Brief regering : Reactie op het rapport ‘De kracht en kwetsbaarheid van het digitale krijgsmachtnetwerk NAFIN’ van de Algemene Rekenkamer

Nr. 8
BRIEF VAN DE MINISTER EN STAATSSECRETARIS VAN DEFENSIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 3 december 2024

Op 21 november 2024 heeft uw Kamer ons verzocht schriftelijk te reageren op het rapport
van de Algemene Rekenkamer «De kracht en kwetsbaarheid van het digitale krijgsmachtnetwerk
NAFIN» (Kamerstuk 36 592, nr. 6). In deze brief reageren wij op de conclusies en aanbevelingen van de Algemene Rekenkamer
en lichten toe welke maatregelen inmiddels zijn getroffen. Zoals ook vermeld in onze
bestuurlijke reactie, welke is opgenomen in het rapport, willen we benadrukken dat
de storing van 28 augustus 2024 geen relatie heeft met de geconstateerde bevindingen.
Het rapport van de Algemene Rekenkamer richtte zich namelijk niet op de digitale werking
van het netwerk, maar op de fysieke beveiliging en positionering van het netwerk.

De Algemene Rekenkamer heeft onderzocht hoe Nederland haar vitale infrastructuur beschermt
tegen de risico’s van uitval, verstoring of misbruik van IT-systemen. In dit kader
heeft de Algemene Rekenkamer specifiek gekeken naar de beveiliging van het Netwerk
van de Nederlandse Krijgsmacht (NAFIN). In haar rapport presenteert de Algemene Rekenkamer
bevindingen, conclusies en aanbevelingen met betrekking tot de kwetsbaarheden van
dit belangrijke netwerk.

De Algemene Rekenkamer concludeert in haar rapport dat het NAFIN-netwerk technisch
goed is opgezet en voldoet aan de laatste standaarden, maar dat de fysieke beveiliging
onvoldoende is. De Algemene Rekenkamer heeft drie belangrijke conclusies geformuleerd:

• Strategie en visie: Defensie heeft geen strategie en visie voor de rol en toekomst van NAFIN. Gezien
de veranderende veiligheidssituatie is het noodzakelijk dat Defensie de toekomst van
het NAFIN-netwerk heroverweegt.

• Fysieke beveiliging: De fysieke beveiliging van de NAFIN-locaties is onvoldoende, wat ook werd vastgesteld
bij de beveiliging van militaire objecten in 2022 en 2023.

• Militaire regie en controle: Defensie heeft beperkte regie en controle over het netwerk. Defensie moet meer eigenaarschap
tonen en toezicht houden op de naleving van de contractuele afspraken met KPN over
ABDO-autorisatie.

De Algemene Rekenkamer doet op basis van bovengenoemde conclusies drie aanbevelingen.
Wij nemen de aanbevelingen over, hieronder lichten we de aanbevelingen en de genomen
maatregelen toe.

De Algemene Rekenkamer beveelt aan om een strategische visie te ontwikkelen voor de
rol van het NAFIN netwerk in de Nederlandse samenleving. Door bezuinigingen op de
defensiebegroting in eerdere jaren heeft Defensie de kosten van NAFIN proberen te
dekken door het netwerk open te stellen voor andere gebruikers van de rijksoverheid.
Het huidige op kostenefficiëntie gerichte beleid, zal worden herzien, met nadruk op
de vernieuwde focus op hoofdtaak 1. Dit zal in overleg met de huidige medegebruikers
van NAFIN gebeuren. Gezien de essentiële rol van het NAFIN-netwerk in de Nederlandse
samenleving, zal Defensie onderzoeken of het netwerk moet worden aangemerkt als vitale
infrastructuur. Daarnaast zal Defensie ook een strategische visie voor NAFIN opstellen.
Het onderzoek en de strategische visie worden voor de zomer van 2025 afgerond, waarna
wij uw Kamer hierover zullen informeren.

Daarnaast adviseert de Algemene Rekenkamer maatregelen te nemen voor betere detectie
en respons op ongeoorloofde toegang tot het netwerk, waaronder continue monitoring
door Defensie op sabotage en spionage, verhoging van het veiligheidsbewustzijn van
betrokken medewerkers en periodieke fysieke en digitale tests van de beveiliging van
NAFIN-netwerkruimtes. In dit kader hebben wij de volgende maatregelen genomen:

1. De detectie van ongeoorloofde toegang tot het netwerk en het digitaal testen zijn
opgenomen in een monitoringtool. Het IT Operations Center (ITOC), onderdeel van het
Commando Materieel en IT (COMMIT), is inmiddels gestart met verbeteringen in de monitoring
en digitale bewaking van het NAFIN-netwerk.

2. Daarnaast is de respons op ongeoorloofde toegang tot het netwerk, het veiligheidsbewustzijn
van defensiemedewerkers en het standaard periodiek fysiek testen van de beveiliging
van netwerkruimtes onderdeel geworden van de aanpak van het project onvolkomenheid
beveiliging militaire objecten. Dit project is inmiddels gestart.

3. Defensie zal, als opdrachtgever, KPN dit jaar nog per brief verzoeken maatregelen
te nemen om het veiligheidsbewustzijn van betrokken medewerkers en onderaannemers
te verbeteren. Hierover zal Defensie in gesprek blijven met KPN.

De Algemene Rekenkamer doet tot slot de aanbeveling om het werk aan het NAFIN-netwerk
minder uit te besteden en beter toezicht te houden op de uitvoering door KPN van de
beveiligingsmaatregelen en ABDO-autorisaties. KPN draagt zelf de verantwoordelijkheid
voor het aanvragen van ABDO-autorisaties. In de brief die Defensie dit jaar aan KPN
zal stuurt, wordt zij gewezen op deze verantwoordelijkheid en wordt gevraagd om verbeteringen
door te voeren in de naleving van de beveiligingsmaatregelen en ABDO-autorisaties.
Tevens zal Defensie KPN verzoeken om het aantal (onder)onderaannemers te verminderen.
Daarnaast zal Defensie de Auditdienst Rijk (ADR) verzoeken om audits uit te voeren
naar de naleving van de Baseline Informatiebeveiliging Overheid (BIO) door medegebruikers
van het NAFIN. Afhankelijk van de uitkomsten van deze audits zal worden beoordeeld
of de afspraken in de Service Level Agreements (SLA) met het Ministerie van Binnenlandse
Zaken en Koninkrijksrelaties op dit punt voldoende zijn. Ik ga in overleg met de ADR
over het moment van de start van de audits. Uw Kamer informeer ik na de afronding
van de audits en de gesprekken.

Het NAFIN-netwerk is van essentieel belang voor zowel Defensie als de rijksoverheid,
waarbij de veiligheid en beschikbaarheid van het netwerk een hoge prioriteit heeft.
Gezien de huidige geopolitieke situatie is Defensie zeer terughoudend om informatie
over kwetsbaarheiden en gebruik van onze hoog-gerubriceerde systemen, processen en
netwerken te delen. In deze brief bent u daarom op hoofdlijnen geïnformeerd over de
opvolging van de aanbevelingen van de Algemene Rekenkamer.

De aanbevelingen van de Algemene Rekenkamer zijn waardevol voor het waarborgen van
de continuïteit en weerbaarheid van het NAFIN-netwerk. Met de reeds genomen maatregelen
zijn wij van mening dat we stappen zetten in de verbetering van de veiligheid van
het NAFIN.

De Minister van Defensie,
R.P. Brekelmans

De Staatssecretaris van Defensie,
G.P. Tuinman