Brief regering : OVV-rapport over kwetsbaarheden in Citrix

Nr. 808
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 16 december 2021

De Onderzoeksraad voor Veiligheid (OVV) heeft op 16 december 2021 het rapport «Kwetsbaar
door software – Lessen naar aanleiding van beveiligingslekken door software van Citrix»
gepubliceerd. Ik bied u hierbij het rapport1 aan mede namens de Minister van Economische Zaken en Klimaat, en de Staatssecretaris
van Binnenlandse Zaken en Koninkrijksrelaties.

De beveiligingslekken in de software van Citrix werden in december 2019 bekend. Deze
problematiek heeft breed zichtbaar gemaakt hoe afhankelijk we als samenleving zijn
van digitale systemen en hoe uitval kan leiden tot maatschappelijke ontwrichting.
Door de kwetsbaarheden in de software van Citrix hadden veel organisaties tijdelijk
problemen met de externe toegang tot hun netwerk, waardoor problemen met thuiswerken
en files op de weg ontstonden. De impact van dit incident zou nu, tijdens de COVID-19
pandemie waarin we massaal thuiswerken, veel groter zijn geweest.

Bovendien maakte de problematiek duidelijk dat een probleem in software van een enkele
leverancier wereldwijd voor grote problemen kan zorgen bij vele organisaties die hier
direct maar ook indirect van afhankelijk zijn. Dit zien we nu mogelijk ook met de
Apache Log4j kwetsbaarheid.

Met het oog hierop dank ik de OVV voor het onderzoeksrapport en de daarin opgenomen
aanbevelingen ter bevordering van de digitale veiligheid van Nederland. Het is belangrijk
dat ook hier lessen uit worden getrokken.2

De OVV doet in zijn adviesrapport de volgende zeven aanbevelingen:

Aan het Nederlandse kabinet en aan organisaties in Nederland die software gebruiken:

1. Zorg er op korte termijn voor dat alle potentiële slachtoffers van cyberaanvallen
snel en doeltreffend – gevraagd en ongevraagd – worden gewaarschuwd, zodat zij maatregelen
kunnen treffen voor hun digitale veiligheid. Breng daartoe private en publieke responscapaciteit
samen en zorg daarbij voor voldoende mandaat en wettelijke waarborgen.

Aan de Eurocommissaris voor Interne Markt en de Eurocommissaris voor een Europa dat
klaar is voor het digitale tijdperk:

2. Zorg dat uw initiatieven om te komen tot wetgeving voor veiligere software leiden
tot een Europese verordening die de verantwoordelijkheid van fabrikanten vastlegt
en afnemers inzicht geeft in hoe fabrikanten die verantwoordelijkheid invullen. Leg
vast dat fabrikanten aansprakelijk zijn voor de gevolgen van softwarekwetsbaarheden.

Aan fabrikanten van software gezamenlijk:

3. Ontwikkel met andere fabrikanten good practices om software veiliger te maken. Neem
in de overeenkomsten met uw afnemers op dat u zich hieraan committeert.

4. Waarschuw en help al uw afnemers zo snel en doeltreffend mogelijk wanneer kwetsbaarheden
in software gesignaleerd worden. Schep de randvoorwaarden die noodzakelijk zijn om
uw afnemers te kunnen waarschuwen.

Aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties en de Minister
van Economische Zaken en Klimaat (ten behoeve van alle organisaties en consumenten
in Nederland):

5. Bevorder dat Nederlandse organisaties en consumenten gezamenlijk veiligheidseisen
formuleren en afdwingen bij softwarefabrikanten. Zorg dat de overheid daarbij een
voortrekkersrol speelt. Ga uit van het principe: collectieve samenwerking waar mogelijk;
branche-specifiek waar noodzakelijk.

Aan het Nederlandse kabinet:

6. Creëer naar analogie van de Comptabiliteitswet een wettelijke basis voor de beheersing
van digitale veiligheid door de overheid.

7. Verplicht alle organisaties om op eenduidige wijze verantwoording af te leggen over
de wijze waarop zij digitale veiligheidsrisico’s beheersen.

Het kabinet zal de aanbevelingen uit dit OVV-rapport zorgvuldig bestuderen en binnen
de wettelijke reactietermijn van 6 maanden richting de OVV schriftelijk reageren.
Uw Kamer zal daarover worden geïnformeerd. Ook zal uiteraard worden bezien op welke
wijze het kabinet de aanbevelingen kan meenemen ten behoeve van de ontwikkeling van
een integrale Nederlandse cybersecuritystrategie en het verder versterken van het
cybersecuritystelsel in Nederland en Europa.

De Minister van Justitie en Veiligheid,
F.B.J. Grapperhaus