Brief regering : Stand van zaken toezegging generiek kader voor vitale digitale processen van de overheid

Nr. 846
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 9 mei 2022

Bij de begrotingsbehandeling van BZK op 27 oktober 2021 (Handelingen II 2021/22, nr.
14, items 3 en 7) heeft het lid Rajkowski (VVD) gevraagd naar de stand van zaken van een generiek
kader voor vitale digitale overheidsvoorzieningen. Dit naar aanleiding van de Kamerbrief
Voortgang informatieveiligheid bij de overheid van 18 maart 20211. Daarop is toegezegd dat de Tweede Kamer hierover aan het eind van het eerste kwartaal
2022 verder zou worden geïnformeerd2.

Vanwege de formele criteria is het aantal als vitaal aangewezen processen beperkt.3. Daarom is bij de toezegging aangegeven dat naar een ruimere groep belangrijkste
informatieprocessen en informatiesystemen van de overheid wordt gekeken waar de vitale
processen een onderdeel van zijn. Het gaat onder meer om belangrijke informatieprocessen
waar de vakminister ook verantwoordelijk is voor de beveiliging ervan bij andere,
(decentrale) autonome overheidsorganisaties. Enkele voorbeelden hiervan zijn DigiD
(vitaal), de Basisregistratie Grootschalige Topografie (BGT) en de Structuur Uitvoeringsorganisatie
Werk en Inkomen (Suwi) keten. Wat deze processen in de praktijk gemeenschappelijk
hebben, is dat de betreffende vakminister interbestuurlijk en interdepartementaal
beveiligingseisen stelt en interbestuurlijk en interdepartementaal toeziet op de naleving
ervan. Deze eisen en toezicht komen naast de eisen van de Baseline Informatiebeveiliging
Overheid (BIO) en de verantwoording over de BIO aan het eigen controlerend orgaan
(Gemeenteraad, provinciale staten, Tweede Kamer, etc).

Voor het opstellen van het beoogde generiek kader zijn twee onderzoeken uitgezet.
Als eerste is een onderzoek uitgevoerd om te bepalen welke concrete criteria er zijn
om deze belangrijkste informatieprocessen en informatiesystemen af te bakenen en vervolgens
te bepalen of er zinnige gemeenschappelijke beveiligingseisen kunnen worden bepaald
voor al deze processen en informatiesystemen. Als tweede is een onderzoek uitgevoerd
naar efficiënt toezicht door een uniforme verantwoording over informatieveiligheid
aan zowel het «eigen» controlerend orgaan als interbestuurlijk.

De planning was dat deze onderzoeken zouden lopen tot het eind van 2021, waarna de
resultaten van beide onderzoeken met alle bestuurslagen konden worden besproken. Uw
Kamer zou dan hierover aan het eind van het eerste kwartaal verder worden geïnformeerd.

Beide uitbestede onderzoeken hebben vertraging opgelopen en waren eind 2021 niet gereed.
Beide onderzoeken zijn pas recent tot een afronding gekomen en gepubliceerd4. Overleg met de verschillende bestuurslagen zal dan ook binnenkort plaatsvinden,
waarbij de betekenis en impact van beide rapporten besproken zal worden evenals de
inrichting van toezicht. Ik ga ervan uit dat ik uw Kamer medio juni meer inhoudelijk
kan informeren.

Ten slotte wil ik uw Kamer er graag op wijzen dat op vitale processen en informatiesystemen
al rijksbrede en overheidsbrede informatiebeveiligingsregels van toepassing zijn.
Het gaat in het bijzonder om het Voorschrift Informatiebeveiliging Rijksdienst (VIR)5 en de Baseline Informatieveiligheid Overheid (BIO)6. De proportionele aanpak van informatieveiligheid die in deze kaders rijksbreed respectievelijk
overheidsbreed wordt gehanteerd, vereist dat per proces telkens een samenhangend pakket
aan passende maatregelen wordt bepaald en toegepast. Ook voor vitale processen en
informatiesystemen moet worden bepaald wat passende maatregelen zijn, gelet op het
belang van deze processen en de impact die een verstoring op deze processen kan hebben.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
A.C. van Huffelen