Brief regering : Voortgang informatiebeveiliging Openbaar Ministerie (OM)

Nr. 1377
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 23 juli 2025

Met deze brief informeer ik uw Kamer over de stand van zaken ten aanzien van de informatiebeveiliging
van het Openbaar Ministerie (hierna: OM).

Op 17 juli jl. berichtte ik u dat het OM uit voorzorg de interne systemen heeft losgekoppeld
van het internet.1 Het OM is nog steeds offline. Aanleiding hiervoor zijn berichten van het Nationaal
Cyber Security Centrum (hierna: NCSC) over kwetsbaarheden in de veelgebruikte Citrix-systemen
en – op basis van de tot dusver bekende informatie – het signaal dat hiervan mogelijk
misbruik is gemaakt. In deze brief bericht ik u over de huidige stand van de informatiebeveiliging
bij het OM en de impact hiervan op de werkprocessen van het OM.

Ten aanzien van de systemen van het OM zijn verschillende stappen gezet sinds het
ontdekken van de kwetsbaarheden. Zo zijn de systemen losgekoppeld van het internet
en loopt er een strafrechtelijk onderzoek.

Daarnaast doet het OM op dit moment onderzoek om misbruik van de systemen te kunnen
onderkennen of uit te kunnen sluiten en wordt gewerkt aan het zekerstellen van de
systemen voordat ze weer online gaan. Het OM geeft aan dat op dit moment alle inspanningen
worden verricht om verschillende digitale systemen de komende tijd stapsgewijs veilig
op te starten, met als doel om alle systemen zo snel mogelijk weer operationeel te
laten zijn. Dit onderzoek is ingewikkeld en vergt tijd, waardoor het OM mogelijk nog
enkele weken (gedeeltelijk) offline blijft. De eerste stappen richting het operationaliseren
van systemen zijn inmiddels wel gezet: enkele systemen zijn weer beschikbaar voor
het raadplegen van strafdossiers. Het is op dit moment niet precies te zeggen wanneer
de systemen van het OM weer volledig operationeel zijn.

Het offline halen van de systemen brengt verstoringen in het werkproces van het OM
met zich mee. Zo kunnen medewerkers van het OM voorlopig alleen inloggen op kantoorlocaties,
zijn zij niet per mail bereikbaar en is sprake van een beperkte functionaliteit van
de systemen. Ook heeft deze situatie impact op de strafrechtketen en betrokkenen bij
de keten, wat ik ten zeerste betreur. Het OM heeft mij ervan verzekerd dat het effect
op de primaire processen zoals strafzaken, zittingen en de tenuitvoerlegging van straffen
zo klein mogelijk wordt gehouden door het volgen van noodprocessen. Dit gebeurt in
goede samenwerking met de ketenpartners. Het doorgaan van zittingen en behandelen
van strafzaken hebben prioriteit en voor spoedeisende processen zijn afspraken gemaakt
met ketenpartners.

De ontwikkelingen bij het OM volgen elkaar snel op en het is van belang dat de onderzoeken
naar de situatie ongehinderd doorgang kunnen vinden. Tegelijkertijd hecht ik eraan
uw Kamer zo volledig mogelijk te informeren. Zodra er meer informatie bekend is die
ik met uw Kamer kan delen, zal ik dat doen.

Tot slot, het NCSC heeft alle organisaties die Citrix NetScaler ADC en Citrix NetScaler
Getaway gebruiken opgeroepen om onderzoek te doen naar mogelijk misbruik, ook als
de kwetsbaarheden reeds zijn verholpen middels de update. CIO Rijk heeft deze casuïstiek
en het handelingsperspectief van het NCSC bij alle departementen middels meerdere
CISO-briefings onder de aandacht gebracht, met het dringende advies dit op te volgen.

De Minister van Justitie en Veiligheid, D.M. van Weel