Brief regering : I-strategie Rijk: Update Routekaarten en evaluatie Strategische I-agenda

Nr. 1061 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 13 juli 2023

In de I-strategie Rijk 2021–2025 staan de overkoepelende prioriteiten van de Chief
Information Officers van het Rijk. Dit zijn de belangrijkste uitdagingen voor de informatievoorziening
en ICT van de Rijksoverheid voor de komende jaren bij de ministeries en hun uitvoeringsorganisaties.
De I-strategie is samen met de CIO’s van de ministeries en hun grote uitvoerders opgesteld
om op die manier langjarige uitdagingen, zoals legacy problematiek, en het verbeteren
en professionaliseren van de informatievoorziening van de Rijksoverheid aan te pakken.

Bijgaand ontvangt u, als bijlage bij deze brief, zoals toegezegd in de brief van 6 januari
20221, de evaluatie van de Strategische I-agenda voor de Rijksdienst 2019–2021 en infomeer
ik uw Kamer over de actualisatie van de routekaarten van de I-strategie voor de komende
jaren. Ook wordt met deze brief de toezegging over de voortgang van I-vakmanschap
afgedaan, tegemoetgekomen aan de toezegging over het borgen van cyberkennis2 en wordt de toezegging over de update van het CIO-stelsel afgedaan.

Tevens informeer ik u, zoals toegezegd in mijn brief van 6 juni jl.3, over welke overzichten ten behoeve van het inzicht in budgetten voor digitalisering
u voor de begrotingshandeling in het najaar kunt verwachten, over de stand van zaken
van het plan van aanpak voor een begroting voor digitale zaken.

Evaluatie Strategische I-agenda voor de Rijksdienst 2019–2021

Het programma Compacte Rijksdienst gaf de aanleiding om een Rijksbrede I-strategie
in 2011 op te stellen. Het rapport «Grip op ICT» van de Tijdelijke commissie ICT-projecten
(commissie Elias) leidde tot een uitgebreide reactie vanuit het kabinet in 2015. De
vervolgens aangekaarte opgave van ICT en informatiebeveiliging vroeg om een doorontwikkeling
die in 2018 en leidde tot de Strategische I-agenda 2019–2021 met de daarin beschreven
thema’s. De evaluatie van deze Strategische I-agenda bied ik u hierbij aan. In de
evaluatie zijn bereikte resultaten uit de periode 2019–2021 in beeld gebracht en aandachtspunten
verwoord.

De evaluatie bevestigt dat veel zaken uit de agenda 2019–2021 zijn bereikt en dat
de I-agenda helpt om invulling te geven aan de gezamenlijke opgaven van de departementen.
De grootste verandering is gerealiseerd in de organisatie-inrichting van het CIO-stelsel
binnen de Rijksdienst. Ook op de gebieden «kennis en kunde» en «informatiebeveiliging
en privacy» zijn noemenswaardige stappen gezet, zoals de implementaties van het programma
Versterking HR ICT Rijksdienst en van de Baseline Informatiebeveiliging Overheid (BIO).
In 2024 zal gestart worden met de implementatie van BIO versie 2.0. Door deze acties
zijn ministeries en uitvoeringsorganisaties volwassener geworden op «I».

De in de evaluatie genoemde aandachtspunten zijn verwerkt in de huidige I-strategie.
Een van de verbeteringen ten opzichte van de eerdere I-agenda is het instellen van
trekkers per I-strategiethema. Elk van de thema’s wordt getrokken door een lid van
het CIO-beraad, een duo of een trio, zoals bijvoorbeeld het thema Digitale weerbaarheid4. En om de streefdoelen concreter te maken zijn de thema’s van de I-strategie verder
uitgewerkt in routekaarten met resultaten. Uit de analyse van het onderzoeksbureau
wordt voortdurend bevestigd dat «I in het hart» de sleutel is, want digitalisering
is essentieel voor de beleidsvorming en beleidsuitvoering. Daarom is «I in het hart»
het eerste thema in de I-strategie Rijk geworden. Zo zijn ook de thema’s rond data
blijvend van groot belang voor het Rijk. Verder vraagt het thema Generieke voorzieningen
meer aandacht en uitvoeringskracht, hetgeen bevestigd wordt in het programma Open
Overheid.

