Antwoord schriftelijke vragen : Antwoord op vragen van het lid Van Ginneken over het bericht ‘Kritiek op niet naleven securityregels overheidswebsites: ‘geen rocketscience’’’

Antwoord van Staatssecretaris Van Huffelen (Binnenlandse Zaken en Koninkrijksrelaties),
mede namens de Minister van Justitie en Veiligheid (ontvangen 23 december 2023).

Vraag 1

Klopt het bericht dat de helft van de domeinnamen van de rijksoverheid niet voldoet
aan verplichte securitystandaarden?1

Antwoord 1

Ja.

Forum Standaardisatie meet twee keer per jaar in hoeverre een set internetdomeinen
van de overheid voldoet aan de relevante informatieveiligheidsstandaarden van de «pas
toe of leg uit»-lijst. Over de gemeten standaarden zijn implementatieafspraken met
een deadline gemaakt: de zogenoemde «streefbeeldafspraken». Uit de meest recente meting
blijkt dat de helft, 50%, van alle Rijksoverheid- domeinnamen voldoet aan de streefbeeldafspraken
voor webdomeinen.

De internetdomeinen van de overheid moeten aan al deze standaarden voldoen, en deze moeten ook nog correct geconfigureerd zijn om mee
te tellen in het percentage dat geheel voldoet. De toepassing van deze standaarden
is primair de verantwoordelijkheid van iedere overheidsorganisatie zelf en het niet
volledig voldoen kan ook als reden hebben dat de standaarden onjuist zijn geconfigureerd.

Vraag 2

Klopt het bericht dat minder dan de helft voldoet aan de verplichte e-mailstandaarden?

Antwoord

Nee. Uit de meest recente meting blijkt inderdaad dat e-mailstandaarden achterblijven,
maar beter presteren dan webstandaarden bij de rijksoverheid. 55% van de rijksoverheid
voldeed aan de e-mailstandaarden. Ik vind het onacceptabel dat overheden dit niet
op orde hebben en zal per brief, via de koepelorganisaties2, alle overheden oproepen zo snel mogelijk de standaarden te implementeren.

Vraag 3

Hoe verklaart u het niet voldoen aan deze minimale verplichtingen gezien dit al in
2019 en 2021 had moeten plaatsvinden? Mede omdat het hier vaak om niet hele ingewikkelde
technische ingrepen gaat die belangrijk zijn voor onze digitale veiligheid?

Antwoord 3

Of de adoptie van de standaarden ingewikkeld is, verschilt per standaard, maar ook
per wijze waarop ICT bij een organisatie is ingeregeld. Zo is bijvoorbeeld de adoptie
(en «strenge» configuratie) van de anti-email-phishing standaard DMARC3 ingewikkelder, wanneer meerdere externe partijen namens die organisatie mail versturen
(bijv. ten behoeve van mailinglijsten en enquêtes). Ook zijn veel organisaties afhankelijk
van hun externe leverancier. Zo biedt de meest gebruikte cloudmail-provider van de
overheid default geen IPv64 en geen DANE5. Voor het Rijk is Strategisch Leveranciersmanagement Microsoft, Google Cloud en Amazon
Web Services (SLM), belegd binnen het Ministerie van Justitie en Veiligheid (JenV),
verantwoordelijk voor de communicatie met de leveranciers. JenV vraagt samen met Forum
Standaardisatie al sinds 2019 aandacht voor de implementatie van de standaarden. De
implementatie van deze standaarden is door Microsoft steeds in tijd opgeschoven. SLM
en Forum Standaardisatie hebben Microsoft opnieuw gewezen op de verplichting voor
de Nederlandse Overheid deze standaard toe te passen en hebben Microsoft gevraagd
de huidige ultieme invoerdatum van juli 2023 hoe dan ook te garanderen.

