Brief regering : Voortgang diverse toezeggingen ICT en informatiebeveiliging binnen de Rijksdienst

Nr. 739
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 5 februari 2021

Met deze brief informeer ik uw Kamer over de stand van zaken van een aantal toezeggingen
en maatregelen rond de ICT en informatiebeveiliging binnen de Rijksdienst. Dit doe
ik aan de hand van de volgende indeling:

1. Evaluatie CoronaMelder

2. Besluit CIO-stelsel Rijksdienst

3. Voortgang transitie Bureau ICT-toetsing

Evaluatie ontwikkelproces CoronaMelder

Tijdens het debat op 2 september 2020 heeft de Minister van VWS uw Kamer toegezegd
om mij te vragen de ontwikkeling van CoronaMelder app te evalueren en de lessen te
trekken om de omgang van de overheid met ICT te verbeteren1. In de aanbiedingsbrief bij de BIT-rapportages van afgelopen 12 oktober heb ik uw
Kamer geïnformeerd over mijn voornemen om het Adviescollege ICT-toetsing (voormalig
Bureau ICT-toetsing) te vragen om het ontwikkelproces van CoronaMelder app te evalueren
ten behoeve van het lerend vermogen binnen de Rijksdienst2. Ik heb het Adviescollege inmiddels verzocht om de realisatie van de CoronaMelder
app te evalueren. Het Adviescollege ICT-toetsing is begin 2021 gestart met de evaluatie
en zal voor zover mogelijk richting het eind van de zomer over de uitkomsten van de
evaluatie rapporteren.

Besluit CIO-stelsel Rijksdienst 2021

Zoals aangekondigd in de kabinetsreactie van 20 december 2019 – in reactie op het
onderzoek van ABDTOPConsult naar de versterking van de governance rond informatievoorziening
binnen de Rijksdienst – is het afgelopen jaar gewerkt aan een solide juridische grondslag
voor het CIO-stelsel3. In dit besluit worden de rollen, taken, verantwoordelijkheden en bevoegdheden van
functionarissen binnen het CIO-stelsel – inclusief de nieuw gecreëerde functie van
Chief Information Security Officer Rijk (CISO Rijk) – in goede samenhang geformaliseerd.

Inmiddels kan ik uw Kamer melden dat het Besluit CIO-stelsel Rijksdienst 2021 in de
ministerraad van 18 december 2020 is vastgesteld en als bijlage bij deze brief is
opgenomen4. Belangrijke aanbevelingen van ABDTOPConsult, zoals de versterking van de positie
van departementale CIO’s en de verzwaring en herpositionering van de CIO Rijk binnen
het stelsel, zijn hierin geborgd. Ook is met inachtneming van de gewijzigde motie
van het lid Middendorp5 die aan het ABDTOPConsult-advies ten grondslag lag, goed gekeken welke formele sturingselementen
uit het financiële domein benut konden worden voor versterking van het CIO-stelsel.

Die parallel is onder meer zichtbaar in de positionering van departementale CIO’s
rechtstreeks onder de secretaris-generaal van een ministerie, in de stelselafspraken
over coördinatie en informatie-uitwisseling en in de sturing langs de lijn van meerjarige
departementale informatieplannen.

Informatiebeveiliging

De bijzondere aandacht voor informatiebeveiliging in dit besluit, als integraal onderdeel
van het CIO-stelsel, doet recht aan de toegenomen digitale dreigingen en de noodzaak
om hier een stevige besturing voor in te richten. De nieuwe functie van CISO Rijk
speelt hierbij een belangrijk rol, onder meer als coördinator bij rijksbrede informatiebeveiligingsincidenten
en -calamiteiten. De werking van de ingerichte sturing is in december 2020 beproeft
tijdens incident met SolarWinds. De CISO Rijk kon op basis van een inventarisatie
snel de rijksbrede risico’s inzichtelijk maken. Over deze situatie heeft mijn collega
van Justitie en Veiligheid (JenV) uw Kamer op 1 februari jl. geïnformeerd. Eerder
heb ik uw Kamer bericht dat er wordt gewerkt aan versnelling op enkele maatregelen
rond het thema informatiebeveiliging.

Inmiddels ligt er een concept voor de handreiking kwetsbaarhedenscans en een voorstel
voor «pas toe of leg uit» bij beveiligingsadviezen. Daarnaast ben ik met mijn collega
van JenV in gesprek over de samenwerking tussen het NCSC en CIO Rijk en verdere uitrol
van het Nationaal Detectie Netwerk.

Samen optrekken met de BVA’s

Ontwikkeling van het besluit vond plaats in nauwe samenwerking met de CIO’s en CISO’s
van de departementen, grote uitvoeringsorganisaties en anderen betrokkenen binnen
de Rijksdienst. Vanwege de samenhang tussen informatiebeveiliging en de integrale
beveiliging van de Rijksdienst was ook aanpassing en actualisatie nodig van het juridische
kader dat op de integrale beveiliging van toepassing is. Het bestaande beveiligingsvoorschrift
Rijksdienst 20136 is daarom ingetrokken en vervangen door een Besluit BVA-stelsel Rijksdienst 2021
dat gelijktijdig met het Besluit CIO-stelsel Rijksdienst is vastgesteld en hier bijgesloten7.

Ik heb de CIO Rijk gevraagd om de rijksbrede implementatie van het besluit in samenwerking
met het CIO-beraad te coördineren. In dit verband heb ik ook de Auditdienst Rijk verzocht
om in de eerste helft van 2021 te starten met een nulmeting. De resultaten van deze
nulmeting kunnen worden gebruikt voor het opstellen van implementatieplannen per ministerie.
Ik ga die implementatie (laten) ondersteunen vanuit CIO-Flex, een pool van hooggekwalificeerde
ICT-specialisten die op aanvraag volledig ten dienste staat van het CIO-stelsel. Over
de voortgang van de rijksbrede implementatie informeer ik uw Kamer periodiek in de
reguliere voortgangsrapportages van de I-agenda en I-strategie voor de Rijksdienst.

Instelling Adviescollege ICT-toetsing

In december vorig jaar werd het instellingsbesluit voor het Adviescollege ICT-toetsing,
de opvolger van het Bureau ICT-toetsing (BIT), afgerond en gepubliceerd8. Per 1 januari dit jaar is het nieuwe adviescollege een feit. Ook zijn per diezelfde
datum drie leden van het adviescollege benoemd.

Permanente positionering

Met de tussenstap op basis van een ministerieel besluit is de continuïteit in de advisering
op onder andere ICT-projecten binnen de Rijksdienst geborgd. Daarnaast biedt het tijdelijke
instellingsbesluit mij de ruimte om tot een goed wetsvoorstel te komen voor het adviescollege
in zijn definitieve vorm, omdat het besluit geldt voor de periode tot 1 januari 2023.

Het interne wetgevingsproces is inmiddels in volle gang. Daarbij werk ik met alle
betrokkenen nauw samen aan de instellingswet voor de permanente positionering van
het Adviescollege ICT-toetsing.

Uitbreiding en verbreding takenpakket

Naast deze verzelfstandiging krijgt het nieuwe adviescollege ook een uitbreiding van
zijn huidige takenpakket. Naast de huidige toetsen op de beheersbaarheid van projecten
en programma’s met een meerjarige ICT-component van meer dan € 5 miljoen, zal het
nieuwe adviescollege bijdragen aan de taakvolwassenheid en het lerend vermogen van
het CIO-stelsel. Daarnaast zijn de werkzaamheden verbreed met het adviseren over ICT-activiteiten,
zoals vernieuwing, beheer en onderhoud.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
R.W. Knops