • 6. het tot stand komen van een periodieke departementale dreigingsanalyse door het inzichtelijk en systematisch inventariseren, beoordelen en periodiek evalueren van de dreigingen en een daarop ingericht samenhangend stelsel van beveiligingsmaatregelen voor de beveiliging van de Te Beschermen Belangen op basis van risicomanagement;

  • 7. het periodiek (schriftelijk) rapporteren over de stand van de integrale beveiliging aan de ambtelijke leiding en het informeren van de BVA Rijk hierover;

  • 8. het initiëren en coördineren van onderzoeken naar mogelijke compromittering van bijzondere informatie, en in geval van compromittering het (namens de secretaris-generaal) treffen van (nood)maatregelen om verdere inbreuk te voorkomen en adviseren over te nemen vervolgstappen;

  • 9. het gevraagd en ongevraagd adviseren aan de ambtelijke leiding en het lijnmanagement over de integrale beveiliging, te realiseren verbeteringen en beveiligingsmaatregelen;

  • 10. het adviseren over en het coördineren van de operationele uitvoering van de beveiliging van bewindspersonen;

  • 11. het adviseren over het aanwijzen en wijzigen van vertrouwensfuncties;

  • 12. het laten afhandelen en het adviseren en toezicht houden bij belangrijke beveiligingsincidenten alsmede invulling van het incidentenmanagement ten behoeve van te leren lessen;

  • 13. het houden van toezicht op de beveiliging van nationale belangen in relatie tot internationale verdragen en richtlijnen;

  • 14. het toezicht houden op de implementatie en werking van de departementale en rijksbrede kaders van integrale beveiliging en het opstellen van een generiek dreigingsprofiel en een toezichtkader;

  • 15. het inzichtelijk hebben van kwetsbare functies en toezicht houden op de weerbaarheid tegen ondermijning;

  • 16. het bevorderen van de bewustwording over beveiligingsrisico’s binnen het ministerie;

  • 17. het uitvoeren van opgedragen taken uit de Baseline intern persoonsgerichte onderzoeken;

  • 18. Het fungeren als algemeen aanspreekpunt en contactpersoon voor de BVA Rijk, de AIVD, politie, (rijks)recherche, de NCTV en internationale organisaties (zoals EU en NAVO) over integrale beveiliging.

Artikel 5 BVA - bevoegdheden

  • 1. De dienstonderdelen van het ministerie en de aan integrale beveiliging gerelateerde functies zoals CIO en CISO verstrekken de BVA de informatie die redelijkerwijs noodzakelijk is voor de uitoefening van zijn taken op grond van dit besluit.

  • 2. De BVA kan namens de secretaris-generaal in het geval van een (mogelijke) ernstige en/of acute inbreuk op de beveiliging van personen, gebouwen, materieel, goederen en overige objecten, of een risico daarop:

    • a. aanwijzingen geven aan iedere ambtenaar, externe medewerker en/of bezoeker voor zover dat noodzakelijk is voor de uitvoering van het integrale beveiligingsbeleid en de naleving van de beveiligingsvoorschriften; of

    • b. onverwijld maatregelen laten treffen om (zo veel als mogelijk) de beveiliging te laten herstellen en verdere schade te laten beperken.

  • 3. De BVA is bevoegd tot het aanvragen van wijzigingen in of het laten wijzigen van de lijst met vertrouwensfuncties van een departement.

  • 4. De BVA adviseert de secretaris-generaal en bereidt het besluit voor om (vooraf) toestemming te verlenen voor het verwerken van de nationale bijzondere informatie met de rubricering Departementaal Vertrouwelijk of hoger en voor het verwerken van internationale informatie van de EU en NATO.

Artikel 6 BVC-functie en BVC-rol

  • 1. De secretaris-generaal die belast is met de ambtelijke leiding van een ministerie, draagt er zorg voor dat voor dienstonderdelen met een substantiële integrale beveiligingscomponent een BVC-functie wordt ingesteld. Benoeming en ontslag van de BVC-functie geschiedt in afstemming met de BVA.

  • 2. Voor dienstonderdelen met een kleinere of minder complexe integrale beveiligingscomponent wordt door de ambtelijke leiding van het betreffende dienstonderdeel een BVC-rol toegewezen aan een functionaris. Toewijzing van de BVC-rol geschiedt in afstemming met de BVA.

  • 3. De taken en bevoegdheden van de BVC zijn direct afgeleid van de taken en bevoegdheden van de BVA en worden vastgelegd in het BVA-stelsel van het ministerie.

  • 4. De BVC is gepositioneerd in het dienstonderdeel en legt verantwoording af aan het bevoegd gezag van het dienstonderdeel.

  • 5. De BVC heeft een functionele relatie met de BVA. De BVC verstrekt de BVA de informatie die naar zijn oordeel redelijkerwijs noodzakelijk is voor de uitoefening van zijn taken op grond van dit besluit.

§ 3 BVA Rijk

Artikel 7 BVA Rijk - functie

  • 1. De Minister van Binnenlandse Zaken en Koninkrijkrelaties stelt een BVA Rijk aan.