De rapporteurs wijzen naast technische veranderingen ook op noodzakelijke gedragsverandering
bij de medewerkers bij het Rijk, bijvoorbeeld door de leerstof rondom kennis en kunde
minder vrijblijvend te maken. Hierop zijn acties in gang gezet, zoals bijvoorbeeld
een verplichte basisopleiding digitale weerbaarheid voor alle ambtenaren. Gewezen
wordt op het streven van koersvastheid op termijn en dat dit ook mogelijk is met de
jaarlijkse bijstelling van de I-strategie. Ten slotte wordt geadviseerd om de bestaande
inspanningen en activiteiten voort te zetten, waarmee de I-community binnen het Rijk
verder uitgebouwd wordt.

Ook is versneld toegewerkt naar een opvolger van de Strategische I-agenda 2019–2021
op een hoger niveau, waardoor de I-strategie Rijk 2021–2025 in september 2021 verscheen.
Een verdere ontwikkeling is de komst van uw vaste Kamercommissie voor Digitale Zaken,
een regeringscommissaris Informatiehuishouding en een Staatssecretaris van Digitalisering
en Koninkrijksrelaties.

Scope en sturing op de uitvoering van de I-strategie Rijk 2021–2025

In de I-strategie Rijk 2021- 2025 staan de overkoepelende prioriteiten van de Chief
Information Officers van het Rijk. Dit zijn de belangrijkste uitdagingen voor de informatievoorziening
en ICT van de Rijksoverheid voor de komende jaren bij de ministeries en hun uitvoeringsorganisaties.
De I-strategie is opgesteld samen met de CIO’s van de ministeries en hun grote uitvoerders
met als doel het aanpakken van langjarige uitdagingen, zoals legacy problematiek en
het verbeteren en professionaliseren van de informatievoorziening van de Rijksoverheid.
Met informatievoorziening bedoelen we het geheel van mensen, middelen, systemen en
netwerken om de kerntaken van de Rijksoverheid te kunnen uitvoeren. De concrete acties
en op te leveren resultaten op deze thema’s zijn uitgewerkt in zogenaamde routekaarten.
Deze routekaarten heb ik uw Kamer vorig jaar gestuurd in de Kamerbrief «I-strategie
Rijk 2022–2025: Routekaarten»5.

De wijze waarop interdepartementaal gewerkt wordt aan informatievoorziening en digitaliseringsvraagstukken
leidt stapsgewijs tot de ontwikkelingen en inzet van de coördinerende rol van BZK.
Met het rapport van ABD Topconsult6 is destijds in de volle breedte onderzocht hoe de IV-governance binnen het Rijk verder
verbeterd kon worden en is de voorloper van het Adviescollege ICT-toetsing van een
permanente status voorzien. Een jaar later is het besluit CIO-stelsel Rijksdienst
opgesteld en van kracht gegaan waarmee de rol en positie van de CIO is verduidelijkt
en is versterkt.

In haar onderzoek van 20217 en roept de Algemene Rekenkamer BZK op om de coördinerende rol m.b.t. rijksbreed
IT-beheer beter in te vullen: «Het is naar onze opvatting tijd dat de Minister van
BZK een volgende stap zet in de ontwikkeling van haar rol in het CIO-stelsel en met
meer focus stimuleert dat ministeries het beheer en de innovatie, rationalisering
en harmonisering van generieke IT (bedrijfsvoering)systemen en generieke thema’s zoals
cloudbeleid, digitale innovatie en cybersecurity verbeteren».

