Kamervraag 2021Z04285

Het bericht ‘Justitie deelt kritieke informatie over hacks niet met bedrijven.’

Ingediend 8 maart 2021
Beantwoord 29 maart 2021 (na 21 dagen)
Indiener Dilan Yeşilgöz-Zegerius (VVD)
Beantwoord door Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)
Onderwerpen criminaliteit economie ict ondernemen openbare orde en veiligheid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2021Z04285.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20202021-2173.html
  • Vraag 1
    Bent u bekend met het bericht «Justitie deelt kritieke informatie over hacks niet met bedrijven»?1

    Ja.

  • Vraag 2
    Bent u bekend met de betreffende brief van de Cyber Security Raad? Zo ja, hoe beoordeelt u de zorgwekkende analyse van de Cyber Security Raad? Kunt u dit toelichten?

    Ja, ik ben bekend met de adviesbrief van de Cyber Security Raad (CSR) inzake het versneld delen van incidentinformatie. Het Nationaal Cyber Security Centrum (NCSC) kan in het kader van analyses ten behoeve van de primaire taakuitoefening (informeren en adviseren van vitale aanbieders en organisaties die deel uitmaken van de rijksoverheid) ook gegevens over dreigingen en incidenten met betrekking tot de netwerk- en informatiesystemen van andere aanbieders verkrijgen. De CSR stelt terecht dat het voor het NCSC nog niet mogelijk is om deze gegevens telkens te doen toekomen aan die andere aanbieders. Zij zijn hierdoor niet altijd op de hoogte van deze dreigingen of incidenten. Ik deel de zorgen van de CSR hierover en ben van mening dat het zo veel als mogelijk delen van informatie over dreigingen en incidenten van groot belang is voor de Nederlandse digitale veiligheid en weerbaarheid. Ik werk daarom aan een wetsvoorstel om ervoor te zorgen dat meer van de hiervoor genoemde gegevens bij die andere aanbieders terecht kunnen komen.

  • Vraag 3
    Klopt het dat nog veel dreigingsinformatie blijft hangen bij het National Cyber Security Centrum (NCSC) omdat de wettelijke basis voor het delen van deze informatie met betrokkenen nog niet op orde is? Zo ja, in hoeveel gevallen zijn bedrijven slachtoffer geworden van cyberaanvallen, terwijl het NCSC wel over relevante cruciale informatie beschikte en deze vervolgens niet kon delen?

    In de Wet beveiliging netwerk- en informatiesystemen (Wbni) zijn de taken en bevoegdheden van het NCSC opgenomen. Op dit moment bestaat er nog niet in alle gevallen een wettelijke grondslag voor het NCSC om dreigings- en incidentinformatie over netwerk- en informatiesystemen van andere aanbieders dan die in de doelgroep van Rijk en vitaal, die is verkregen in het kader van de primaire taakuitoefening, aan of ten behoeve van deze aanbieders te verstrekken. Zoals ook aangeven in het antwoord op vraag 2, vind ik dit niet wenselijk en kom ik daarom met een wetsvoorstel om ervoor te zorgen dat deze aanbieders meer van de hiervoor genoemde informatie kunnen verkrijgen. Dit voorstel houdt in dat het NCSC ook aan organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren (OKTT’s) vertrouwelijke herleidbare informatie over aanbieders kan verstrekken, zodat deze schakelorganisaties de niet-vitale aanbieders in hun doelgroep van relevante dreigings- en incidentinformatie kunnen voorzien (wijziging van artikel 20, tweede lid, van de Wbni). De verstrekking van deze gegevens is momenteel al mogelijk aan onder meer computercrisisteams.
    Daarnaast houdt dit voorstel in dat het NCSC in bijzondere gevallen informatie kan verstrekken aan individuele organisaties die geen deel uitmaken van de doelgroep Rijk en vitaal (wijziging artikel 3, tweede lid, van de Wbni).
    Het NCSC ontvangt dagelijks veel data uit verschillende (internationale) bronnen en analyseert deze in het kader van de uitoefening van de wettelijke taak ten behoeve van vitale aanbieders en organisaties die deel uitmaken van de rijksoverheid. Ik beschik niet over concrete cijfers over aantallen slachtoffers van cyberaanvallen buiten deze doelgroep.

  • Vraag 4
    Wordt er bij het NCSC actief gezocht naar alternatieven om toch cruciale dreigingsinformatie te kunnen delen met betrokkenen? Zo ja, op welke alternatieven wordt ingezet en op welke schaal? Zo nee, waarom niet en wat is de huidige status van het landelijk dekkend stelsel? Welke niet-vitale sectoren kunnen nog steeds geen dreigingsinformatie ontvangen?