  • 2. De BVA Rijk is belast met het bewaken van het integrale karakter en de consistentie van rijksbrede kaders voor integrale beveiliging, het bevorderen van een interdepartementale aanpak van beveiligingsissues, alsmede het toezicht op de werking van de integrale beveiliging van de Rijksdienst.

  • 3. De BVA Rijk heeft een onafhankelijke positie en rechtstreeks toegang tot de secretaris-generaal van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. De onafhankelijke positie is nodig voor het rijksbrede toezicht, en voor de implementatie en werking van de rijksbrede kaders van integrale beveiliging.

Artikel 8 Taken BVA Rijk

De BVA Rijk is belast met de volgende taken:

  • 1. vanuit een regierol stimuleren van beheersing van de integrale beveiliging en veiligheid binnen de Rijksdienst;

  • 2. vanuit een regierol versterken van innovatie en de doorontwikkelingen van de organisatie en het vakgebied van integrale beveiliging binnen de Rijksdienst;

  • 3. vanuit een regierol investeren in een cultuur van kennisdeling en het bevorderen van het lerend vermogen op het gebied van integrale beveiliging binnen de Rijksdienst;

  • 4. vanuit een regierol vergroten van de bewustwording over beveiligingsrisico’s binnen de Rijksdienst;

  • 5. het, voor wat betreft de integrale beveiliging, proactief bijdragen aan de gedachtevorming binnen de interdepartementale gremia op het terrein van de bedrijfsvoering en het zijn van gesprekspartner op rijksniveau voor (delen van) de instanties die zijn belast met specifieke onderdelen van de integrale beveiliging;

  • 6. het stimuleren van de ontwikkeling (en waar nodig zelf opstellen) van rijksbrede kaders, normen en maatregelen voor integrale beveiliging en het inhoudelijke adviseren aan de verschillende (beleids)domeinen;

  • 7. het bewaken van het integrale karakter en de consistentie van de rijksbrede kaders, normen en maatregelen voor beveiliging en het voorkomen of oplossen van lacunes, overlap en tegenstrijdigheden hierin;

  • 8. het houden van (systeem)toezicht op de werking en effectiviteit van de rijksbrede kaders van de integrale beveiliging van de Rijksdienst;

  • 9. het (laten) ontwikkelen en (laten) onderhouden van een calamiteitenplan Rijksdienst en uitvoeringsprotocollen voor aspecten van integrale beveiliging waar een rijksbrede uniforme aanpak van belang is;

  • 10. het functioneel aansturen van de BVA’s en het bevorderen van gemeenschappelijke belangen met inachtneming van ieders onderscheiden verantwoordelijkheden;

  • 11. het adviseren van de Minister van Binnenlandse Zaken en Koninkrijksrelaties over de (mogelijke) impact van (voorgenomen) wet- en regelgeving, beleid en uitvoeringstrajecten voor de integrale beveiliging en veiligheid van de Rijksdienst;

  • 12. het bevorderen van en, waar nodig, bepalen van een gezamenlijke aanpak van beveiligingsbeleid, beveiligingskwesties en beveiligingsbelangen die departement overstijgend zijn;

  • 13. het in geval van departement overstijgende calamiteiten en dreigingen direct – waar mogelijk in overleg met de BVA’s en secretarissen-generaal – ingrijpen waar nodig om beveiligingsrisico’s te minimaliseren;

  • 14. het voorbereiden van de jaarrapportage over integrale beveiliging, risico’s en dreigingen binnen de Rijksdienst.

Artikel 9 Bevoegdheden BVA Rijk

  • 1. De BVA Rijk kan de Minister van Binnenlandse Zaken en Koninkrijksrelaties rechtstreeks informeren, indien zijn taakuitoefening op grond van dit besluit daartoe aanleiding geeft. Dit gebeurt na overleg met de secretaris-generaal van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

  • 2. De BVA’s, de CIO Rijk en de CISO Rijk verstrekken de BVA Rijk de informatie die naar zijn oordeel redelijkerwijs noodzakelijk is voor de uitoefening van zijn taken op grond van dit besluit.

  • 3. De BVA Rijk heeft een interdepartementale coördinatierol bij rijksbrede beveiligingscalamiteiten. De BVA Rijk kan, na afstemming met de departementale BVA’s, in het geval van een (mogelijke) ernstige en/of acute inbreuk op de beveiliging van personen, gebouwen, materieel, goederen en overige objecten, of een risico daarop, onder verwijzing naar artikel 8, dertiende lid:

    • a. aanwijzingen geven aan iedere ambtenaar, externe medewerker en/of bezoeker voor zover dat noodzakelijk is voor de uitvoering van het integrale beveiligingsbeleid en de naleving van de beveiligingsvoorschriften.

    • b. onverwijld maatregelen laten treffen om (zo veel als mogelijk) de beveiliging te laten herstellen en verdere schade te laten beperken.

  • 4. Voor de bevoegdheden genoemd in het derde lid, heeft de BVA Rijk, na afstemming met de BVA, indien nodig direct toegang tot de secretaris-generaal van ministeries.

  • 5. De BVA Rijk kan een secretaris-generaal van een departement rechtstreeks informeren over de integrale beveiliging van het departement, indien zijn taakuitoefening op grond van dit besluit hiertoe aanleiding geeft. Dit gebeurt in overleg met de secretaris-generaal van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, tenzij de omstandigheden dat niet toelaten.