Ik onderschrijf de noodzaak om stevig te kunnen sturen. Digitale ontwikkelingen houden
zich namelijk niet aan organisatiegrenzen, wat het noodzakelijk maakt om gezamenlijk
op te trekken en centraal te sturen. Dat gebeurt momenteel ook al, maar deze rol kan
sterker ingevuld worden. Op dit moment maken we o.a. gebruik van het «Besluit CIO-stelsel»
en het «Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen rijksdienst».
Om steviger te kunnen sturen onderzoek ik momenteel welke ruimte er binnen deze besluiten
is, waar we momenteel nog geen gebruik van maken. En bovendien welke aanpassingen
in deze (en eventueel andere) besluiten nodig zijn en welk stelsel nodig is om effectiever
te kunnen sturen om zo de grote uitdagingen van het Rijk aan te pakken. Steviger sturen
zal, uiteraard in afstemming met de departementen, geschieden vanuit het idee dat
als er over organisatiegrenzen heen moet worden gewerkt eenieder daar zijn bijdrage
aan moet leveren.

De sturende rol van CIO Rijk komt tot uiting in de verbetertrajecten die vanuit de
routekaarten van de I-strategie Rijk lopen. Daarnaast werk ik aan een uitbreiding
van het stelsel met een Chief Privacy Officer (CPO), Chief Technology Officer (CTO)
en een Chief Data Officer (CDO). Door de toevoeging van deze gespecialiseerde rollen
kunnen we beter sturen. Waar mogelijk nemen we die in de huidige aanpassing van het
stelsel mee. Als meer (uitwerk)tijd nodig blijkt, voeren we die aanpassingen op een
later moment door. Daarnaast hebben we afgesproken dat het CIO-besluit na drie jaar
door de ADR geëvalueerd zou worden. De vragen over versterking van het stelsel worden
daar expliciet in meegenomen.

Verbinding I-strategie met «Werkagenda Waardengedreven Digitaliseren»

In de zomer van 2022 is mijn «Werkagenda Waardengedreven Digitaliseren»8 opgesteld. Bij de totstandkoming van de Werkagenda is de samenhang met de I-strategie
geborgd. De meeste prioriteiten en acties voor de Rijksdienst zijn opgenomen in programmalijn
vier: een waardengedreven en open digitale overheid. Hieronder vallen bijvoorbeeld
de I-strategie thema’s ICT-landschap, informatiehuishouding, data, I-vakmanschap en
transparantie en inzicht. Daarnaast komen speerpunten uit het thema digitale weerbaarheid
terug in de tweede programmalijn van de werkagenda. Het onderdeel algoritmen van het
thema data en algoritmen krijgt vorm in de derde programmalijn van de werkagenda.

Vanuit de departementale CIO’s is ook aandacht voor de digitalisering van Caribisch
Nederland. Interdepartementaal is dit belegd bij het programma Digitalisering Caribisch
Nederland, vanuit de vijfde lijn van de Werkagenda Waardengedreven Digitaliseren.
De activiteiten van afzonderlijke departementen die voortvloeien uit het digitaliseringsbeleid
worden uitgewerkt in hun meerjarige departementale informatieplannen9. Voor Caribisch Nederland is het «comply, or explain-principe»10 op het digitaliseringsbeleid evenzo van toepassing, zoals dit ook geldt voor departementen
en de uitvoeringsorganisaties.

In de geactualiseerde routekaarten in bijlage 1 is de koppeling tussen resultaten
van de I-strategie en die van de werkagenda aangegeven. Daarmee wordt duidelijk dat
de acties om deze resultaten te behalen bijdragen aan zowel de realisatie van de I-strategie
Rijk als aan de realisatie van de «Werkagenda Waardengedreven Digitaliseren».

Een voorbeeld van een concrete actie is dat vanaf Q4 2024 de verplichte basisopleiding
digitale weerbaarheid (bij herhaling) aan alle rijksambtenaren, externen, trainees,
uitzendkrachten en stagiaires binnen het rijk zal worden aangeboden, met als doel
om cyberkennis binnen de Rijksoverheid te borgen.