    Het NCSC beziet voortdurend op welke manier zij het beste informatie en adviezen over digitale dreigingen en incidenten kan delen met de primaire doelgroep (vitale aanbieders, organisaties die deel uitmaken van de rijksoverheid) en andere organisaties in Nederland. Zo wordt er met inachtneming van de wettelijke kaders actief gewaarschuwd middels beveiligingsadviezen, nieuwsberichten op de website en berichten aan doelgroepen en andere partners.
    Ten behoeve van een zo breed mogelijke uitwisseling en verstrekking van voor aanbieders relevante dreigings- en incidentinformatie zet het kabinet sinds 2018 in op de ontwikkeling van het Landelijk Dekkend Stelsel (LDS) van cybersecurity samenwerkingsverbanden. Binnen dit LDS wordt informatie over cybersecurity breder, efficiënter en effectiever gedeeld tussen publieke en private partijen. Dit moet leiden tot een netwerk van schakelorganisaties die organisaties binnen hun onderscheidenlijke doelgroepen zo goed mogelijk kunnen adviseren en ondersteunen op het gebied van digitale veiligheid. Zoals aangegeven in de Kamerbrief van 3 februari jl.2 wordt, gebaseerd ook op aanbevelingen van het WODC, nog steeds gebouwd aan dit stelsel zodat zo veel mogelijk sectoren bereikt kunnen worden.
    Over de voortgang van het LDS zal uw Kamer worden geïnformeerd in de voortgangsrapportage over de Nederlandse Cybersecurity Agenda (NCSA).

  • Vraag 5
    Heeft het Digital Trust Center (DTC) inmiddels een OKTT-status (objectief kenbaar tot taak) mogen ontvangen zodat zij niet-vitale bedrijven kunnen voorzien van dreigingsinformatie? Zo nee, wat is de status, waarom is dit nog steeds niet gebeurd en wat zorgt voor de vertraging? Bent u het met de mening eens dat er snelheid gebaat is bij het toekennen van de OKTT-status aan het DTC, gezien de enorme veiligheidsrisico’s die bedrijven nu lopen?

    Het Digital Trust Center (DTC) van het Ministerie van EZK is op dit moment nog niet krachtens de Wbni als OKTT aangewezen. Door het Ministerie van EZK wordt momenteel gewerkt aan het laten voldoen van het DTC aan de voorwaarden voor die aanwijzing, waaronder het versterken van de juridische basis door middel van een wetsvoorstel. Na aanwijzing zal het DTC gaan beschikken over meer dreigings- en incidentinformatie die met het niet-vitale bedrijfsleven kan worden gedeeld.

  • Vraag 6
    Gelet op deze veiligheidsrisico’s voor duizenden ondernemers, wat is er op korte termijn (wettelijk) nodig om niet-vitale bedrijven toch te kunnen voorzien van dreigingsinformatie?

    De eigen digitale weerbaarheid is primair een eigen verantwoordelijkheid van bedrijven. Het DTC biedt informatie, advies en tools aan om niet vitale bedrijven in staat te stellen invulling te geven aan deze eigen verantwoordelijkheid. Voor de stappen die het DTC verder zet, verwijs ik u naar de brief van de Staatsecretaris van EZK aan uw kamer van 16 december jl.3.
    Daarnaast kunnen niet vitale bedrijven ook kennisnemen van de algemene beveiligingsadviezen van het NCSC. Ook kunnen deze bedrijven ervoor kiezen om bijvoorbeeld een computercrisisteam in het leven te roepen, of zich bij een al bestaand computercrisisteam of andere schakelorganisatie aan te sluiten, die deze bedrijven voorziet van voor hen relevante dreigings- en incidentinformatie. Deze schakelorganisaties kunnen bijvoorbeeld ook krachtens de Wbni als computercrisisteam of OKTT worden aangewezen en daardoor informatie van het NCSC ontvangen. Het NCSC en het DTC werken bovendien nauw samen en zijn voortdurend, samen met de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), telkens in gesprek over de mogelijkheden om binnen het LDS zo veel als mogelijk informatie te delen.
    Voorts werk ik, zoals ook aangegeven bij de antwoorden op de vragen 2 en 3, aan een wetsvoorstel om ervoor te zorgen dat de bevoegdheid van het NCSC om dreigings- en incidentinformatie over de beveiliging- en informatiesystemen van niet-vitale aanbieders aan of ten behoeve van die aanbieders te verstrekken wordt uitgebreid en wordt, zoals in het antwoord op vraag 5 gegeven, gewerkt aan het door het DTC voldoen aan de voorwaarden voor een aanwijzing krachtens de Wbni als OKTT.

  • Vraag 7
    Hoe staat het met de samenwerking tussen het NCSC en samenwerkingsverbanden met een OKTT-status zoals de Nationale Beheersorganisatie Internetproviders? In hoeveel gevallen heeft het NCSC al dreigingsinformatie gedeeld met bedrijven die onderdeel uitmaken van het Nationale Beheersorganisatie Internetproviders?