§ 4. BVA-beraad

Artikel 10 BVA-beraad

  • 1. Er is een BVA-beraad dat op strategisch niveau de beveiliging van de gehele Rijksdienst bespreekt om opzet, bestaan en werking van de integrale beveiliging van de Rijksdienst te borgen en verbeteren. Het BVA-beraad coördineert centraal en in gezamenlijk overleg de beveiliging van de Rijksdienst en adviseert zo nodig aan interdepartementale besluitvormingsorganen.

  • 2. Het BVA-beraad wordt voorgezeten door de BVA Rijk.

  • 3. Het BVA-beraad is in formele zin een voorportaal voor besluitvorming in het overleg van secretarissen-generaal (SGO). Voorstellen van het BVA-beraad worden eerst besproken in de Interdepartementale Commissie Bedrijfsvoering Rijk (ICBR).

  • 4. Het BVA-beraad doet (mede) voorstellen voor het rijksbrede integrale beveiligingsbeleid en een meerjarige visie, afgestemd op maatschappelijke en politiek-bestuurlijke ontwikkelingen en dreigingen, op voorspraak van BVA Rijk.

  • 5. Het BVA-beraad doet (mede) voorstellen voor de kaders voor integrale beveiliging en Risicomanagement van de Rijksdienst en van normen voor de ministeries en de daaronder ressorterende dienstonderdelen, op voorspraak van BVA Rijk.

  • 6. Het BVA-beraad heeft tevens als doel kennisdeling en samenwerking te bevorderen.

  • 7. Vaste leden van het BVA-beraad zijn de BVA Rijk en de BVA’s. Zij vertegenwoordigen het departement en de daaronder ressorterende dienstonderdelen.

§ 5. Slotbepalingen

Artikel 11 Evaluatie

Dit besluit wordt drie jaar na inwerkingtreding geëvalueerd en vervolgens elke drie jaar.

Artikel 12 Inwerkingtreding

Dit besluit treedt in werking met ingang van 1 januari 2021.

Het beveiligingsvoorschrift Rijksdienst 2013 wordt ingetrokken.

Artikel 13 Citeertitel

Dit besluit wordt aangehaald als: Besluit BVA-stelsel Rijksdienst 2021.

Dit besluit zal met de toelichting in de Staatscourant worden geplaatst.

De Minister-President, Minister van Algemene Zaken,

TOELICHTING

Algemeen deel

Aanleiding

De functies, taken en bevoegdheden ten aanzien van integrale beveiliging zijn vastgelegd in het Beveiligingsvoorschrift Rijksdienst 2013 (BVR 2013).

De Minister van Binnenlandse Zaken en Koninkrijksrelaties heeft namens het kabinet in een brief van 20 december 2019 aan de Tweede Kamer der Staten-Generaal bericht dat er een besluit CIO-stelsel Rijksdienst zal komen.1 In dit besluit zijn naast de functie, taken en bevoegdheden van de CIO binnen de Rijksdienst ook die van de CIO Rijk, de CISO Rijk en de CISO’s binnen de Rijksdienst vastgelegd en de overleg- en samenwerkingsvormen.

Met het (voorgenomen) besluit CIO-stelsel Rijksdienst per 1 januari 2021 en de samenhang tussen informatiebeveiliging en integrale beveiliging is het noodzakelijk om ook de formele grondslag van het BVA-stelsel te actualiseren en de functies van de departementale beveiligingsautoriteit en de beveiligingsautoriteit Rijk te uniformeren en te beschrijven. In deze actualisatieslag wordt daarnaast de gewijzigde context in het werkveld van de integrale beveiliging, zowel binnen als buiten de Rijksdienst verwerkt. Het doel van het BVA-stelsel Rijksdienst 2021 (BVA-stelsel) is gericht op het neerzetten van een kader met afspraken over functies, rollen, bevoegdheden, aansturing, overleg- en samenwerkingsvormen. Daarnaast is van belang dat er een goede aansluiting en samenwerking met het CIO-stelsel is, omdat deze taken en functies veel raakvlakken kennen.

De minister die conform het besluit van het constituerend beraad of ministerraad belast is met de integrale beveiliging van de Rijksdienst, is beleidsverantwoordelijk voor de integrale beveiliging van de Rijksdienst. Bij de ondertekening van deze regeling ligt deze verantwoordelijkheid bij de Minister van Binnenlandse Zaken en Koninkrijksrelaties. Ingevolge het Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen Rijksdienst kan deze minister bovendien kaders stellen ter bevordering van de eenheid, de kwaliteit of de efficiëntie van de bedrijfsvoering bij de ministeries. Het uitoefenen van deze bevoegdheid tot het stellen van kaders vindt plaats na overleg met de andere ministers.

Uitgangspunten

Dit besluit BVA-stelsel is een nadere uitwerking van de wet- en regelgeving en geeft praktische invulling aan het integrale beveiligingsstelsel, het BVA-beraad en de functies en taken van de BVA Rijk, de BVA van departementen en de BVC van dienstonderdelen.