Vooruitblik

Een aantal prioritaire onderwerpen uit de bijgevoegde routekaarten wordt hieronder
uitgelicht, omdat die actueel zijn.

Begroten van digitalisering

In de Kamerbrief «Rijksbrede beschouwing bij de meerjarige departementale informatieplannen»11 heb ik u toegezegd samen met de departementale CIO’s en het Ministerie van Financiën
te onderzoeken hoe er inzicht kan worden gegeven in de planning- en controlcyclus
voor digitalisering en hoe deze informatie met de Kamer kan worden gedeeld. In het
vierde kwartaal stuur ik u een plan van aanpak voor de structurele inrichting daarvan.

De afgelopen tijd is in kaart gebracht welke mogelijkheden er zijn om in verschillende
informatiebehoeften te voorzien. Ook is gekeken naar welke informatie er al beschikbaar
is binnen de Rijksoverheid en van welke informatieproducten we al gebruik maken, zoals
de begrotingen, het Rijks ICT-dashboard en de Jaarrapportage Bedrijfsvoering Rijk.
Op basis van deze inventarisatie is besloten hoe we de Kamer parallel aan de rijksbegrotingscyclus
informeren over de geoormerkte budgetten voor digitalisering.

De inventarisatie wijst uit dat we gebruik maken van meerdere informatieproducten
die verschillende gegevens presenteren en niet altijd aan elkaar te relateren zijn.
Zo kijken de begrotingen vooruit, maar maken we op het Rijks ICT-dashboard en in de
Jaarrapportage Bedrijfsvoering Rijk gebruik van realisatiecijfers. Ik ga ter verbetering
van het inzicht en de overzichtelijkheid deze informatieproducten aan elkaar verbinden.
Hiervoor is bijgaand format opgesteld (zie bijlage 3) voor een financieel overzicht
dat elk departement zal invullen en naar de Kamer zal sturen. Op basis van de overzichten
die de departementen opleveren, maak ik een totaaloverzicht met duiding en toelichting.
Dit overzicht zal ik u als bijlage bij de Rijksbrede beschouwing op de informatieplannen
toesturen.

Het overzicht bevat onderdelen voor gegevens over beleidstrajecten met een grote I-component,
beheer, onderhoud en vernieuwing van ICT-systemen, IV-personeel en materiële ICT-uitgaven.
Niet alle gegevens zijn uit de begrotingen te halen, dus er zal ook gebruik worden
gemaakt van interne ramingen. In de overzichten die u in het najaar ontvangt, wordt
dit aangegeven en toegelicht.

Aangezien dit het eerste jaar is dat de departementen dit financiële overzicht opstellen,
kan dat betekenen dat de aangeleverde financiële gegevens nog niet compleet, eenduidig
en vergelijkbaar zijn. Na deze eerste exercitie evalueer ik graag met uw Kamer of
het de gewenste inzichten heeft opgeleverd en wat we kunnen verbeteren. Ik zal de
opgedane ervaringen meenemen in het plan van aanpak.

Werkplek van de toekomst

In de kabinetsreactie op adviesrapporten over chatberichtenarchivering en informatiebeheer12 van 6 april jl. worden de contouren geschetst van de werkplek van de toekomst. Het
ontwikkelen en uitvoeren van beleid vergt steeds meer samenwerking over de grenzen
van organisaties heen, dus de manier waarop we informatie maken en delen moet anders.
We willen naar een situatie toe waarin we meer vanaf het moment van creatie of ontvangst
van informatiecontrole hebben over onze informatie. «Archiving by design», moet hierbij
het uitgangspunt worden, zodat informatie beter en sneller toegankelijk en doorzoekbaar
is, bijvoorbeeld voor parlementaire onderzoekscommissies en WOO-verzoeken. Hiertoe
is het nodig om een werkomgeving van de toekomst te ontwikkelen. Binnen het Programma
Open Overheid – spoor informatiehuishouding – wordt gewerkt aan een (architectuur)visie
en een digitale werkomgeving op basis van een ontwerp met duurzame toegankelijkheid,
openbaarheid, archivering, privacy en veiligheid «by design» waar we als Rijksoverheid
naartoe willen groeien. Naar verwachting zullen de visie informatiehuishouding 2030
en de ICT-architectuur informatiehuishouding eind 2023 worden vastgesteld. Voor aanvang
van het nieuwe parlementaire jaar wordt het meerjarenplan openbaarheid en informatiehuishouding
met de kamer gedeeld.

