Uitgelicht : Informatiebeveiliging overheid

De commissie voor Digitale Zaken debatteert op donderdag 12 september 2024 van 13.00 tot 16.00 uur over informatiebeveiliging bij de overheid. Hiervoor komt staatssecretaris Zsolt Szabó (Binnenlandse Zaken en Koninkrijksrelaties) naar de Tweede Kamer.

Computerscherm met reeksen cijfers.

Volg live

Het debat is in de Troelstrazaal van de Tweede Kamer. Via deze website kunt u live meekijken of meeluisteren. Of kijk via de app en website Debat Direct.

Agenda en verslag

U kunt alle stukken doornemen die bij dit debat horen.

Onderwerpen

Voor dit commissiedebat staan onder andere de volgende onderwerpen op de agenda: het versterken van de aandacht voor (nationale) cyberveiligheid bij het inkopen van digitale producten en diensten voor de overheid, een onderzoek naar goede bescherming van onmisbare (vitale) nationale digitale processen en het beter borgen van de veiligheid van informatie over burgers. 

Nationale cyberrisico’s weren

Het kabinet heeft twee moties uitgevoerd die betrekking hebben op de overheidsaandacht voor nationale cyberveiligheid bij het inkopen (aanbesteden) van producten en diensten. Die aandacht is op drie punten intensiever geworden, blijkt uit een brief van de staatssecretaris hierover uit april 2023. Ten eerste worden bestaande mogelijkheden binnen de aanbestedingswetgeving beter benut en is ingezet op het vergroten van het bewustzijn van nationale veiligheidsrisico’s en de juridische mogelijkheden voor maatwerkafspraken. Daarnaast zijn de regels aangescherpt voor te gebruiken instrumenten voor aanbestedingen en het toezicht daarop. Dat heeft geleid tot het opstellen van de Inkoopeisen Cybersecurity Overheid (ICO). Ten slotte is een regeling opgezet (Algemene Beveiligingseisen rijksoverheid Opdrachten, afgekort ABRO) voor aanbestedingen van de rijksoverheid en de Nationale Politie die de nationale veiligheid raken.

Digitale ‘kroonjuwelen’ beschermen

Het kabinet heeft onderzoek laten doen naar extra eisen en toezicht voor vitale digitale processen van de overheid. Dat heeft geleid tot het rapport “Digitale Kroonjuwelen, Gegevens, documenten en registraties van Nationaal Belang” van TwynstraGudde in juni 2023. De herziene Netwerk- en Informatiebeveiligingsrichtlijn (NIS2-richtlijn) speelt bij de bescherming van deze vitale digitale processen een rol. De NIS2 regelt dat overheidsorganisaties met een eigen risicobeoordeling moeten bepalen welke maatregelen nodig zijn voor passende beveiliging van hun netwerk- en informatiesystemen. Voor het beschikbaar houden van onmisbare digitale processen moet die inspanning groter zijn. Een belangrijk instrument daarbij is de Baseline Informatiebeveiliging Overheid (BIO). Er wordt nu gewerkt aan een geactualiseerde versie van dit basisnormenkader voor informatiebeveiliging waar alle overheden in ons land zich aan moeten houden.

Beveiligen van burgerinformatie

In het commissiedebat Informatiebeveiliging bij de overheid van 5 april 2023 heeft het lid Slootweg (CDA) gevraagd om (extra) waarborgen in de aanbestedingsregels ten behoeve van mensen die de overheid informatie toevertrouwen. In reactie daarop stuurde de staatssecretaris voor Koninkrijksrelaties en Digitalisering een brief (12 januari 2024) waarin zij uiteenzet hoe de aanbestedingsregels zich verhouden tot het gehele inkoopproces en de verschillende fases daarvan: de aanbesteding, het sluiten van het contract en tot slot de uitvoeringsfase. 

Aanvullende instrumenten

In het inkoopproces zijn er verschillende mogelijkheden om alle noodzakelijke eisen en wensen op het gebied van privacy en informatieveiligheid op adequate wijze te waarborgen. Denk hierbij aan richtlijnen zoals de eerder genoemde BIO en Inkoopeisen Cybersecurity Overheid (ICO). Omdat er tegen hedendaagse dreigingen specifieke eisen nodig zijn per product of dienst, ontwikkelt het kabinet aanvullende instrumenten om het eisenpakket voor aanbestedingen aan te scherpen.

Terugkijken

Het debat is terug te zien en het woordelijk verslag is te lezen zodra dat klaar is.