Doel van dit besluit BVA-stelsel is het bevorderen van de integrale beveiliging van de Rijksdienst door te komen tot meer uniformiteit in de organisatie en invulling van integrale beveiliging en duidelijkheid over verantwoordelijkheden, bevoegdheden en taken van de verschillende functies en rollen. Dit is belangrijk omdat integrale beveiliging essentieel is voor de vertrouwelijkheid, beschikbaarheid en integriteit van de primaire processen van de Rijksdienst.

De verantwoordelijkheid voor integrale beveiliging en de inrichting en werking van de organisatie daarvan, evenals de zorg voor en de beveiliging van de Te Beschermen Belangen voor hun dienstonderdelen, ligt bij de secretaris-generaal van een departement. Te Beschermen Belangen zijn personen, informatie, informatiesystemen, materieel, goederen, imago en objecten, waarbij in geval van compromittering, of de mogelijkheid van compromittering, nadelige gevolgen, of een risico daarop, kan ontstaan voor de vertrouwelijkheid, beschikbaarheid en integriteit van de primaire processen van de rijksoverheid, delen daarvan of voor andere belangen van de Staat, van zijn bondgenoten of van één of meer ministeries. De secretaris-generaal is tevens verantwoordelijk voor het treffen van maatregelen voor de integrale beveiliging van Te Beschermen Belangen op basis van risicomanagement.

Om de (plaatsvervangend) secretaris-generaal en het lijnmanagement te ondersteunen en te adviseren is er een BVA-stelsel voor de Rijksdienst. Het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) is stelselverantwoordelijk.

Het BVA-stelsel bestaat uit:

  • BVA Rijk: Beveiligingsautoriteit Rijksdienst - (Governmental) Chief Security Officer.

  • BVA: Beveiligingsautoriteit van een ministerie - (Departmental) Chief Security Officer.

  • BVC: Beveiligingscoördinator van een dienstonderdeel - (Organizational) Chief Security Officer.

Een BVC is een functie of een rol, afhankelijk van de grootte van de organisatie en de complexiteit van de integrale beveiliging.

Deel van het BVA-stelsel is het BVA-beraad2, een interdepartementaal overleg onder voorzitterschap van de BVA Rijk waarin de departementale BVA’s zitting hebben en tevens hun dienstonderdelen vertegenwoordigen.

Integrale beveiliging bestaat uit vier deelgebieden: fysieke beveiliging, informatiebeveiliging, personele beveiliging en persoonsbeveiliging.

Er zijn thema’s die duidelijke raakvlakken hebben met integrale beveiliging, waaronder integriteit, compliance, bescherming persoonsgegevens, veiligheid, crisis- en calamiteitenmanagement en continuïteitsmanagement. De BVA bevordert en bewaakt de integraliteit van de beveiliging en werkt nauw samen met deze functies, die mede bepalend zijn voor het welslagen van de integrale beveiliging. Voor een goede uitoefening van de taken van de BVA en om de integraliteit van de beveiliging te kunnen waarborgen, is het noodzakelijk dat de betrokken functionarissen redelijkerwijs gevraagd en ongevraagd informatie aan de BVA geven over calamiteiten en (mogelijke) risico’s en dreigingen en maatregelen voor de Te Beschermen Belangen.

De uitvoering van de beveiliging op (de hoofd)locaties is via een concerndienstverlener van de Rijksdienst ondergebracht bij de Rijksbeveiligingsorganisatie (RBO). Indien er geen concern dienstverlener is, is er sprake van een rechtstreekse overeenkomst met de RBO. De BVA houdt toezicht op (de aansturing en uitvoering van) dit proces vanuit het ministerie. Ook werkt de BVA nauw samen met rijksbrede organisaties of functionaliteiten, bijvoorbeeld op het gebied van cybersecurity en inlichtingen.

Artikelsgewijze toelichting

Artikel 1 (Definities)

Dit artikel definieert de veelgebruikte bepalingen in dit besluit. De definities van Te beschermen belangen, integrale beveiliging en risicomanagement in dit artikel maken duidelijk dat deze begrippen veel aspecten omvatten ten aanzien van de beveiliging van mensen, middelen en maatregelen van de Rijksdienst.

Integrale beveiliging ondersteunt en borgt de betrouwbaarheid en continuïteit van de bedrijfsprocessen van het ministerie. Integrale beveiliging is geen doel op zich, het beschermt tegen onder meer dreigingen als gevolg van opzettelijk menselijk handelen en onopzettelijk menselijk falen. Het integrale karakter van de beveiliging komt tot uiting in de samenhang tussen de maatregelen in de verschillende onderdelen van het primaire proces en de – daaraan ondersteunende – bedrijfsvoering en -middelen.

Onder risicomanagement wordt verstaan het in een inzichtelijk afwegingsproces bepalen van de beveiligingsmaatregelen, waarbij de maatregelen proportioneel, efficiënt en effectief zijn in relatie tot de belangen, de reële dreigingen en onderkende risico’s. Hierbij wordt ook inzichtelijk gemaakt welke restrisico’s worden geaccepteerd.