Nationaal Detectie Netwerk

Met het Nationaal Detectie Netwerk (NDN) worden meer geavanceerde risico’s en aanvallen
gedetecteerd. Je kan daarmee cyberincidenten voorkomen en in geval deze voorkomen
snel en adequaat ingrijpen. Bijna alle rijksorganisaties zijn aangesloten op het NDN.
Het Nationaal Cyber Security Centrum (NCSC) werkt samen met het Ministerie van BZK
om de laatste relevante rijksorganisaties aan te sluiten op het NDN per uiterlijk
eind 2023.

Red-teaming/TIBER

De Rijksoverheid werkt aan de versterking van de inzet van red-teaming testen. Met
deze geavanceerde securitytesten wordt de werking van beveiligingsmaatregelen op kritieke
functies van de Rijksoverheid getest. Daar waar kwetsbaarheden worden gevonden, krijgen
deze opvolging bij het betreffende organisatieonderdeel. Inmiddels heeft een groot
deel van de departementen een red-teaming test uitgevoerd of een test in voorbereiding.
Om departementen te faciliteren in de uitvoering van red-teamingtesten is o.a. een
gereedschapskist ontwikkeld op basis van de TIBER-methodiek en is een interdepartementaal
netwerk opgezet waarin actieve kennisdeling over red-teamingtesten plaatsvindt. Dit
stimuleert het leren van elkaars ervaringen binnen het Rijk.

Legacy en Lifecyclemanagement (LCM)

In het rapport «Staat van de rijksverantwoording 2022» benadrukt de Algemene Rekenkamer
het belang van goed werkende en onderhouden IT-systemen en -processen13. Achterstallig onderhoud en veroudering van systemen kunnen gevolgen hebben voor
burgers en bedrijven, bijvoorbeeld als het de invoering van nieuwe beleidsmaatregelen
in de weg staat.

Ik onderschrijf deze zorgen en hecht veel belang aan het zogenoemde lifecyclemanagement
en de aanpak van problematische legacy. Daarom heb ik vorig jaar samen met de ministeries
het Convenant Lifecycle Management opgesteld. In dit convenant is een groeipad afgesproken
om rijksbreed beter inzicht krijgen in het IV-landschap, weten wat je hebt en in welke
staat dat is. In 2024 zetten we de volgende stap, namelijk het planmatig gaan werken
aan het realiseren van de gewenste situatie.

Dit betekent dat elk departement op basis van de inzichten en rijksbrede afspraken
rondom lifecyclemanagement een legacy-aanpak of -strategie zal opstellen.

Actualisatie

In bijlage 1 vindt u de geactualiseerde routekaarten van de I-strategie Rijk per thema
voor de periode 2023–2024. Ze geven aan wanneer we welke resultaten bereiken, of wanneer
we hiermee starten. Departementen geven hierbij aan dat er een stapeling is van de
uit te voeren werkzaamheden. Deze ontstaan zowel vanuit hun departementale I-plannen,
Europese wet- en regelgeving de Werkagenda Waardengedreven Digitaliseren en de I-strategie
Rijk waardoor het kan voorkomen dat er vanuit een bewindspersoon ruimte wordt gevraagd
om onderbouwd af te wijken van de in deze brief gestelde normen.

De routekaarten gaan, net als de I-strategie zelf, uit van wat we op dit moment weten.
Als er significante bewegingen zijn of dat er door nieuwe ontwikkelingen prioriteiten
anders gewogen moeten worden en zal ik die voorleggen aan uw Kamer.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen