Stand van zaken toezegging generiek kader voor vitale digitale processen van de overheid
Informatie- en communicatietechnologie (ICT)
Brief regering
Nummer: 2022D18010, datum: 2022-05-09, bijgewerkt: 2024-02-19 10:56, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-26643-846).
Gerelateerde personen:- Eerste ondertekenaar: A.C. van Huffelen, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
Onderdeel van kamerstukdossier 26643 -846 Informatie- en communicatietechnologie (ICT).
Onderdeel van zaak 2022Z08911:
- Indiener: A.C. van Huffelen, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
- Voortouwcommissie: vaste commissie voor Digitale Zaken
- 2022-05-12 19:47: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2022-05-18 11:00: Procedurevergadering (Procedurevergadering), vaste commissie voor Digitale Zaken
- 2022-10-05 14:15: Digitaliserende overheid (Commissiedebat), vaste commissie voor Digitale Zaken
- 2023-09-05 15:20: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2021-2022 |
26 643 Informatie- en communicatietechnologie (ICT)
Nr. 846 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 9 mei 2022
Bij de begrotingsbehandeling van BZK op 27 oktober 2021 (Handelingen II 2021/22, nr. 14, items 3 en 7) heeft het lid Rajkowski (VVD) gevraagd naar de stand van zaken van een generiek kader voor vitale digitale overheidsvoorzieningen. Dit naar aanleiding van de Kamerbrief Voortgang informatieveiligheid bij de overheid van 18 maart 20211. Daarop is toegezegd dat de Tweede Kamer hierover aan het eind van het eerste kwartaal 2022 verder zou worden geïnformeerd2.
Vanwege de formele criteria is het aantal als vitaal aangewezen processen beperkt.3. Daarom is bij de toezegging aangegeven dat naar een ruimere groep belangrijkste informatieprocessen en informatiesystemen van de overheid wordt gekeken waar de vitale processen een onderdeel van zijn. Het gaat onder meer om belangrijke informatieprocessen waar de vakminister ook verantwoordelijk is voor de beveiliging ervan bij andere, (decentrale) autonome overheidsorganisaties. Enkele voorbeelden hiervan zijn DigiD (vitaal), de Basisregistratie Grootschalige Topografie (BGT) en de Structuur Uitvoeringsorganisatie Werk en Inkomen (Suwi) keten. Wat deze processen in de praktijk gemeenschappelijk hebben, is dat de betreffende vakminister interbestuurlijk en interdepartementaal beveiligingseisen stelt en interbestuurlijk en interdepartementaal toeziet op de naleving ervan. Deze eisen en toezicht komen naast de eisen van de Baseline Informatiebeveiliging Overheid (BIO) en de verantwoording over de BIO aan het eigen controlerend orgaan (Gemeenteraad, provinciale staten, Tweede Kamer, etc).
Voor het opstellen van het beoogde generiek kader zijn twee onderzoeken uitgezet. Als eerste is een onderzoek uitgevoerd om te bepalen welke concrete criteria er zijn om deze belangrijkste informatieprocessen en informatiesystemen af te bakenen en vervolgens te bepalen of er zinnige gemeenschappelijke beveiligingseisen kunnen worden bepaald voor al deze processen en informatiesystemen. Als tweede is een onderzoek uitgevoerd naar efficiënt toezicht door een uniforme verantwoording over informatieveiligheid aan zowel het «eigen» controlerend orgaan als interbestuurlijk.
De planning was dat deze onderzoeken zouden lopen tot het eind van 2021, waarna de resultaten van beide onderzoeken met alle bestuurslagen konden worden besproken. Uw Kamer zou dan hierover aan het eind van het eerste kwartaal verder worden geïnformeerd.
Beide uitbestede onderzoeken hebben vertraging opgelopen en waren eind 2021 niet gereed. Beide onderzoeken zijn pas recent tot een afronding gekomen en gepubliceerd4. Overleg met de verschillende bestuurslagen zal dan ook binnenkort plaatsvinden, waarbij de betekenis en impact van beide rapporten besproken zal worden evenals de inrichting van toezicht. Ik ga ervan uit dat ik uw Kamer medio juni meer inhoudelijk kan informeren.
Ten slotte wil ik uw Kamer er graag op wijzen dat op vitale processen en informatiesystemen al rijksbrede en overheidsbrede informatiebeveiligingsregels van toepassing zijn. Het gaat in het bijzonder om het Voorschrift Informatiebeveiliging Rijksdienst (VIR)5 en de Baseline Informatieveiligheid Overheid (BIO)6. De proportionele aanpak van informatieveiligheid die in deze kaders rijksbreed respectievelijk overheidsbreed wordt gehanteerd, vereist dat per proces telkens een samenhangend pakket aan passende maatregelen wordt bepaald en toegepast. Ook voor vitale processen en informatiesystemen moet worden bepaald wat passende maatregelen zijn, gelet op het belang van deze processen en de impact die een verstoring op deze processen kan hebben.
De Staatssecretaris van Binnenlandse Zaken en
Koninkrijksrelaties,
A.C. van Huffelen
Kamerstuk 26 643, nr. 749↩︎
Handelingen II 2020/21, nr. 15, item 11↩︎
Bij verstoring, aantasting of uitval moet ten minste een van de volgende ondergrenzen worden geraakt:
– Economische gevolgen: > ca. 5 miljard euro schade of ca. 1,0% daling reëel inkomen;
– Fysieke gevolgen: meer dan 1.000 personen dood, ernstig gewond of chronisch ziek;
– Sociaal maatschappelijke gevolgen: meer dan 100.000 personen ondervinden emotionele problemen of ernstig maatschappelijke overlevingsproblemen.↩︎
Het onderzoek over nationale belangen is terug te vinden op: https://www.rijksoverheid.nl/documenten/rapporten/2022/04/02/onderzoek-afwegingskader-informatieveiligheidseisen-nationaal-belang en onderzoek over toezicht is terug te vinden op: https://www.rijksoverheid.nl/documenten/rapporten/2022/03/04/onderzoek-toezicht-op-informatieveiligheid↩︎
Stcrt. 2007, nr. 122↩︎
Stcrt. 2019, nr. 26526↩︎