Brief regering; Reactie op vragen, gesteld tijdens het algemeen overleg over digitalisering van 1 juli 2020, over Citrix - Informatie- en communicatietechnologie (ICT) - Hoofdinhoud
Deze brief is onder nr. 712 toegevoegd aan dossier 26643 - Informatie- en communicatietechnologie (ICT).
Inhoudsopgave
| Officiële titel | Informatie- en communicatietechnologie (ICT); Brief regering; Reactie op vragen, gesteld tijdens het algemeen overleg over digitalisering van 1 juli 2020, over Citrix |
|---|---|
| Documentdatum | 05-10-2020 |
| Publicatiedatum | 06-10-2020 |
| Nummer | KST26643712 |
| Kenmerk | 26643, nr. 712 |
| Commissie(s) | Binnenlandse Zaken (BIZA) |
| Externe link | origineel bericht |
| Originele document in PDF |  |
Tweede Kamer der Staten-Generaal
Vergaderjaar 2020-2021
26 643
Informatie- en communicatietechnologie (ICT)
Nr. 712 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Den Haag, 5 oktober 2020
Tijdens het AO Digitalisering op 1 juli 2020 stelde het lid Van Dam (CDA) vragen over het artikel in de Volkskrant van 1 juli jl. «Half jaar na Citrix-crisis zijn 25 Nederlandse organisaties gehackt. En ze weten zelf van niets».1 In dat artikel werd gemeld dat uit onderzoek bleek dat minstens 25 organisaties zijn gehackt naar aanleiding van het Citrix-lek. De heer Van Dam vroeg zich af of de situatie nu helemaal in control is.
Na het lek bij Citrix heeft het NCSC de betrokken Rijksorganisaties onder meer geadviseerd om forensisch onderzoek uit laten voeren om eventuele uitbuiting uit te sluiten. Volgens de Rijksbrede afspraken in de Baseline Informatiebeveiliging Overheid (BIO) dienen nieuwe dreigingen (aanvallen) binnen geldende juridische kaders gedeeld te worden binnen de rijksoverheid, waaronder met het NCSC.2 Op basis van de mij nu bekende informatie zijn rijksoverheidsorganisaties in control naar aanleiding van het Citrix incident waar de Volkskrant op 1 juli over berichtte.
Elk departement is zelf verantwoordelijk voor het op orde hebben van de eigen informatiebeveiliging. Hiervoor worden onder coördinatie van BZK kaders en richtlijnen opgesteld, zoals de BIO. Over de implementatie van de BIO en andere bovenbedoelde richtlijnen rapporteren rijksoverheidsorganisaties aan de departementale CIO's en aan de CIO Rijk.
In dit verband wijs ik graag nog op de toezeggingen die zijn gedaan naar aanleiding van de evaluatie van het Citrix incident en het WRR-rapport Voorbereiden op Digitale Ontwrichting.3 Zo zullen binnen de rijksoverheid naast de al bestaande richtlijnen en kaders bindende afspraken worden gemaakt op bestuurlijk en politiek niveau over het «pas toe of leg uit»
1 Kamerstuk 26 643, nr. 707
2 BIO 12.4.1.4
3 Kamerstuk 26 643, nr. 673
kst-26643-712 ISSN 0921 - 7371 's-Gravenhage 2020
principe. Organisaties binnen de rijksoverheid moeten dan bij dringende beveiligingsadviezen van het NCSC aan de CIO Rijk uitleg geven wanneer zij deze niet opvolgen. Ook wordt het rijksbrede beeld van de bij rijksoverheidsorganisaties in gebruik zijnde netwerk en informatiesystemen verbeterd door afspraken te maken in het informatiestatuut over welke informatie hierover organisaties met de CIO Rijk delen.
Ik zal uw Kamer op de hoogte houden over de uitvoering van deze toezeggingen via de periodieke voortgangsrapportages van de Strategische I-agenda voor de Rijksdienst.
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
R.W. Knops
Tweede Kamer, vergaderjaar 2020-2021,26 643, nr. 712 2