Onder accreditatie wordt verstaan het verlenen van toestemming voor ontvangst, beheer, verwerking en verdere verspreiding van bijzondere informatie. Bijzondere informatie is de informatie waar kennisname door niet-geautoriseerden nadelige gevolgen kan hebben voor de belangen van de Staat, van zijn bondgenoten of van één of meer ministeries. Hiervoor is aangesloten bij het begrip accreditatie zoals bedoeld in het Besluit Voorschrift informatiebeveiliging Rijksdienst 2013 (VIRBI 2013). Dit betekent met andere woorden het formeel machtigen en goedkeuren van de verwerking van bijzondere informatie met inachtneming van de operationele omgeving. Het is een vorm van (voorafgaand) toezicht met als doel het waarborgen van een juist beveiligingsniveau gegeven een bepaald Te Beschermen Belangen.

Artikel 2 (Reikwijdte)

In dit artikel wordt bepaald op welke organisaties van de Rijksdienst dit besluit van toepassing is. Het betreffen alle kerndepartementen en de daaronder ressorterende dienstonderdelen. Het besluit is niet van toepassing op zelfstandige bestuursorganen.

Op grond van dit lid kan de departementale secretaris-generaal bepalen dat deze regeling voor een dienstonderdeel met een bijzondere taak, (deels) niet van toepassing is. Hierbij valt onder meer te denken aan dienstonderdelen met een verhoogd beveiligingsrisico zoals de AIVD en NCTV.

Er is voor het Ministerie van Defensie een uitzondering gemaakt op de toepasselijkheid van het besluit. Het departement is op het gebied van beveiliging eigenstandig, waardoor bevoegdheden, taken en functie van de BVA anders zijn ingericht en ook is de rol van de BVA Rijk richting Defensie anders. Al sinds de inwerkingtreding van het Beveiligingsvoorschrift 2005 (en daarna het Beveiligingsvoorschrift Rijksdienst 2013) wordt al naar gelang de aard en inhoud van het onderwerp van beveiliging afstemming gezocht tussen de betrokken ambtenaren van Defensie en de (inter)departementale beveiligingsambtenaar. Dit besluit is er niet op gericht om daarin verandering aan te brengen. De BVA van Defensie maakt wel onderdeel uit van het BVA-beraad.

Artikel 3 (BVA-functie)

In dit artikel staat beschreven dat de minister van een departement de BVA aanstelt. De BVA heeft een onafhankelijke positie en rechtstreeks toegang tot de secretaris-generaal van het ministerie. De onafhankelijke positie is nodig voor het systeemtoezicht op de opzet, bestaan en werking van de integrale beveiliging van het departement.

Systeemtoezicht in zijn algemeenheid kijkt naar de opzet, het bestaan en de werking van een managementsysteem. Systeemtoezicht is een ‘bredere’ vorm van toezicht en ziet op meer dan alleen op de output en naleving. Het toezicht op output is opgenomen in de werking en effectiviteit. Bij systeemtoezicht wordt de output in het ‘geheel’ geplaatst, voortvloeiend uit het ‘managementproces’. Het biedt de mogelijkheid om aan te sluiten bij het ‘volwassenheidsniveau’ van de organisatie.

Vanwege de kaderstellende rol van de BVA richt het systeemtoezicht zich op de implementatie en werking van het managementsysteem. Het toezicht ziet op hoe de organisatie haar processen heeft ingericht, de effectiviteit daarvan, of de ingerichte processen worden gevolgd en of de organisatie vaststelt of dit tot een acceptabel niveau van (integrale) beveiliging leidt. De cultuur binnen een organisatie is van invloed op de wijze waarop medewerkers met processen en procedures omgaan (waaronder bijvoorbeeld meldingsbereidheid). Cultuuraspecten, houding en gedrag zijn daarom onderdeel van systeemtoezicht.

De benoeming en het ontslag van een BVA kan alleen plaatsvinden na overleg met de Minister van Binnenlandse Zaken en Koninkrijksrelaties. Op deze wijze kan door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties advies over onder meer de invulling van de vereiste competenties worden geleverd en wordt mede de stelselverantwoordelijkheid van de Minister van Binnenlandse Zaken en Koninkrijksrelaties voor de integrale beveiliging van de Rijksdienst tot uiting gebracht. In de praktijk wordt de BVA Rijk door de minister gemandateerd om te adviseren over de aanstelling en het ontslag van een BVA. De concrete invulling van dit mandaat wijzigt niet ten opzichte van de reeds in 2013 gemaakte afspraak in het ICBR, dat de BVA Rijk lid is van de selectiecommissie bij de werving van een nieuwe BVA voor een departement.

In het vijfde lid wordt omschreven dat de BVA tenminste agendalid is van de Bestuursraad (of een daarmee gelijk te stellen overlegorgaan) van een ministerie om de integraliteit van de departementale kaders voor beveiliging te kunnen bewaken. De visie van de BVA ten aanzien van het departementale beveiligingsstelsel kan de verschillende uitvoerings- of beleidsdoelen van een ministerie immers raken. Tijdige en integrale afstemming is noodzakelijk.

Artikel 4 (BVA -taken)

In dit artikel staan de taken benoemd van de BVA van een ministerie. Het betreft hier geen uitputtende lijst van taken die de secretaris-generaal, die belast is met de ambtelijke leiding van een ministerie, opdraagt aan de BVA.

