Lijst van vragen en antwoorden : Lijst van vragen en antwoorden inzake Zevende voortgangsrapportage programma Grensverleggende IT (GrIT)(Kamerstuk 35728-23)

Nr. 24 LIJST VAN VRAGEN EN ANTWOORDEN

Vastgesteld 26 januari 2026

De vaste commissie voor Defensie heeft een aantal vragen voorgelegd aan de Staatssecretaris
van Defensie over de brief van 1 oktober 2025 inzake de Zevende voortgangsrapportage
programma Grensverleggende IT (GrIT) (Kamerstuk 35 728, nr. 23).

De Staatssecretaris van Defensie heeft deze vragen beantwoord bij brief van 26 januari
2026. Vragen en antwoorden zijn hierna afgedrukt.

De fungerend voorzitter van de commissie, Paternotte

Adjunct-griffier van de commissie, Manten

1.

Zijn er veiligheidsrisico’s verbonden aan de betrokkenheid van de Amerikaanse bedrijven
Kyndryl en Cisco bij de IT-structuur in verband met de voor deze bedrijven geldende
Amerikaanse wetgeving? Zo ja, hoe worden deze risico’s uitgesloten of gemitigeerd?

Defensie ziet op dit moment geen veiligheidsrisico’s bij de inzet van de Amerikaanse
bedrijven Kyndryl en Cisco. Alle data wordt uitsluitend binnen de eigen Defensie-datacenters
verwerkt en opgeslagen; export van die data is niet toegestaan. Toegang tot de datacenters
hebben alleen personen met een passende screening, en medewerkers van Kyndryl en Cisco
ondergaan dezelfde strenge veiligheidsonderzoeken als defensiepersoneel. Deze maatregelen
sluiten de invloed van Amerikaanse wetgeving op de IT-systemen effectief uit of mitigeren
ze.

2.

Kunt u nader toelichten tot welke kosten het langer actueel houden van huidige IT
heeft geleid? Welke IT betreft het hier?

Het betreft kosten voor extra lifecycle-management, bijvoorbeeld cybersecurity, met
name op het gebied van werkplek-gerelateerde zaken, en enkele noodzakelijke uitbreidingen
van huidige (private) clouddiensten. Dit is het gevolg van de vertraging in de planning
van het programma GrIT (in totaal € 6,1 miljoen over de rapportageperiode van 1 januari
2025 tot en met 30 juni 2025).

3.

Is ten opzichte van de vorige voortgangsrapportage binnen het programma GrIT de benodigde
Defensiecapaciteit ook voor het hele jaar 2025 en tot medio 2026 georganiseerd?

De capaciteit voor de tweede helft van 2025 is geborgd, dit zal ook in de volgende
Voortgangsrapportage worden opgenomen.

Voor 2026 heeft het programma de capaciteitsbehoefte aangegeven voor het hele kalenderjaar,
waarbij in overleg met de betrokken afdelingen per kwartaal de capaciteit definitief
wordt geborgd.

De benodigde capaciteit wordt per kwartaal herijkt, aangepast op de actuele stand
van zaken, zodat Defensie (schaarse) capaciteit optimaal kan inzetten voor alle programma’s
en projecten die prioriteit hebben.

4.

Kunt u van de genoemde negen hoofdrisico’s aangeven wat de inschatting is van de kans
van optreden en de inschatting van de impact? Kan dit in volgende voortgangsrapportages
worden opgenomen?

In bijgevoegde vertrouwelijke bijlage1 is de risicomatrix toegevoegd. In deze matrix wordt voor de negen hoofdrisico’s de
kans en impact aangegeven. In toekomstige voortgangsrapportages wordt deze matrix
toegevoegd aan de vertrouwelijke bijlage.

Daarbij merk ik op dat de risicomatrix betrekking heeft op de rapportageperiode van
1 januari 2025 tot 30 juni 2025. Voor de volgende voortgangsrapportage zal de matrix
worden geactualiseerd. Vooruitlopend hierop wil ik uw Kamer informeren dat risico
drie, inzake koppelingen, zich inmiddels heeft voorgedaan. De oplevering van het Private
Cloud Platform (PCP) op 15 oktober 2025 is mede vertraagd omdat koppelingen tussen
de nieuwe IT en de bestaande IT onvoldoende gemaakt konden worden. Er zijn mitigerende
maatregelen genomen om de impact op de rest van het programma te verkleinen en te
zorgen voor een snelle oplevering. Hierover wordt u in de volgende voortgangsrapportage
nader geïnformeerd.