Reactie op het rapport ‘De kracht en kwetsbaarheid van het digitale krijgsmachtnetwerk NAFIN’ van de Algemene Rekenkamer
Defensienota 2024 - Sterk, slim en samen
Brief regering
Nummer: 2024D47422, datum: 2024-12-03, bijgewerkt: 2024-12-03 13:43, versie: 1
Directe link naar document (.docx), link naar pagina op de Tweede Kamer site.
Gerelateerde personen:- Eerste ondertekenaar: R.P. Brekelmans, minister van Defensie (Ooit VVD kamerlid)
- Mede ondertekenaar: G.P. Tuinman, staatssecretaris van Defensie (Ooit BBB kamerlid)
Onderdeel van kamerstukdossier 36592 -8 Defensienota 2024 - Sterk, slim en samen.
Onderdeel van zaak 2024Z20050:
- Indiener: R.P. Brekelmans, minister van Defensie
- Medeindiener: G.P. Tuinman, staatssecretaris van Defensie
- Voortouwcommissie: vaste commissie voor Defensie
- 2024-12-04 00:00: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2024-12-05 10:45: Procedurevergadering (Procedurevergadering), vaste commissie voor Defensie
- 2024-12-09 14:00: Reactie op het rapport ‘De kracht en kwetsbaarheid van het digitale krijgsmachtnetwerk NAFIN’ van de Algemene Rekenkamer (Inbreng feitelijke vragen), vaste commissie voor Defensie
Preview document (🔗 origineel)
| > Retouradres Postbus 20701 2500 ES Den Haag | |
|---|---|
de Voorzitter van de Tweede Kamer der Staten-Generaal Bezuidenhoutseweg 67 2594 AC Den Haag |
|
| Datum | 3 december 2024 |
| Betreft | Reactie op het rapport ‘De kracht en kwetsbaarheid van het digitale krijgsmachtnetwerk NAFIN’ van de Algemene Rekenkamer |
Ministerie van Defensie
Plein 4
MPC 58 B
Postbus 20701
2500 ES Den Haag
www.defensie.nl
Onze referentie
BS2024039527
Bij beantwoording, datum, onze referentie en onderwerp vermelden.
Geachte voorzitter,
Op 21 november 2024 heeft uw Kamer ons verzocht schriftelijk te reageren op het rapport van de Algemene Rekenkamer ‘De kracht en kwetsbaarheid van het digitale krijgsmachtnetwerk NAFIN’. In deze brief reageren wij op de conclusies en aanbevelingen van de Algemene Rekenkamer en lichten toe welke maatregelen inmiddels zijn getroffen. Zoals ook vermeld in onze bestuurlijke reactie, welke is opgenomen in het rapport, willen we benadrukken dat de storing van 28 augustus 2024 geen relatie heeft met de geconstateerde bevindingen. Het rapport van de Algemene Rekenkamer richtte zich namelijk niet op de digitale werking van het netwerk, maar op de fysieke beveiliging en positionering van het netwerk.
De Algemene Rekenkamer heeft onderzocht hoe Nederland haar vitale infrastructuur beschermt tegen de risico’s van uitval, verstoring of misbruik van IT-systemen. In dit kader heeft de Algemene Rekenkamer specifiek gekeken naar de beveiliging van het Netwerk van de Nederlandse Krijgsmacht (NAFIN). In haar rapport presenteert de Algemene Rekenkamer bevindingen, conclusies en aanbevelingen met betrekking tot de kwetsbaarheden van dit belangrijke netwerk.
De Algemene Rekenkamer concludeert in haar rapport dat het NAFIN-netwerk technisch goed is opgezet en voldoet aan de laatste standaarden, maar dat de fysieke beveiliging onvoldoende is. De Algemene Rekenkamer heeft drie belangrijke conclusies geformuleerd:
Strategie en visie: Defensie heeft geen strategie en visie voor de rol en toekomst van NAFIN. Gezien de veranderende veiligheidssituatie is het noodzakelijk dat Defensie de toekomst van het NAFIN-netwerk heroverweegt.
Fysieke beveiliging: De fysieke beveiliging van de NAFIN-locaties is onvoldoende, wat ook werd vastgesteld bij de beveiliging van militaire objecten in 2022 en 2023.
Militaire regie en controle: Defensie heeft beperkte regie en controle over het netwerk. Defensie moet meer eigenaarschap tonen en toezicht houden op de naleving van de contractuele afspraken met KPN over ABDO-autorisatie.
De Algemene Rekenkamer doet op basis van bovengenoemde conclusies drie aanbevelingen. Wij nemen de aanbevelingen over, hieronder lichten we de aanbevelingen en de genomen maatregelen toe.