Nu integrale beveiliging een belangrijk onderdeel vormt van de bedrijfsvoering in een departement is het belangrijk dat de BVA regelmatig, onder meer door middel van periodieke dreigingsanalyses, de ambtelijke- en politieke leiding van het ministerie adviseert. De BVA zorgt ervoor dat de Bestuursraad beveiligingsbeleid formuleert en hij of zij adviseert over de gevolgen van (voorgenomen) wet- en regelgeving.

Daarbij gebruikt hij of zij het meerjarige departementale beveiligingsplan. Dit meerjarige departementale beveiligingsplan beschrijft de strategie en de belangrijkste doelstellingen, bijvoorbeeld vanwege politieke urgentie, ambitie of impact, binnen het departementale beveiligingsbeleid, aansluitend op de visie, strategie en beleidsdoelstellingen van het departement enerzijds en de beleidsprioriteiten uit de meerjarige strategie van de BVA Rijk anderzijds.

In het derde lid wordt ook de beleidstaak omschreven rondom de accreditatie van bijzondere informatie, zoals vastgelegd in het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie, artikel 3.

Artikel 5 (BVA-bevoegdheden)

In het eerste lid is de integraliteit van de beveiliging gewaarborgd. De BVA bevordert en bewaakt de integraliteit van de beveiliging en werkt nauw samen met functies, die mede bepalend zijn voor het welslagen van de integrale beveiliging. Het gaat hier om onder andere de departementale CIO, CISO en andere functies of rollen die, met inachtneming van hun inhoudelijke expertise, zelfstandige taken en bevoegdheden, gevraagd en ongevraagd redelijkerwijs informatie leveren aan de BVA over calamiteiten, (mogelijke) risico’s en dreigingen en maatregelen voor de Te Beschermen Belangen om de integraliteit van beveiliging te kunnen waarborgen. De in dit artikellid geregelde informatievoorziening aan de BVA is wederkerig. Dit betekent dat de BVA ook gevraagd en ongevraagd informatie levert aan de CIO, CISO en andere functies.

Het tweede lid beschrijft de bevoegdheden van de BVA om – in het geval van een (mogelijke) ernstige en acute inbreuk op de beveiliging van personen, informatie(systemen), gebouwen, materieel, goederen en overige objecten, of een risico daarop -op te treden. Onderdeel a maakt duidelijk dat een BVA te allen tijde aanwijzingen kan geven aan ambtenaren, externe medewerkers en bezoekers om zodoende de integrale beveiliging van het departement te waarborgen of te bevorderen. Onderdeel b regelt de bevoegdheid van de BVA om onverwijld maatregelen te treffen om (zo veel als mogelijk) de beveiliging te laten herstellen en verdere schade door de inbreuk of het risico daarop bij een vermoeden of mogelijke inbreuk te laten beperken. Deze bevoegdheid ziet niet op de (inbreuk op de beveiliging van) informatiesystemen. De BVA heeft weliswaar een integrale beveiligingsverantwoordelijkheid, maar ten aanzien van informatiesystemen ligt deze bevoegdheid bij de CISO van het betreffende departement. Dit doet de CISO in overleg met de BVA.

Het derde lid beschrijft de bevoegdheid van de BVA over het indienen van verzoeken tot het laten aanwijzen en wijzigen van vertrouwensfuncties in overeenstemming met de Minister van Binnenlandse Zaken en Koninkrijksrelaties. Deze verantwoordelijkheid heeft de Minister van Binnenlandse Zaken en Koninkrijksrelaties gemandateerd aan de directeur-generaal van de Algemene Inlichtingen- en Veiligheidsdienst. Vertrouwensfuncties zijn functies waarin de functionaris de mogelijkheid heeft om de nationale veiligheid te schaden.

Het vierde lid betreft de bevoegdheden van de BVA ten aanzien van de verantwoordelijkheid van de secretaris generaal in de rol van Security Accreditatie Autoriteit aangeduid als ‘Security Accreditation Authority’ (SAA)3.

Om conflicten ten aanzien van onafhankelijkheid en belangen te voorkomen, ligt de integrale beoordeling en toetsing van het accreditatieproces bij de departementale BVA.

Ten behoeve van het advies apprecieert de BVA het doorlopen accreditatieproces en het door de lijnmanager aangeleverde accreditatiedossier. De lijnmanager is vanuit integraal management verantwoordelijk voor het voorbereiden van het accreditatiedossier en het verkrijgen van een vorm van accreditatie van het (de) informatiesyste(e)m(en) die tot diens organisatieonderdeel behoren. De CISO kan als specialist voor het I(C)T-deel daarin de lijnmanager ondersteuning bieden bij het voorbereiden van het accreditatie dossier. De BVA kan gemandateerd worden om namens de secretaris-generaal vooraf toestemming te verlenen voor het verwerken van informatie met de rubricering Departementaal Vertrouwelijk in nationale systemen.

Artikel 6 (BVC-functie en BVC-rol)

Een BVC-functie functioneert binnen een BVA-stelsel van het ministerie en werkt nauw samen met de BVA, andere BVC’s, de CISO, FG en andere gerelateerde rollen of functies binnen het dienstonderdeel.