Het blijft belangrijk dat overheden hun leverancier aanspreken op tekortkomingen en
zo nodig overstappen naar een leverancier die de standaard wel goed ondersteunt. Maar
ook bij ingewikkelder implementatie is adoptie zeker mogelijk, getuige het groot aantal
organisaties dat hun internetdomeinen wel binnen het afgesproken tijdspad op orde
heeft gebracht. Ik verwacht dan ook van alle organisaties dat ze alsnog aan de regels
gaan voldoen.

Vraag 4

Welke rol speelt het tekort aan IT’ers bij de rijksoverheid om te voldoen aan de implementatie
van verplichte securitystandaarden? Welke andere oorzaken ziet u?

Antwoord 4

Het tekort aan IT’ers bij de rijksoverheid speelt in zekere zin een rol om te voldoen
aan de implementatie van verplichte securitystandaarden. Ook het Rijk heeft namelijk
te maken met een tekort aan IT’ers en dat draagt bij aan het tijdig handelen. Echter
kunnen we niet causaal vaststellen dat een tekort aan IT’ers bijdraagt aan het niet
voldoen aan de gemaakte afspraken. Zoals onder vraag 3 toegelicht, kunnen andere oorzaken
ook bijdragen aan een onvoldoende toepassing van de standaarden zoals afhankelijkheid
van externe leveranciers en/of een gebrekkig domeinbeleid.

Vraag 5

Hoe beoordeelt u het feit dat pas 55% van de provincies alle anti-phishingstandaarden
volledig geadopteerd heeft en 81% van de gemeentes? Hoe gaat u ervoor zorgen dat ook
lagere overheden voldoen aan hun verplichtingen voor een veilige digitale omgeving?

Antwoord 5

Ik blijf mij inzetten voor een veilige en betrouwbare overheid op het internet. In
de beantwoording van Kamervragen over cookies op overheidswebsites6 van 1 november jl., heb ik aangekondigd medeoverheden en rijksoverheidsorganisaties
per brief te wijzen op het belang te voldoen aan geldende wet- en regelgeving. In
diezelfde brief zal ik eveneens aandacht vragen voor de implementatie van de informatieveiligheidsstandaarden.

Die brief bied ik aan de Vereniging van Nederlandse Gemeenten, het Interprovinciaal
Overleg, de Unie van Waterschappen, de CIO Rijk, de Manifestgroep en Klein Lef aan.
In die brief spreek ik de diverse overheden aan op hun verantwoordelijkheid om zich
te houden aan de gemaakte afspraken. Indien een overheidsorganisatie het IT-beheer
heeft uitbesteed, is het van belang de ICT-dienstverlener formeel te verzoeken om
ondersteuning van de betreffende standaarden, en daarbij te wijzen op beschikbare
how-to's en te vragen om een concrete planning.

Als de huidige leverancier te weinig medewerking verleent, moeten overheden overwegen
om over te stappen naar een leverancier die wel voldoet aan de afgesproken standaarden.
Om geschikte leveranciers te vinden kan informatie uitgewisseld worden met collega-overheden
die leveranciers hebben die wel de afgesproken standaarden ondersteunen.

Vraag 6

Met het oog op het principe van «goed voorbeeld doet goed volgen», acht u het pijnlijk
als verantwoordelijk Minister dat het Ministerie van Justitie en Veiligheid op dit
moment het minst goed aan deze standaarden voldoet? Wanneer verwacht u dit opgelost
te hebben?

Antwoord 6

Het is belangrijk dat het Ministerie van JenV zo spoedig mogelijk voldoet aan de verplichte
open informatieveiligheiddstandaarden van Forum Standaardisatie. Na het kerstreces
wordt uw Kamer door de Minister van JenV geïnformeerd over de termijn waarop de standaarden
zijn geïmplementeerd. Deze implementatie en het beheer van e-mail-en webdomeinen moet
in de ICT-agenda’s van de JenV-onderdelen worden gepland. Domeinbeheer is noodzakelijk
opdat het Ministerie van JenV blijft voldoen aan deze standaarden.