[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [🧑mijn] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Reactie op vragen, gesteld tijdens het algemeen overleg over digitalisering van 1 juli 2020, over Citrix

Informatie- en communicatietechnologie (ICT)

Brief regering

Nummer: 2020D38745, datum: 2020-10-05, bijgewerkt: 2024-02-19 10:56, versie: 3

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-26643-712).

Gerelateerde personen:

Onderdeel van kamerstukdossier 26643 -712 Informatie- en communicatietechnologie (ICT).

Onderdeel van zaak 2020Z17930:

Onderdeel van activiteiten:

Preview document (🔗 origineel)


Tweede Kamer der Staten-Generaal 2
Vergaderjaar 2020-2021

26 643 Informatie- en communicatietechnologie (ICT)

Nr. 712 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 5 oktober 2020

Tijdens het AO Digitalisering op 1 juli 2020 stelde het lid Van Dam (CDA) vragen over het artikel in de Volkskrant van 1 juli jl. «Half jaar na Citrix-crisis zijn 25 Nederlandse organisaties gehackt. En ze weten zelf van niets».1 In dat artikel werd gemeld dat uit onderzoek bleek dat minstens 25 organisaties zijn gehackt naar aanleiding van het Citrix-lek. De heer Van Dam vroeg zich af of de situatie nu helemaal in control is.

Na het lek bij Citrix heeft het NCSC de betrokken Rijksorganisaties onder meer geadviseerd om forensisch onderzoek uit laten voeren om eventuele uitbuiting uit te sluiten. Volgens de Rijksbrede afspraken in de Baseline Informatiebeveiliging Overheid (BIO) dienen nieuwe dreigingen (aanvallen) binnen geldende juridische kaders gedeeld te worden binnen de rijksoverheid, waaronder met het NCSC.2 Op basis van de mij nu bekende informatie zijn rijksoverheidsorganisaties in control naar aanleiding van het Citrix incident waar de Volkskrant op 1 juli over berichtte.

Elk departement is zelf verantwoordelijk voor het op orde hebben van de eigen informatiebeveiliging. Hiervoor worden onder coördinatie van BZK kaders en richtlijnen opgesteld, zoals de BIO. Over de implementatie van de BIO en andere bovenbedoelde richtlijnen rapporteren rijksoverheidsorganisaties aan de departementale CIO’s en aan de CIO Rijk.

In dit verband wijs ik graag nog op de toezeggingen die zijn gedaan naar aanleiding van de evaluatie van het Citrix incident en het WRR-rapport Voorbereiden op Digitale Ontwrichting.3 Zo zullen binnen de rijksoverheid naast de al bestaande richtlijnen en kaders bindende afspraken worden gemaakt op bestuurlijk en politiek niveau over het «pas toe of leg uit» principe. Organisaties binnen de rijksoverheid moeten dan bij dringende beveiligingsadviezen van het NCSC aan de CIO Rijk uitleg geven wanneer zij deze niet opvolgen. Ook wordt het rijksbrede beeld van de bij rijksoverheidsorganisaties in gebruik zijnde netwerk en informatiesystemen verbeterd door afspraken te maken in het informatiestatuut over welke informatie hierover organisaties met de CIO Rijk delen.

Ik zal uw Kamer op de hoogte houden over de uitvoering van deze toezeggingen via de periodieke voortgangsrapportages van de Strategische I-agenda voor de Rijksdienst.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
R.W. Knops


  1. Kamerstuk 26 643, nr. 707↩︎

  2. BIO 12.4.1.4↩︎

  3. Kamerstuk 26 643, nr. 673↩︎