Het eerste en tweede lid beschrijven dat voor dienstonderdelen met een substantiële integrale beveiligingscomponent een BVC-functie kan worden ingesteld. Voor de meeste dienstonderdelen van een ministerie is een BVC-rol toegewezen aan een functionaris, zodat de BVA één aanspreekpunt heeft per dienstonderdeel. Sommige dienstonderdelen zijn zo omvangrijk of hebben een complexe integrale beveiliging dat een BVC-functie wordt ingericht. De BVC-functie ondersteunt de BVA daar waar nodig en zorgt dat de BVA het departementale overzicht over (de werking en ontwikkeling van) het BVA-stelsel houdt.

Het derde lid beschrijft de taken en bevoegdheden van een BVC van een dienstonderdeel, die direct afgeleid zijn van de taken en bevoegdheden van de BVA.

Lid vier en vijf geven aan dat de BVC binnen het dienstonderdeel gepositioneerd is en verantwoording aflegt aan het bevoegd gezag van het dienstonderdeel.

Ook binnen dienstonderdelen is het van belang dat de BVC ressorteert onder het bevoegd gezag en de verantwoordingslijn ingeregeld is als de hiërarchische positie niet direct onder het bevoegd gezag georganiseerd is. De BVC heeft een functionele relatie met de BVA. De BVC verstrekt de BVA de informatie die naar zijn oordeel redelijkerwijs noodzakelijk is voor de uitoefening van zijn taken op grond van dit besluit.

Artikel 7 (BVA Rijk)

De BVA Rijk heeft als primaire functie de consistentie en het integrale karakter van rijksbrede kaders, normen en maatregelen te borgen. De BVA Rijk stimuleert de ontwikkeling van rijksbrede kaders voor beveiliging, adviseert hierover inhoudelijk aan de verschillende (beleids)domeinen en houdt systeemtoezicht op de opzet, werking en bestaan van de rijksbrede kaders op het gebied van integrale beveiliging van de Rijksdienst. De BVA Rijk analyseert daartoe de kwaliteit van de beveiliging in context van relevante (o.a. politiek-bestuurlijke) ontwikkelingen. Lacunes, overlap en tegenstrijdigheden in de diverse beleidslijnen en nadere regelgeving worden voorkomen of opgelost. Daartoe behoort de standaardisatie van methoden en technieken binnen de Rijksdienst op het terrein van de integrale beveiliging. Waar nodig kan de BVA Rijk ook zelf rijksbrede kaders ontwikkelen.

De BVA Rijk wordt in de uitoefening van zijn bevoegdheden ondersteund door een bureau; het Bureau BVA Rijk.

Dit bureau is een afdeling bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en ten tijde van dit besluit onderdeel van het directoraat-generaal Overheidsorganisatie.

Artikel 8 (Taken BVA Rijk)

In dit artikel staan de taken opgesomd van de BVA Rijk. Dit is geen uitputtende lijst van taken. De BVA Rijk draagt proactief bij aan de gedachtevorming binnen de interdepartementale gremia op het terrein van de integrale beveiliging van de Rijksdienst en is standaard agendalid van de interdepartementale commissies (ICHF, ICOP, IPIM, IWEV, IOCB, SIB, CIO-beraad, CISO-beraad en ICBR). Daarnaast is de BVA Rijk gesprekspartner op rijksniveau voor de instanties die zijn belast met specifieke onderdelen van de integrale beveiliging.

De BVA Rijk is verantwoordelijk voor de realisatie van rijksbrede toezichtactiviteiten ten aanzien van de implementatie en de uitvoering van de rijksbrede kaders. Het rijksbrede toezicht is een stelsel van toezicht dat ook binnen de departementen is georganiseerd. Bij de ministeries zijn deze taken belegd bij de BVA en/of de BVC.

De BVA wordt door de BVA Rijk functioneel aangestuurd, evenwel met inachtneming van ieders onderscheiden verantwoordelijkheden. De BVA wordt immers hiërarchisch aangestuurd door de eigen dienstleiding. In deze praktijk hoort hierbij tevens een operationele aansturing: prioritering en toedeling van werkzaamheden. Functionele aansturing door de BVA Rijk betekent dat deze vakinhoudelijke aanwijzingen kan geven aan (individuele) BVA’s ter bevordering van de eenheid van handelen, normering en waardering ten aanzien van beveiliging in de Rijksdienst. Om een sluitend stelsel van de departementale en interdepartementale planning- en controlcycli te doen ontstaan, rapporteert de beveiligingsautoriteit hierover aan zijn secretaris-generaal en informeert hierover de BVA Rijk. De BVA Rijk voert hiertoe structureel overleg met de departementale BVA’s, zowel in een interdepartementaal overlegorgaan als bilateraal.

Artikel 9 (Bevoegdheden BVA Rijk)

Het eerste lid beschrijft de mogelijkheid van de BVA Rijk om, na overleg met de secretaris-generaal, de Minister van Binnenlandse Zaken en Koninkrijksrelaties, als stelselverantwoordelijke, rechtstreeks te informeren als zijn of haar taakuitoefening, zoals uiteengezet in het vorige artikel, hiertoe aanleiding geeft. Er zijn ook situaties waarin een dergelijk vooroverleg met de secretaris-generaal niet afgewacht kan worden.

