• Vraag 1

  Heeft u een voorlopig beeld van in welke mate de kwetsbaarheden in de on-premise versie van Microsoft Sharepoint Server een effect hebben gehad op de Nederlandse overheid en samenleving?1 Kunt u in algemene zin een indicatie geven van de hoeveelheid (potentiële) slachtoffers in Nederland?
  
  

  Het voorlopige beeld op dit moment is dat de kwetsbaarheden in Sharepoint slechts beperkt effect hebben gehad op de Nederlandse overheid en samenleving.
  De samenwerkingsruimten bij rijksorganisaties, die zijn gebaseerd op Sharepoint, zijn destijds tijdelijk uit voorzorg door SSC-ICT geblokkeerd. Sinds vrijdag 24 juli zijn de samenwerkingsruimten weer beschikbaar voor medewerkers en externen.
  Voor de medeoverheden geldt dat ze in het algemeen niet in de on-premise versie van Microsoft SharePoint Server werken omdat zij voornamelijk de cloud-variant gebruiken, waarop de kwetsbaarheid niet van toepassing is. Impact voor de medeoverheden lijkt om die reden beperkt.
  Daarnaast verstrekt het Nationaal Cyber Security Centrum (NCSC) bij dergelijke kwetsbaarheden duidingsinformatie, handelingsperspectieven en beveiligingsadviezen.
  

• Vraag 2

  Kunt u dit ook aangeven ten aanzien van de recente kwetsbaarheden in Citrix Netscaler?2
  
  

  Op de impact op de strafrechtketen naar aanleiding van de offline gang van het Openbaar Ministerie (OM) heb ik uw Kamer reeds geïnformeerd.3
  Daarnaast heeft het NCSC heeft ook ten aanzien van de kwetsbaarheid in Citrix Netscaler verschillende adviezen uitgebracht. Deze adviezen zijn gedeeld met de desbetreffende doelgroepen en betroffen aanbevelingen voor het uitvoeren van patches en het draaien van scripts.
  Bij enkele rijksorganisaties zijn sporen van compromittatie aangetroffen. Mitigerende maatregelen zijn getroffen en nader onderzoek wordt verricht. Tot dusver zijn er geen aanwijzingen dat andere overheidsorganisaties zijn gecompromitteerd.
  

• Vraag 3

  Kunt u reflecteren op Microsofts attributie van de initiële cyberaanvallen waarbij gebruik is gemaakt van Sharepoint-kwetsbaarheden aan de Chinese cyber threat actors Linen Typhoon, Violet Typhoon en Storm-2603, in relatie tot de gekende Chinese digitale spionagedreiging zoals beschreven in het Dreigingsbeeld Statelijke Actoren (DBSA) 2025 (Kamerstuk 30 821, nr. 305)?3
  
  

  De digitale spionagedreiging zoals beschreven in DBSA 2025 heeft de constante aandacht van het kabinet. Cybersecurity bedrijven zoals Microsoft onderzoeken met regelmaat de toedracht en oorsprong van cyberaanvallen. Die informatie bestudeert het kabinet met aandacht. Evenwel moet een attributie door het kabinet altijd rusten op eigenstandige informatie.
  

• Vraag 4

  In welke mate weten het Nationaal Cyber Security Center (NCSC) en de relevante doelgroepen elkaar te vinden als het gaat om het opvolgen van beveiligingsadviezen, het delen van indicators of compromise (IoC’s) en het melden van compromittaties, in casussen als Sharepoint en Netscaler? Op welk vlak zijn de grootste verbeteringen nog mogelijk?
  
  

  Het NCSC verzamelt en analyseert, in het kader van de uitoefening van de taken in de Wet beveiliging netwerk- en informatiesystemen (Wbni), continu informatie over dreigingen en incidenten en deelt deze informatie in datzelfde kader zo veel als mogelijk met publieke en private organisaties waarvoor die informatie relevant is, of met hun schakelorganisaties. Zo worden deze organisaties in staat gesteld zelf aanvullend onderzoek te verrichten. Via nieuws- en doelgroepberichten biedt het NCSC technische hulpmiddelen, zoals scripts en Indicators of Compromise (IoC’s), die helpen bij het detecteren, herkennen en onderzoeken van incidenten. Ook verstrekt het NCSC onder meer duidingsinformatie, handelingsperspectieven en beveiligingsadviezen via een uitgebreid netwerk en (openbare) kanalen aan publieke en private partijen. Daarnaast onderhoudt het NCSC contact met verschillende incident response-partijen voor informatie-uitwisseling en het verstrekken van passende adviezen. Informatie-uitwisseling over cyberdreigingen- en incidenten vindt plaats via bestaande samenwerkingen en informatiekanalen. Daarnaast zijn initiatieven zoals het Cyberweerbaarheidsnetwerk en Cyclotron in ontwikkeling om deze uitwisseling verder te versterken.
  

• Vraag 5

  Zal de inwerkingtreding van de Cyberbeveiligingswet naar uw verwachting deze informatieuitwisseling versterken? Kunt u dit toelichten?
  
  

  Na inwerkingtreding van de Cyberbeveiligingswet (Cbw) zal de uitwisseling van informatie vanuit het NCSC in ruimere zin mogelijk worden, in elk geval omdat een Computer Security Incident Response Team (CSIRT) op grond daarvan uitdrukkelijk tot taak krijgt om informatie over dreigingen, kwetsbaarheden en incidenten niet alleen aan essentiële en belangrijke entiteiten, maar ook aan alle andere relevante partijen te verstrekken. Daarbij is de tussenkomst van schakelorganisaties niet meer vereist.
  

