Antwoord schriftelijke vragen : Antwoord op vragen van het lid Rajkowski over het bericht 'ISIDOOR 2021: NCTV en NCSC organiseren grootste cybercrisisoefening ooit'

Antwoord van Minister Grapperhaus (Justitie en Veiligheid) (ontvangen 6 juli 2021).

Vraag 1

Bent u bekend met het bericht «ISIDOOR 2021: NCTV en NCSC organiseren grootste cybercrisisoefening
ooit»?1

Antwoord 1

Ja.

Vraag 2

Is ISIDOOR 2021 naar uw mening succesvol verlopen? Kunt u uw mening toelichten?

Antwoord 2

Ja, ISIDOOR is naar mijn mening succesvol verlopen. Als verantwoordelijk Minister
voor deze oefening kijk ik terug op succesvolle oefendagen mede dankzij de inzet van
alle deelnemende organisaties. Tijdens ISIDOOR 2021 stond de beoefening van het Nationaal
Crisisplan Digitaal centraal en de vele eigen crisisprocedures van de deelnemende
organisaties. Het beoefenen van de onderlinge samenhang en samenwerking op basis van
deze procedures maakte de oefening waardevol. De preparatie van de oefening heeft
daarnaast ook praktische inzichten opgeleverd voor deelnemende organisaties, doordat
in deze fase de rol- en taakverdelingen, de crisisstructuren en procedures tegen het
licht werden gehouden.

Bij het samenstellen van het scenario, maar ook in de voorbereiding van de deelnemers
via masterclasses, is expliciet rekening gehouden met zowel fysieke als digitale effecten.
Voor een digitale crisis geldt immers dat die ook fysieke gevolgen kan hebben met
een grote maatschappelijke impact. ISIDOOR heeft mede daardoor bijgedragen aan een
betere voorbereiding indien zich daadwerkelijk een digitaal incident met ook fysieke
gevolgen voordoet.

Vraag 3

Hoe is de selectie van deelnemers van ISIDOOR 2021 tot stand gekomen? Welke criteria
zijn hierbij gebruikt? Wat was de verhouding vitaal/niet-vitaal?

Antwoord 3

Om tot de deelnemerslijst te komen is allereerst door de departementale projectorganisatie,
bestaande uit NCSC en NCTV, een uitvraag gedaan via het zogeheten ISAC-netwerk. Daarin
zijn publieke en private organisaties in verschillende sectoren vertegenwoordigd.
Vervolgens zijn ook verschillende interdepartementale gremia geattendeerd op de oefening.
Zodoende is een lijst van vrijwillige aanmeldingen tot stand gekomen op basis waarvan
de definitieve lijst is samengesteld. Deelnemende organisaties waren overwegend organisaties
binnen de vitale infrastructuur, onderdelen van de rijksoverheid, veiligheidsregio’s
en partijen binnen het Landelijk Dekkend Stelsel van Cybersecurity samenwerkingsverbanden.
Ook deed een aantal andere samenwerkingsverbanden mee en was het lokale en regionale
perspectief in de oefening vertegenwoordigd. De volledigheid van de deelnemerslijst
is in interdepartementaal overleg afgestemd. Het belangrijkste criterium voor deelname
was de overweging of een organisatie een voorname rol heeft tijdens de aanpak van
een nationale crisis, mede gebaseerd op het Nationaal Crisisplan Digitaal en het Nationaal
Handboek Crisisbesluitvorming.

Vraag 4

Hoe hebben de deelnemers van ISIDOOR 2021 de oefening ervaren? Komt er een brede evaluatie
onder alle deelnemers? Zo ja, op welke termijn en kunt u deze met de Kamer delen?
Zo nee, waarom niet?

Antwoord 4

Uiteraard kan ik niet voor de deelnemende organisaties spreken, echter het overheersende
beeld is dat er tevreden wordt teruggekeken op de oefening. Het scenario van deze
derde (en grootste) editie van ISIDOOR was realistischer dan ooit omdat veel deelnemende
organisaties ook via hun oefenleiding betrokken waren bij het bedenken van het scenario.
Zo konden zij het hoofdscenario vertalen naar hun eigen achterban en de voor hen relevante
oefendoelen uitwerken in het scenario.

Door het Instituut voor Veiligheids- en Crisismanagement (COT) wordt een overkoepelend
evaluatierapport geschreven, dat zich richt op de oefendoelen van ISIDOOR 2021. Evalueren
is expliciet onderdeel van het programma van ISIDOOR 2021. Er wordt daarom op zowel
operationeel technisch niveau als op bestuurlijk niveau geëvalueerd. De overkoepelende
evaluatie van het COT verwacht ik na de zomer met uw Kamer te kunnen delen. Ik roep
daarnaast alle betrokken organisaties op om ISIDOOR zelf ook te evalueren, zodat de
lessen voor de eigen organisaties gesignaleerd worden. Het is immers ook primair de
verantwoordelijkheid van alle deelnemende organisaties zelf om de eigen deelname en
processen te evalueren.

Zoals recent gemeld aan uw kamer worden de lessen van ISIDOOR 2021 meegenomen bij
de actualisering van het Nationaal Crisisplan Digitaal en de doorontwikkeling van
dit plan naar een landelijk crisisplan.2

Vraag 5

Bent u het ermee eens dat structureel oefenen met cybercrises van essentieel belang
is voor (vitale) organisaties om hun cyberveiligheid te vergroten en om digitale ontwrichting
te voorkomen? Zo ja, hoe staat het met de uitvoering van de motie-Weverling (Kamerstuk
24 095, nr. 496)? Hoe verhoudt ISIDOOR 2021 zich tot een structureel oefenprogramma conform de motie-Weverling?
Met welke frequentie gaan dit soort oefeningen in de toekomst plaatsvinden?

Antwoord 5

Ja, gezamenlijk oefenen is van essentieel belang om goed voorbereid te zijn op een
cybercrisis. Dat is door het kabinet ook benadrukt in de kabinetsreactie op het rapport
van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) «Voorbereiden op digitale
ontwrichting»3. U noemt in dat kader ook naar de motie-Weverling. Daarover kan ik melden dat ISIDOOR
2021 deel uitmaakt van het oefen- en testprogramma dat is uitgewerkt naar aanleiding
van de motie-Weverling en het versterkingsprogramma op de Nederlandse Cybersecurity
Agenda (NCSA). Ik verwijs u ten aanzien van de uitwerking en de voorgang van het oefen-
en testprogramma naar de beantwoording, in mijn brief van 25 mei 2020, van Kamervragen
tijdens het Schriftelijk Overleg Cybersecurity. In de beantwoording ben ik in gegaan
op de uitwerking van dit programma via de inzet op de verschillende sporen op oefenen4. Een nadere uitwerking en eerste voortgang is terug te vinden in de NCSA voortgangsrapportage
2020 die als bijlage is meegezonden per brief van 29 juni 20205. Een eerstvolgende voortgang hiervan is opgenomen in de voortgangsbrief van de Nederlandse
Cybersecurity Agenda die op 28 juni jl. naar uw Kamer is verzonden6.

Ik zal het volgende kabinet adviseren om op basis van de evaluatie van ISIDOOR te
kijken naar een juiste frequentie van deze oefening. ISIDOOR is een zeer complexe
oefening waarvoor meerjarig veel capaciteit en voorbereidingstijd nodig is, maar het
belang om te oefenen om goed voorbereid te zijn indien er toch iets mis gaat is evident.
Ik moedig een volgende editie daarom van harte aan en in de tussentijd zet ik via
de eerdergenoemde oefensporen in op oefenen.