| Ingediend | 3 januari 2024 |
|---|---|
| Beantwoord | 13 maart 2024 (na 70 dagen) |
| Indiener | Jesse Six Dijkstra (NSC) |
| Beantwoord door | Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
| Onderwerpen | openbare orde en veiligheid organisatie en beleid politie, brandweer en hulpdiensten |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2024Z00025.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20232024-1233.html |
Ja, ik ben bekend met het bericht «Veiligheidsregio gebruikte jarenlang Chinese apparatuur ondanks spionagerisico’s.
Zoals eerder is aangegeven in onder meer het Cybersecuritybeeld Nederland2 en het Dreigingsbeeld Statelijke Actoren 23 is in algemene zin bekend dat statelijke actoren gebruik maken van supply-chain aanvallen via toeleveranciers, digitale dienstverleners of veelgebruikte software. Er kunnen aanvullende risico’s zijn als dergelijke toeleveranciers, dienstverleners en software afkomstig zijn uit landen met een offensief cyberprogramma tegen Nederland. Het is echter niet per definitie zo dat het gebruik van hard- en software uit deze landen risico’s met zich meebrengt. Om dit te kunnen beoordelen is onder meer het proces waarvoor de hard- en software wordt gebruikt relevant en bijvoorbeeld ook de manier waarop dit binnen organisaties gebruikt wordt. Routers en switches zijn onderdeel van de netwerkinfrastructuur van organisaties en om eventuele risico’s van het gebruik hiervan te kunnen duiden, prioriteren en beheersen is het van belang te bepalen welke rol de routers en switches hebben in deze infrastructuur. De risico’s zijn bijvoorbeeld mogelijk groter als ze onderdeel zijn van de data/informatieverwerking van de organisatie of specifieke (vitale) processen ondersteunen. Ook is relevant of het land waar de leverancier uit afkomstig is wetgeving kent die burgers en bedrijven verplichten mee te werken met de overheid. Een solide risicoanalyse en risicomanagementproces zijn nodig om eventuele passende maatregelen te kunnen nemen.
Het is in dat verband van belang dat organisaties zich bewust zijn van mogelijke risico’s in de toeleveringsketen, dit meenemen in hun inkoop- en aanbestedingsprocessen en waar nodig een risicoanalyse uitvoeren. Het kabinetsbeleid schrijft daarom voor dat nationale veiligheidsoverwegingen meegewogen worden bij de inkoop en het gebruik van producten en diensten bij de Rijksoverheid, lokale overheden en vitale aanbieders. In de Kamerbrief Uitvoering moties Rajkowski van 17 april 2023 wordt dit beleid nader toegelicht4. Het uitgangspunt is bij iedere inkoopopdracht risico’s voor de nationale veiligheid in kaart te brengen en hier waar nodig gepaste maatregelen op te treffen. Ter ondersteuning van dit beleid is in 2018 en 2019 instrumentarium ontwikkeld dat organisaties mogelijkheden biedt bij het maken van een risicoanalyse en het treffen van maatregelen. Dit instrumentarium is recent geactualiseerd5. Deze instrumenten worden beschikbaar gesteld voor en actief verspreid onder vitale aanbieders. Tevens wordt doorlopend ingezet op bewustwording bij vitale aanbieders over het signaleren van risico’s in het inkoopproces.
Daarnaast kunnen organisaties gebruik maken van de handreiking Omgaan met risico’s in de toeleveringsketen van het Nationaal Cyber Security Centrum. Deze publicatie geeft publieke en private organisaties handvatten om zicht en grip te krijgen op risico’s die voortvloeien uit de toeleveringsketen, ook in relatie tot leveranciers uit landen met een offensief cyberprogramma. Overheidsorganisaties kunnen ook gebruikmaken van de Inkoopeisen Cybersecurity Overheid wizard (ICO-wizard) die is opgesteld door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) samen met EZK. Deze inkooptool is ontwikkeld om veilig inkopen te vergemakkelijken. Met de ICO-wizard kunnen eisenpakketten worden geselecteerd die aansluiten op verschillende typen aan te besteden of in te kopen producten en/of diensten.
Nee. Ik heb geen volledig zicht op welke netwerkapparatuur wordt gebruikt door veiligheidsregio’s. Het is aan de besturen van veiligheidsregio’s zelf om bij de aanschaf en ingebruikname van ICT-producten en diensten zich bewust te zijn van mogelijke risico’s in de toeleveringsketen, dit mee te nemen in hun inkoop- en aanbestedingsprocessen en waar nodig een risicoanalyse uit te voeren.
Zie antwoord vraag 3.
Veiligheidsregio’s spelen een belangrijke rol in de crisisbeheersing en nationale veiligheid van Nederland. In algemene zin is het conform bestaand beleid (zie onder meer de beantwoording op vraag 2 en 4) aan de besturen van veiligheidsregio’s zelf om afwegingen te maken daar waar het gaat om het gebruik van (netwerk-)apparatuur.
Meer specifiek is digitale weerbaarheid voor de veiligheidsregio’s een belangrijk onderwerp. De 25 veiligheidsregio’s werken in een gezamenlijk meerjarig programma informatievoorziening aan hun eigen weerbaarheid. Ik zal de komende tijd met de veiligheidsregio’s het gesprek aangaan over dit onderwerp en met hen bespreken of aanvullende stappen nodig zijn.
Het kabinet voert zoals aangegeven in het antwoord op vraag 2 een landenneutraal beleid. Dit betekent dat leveranciers uit specifieke landen door de aanbestedende dienst niet op voorhand categorisch worden uitgesloten, maar dat dit per casus op basis van een risicoafweging wordt bepaald. Hierbij kan per casus tevens door de organisatie zelf een marktanalyse worden uitgevoerd, waarbij in kaart kan worden gebracht of Europese aanbieders bij een inkoop- en aanbestedingstraject kunnen worden betrokken.
Het heeft de prioriteit van het kabinet om in samenwerking met alle departementen het veilig inkopen en aanbesteden in onderlinge samenhang verder te verbeteren en te versterken. Er is stevig ingezet op het sterker benutten van de huidige mogelijkheden binnen de Aanbestedingswetgeving en op het vergroten van de bewustwording ten aanzien van nationale veiligheidsrisico’s. Tevens vindt meer voorlichting en communicatie plaats over de (juridische) mogelijkheden ten aanzien van veilig inkopen en aanbesteden. Ook wordt een regeling opgezet (genaamd Algemene Beveiligingseisen Rijksoverheid Opdrachten of afgekort ABRO) voor aanbestedingen van de Rijksoverheid en de Politie die de nationale veiligheid raken. De nieuwe regeling zal eisen stellen aan opdrachtnemers op het gebied van fysieke beveiliging, (digitale) informatiebeveiliging en cybersecurity, (wijzigingen in) eigendomsstructuren, economische veiligheid, screening van personeel en procedures bij incidenten.
Hierbij deel ik u mede dat de schriftelijke vragen van het lid Six Dijkstra (Nieuw Sociaal Contract), van uw Kamer aan de Minister van Justitie en Veiligheid over het artikel «Veiligheidsregio gebruikte jarenlang Chinese apparatuur ondanks spionagerisico’s» (ingezonden 3 januari 2024) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.