Brief regering : Evaluatie NAFIN storing

Nr. 14
BRIEF VAN DE STAATSSECRETARIS VAN DEFENSIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 31 maart 2025

In de nacht van 27 op 28 augustus 2024 heeft een technische storing plaatsgevonden
op het Netherlands Armed Forces Integrated Network (NAFIN). De Minister van Defensie
heeft uw Kamer hierover geïnformeerd (Kamerstuk 26 642, nr. 1214) en toegezegd de storing en weerbaarheid van de betreffende IT-systemen met alle
betrokkenen te evalueren en uw Kamer hierover te informeren. Defensie heeft het COT
Instituut voor Veiligheids- en Crisismanagement (hierna: COT) en het adviesbureau
Strict1 gevraagd een evaluatie naar de NAFIN-storing uit te voeren en een gezamenlijke oplegger
aan te leveren. In deze brief reageer ik, mede namens de Minister van Defensie, op
de belangrijkste aanbevelingen van COT en Strict en licht ik toe welke maatregelen
ik tref. Beide rapporten en de gezamenlijke oplegger zijn vanwege het belang van NAFIN
vertrouwelijk en worden in die vorm aangeboden aan uw Kamer2. Defensie erkent ook het maatschappelijk belang van de digitale weerbaarheid van
NAFIN, en zal tot zover mogelijk te bevindingen en de actiepunten die hierop volgen
delen met u.

De afhankelijkheid van IT is de afgelopen jaren exponentieel toegenomen. In een steeds
meer gedigitaliseerde wereld is technologie essentieel geworden voor het waarborgen
van de nationale veiligheid, het uitvoeren van militaire operaties en het effectief
communiceren tussen verschillende overheidsinstanties en internationale partners.
Het is dan ook van vitaal belang dat de digitale infrastructuur robuust, veilig en
continu up-to-date blijft. IT-storingen zijn echter niet altijd te voorkomen, geen
enkel systeem is immers volledig immuun voor technische problemen of onverwachte externe
invloeden. Het is wel cruciaal om goed voorbereid te zijn en maatregelen te nemen
om de impact van deze storingen te minimaliseren. De NAFIN-storing heeft duidelijk
gemaakt dat Defensie niet voldoende voorbereid was op een grootschalige verstoring.
De resultaten van de onderzoeken leveren waardevolle lessen en bieden Defensie concrete
handvatten om de digitale weerbaarheid te versterken.

Achtergrond

Op dinsdagavond 27 augustus 2024 veroorzaakte een softwarefout het wegvallen van de
routering in NAFIN. Dit leidde tot grote verstoringen bij onder meer de Koninklijke
Marechaussee, de Kustwacht, Eindhoven Airport, meldkamercommunicatie en bij Defensie
in het eigen Mulan netwerk. Ook de Haagse Ring ondervond de volgende ochtend hinder
in de bedrijfsvoering, waardoor de daarop aangesloten organisaties met uitval van
diensten te maken kregen. Gedurende de nacht van 27 op 28 augustus is gestart met
het organiseren van het systeemherstel. NAFIN functioneerde weer in de loop van de
ochtend van 28 augustus 2024.

Conclusies

Hieronder behandel ik, vanwege de vertrouwelijkheid op hoofdlijnen, de belangrijkste
conclusies en aanbevelingen uit beide rapporten. Daarbij geef ik aan hoe ik invulling
geef aan het opvolgen van de aanbevelingen. Ik herken de conclusies in de rapporten
van COT en Strict en neem de aanbevelingen over.

COT en Strict concluderen dat ondanks de bestaande preventieve maatregelen die Defensie
heeft genomen, deze storing niet had kunnen worden voorkomen. Dit incident benadrukt
de complexiteit van onze IT-omgeving en de uitdagingen die gepaard gaan met het waarborgen
van robuuste en veerkrachtige systemen.

In deze storing en de opvolging hiervan liggen waardevolle lessen voor Defensie, die
kunnen helpen bij het verbeteren van de digitale weerbaarheid. Onderstaande zijn de
zes belangrijkste conclusies van COT en Strict:

• Defensie was onvoldoende voorbereid op een dergelijke verstoring.

Defensie moet werken aan betere voorbereidende maatregelen en plannen om de impact
van storingen, incidenten of rampen te minimaliseren om de continuïteit te garanderen.

• Er is laat intern geëscaleerd van de technische naar de bestuurlijke laag.