De Algemene Rekenkamer beveelt aan om een strategische visie te ontwikkelen voor de rol van het NAFIN netwerk in de Nederlandse samenleving. Door bezuinigingen op de defensiebegroting in eerdere jaren heeft Defensie de kosten van NAFIN proberen te dekken door het netwerk open te stellen voor andere gebruikers van de Rijksoverheid. Het huidige op kostenefficiëntie gerichte beleid, zal worden herzien, met nadruk op de vernieuwde focus op hoofdtaak 1. Dit zal in overleg met de huidige medegebruikers van NAFIN gebeuren. Gezien de essentiële rol van het NAFIN-netwerk in de Nederlandse samenleving, zal Defensie onderzoeken of het netwerk moet worden aangemerkt als vitale infrastructuur. Daarnaast zal Defensie ook een strategische visie voor NAFIN opstellen. Het onderzoek en de strategische visie worden voor de zomer van 2025 afgerond, waarna wij uw Kamer hierover zullen informeren.
Daarnaast adviseert de Algemene Rekenkamer maatregelen te nemen voor betere detectie en respons op ongeoorloofde toegang tot het netwerk, waaronder continue monitoring door Defensie op sabotage en spionage, verhoging van het veiligheidsbewustzijn van betrokken medewerkers en periodieke fysieke en digitale tests van de beveiliging van NAFIN-netwerkruimtes. In dit kader hebben wij de volgende maatregelen genomen:
De detectie van ongeoorloofde toegang tot het netwerk en het digitaal testen zijn opgenomen in een monitoringtool. Het IT Operations Center (ITOC), onderdeel van het Commando Materieel en IT (COMMIT), is inmiddels gestart met verbeteringen in de monitoring en digitale bewaking van het NAFIN-netwerk.
Daarnaast is de respons op ongeoorloofde toegang tot het netwerk, het veiligheidsbewustzijn van defensiemedewerkers en het standaard periodiek fysiek testen van de beveiliging van netwerkruimtes onderdeel geworden van de aanpak van het project onvolkomenheid beveiliging militaire objecten. Dit project is inmiddels gestart.
Defensie zal, als opdrachtgever, KPN dit jaar nog per brief verzoeken maatregelen te nemen om het veiligheidsbewustzijn van betrokken medewerkers en onderaannemers te verbeteren. Hierover zal Defensie in gesprek blijven met KPN.
De Algemene Rekenkamer doet tot slot de aanbeveling om het werk aan het NAFIN-netwerk minder uit te besteden en beter toezicht te houden op de uitvoering door KPN van de beveiligingsmaatregelen en ABDO-autorisaties. KPN draagt zelf de verantwoordelijkheid voor het aanvragen van ABDO-autorisaties. In de brief die Defensie dit jaar aan KPN zal stuurt, wordt zij gewezen op deze verantwoordelijkheid en wordt gevraagd om verbeteringen door te voeren in de naleving van de beveiligingsmaatregelen en ABDO-autorisaties. Tevens zal Defensie KPN verzoeken om het aantal (onder)onderaannemers te verminderen. Daarnaast zal Defensie de Auditdienst Rijk (ADR) verzoeken om audits uit te voeren naar de naleving van de Baseline Informatiebeveiliging Overheid (BIO) door medegebruikers van het NAFIN. Afhankelijk van de uitkomsten van deze audits zal worden beoordeeld of de afspraken in de Service Level Agreements (SLA) met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties op dit punt voldoende zijn. Ik ga in overleg met de ADR over het moment van de start van de audits. Uw Kamer informeer ik na de afronding van de audits en de gesprekken.
Het NAFIN-netwerk is van essentieel belang voor zowel Defensie als de Rijksoverheid, waarbij de veiligheid en beschikbaarheid van het netwerk een hoge prioriteit heeft. Gezien de huidige geopolitieke situatie is Defensie zeer terughoudend om informatie over kwetsbaarheiden en gebruik van onze hoog-gerubriceerde systemen, processen en netwerken te delen. In deze brief bent u daarom op hoofdlijnen geïnformeerd over de opvolging van de aanbevelingen van de Algemene Rekenkamer.
De aanbevelingen van de Algemene Rekenkamer zijn waardevol voor het waarborgen van de continuïteit en weerbaarheid van het NAFIN-netwerk. Met de reeds genomen maatregelen zijn wij van mening dat we stappen zetten in de verbetering van de veiligheid van het NAFIN.
Hoogachtend,
DE MINISTER VAN DEFENSIE Ruben Brekelmans |
DE STAATSSECRETARIS VAN DEFENSIE Gijs Tuinman |
|---|