Update migratie .nl domeinregistratiesysteem naar AWS
Informatie- en communicatietechnologie (ICT)
Brief regering
Nummer: 2024D26485, datum: 2024-06-21, bijgewerkt: 2024-08-09 16:32, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-26643-1199).
Gerelateerde personen:- Eerste ondertekenaar: M.A.M. Adriaansens, minister van Economische Zaken en Klimaat
Onderdeel van kamerstukdossier 26643 -1199 Informatie- en communicatietechnologie (ICT).
Onderdeel van zaak 2024Z11109:
- Indiener: M.A.M. Adriaansens, minister van Economische Zaken en Klimaat
- Volgcommissie: vaste commissie voor Economische Zaken
- Voortouwcommissie: vaste commissie voor Digitale Zaken
- : Debat over de afhankelijkheid van de Rijksoverheid van buitenlandse techbedrijven (Plenair debat (debat)), TK
- 2024-06-25 15:45: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2024-07-03 09:30: Procedurevergadering (Procedurevergadering), vaste commissie voor Digitale Zaken
- 2024-12-17 17:00: Digitale infrastructuur en economie (Commissiedebat), vaste commissie voor Digitale Zaken
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2023-2024 |
26 643 Informatie- en communicatietechnologie (ICT)
Nr. 1199 BRIEF VAN DE MINISTER VAN ECONOMISCHE ZAKEN EN KLIMAAT
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 21 juni 2024
In de beantwoording van de Kamervragen over de «verhuizing van het .nl-domein» van 22 maart 20241 heb ik aangekondigd dat ik uw Kamer voor de zomer zou informeren over de voortgang van de stappen die we zetten inzake de voorgenomen migratie van SIDN naar de publieke cloud van Amazon Web Services (AWS). In deze brief bied ik u, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, een overzicht aan van de stand van zaken inclusief lopende acties.
Verschillende acties en onderzoeken zijn momenteel in uitvoering. Conclusies over het voorgenomen besluit van SIDN om het domeinregistratiesysteem in de cloud van AWS te willen migreren volgen daarom later. De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties en ik vinden het van belang dat we solide en volledig uitgewerkte conclusies kunnen presenteren voor deze complexe materie. We hebben daarbij besloten dat de kwaliteit van de onderzoeken en daarmee de uiteindelijke oordeelsvorming boven de snelheid van het proces dient te gaan.
Gesprek met belangenbehartigers cloud
Op 27 maart jl. ben ik samen met de Staatssecretaris Binnenlandse Zaken en Koninkrijksrelaties in gesprek gegaan met experts en belanghebbenden over de wijze waarop de Digitale Open Strategische Autonomie (DOSA) het beste kan worden geborgd voor vraagstukken rondom cloudinfrastructuur en -diensten. Ter sprake kwam de afhankelijkheid van grote niet-Europese aanbieders van clouddiensten, en dat het van essentieel belang is dat ongewenste en risicovolle strategische afhankelijkheden van een of enkele aanbieders worden beperkt.2 De aanwezigen constateerden dat het marktfalen en de afhankelijkheidsproblematiek op het terrein van cloud hoger op de politieke agenda dienen te komen. Daartoe is het belangrijk dat beleidsinzet voor het stimuleren van een concurrerend Europees cloudaanbod wordt geïntensiveerd. Het is cruciaal om daarbij samenwerking tussen de overheid en het bedrijfsleven te zoeken, zodat voldoende investeringen worden gedaan en vooruit wordt gekeken. Dit betekent dat ook de vraagarticulatie van cloudinfrastructuur en -diensten volwassener dient te worden. Aanwezigen benadrukten ook dat de (Rijks)overheid hier een rol in kan spelen. De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties heeft in dit verband aangegeven dat het kabinet momenteel het Rijksbrede cloudbeleid evalueert.
Quickscan
De resultaten van dit gesprek zijn meegenomen in de opdracht voor de quickscan. De quickscan wordt door KPMG uitgevoerd. De resultaten hiervan worden na de zomer verwacht en zullen worden gedeeld met de Tweede Kamer.
Het doel van de quickscan is om zicht te krijgen op specifieke technische functionaliteiten en relevante organisatorische en juridische aspecten van respectievelijk Nederlands en Europees aanbod van clouddiensten, in vergelijking met het aanbod van de dominante niet-Europese marktpartijen. Oftewel een beeld schetsen van de verschillen («de gap») tussen het aanbod van de lokale (Europese) partijen en de marktleiders. De bevindingen van de quickscan helpen ook om meer inzicht te verkrijgen in de verschillen qua aanbod, op basis van de door afnemers gestelde eisen.