De escalatie van de technische laag naar de bestuurlijke laag heeft lang geduurd.
Het tijdstip waarop de storing optrad speelt hierbij een belangrijke rol, aangezien
de storing plaats vond buiten kantoortijden. Zodra de escalatie naar de bestuurlijke
laag werd doorgezet, werd hier direct op gereageerd. De technische oorzaak van de
verstoring is binnen 13 uur opgelost. Dit is ruim langer dan het streven van 4 uur
dat hiervoor is afgesproken. Dit had dus sneller gemoeten.

• Defensie heeft de crisis klein gehouden en mag groter denken over de bestuurlijke
implicaties van een verstoring als deze.

De storing is door Defensie voornamelijk als interne aangelegenheid beschouwd, waardoor
onvoldoende aandacht was voor brede maatschappelijke implicaties en partijen die op
NAFIN zijn aangesloten.

• Bij het afhandelen van de verstoring is er te laat en onvoldoende aandacht geweest
voor de cyberrisico’s.

Binnen Defensie worden IT-incidenten en cyber-incidenten als twee aparte storingen
behandeld. Cybersecurity expertise is wel in een vroeg stadium ingeschakeld, maar
de nadruk lag op het oplossen van het IT incident. Hierdoor werd het cyberonderzoek
bemoeilijkt.

• De communicatie is zowel binnen Defensie als naar externe partners niet goed verlopen.

Er was onduidelijkheid over de richtlijnen voor communicatie. De interne informatiestroom
kwam daardoor moeizaam op gang, wat ook de communicatie naar buiten bemoeilijkt heeft.
Daarbij trof de storing ook bepaalde reguliere communicatielijnen. Beschikbare informatie
kwam hierdoor niet altijd op tijd bij de juiste partijen terecht.

• De prioritering van systemen voor opschalen na verstoring is nog onvoldoende geborgd.

Het is nog onvoldoende duidelijk wat de prioritering is voor het herstellen van systemen
na grootschalige uitval van IT. Dit is nodig voor het waarborgen van de bedrijfscontinuïteit
en het verder minimaliseren van de impact op de organisatie.

Aanbevelingen en maatregelen

De NAFIN storing is veroorzaakt door een fout in de tijdsynchronisatie. Dit is een
technisch mankement dat niet voorzien had kunnen worden. Deze storing heeft veel impact
gehad. Daarom is het van belang dat snel wordt gehandeld om een dergelijke storing
op te lossen wanneer die zich voordoet. De evaluaties geven aan dat dat sneller had
gekund. Om die reden neemt Defensie een aantal maatregelen zodat een volgende storing
beter is voorbereid en sneller kan worden gehandeld.

Voor een snellere afhandeling van een mogelijk volgende storing zijn continuïteitsplannen
belangrijk. Deze plannen beschrijven welke instructies en procedures moeten worden
gevolgd tijdens een verstoring, zodat Defensie kan blijven opereren. Naast het op
zeer korte termijn inzetten op de implementatie van reeds uitgewerkte technische verbeteringen,
is Defensie gestart met het grondig herzien van de continuïteitsplannen.

Bij het herzien van de continuïteitsplannen staan drie elementen centraal. Ten eerste
is specifiek aandacht voor de uitgangspunten waarop de prioritering van (uitgevallen)
systemen tijdens een dergelijke storing wordt bepaald. Defensie stelt hiervoor een
lijst op van kritieke processen en de daaraan verbonden IT systemen. Op basis van
deze lijst wordt bepaald met welke prioriteit systemen hersteld worden na storingen.
Ten tweede zal Defensie in de toekomst in de beginfase van een dergelijke storing
geen onderscheid meer maken tussen een IT-incident en cybersecurityincident. Op moment
van de storing kenden deze incidenten eigen werkwijzen en procedures. De evaluaties
leren ons dat het sneller en effectiever is om hiervoor één werkwijze op te stellen.
Daarom zijn beide werkwijzen en procedures voor de beginfase van storingen inmiddels
samengevoegd. De komende tijd wordt dit beproefd, bijvoorbeeld door middel van oefeningen
in Q3 2025. Ten derde zorgt Defensie voor een duidelijk opschalingskader bij storingen,
dat voor alle partijen aangesloten op NAFIN navolgbaar is. Een opschalingskader is
een stappenplan dat bepaalt hoe een organisatie reageert als er een groot cyber of
IT-probleem is. Aan de hand van dit opschalingskader kunnen IT-incidenten en cybersecurityincidenten
goed gecoördineerd worden. Bij het opstellen van dit kader betrekt Defensie de NCTV
en andere relevante overheidsorganisaties.