In die gevallen heeft de BVA Rijk de mogelijkheid om de minister rechtstreeks te informeren, waarbij de BVA Rijk wel op de kortst mogelijke termijn achteraf de secretaris-generaal informeert. In de praktijk is het informeren van de minister dan ook een ultimum remedium.

In het tweede lid is de integraliteit van de beveiliging gewaarborgd. De BVA Rijk bevordert en bewaakt de integraliteit van de beveiliging van de Rijksdienst en werkt nauw samen met functies, die mede bepalend zijn voor het welslagen van de integrale beveiliging.

Het gaat hier om de BVA’s, de CIO Rijk, de CISO Rijk en andere functies of rollen die, met inachtneming van hun inhoudelijke expertise, zelfstandige taken en bevoegdheden, redelijkerwijs gevraagd en ongevraagd informatie leveren aan de BVA Rijk over calamiteiten, (mogelijke) risico’s en dreigingen en maatregelen voor de Te Beschermen Belangen om de integraliteit van beveiliging te kunnen waarborgen.

Het derde lid beschrijft de bevoegdheden van de BVA Rijk om – in het geval van een (mogelijke) ernstige en acute inbreuk op de beveiliging van personen, informatie(systemen), gebouwen, materieel, goederen en overige objecten, of een risico daarop – op te treden. Onderdeel a maakt duidelijk dat een BVA Rijk, na afstemming met de departementale BVA’s, te allen tijde aanwijzingen kan geven aan ambtenaren, externe medewerkers en bezoekers om zodoende de integrale beveiliging van de Rijksdienst te waarborgen of te bevorderen. Onderdeel b regelt de bevoegdheid van de BVA Rijk om onverwijld maatregelen te treffen om (zo veel als mogelijk) de beveiliging te laten herstellen en verdere schade door de inbreuk of het risico daarop bij een vermoeden of mogelijke inbreuk te laten beperken. Deze bevoegdheid ziet niet op de (inbreuk op de beveiliging van) informatiesystemen. De BVA Rijk heeft weliswaar een integrale beveiligingsverantwoordelijkheid, maar ten aanzien van informatiesystemen ligt deze bevoegdheid bij de CISO Rijk. Dit doet de CISO Rijk in overleg met de BVA Rijk.

De BVA Rijk beschikt daartoe op grond van het vierde lid – na afstemming met de BVA’s – over een directe toegang tot de secretaris-generaal van het ministerie of de ministeries die betrokken zijn bij de calamiteit als bedoeld in het derde lid.

In het vierde lid is geregeld dat de BVA Rijk rechtstreeks de secretaris-generaal van een ministerie kan informeren indien de BVA Rijk, gezien zijn taakuitoefening op grond van dit besluit, (structurele) ernstige tekortkomingen in de integrale beveiliging van een departement constateert. Dit gebeurt na overleg met de secretaris-generaal van het Ministerie van BZK, tenzij de omstandigheden dit niet toelaten.

Artikel 10 (BVA-beraad)

Het eerste lid regelt dat er een BVA-beraad is dat op strategisch niveau de beveiliging van de gehele Rijksdienst bespreekt om opzet, bestaan en werking van de integrale beveiliging van de Rijksdienst te borgen en verbeteren. Het BVA-beraad coördineert centraal en in gezamenlijk overleg de beveiliging van de Rijksdienst. Dat de BVA Rijk het BVA-beraad voorzit, wordt in het tweede lid geregeld. Een verdere taakomschrijving van het BVA-beraad volgt uit het derde, vierde en vijfde lid.

Het derde lid regelt dat voorstellen van het BVA-beraad eerst worden besproken in de Interdepartementale Commissie Bedrijfsvoering Rijk (ICBR).

Het zevende lid omschrijft de samenstelling van het BVA-beraad. Daar nemen ten minste alle

departementale BVA’s (waaronder ook de BVA van Defensie) aan deel. Het staan hen geheel vrij om in gezamenlijk overleg te bepalen wie zij nog meer aan het BVA-beraad willen laten deelnemen.

Artikel 11 (Evaluatie)

Het artikel regelt dat er drie jaar na de inwerkingtreding van het besluit, en vervolgens om de drie jaren, een evaluatie van dit besluit plaatsvindt. In deze evaluatiebepaling komt ook het groeimodel van dit besluit BVA-stelsel tot uitdrukking. Ontwikkeling van dit besluit, op basis van de ervaringen over de werking van het BVA-stelsel Rijksdienst, kan met deze evaluatiebepaling eens in de drie jaar plaatsvinden. Het besluit is daarmee op zichzelf ook een uiting van de beveiligingstransformatie van de Rijksdienst.

De Minister-President, Minister van Algemene Zaken,


X Noot
1

Kamerstukken II 2019/20, 26 643, nr. 656, p. 3.

X Noot
2

Voorheen Integraal Beveiligingsberaad (IBR)

X Noot
3

EU, IA Security Guidelines on CIS Security Accreditation, IASG 1-01, 22 en 24 NAVO, Guidelines for the security accreditation of communication and information systems (CIS), AC/35-D/1021-REV3, Section IV.1.11 Nationaal Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie, artikel 3 Beveiligingsbeleid.

Naar boven