| Ingediend | 11 februari 2026 |
|---|---|
| Beantwoord | 13 april 2026 (na 61 dagen) |
| Indieners | Barbara Kathmann (PvdA), Habtamu de Hoop (PvdA) |
| Beantwoord door | Thierry Aartsen (VVD), van Marum |
| Onderwerpen | economie ict internationaal organisatie en beleid spoor verkeer |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2026Z02956.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20252026-1608.html |
Ja.
De aanbesteding betreft een aantal verschillende systemen. Het gaat om:
Uitval van deze systemen heeft niet direct gevolgen voor het rijden van treinen. Wel kan de uitval gevolgen hebben voor andere aspecten van de dienstverlening, wat uiteindelijk tot hinder voor reizigers kan leiden. Het is overigens goed om te beseffen dat bovenstaande functies die onderdeel zijn van de uitbesteding, nu ook al zijn ondergebracht bij derde partijen.
Zie voor een opsomming van de betreffende systemen het antwoord op vraag 2.
Het Security Operations Center wordt door NS zelf verzorgd, op dit moment in samenwerking met een Nederlands IT-bedrijf. In deze aanbesteding heeft NS de cyberrisico’s in kaart gebracht en in lijn daarmee passende eisen gesteld en een passend risicomanagementsysteem gekozen.
Zie ook het antwoorden op vragen 2 en 3. Uitval van deze systemen heeft geen of beperkte directe gevolgen voor het rijden van treinen. Wel kan de uitval gevolgen hebben voor andere aspecten van de dienstverlening. De daadwerkelijke impact hangt af van de aard en de duur van de onderbreking en het specifieke onderdeel van de dienstverlening dat geraakt wordt.
Hierbij dient te worden benadrukt dat de grootste bedreiging voor de continuïteit van de (digitale) dienstverlening externe kwaadwillenden zijn. Hiertoe is het van belang dat de digitale diensten die worden afgenomen voldoen aan het vereiste beveiligingsniveau. De gekozen dienstverlener voldoet hieraan.
Diverse landen kennen inderdaad wet- en regelgeving met extraterritoriale werking die medewerking van dienstverleners bij gegevensverzoeken van veiligheidsdiensten verplicht, zoals de CLOUD Act, Executive Order 12333, en FISA sectie 702 in de VS. Voor EO12333 is geen medewerking van de leverancier vereist. Dergelijke wet- en regelgeving kan in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens. Op basis van dergelijke regelgeving kan een onder Amerikaanse zeggenschap vallende organisatie de opdracht krijgen gegevens te verstrekken aan de Amerikaanse overheid. Zie verder het antwoord op vragen 2 en 3.
In deze NS-casus ziet het kabinet geen aanleiding om aan te nemen dat door de inkoop van deze ICT-diensten de continuïteit van de dienstverlening in gevaar wordt gebracht of dat het gebruik van deze specifieke digitale dienst gebruikt zal worden om druk uit te oefenen op Nederland. Nederland en Europa zijn voor cruciale digitale infrastructuur sterk afhankelijk geworden van een klein aantal niet-Europese spelers. Dat maakt ons kwetsbaar in een wereld waarin technologie steeds vaker als geopolitiek machtsmiddel wordt ingezet. Dit levert efficiëntie en toegang tot belangrijke functionaliteiten op, maar legt ook een kwetsbaarheid bloot ten aanzien van afhankelijkheid en digitale autonomie. Daarom is in algemene zin de inzet van het kabinet er op gericht om risicovolle strategische afhankelijkheden van derde landen af te bouwen en zoveel mogelijk te diversifiëren, ook op digitaal vlak.
Zie het antwoord op vraag 8.
NS dient zicht te houden aan de Aanbestedingswet. Het eerdere contract met KPN liep af en kende ook geen verlengingsmogelijkheden meer. NS is dan verplicht de opdracht via een Europese Aanbestedingsprocedure in de markt te zetten. Daarbij stelt NS zeer uitgebreide eisen en criteria op het gebied van prijs, kwaliteit, beschikbaarheid (zo min mogelijk storingen) en cyberveiligheid. De Nederlandse dochter van een Amerikaanse onderneming kwam als beste uit de bus.
De gunning is een uitkomst van het verplichte Europese aanbestedingsproces. Het kabinet heeft als doel om bij digitale inkoop en aanbestedingen te gaan standaardiseren en centraliseren, waarbij onder meer gestuurd wordt op waarden zoals security-by-design, zero-trust, soevereiniteit, open source en ketenveiligheid.
Als aandeelhouder van NS staat de Minister van Financiën op dit onderwerp meer op afstand: operationele zaken zoals de wijze van aanbesteden zijn primair de verantwoordelijkheid van het bestuur van de deelnemingen.