• Vraag 6

  Wanneer verwacht u de Kamer te kunnen informeren over de omstandigheden, de schade en de consequenties van de compromittatie van systemen van het Openbaar Ministerie (OM) middels kwetsbaarheden in Netscaler, welke volgens de media waarschijnlijk door een Russische cyber threat actor uitgevoerd is?4
  
  

  Uw Kamer is hier reeds op verschillende momenten over geïnformeerd.6, 7, 8 Wat de exacte consequenties van de compromittatie zijn, is onderwerp van lopend onderzoek.
  

• Vraag 7

  Bent u voornemens om die betreffende cyberaanval op het OM, indien dit met voldoende betrouwbaarheid mogelijk is, publiekelijk te attribueren aan een cyber threat actor en/of een land, net zoals het kabinet reeds gedaan heeft met de attributie van de politiehack uit 2024 aan de Russische cyber threat actor LAUNDRY BEAR?
  
  

  Zoals aangegeven in antwoord op vraag 3 heeft de digitale spionagedreiging de continue aandacht van dit kabinet. In lijn met de motie Erkens (36 410 X, nr. 46) is het de inzet van het kabinet om waar mogelijk cyberaanvallen en bijbehorende technische werkwijzen openbaar te maken. De wenselijkheid van het publiek attribueren aan een statelijke actor hangt af van een groot aantal factoren. De beoogde doelen en effecten van de publieke attributie, de technische afwegingen, diplomatieke gevolgen, eventuele gevolgen voor lopend onderzoek en het effect op de nationale veiligheid worden alle meegewogen bij besluitvorming over attributie. Ook worden gelijkgestemde partners, in het bijzonder EU-lidstaten en NAVO-bondgenoten, vooraf op de hoogte gesteld van een attributie.
  Bovendien is het van belang het beoogde doel scherp te formuleren. Publieke attributie kan wat het kabinet betreft de volgende doelen dienen: het door middel van openbaarmaking van informatie verstoren van cyberoperaties, het beïnvloeden van het gedrag van kwaadwillende actoren, het informeren van internationale partners en bondgenoten en het informeren van overige derde landen die met een soortgelijke dreiging te maken hebben.
  Bij deze besluitvorming zijn de Ministeries van Defensie, Justitie en Veiligheid (NCTV en NCSC), Buitenlandse Zaken, de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD), de Politie en het Openbaar Ministerie (OM) betrokken. Het uiteindelijke besluit over een attributie wordt door het kabinet, via de Raad Veiligheid en Inlichtingen, genomen.
  

• Vraag 8

  Heeft de Nederlandse overheid een algemeen publiekelijk attributiebeleid voor cyberaanvalscampagnes?
  
  

  Zie antwoord vraag 7.

• Vraag 9

  Welk afwegingskader(s) hanteert de overheid voor het al dan niet publiekelijk attribueren van cyberaanvallen? Welk(e) bewindspersoon/-personen of welk(e) departement(en) is/zijn doorslaggevend in het besluit of dit publiekelijk gebeurt?
  
  

  Zie antwoord vraag 7.

• Vraag 10

  Zal het feit dat, zoals in het DBSA 2025 wordt gesteld, «er steeds meer landen [lijken] te zijn die in Nederland willen spioneren, met name digitaal via offensieve cyberprogramma’s» van invloed zijn op het attributiebeleid of de uitvoeringspraktijk? Acht u het waarschijnlijk dat het kabinet in de komende jaren meer cyberaanvalscampagnes aan meer landen zal attribueren?
  
  

  Zie antwoord vraag 7.

• Vraag 11

  Hoe en in welke mate wegen diplomatieke afbreukrisico’s mee in het al dan niet publiekelijk attribueren van een cyber threat actor aan een land?
  
  

  Zie antwoord vraag 7.

• Vraag 12

  Heeft u een beeld van hoe de Cybersecurity Advisory over LAUNDRY BEAR inclusief mapping naar het MITRE ATT&CK framework over het algemeen ontvangen is bij de relevante partijen (Kamerstuk 29 628, nr. 1256)? Wordt een rapport als deze in de sector als behulpzaam beschouwd?
  
  

  De Cybersecurity Advisory bevat handelingsperspectief voor publieke en private organisaties in Nederland, en wereldwijd, om hun weerbaarheid te verhogen en onderzoek mogelijk te maken naar deze cyberactor.
  De relevante partijen hebben de Cybersecurity Advisory goed ontvangen. Zij zien dit rapport als behulpzaam en worden door de CSA in staat gesteld zelf onderzoek te doen.
  

• Vraag 13

  Voorziet u dat het kabinet in de toekomst vaker adviesrapporten van deze aard en omvang met classificatie TLP:CLEAR zal verstrekken? Wat zijn hierin de afwegingen?

• Mededeling - 18 augustus 2025

  Hierbij deel ik u mede dat de schriftelijke vragen van het lid Six Dijkstra (Nieuw Sociaal Contract), van uw Kamer aan de Minister van Justitie en Veiligheid over de recente cyberaanvallen middels kwetsbaarheden in Sharepoint en Netscaler (ingezonden 28 juli 2025) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.

Kamervraag document nummer: kv-tk-2025Z14918

Volledige titel: De recente cyberaanvallen middels kwetsbaarheden in Sharepoint en Netscaler

Kamerantwoord document nummer: ah-tk-20252026-79

Volledige titel: Antwoord op vragen van het lid Six Dijkstra over de recente cyberaanvallen middels kwetsbaarheden in Sharepoint en Netscaler