De opdrachtnemer zal de inzichten uit bovenstaand onderzoeksdoel toepassen op de casus van het domeinregistratiesysteem van SIDN en de strategische criteria en specifieke criteria op functionaliteit en beveiliging die daarvoor gesteld worden in het Eraneos rapport3 voor SIDN. Het doel is om daarmee een beter beeld te krijgen of er een vergelijkbaar Nederlands of Europees alternatief beschikbaar is dat kan voldoen aan de eisen van partijen als SIDN voor haar domeinregistratiesysteem. De uitkomst van deze casus kan waardevol zijn voor andere vragende partijen die hoge eisen stellen aan de continuïteit en cyberveiligheid van de clouddienstverlening. Tot slot dient het onderzoek aanbevelingen te geven voor oplossingsrichtingen aan zowel de vraag- als aanbodzijde van de markt om de gevonden lacunes te ondervangen.
DPIA, DTIA en exitstrategie
SIDN heeft een externe partij, Considerati, ingeschakeld om een Data Protection Impact Assessment (DPIA) uit te voeren voor de migratie van het domeinregistratiesysteem. Daarnaast wordt een Data Transfer Impact Assessment (DTIA) uitgevoerd. De verwachting is dat de DPIA en DTIA na de zomer zijn afgerond. Daarnaast is SIDN bezig een exitstrategie op te stellen die zal toezien op zowel het snel kunnen verhuizen in het geval van problemen of calamiteiten, als het kunnen migreren naar een Europese of Nederlandse cloudprovider indien deze mogelijkheid zich aandient. Deze zal in lijn zijn met het Implementatiekader Risicoafweging Cloudgebruik Rijksoverheid.4
Analyses
SIDN is aangewezen door EZK als aanbieder van een essentiële dienst binnen onze digitale infrastructuur en valt daarmee binnen de reikwijdte van vitale infrastructuur. De Rijksinspectie Digitale Infrastructuur (RDI) houdt toezicht op SIDN op basis van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Sinds de beantwoording van de Kamervragen is er meerdere keren contact geweest met SIDN. SIDN heeft aangegeven het belang te zien van toezicht en zal de RDI actief informeren en betrekken bij de verschillende voorziene fasen in het voorgenomen migratietraject om de veiligheid, integriteit en continuïteit voor het .nl domein te garanderen. De toezichthouder zal blijvend meekijken op de beheersing van risico’s van het huidige en het toekomstige systeem en die van de exitstrategie.
Ten behoeve van verdere beleids- en besluitvorming in deze casus is, in aanvulling op bovenstaande acties, de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) verzocht een risicoanalyse uit te voeren. De AIVD voert deze analyse uit op basis van zijn wettelijke taak tot veiligheidsbevordering (Wet op de Inlichtingen- en Veiligheidsdiensten 2017, artikel 8).
Convenant
Mede in het kader van het convenant5 is met SIDN de afgelopen maanden veelvuldig contact geweest om opvolging te geven aan de acties. Kort na het verschijnen van de antwoorden op de Kamervragen heeft SIDN zelf een nadere toelichting gegeven op hun voorgenomen besluit en de internet sector inzicht gegeven in technische eisen die zij stellen aan het domeinregistratiesysteem en bijbehorende platform.
Tot slot benadruk ik graag dat de verhuizing van het domeinregistratiesysteem nog geen voldongen feit is. Er is afgesproken dat SIDN gedurende de looptijd van de hierboven genoemde acties en lopende onderzoeken geen onomkeerbare stappen zal zetten. Ik verwacht dat de genoemde acties na de zomer zijn afgerond en dat daarmee een helder inzicht wordt verkregen welke vervolgstappen gezet moeten worden. Besluitvorming daarover is aan het volgende kabinet.
Mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
De Minister van Economische Zaken en Klimaat,
M.A.M. Adriaansens
Antwoord op vragen van de leden Kathmann, Six Dijkstra en Sneller over de verhuizing van het.nl domein | Tweede Kamer der Staten-Generaal↩︎
Dit sluit aan bij bevindingen van diverse eerdere analyses over afhankelijkheden in de cloudmarkt. De cloudmarktstudie van de ACM uit 2022 zet bijvoorbeeld de economische en technische afhankelijkheden in de sector gedetailleerd uiteen. Ook in de agenda Digitale Open Strategische Autonomie (DOSA) is cloud opgenomen als een van de beleidsprioriteiten.↩︎
Eraneos Adviesrapport↩︎
Implementatiekader risicoafweging cloudgebruik | Rapport | Rijksoverheid.nl↩︎
Convenant EZK en SIDN | Tweede Kamer der Staten-Generaal↩︎