Ik verwijs graag naar mijn antwoord op vraag 6, 8 en 9.
Een dergelijke doorlooptijd is niet ongewoon gezien de implementatietijd en -kosten van een dergelijke migratie.
Het klopt dat er geen nationale richtlijnen zijn om Amerikaanse partijen te weren en de inzet van het kabinet is daar ook niet op gericht. Het Rijksbreed cloudbeleid is niet van toepassing op staatsdeelnemingen, en is landenneutraal opgesteld.
Het kabinet heeft wel als doel om bij digitale inkoop en aanbestedingen te gaan standaardiseren en centraliseren, waarbij onder meer gestuurd wordt op waarden zoals security-by-design, zero-trust, soevereiniteit, open source en ketenveiligheid.
Het kabinet heeft besloten dat de departementen, hun diensten en agentschappen, en de politie vanaf 1 januari 2026 de ABRO gaan toepassen bij contracten met bedrijven als daarbij risico’s voor de nationale veiligheid aanwezig zijn. De NS is geen onderdeel van deze organisaties. Voor de implementatie hiervan hebben deze inkopende organisaties tot eind 2027 de tijd gekregen. Daarover is uw Kamer geïnformeerd (TK 2025/2026 26 643, nr. 1438). Als een inkopende organisatie, voordat zij besluit de ABRO toe te gaan passen, al een aanbestedingsproject in gang heeft gezet, is uitgangspunt dat deze aanbesteding niet alsnog onder de ABRO kan worden gebracht.
In bedoelde Kamerbrief is ook gemeld dat voorbereidingen worden getroffen om deze beveiligingseisen ook te laten toepassen door andere inkopende organisaties. Dat gaat om onder meer Zelfstandige Bestuursorganen, provincies, gemeenten, waterschappen en vitale sectoren. Momenteel wordt binnen het rijksbrede programma «Veilig inkopen» onderzocht welke risico’s deze organisaties lopen voor de nationale veiligheid. Het staat nog niet vast welke specifieke organisaties in dit onderzoek worden meegenomen. Voor deze inkopende organisaties worden de benodigde juridische instrumenten, financiën en organisatorische afspraken voorbereid. In het 3e kwartaal van 2026 wordt de Tweede Kamer over de stand van zaken van het programma «Veilig inkopen» geïnformeerd.
De ABRO maakt onderdeel uit van een keten. De inkopende organisatie deelt bij aanvang van een aanbesteding mee dat de ABRO wordt toegepast. Als bij een inkoop de Aanbestedingswet op Defensie- en Veiligheidsgebied (ADV) wordt gevolgd, dan biedt dat de mogelijkheid om alleen bedrijven uit de Europese Economische Ruimte én bedrijven uit nader te bepalen landen toe te laten als inschrijver op zo’n inkoop.
De ABRO ziet niet direct op digitale soevereiniteit en biedt geen directe mogelijkheden om ongewenste overnames te voorkomen of bepaalde aanbieders op voorhand uit te sluiten in een aanbesteding. Het Nationaal Bureau Industrieveiligheid (NBIV) controleert het bedrijf dat als winnaar uit zo’n aanbesteding komt of het aan de ABRO-eisen voldoet. Daarbij dient onder meer inzicht te worden gegeven in de organisatiestructuur van en de zeggenschap over een bedrijf. Als de risico’s voor de nationale veiligheid niet kunnen worden beperkt, geeft NBIV geen ABRO-verklaring af en kan in beginsel geen contract worden afgesloten.
Bij een contract waarop de ABRO is toegepast, is de contractspartij verplicht om NBIV tijdig te informeren bij potentiële overnames of wisselingen in significante invloed. Het biedt opdrachtgever en NBIV daarmee de mogelijkheid om de risico’s voor de nationale veiligheid te beperken. Indien die risico’s niet kunnen worden beperkt, kan de ABRO-verklaring worden ingetrokken en kan de inkopende organisatie het contract ontbinden.
Het Cloud Sovereignty Framework van de EU is niet van toepassing op deze tender en bestond nog niet ten tijde van het uitzetten van de onderhavige aanbesteding. Het is op basis van de aanbestedingsregels niet toegestaan om gedurende de aanbestedingsprocedure aanvullende eisen (zoals het EU Cloud Sovereignty Framework) toe te voegen.
Het Cloud Sovereignty Framework van de EU biedt kwalitatieve scoringseisen voor aanbestedende partijen en heeft als doel om een level playing field te bieden aan clouddienstverleners, en tevens om de sector richting Europese standaarden en waarden te drijven. Het Cloud Sovereignty Framework is dus niet gericht op het uitsluiten van partijen.
De vragen zijn zo spoedig mogelijk beantwoord.