Gekoppeld aan deze continuïteitsplannen werkt Defensie ook aan een update van de bestaande
crisiscommunicatieplannen, waarbij meer aandacht komt voor cyber- en IT-gerelateerde
verstoringen. Hierin wordt vastgelegd welke informatie op welke manier gedeeld wordt
tijdens storingen, zowel met interne als externe partners. Als onderdeel hiervan implementeert
Defensie het Landelijk Crisis Management Systeem (LCMS) voor de landelijke communicatie
tijdens crisissituaties. Hierdoor wordt snellere en betere communicatie met partners
mogelijk.

De evaluatierapporten bevelen aan om vaker te oefenen met incidenten als de NAFIN-storing.
Ik omarm deze aanbeveling en neem deze over. Er zijn reeds verschillende oefeningen
gepland voor eind 2025. Tijdens deze oefeningen zullen bovengenoemde maatregelen beproefd
worden. Na elke oefening wordt de effectiviteit van de genomen maatregelen geëvalueerd,
waarna de maatregelen verder aangescherpt worden. Tijdens deze oefeningen komt ook
expliciet aandacht voor het crisiscommunicatieplan. Daarnaast zal ook de rol van Defensie
als maatschappelijke partner en dienstverlener terugkomen in de oefeningen. Door aandacht
te besteden aan de bredere maatschappelijke implicaties in oefeningen draagt Defensie
bij aan de digitale weerbaarheid van Nederland.

Naast bovengenoemde maatregelen waar nog aan gewerkt wordt, zijn er direct na de storing
ook maatregelen getroffen die inmiddels zijn afgerond. Zo is bijvoorbeeld het aantal
analoge middelen vergroot, zoals computers en printers die geen internet nodig hebben
en papieren documenten met instructies en contactpersonen. Daarnaast zijn de opleidingen
en trainingen voor personeel aangescherpt. Ook zal de Chief Information Officer (CIO)
voortaan standaard aan tafel zitten bij het crisisteam dat verantwoordelijk is voor
de bestuurlijke coördinatie van een crisis. Hierdoor is kennis over cybersecurity
en IT voortaan vanaf het begin ook op bestuurlijk niveau betrokken.

Zoals genoemd in de Reactie op het rapport «De kracht en kwetsbaarheid van het digitale
krijgsmachtnetwerk NAFIN» van de Algemene Rekenkamer (Kamerstuk 36 592-8) onderzoekt Defensie of het netwerk aangemerkt moet worden als vitale infrastructuur.
Dit onderzoek wordt voor de zomer van 2025 afgerond.

De afspraken over de dienstverlenging omtrent NAFIN zijn beschreven in verschillende
documenten zoals een Nadere Overeenkomst (NOK), een dienstbeschrijving en een Service Level Agreement (SLA). Hiernaast heeft Defensie ook afspraken met de leveranciers, KPN, Nokia en Cisco,
in kaart gebracht. Op basis van de aanbevelingen van COT en Strict zullen deze afspraken
worden herzien en waar nodig aangevuld. Defensie heeft zicht op alle gebruikers van
NAFIN, waaronder gebruikers in de Haagse Ring, meldkamers en het Rijksoverheidnetwerk
(RON). Op dit moment is er geen alternatief voor NAFIN voor deze civiele gebruikers.

Slot

NAFIN is van essentieel belang voor zowel Defensie als de Rijksoverheid, waarbij de
veiligheid en beschikbaarheid van het netwerk een hoge prioriteit heeft. De storing
en de evaluaties laten zien dat Defensie hierin nog kan verbeteren. De bevindingen
en aanbevelingen uit beide rapporten zijn waardevolle lessen die ik gebruik om te
zorgen dat we beter voorbereid zijn op een mogelijk volgende verstoring.

Gezien de huidige geopolitieke situatie is Defensie zeer terughoudend om informatie
over kwetsbaarheiden en gebruik van onze hoog-gerubriceerde systemen, processen en
netwerken te delen. In deze brief bent u daarom op hoofdlijnen geïnformeerd.

Ik vertrouw erop uw Kamer hiermee voldoende te hebben geïnformeerd en zie uit naar
de verdere dialoog hierover.

De Staatssecretaris van Defensie,
G.P. Tuinman