    Het NCSC deelt met organisaties met een OKTT-status binnen de wettelijke kaders, zoals eerder beschreven, gegevens over dreigingen en incidenten, voor zover deze gegevens betrekking hebben op en relevant zijn voor netwerk- en informatiesystemen van organisaties in hun respectievelijke doelgroepen. Daarbij kan het in elk geval ook persoonsgegevens aangaande actoren betreffen, zodat organisaties aan de hand daarvan dreigingen beter kunnen detecteren in hun netwerken. Voor zover de te delen informatie, en in het bijzonder persoonsgegevens, vertrouwelijke herleidbare gegevens met betrekking tot een aanbieder betreffen, is verstrekking hiervan aan een OKTT zoals de Nationale Beheersorganisatie Internetproviders (NBIP) momenteel niet mogelijk zonder toestemming van de betrokken aanbieders. Gelet hierop heeft de NBIP in de afgelopen periode tot nu toe in een aantal gevallen informatie over dreigingen en incidenten ontvangen.

  • Vraag 8
    Het bovenstaande overwegende, hoe beoordeelt u het huidige vermogen van de Nederlandse overheid om actief dreigingsinformatie te delen met Nederlandse bedrijven? Bent u het met de mening eens dat Nederland achterloopt op dit vlak wanneer wij kijken naar landen om ons heen zoals het Verenigd Koninkrijk?

    Voor het goed functioneren van het Nederlandse cybersecuritystelsel is – zoals ik ook heb aangegeven in voornoemde Kamerbrief van 3 februari jl. – een optimale uitwisseling van informatie over digitale dreigingen, kwetsbaarheden en incidenten tussen de overheid, vitale organisaties en niet-vitale organisaties van groot belang. De in voorgaande antwoorden genoemde wetswijziging zal hieraan bijdragen. Daarbij kijk ik ook steeds naar de wijze waarop andere landen, zoals het VK, hun cybersecuritystelsels hebben ingericht, met als doel lessen daarvan te leren, en te kijken hoe die zouden passen in de Nederlandse bestuurlijke context. In het WODC-rapport over het Landelijk Dekkend Stelsel, dat ik in november 2020 aan uw Kamer heb aangeboden, is bijvoorbeeld een landenstudie opgenomen, waarin is gekeken hoe andere landen informatiedeling hebben vormgegeven, waaronder het Verenigd Koninkrijk.4 Veel landen hebben ook, net als Nederland, documenten als hun nationale cyberstrategie openbaar beschikbaar gemaakt. Naast bilaterale contacten ben ik permanent met Europese lidstaten in gesprek over versterking van de digitale weerbaarheid o.a. in het kader van de besprekingen over de voorgenomen herziening van de richtlijn inzake de beveiliging van netwerk- en informatiesystemen en de Europese cybersecurity strategie. Indien daar aanleiding toe is, zal ik uw Kamer informeren over de bevindingen naar aanleiding van deze contacten.

  • Vraag 9
    Bent u het ook met de mening eens dat dit onacceptabel is gezien de serieuze veiligheidsrisico’s voor onze hoogontwikkelde kenniseconomie? Zo ja, bent u bereid om in gesprek te gaan met uw collega’s uit het Verenigd Koninkrijk? Zo ja, kunt u de Kamer op de hoogte houden van deze gesprekken?

    Zie antwoord vraag 8.

  • Vraag 10
    Bent u bereid om op de korte termijn, gezien de actuele en reële dreiging van cyberaanvallen, maatregelen te nemen die het delen van dreigingsinformatie tussen overheid en niet-vitale bedrijven mogelijk maakt? Zo nee, waarom niet? Zo ja, kunt u de Kamer zo spoedig mogelijk informeren over de te nemen stappen en het bijbehorende tijdspad? Zo nee, waarom niet?

    Ik werk, zoals hierboven is vermeld, aan een wetsvoorstel tot wijziging van de Wbni, om ervoor te zorgen dat meer dreigings- en incidentinformatie met betrekking tot de netwerk- en informatiesystemen van andere aanbieders dan die in de doelgroep van Rijk en vitaal bij deze aanbieders terecht kan komen. Ik streef ernaar om dit voorstel rond de zomer in consultatie te brengen.


Kamervraag document nummer: kv-tk-2021Z04285
Volledige titel: Het bericht ‘Justitie deelt kritieke informatie over hacks niet met bedrijven.’
Kamerantwoord document nummer: ah-tk-20202021-2173
Volledige titel: Antwoord op vragen van het lid Yesilgöz-Zegerius over het bericht ‘Justitie deelt kritieke informatie over hacks niet met bedrijven’