Disclaimer: deze transcriptie is geautomatiseerd omgezet vanuit audio en dus geen officieel verslag. Om de transcripties verder te verbeteren wordt constant gewerkt aan optimalisatie van de techniek en het intrainen van namen, afkortingen en termen. Suggesties hiervoor kunnen worden gemaild naar info@1848.nl.
Online veiligheid en cybersecurity
[0:00:00] Het is precies 13.00 uur en de mensen zitten hopelijk al klaar voor dit debat over online
[0:00:05] veiligheid en cybersecurity.
[0:00:10] Welkom aan alle collega's, maar in het bijzonder natuurlijk aan de minister.
[0:00:14] Ik denk, gezien de tijd die we hebben, dat we niet heel erg streng hoeven te zijn, maar
[0:00:20] dat we het toch een beetje afmaken, dus dat we het qua interrupties even op vier in twee
[0:00:26] Daar moeten we wel mee uit de voeten komen, denk ik.
[0:00:32] En ik zal eerst nog even meededen dat mevrouw Rijkhofsky gelukkig in ons midden is,
[0:00:35] maar dat ze ons misschien zo weer even moet excuseren om naar een ander debat te rennen.
[0:00:40] En dan komt ze waarschijnlijk daarna weer terug.
[0:00:42] En dan is het woord aan u.
[0:00:46] Ja, dank voorzitter.
[0:00:47] Dat gebeurt als je iets kleiner bent als partij na de verkiezingen.
[0:00:50] Maar we gaan het doen.
[0:00:53] Voorzitter, nu veiligheid en cybersecurity.
[0:00:56] De VVD zet zich in voor een vrij veilig en welvarend Nederland in de fysieke wereld,
[0:01:01] maar ook online.
[0:01:02] En onze samenleving wordt steeds meer afhankelijk van digitalisering.
[0:01:06] Dat brengt onze economische voordelen mee, kijk maar naar onze fintech-economie en welvaart,
[0:01:11] maar het maakt ons ook enorm kwetsbaar.
[0:01:13] Eén succesvolle cyberaanval, één incident in netwerk bij een bedrijf of organisatie
[0:01:18] kan al snel leiden tot een domino-effect en uiteindelijk een uitval bij bijvoorbeeld
[0:01:21] gas, water, elektra of een hele supply chain van een voedselketen.
[0:01:25] Vandaag ook erg actueel vanochtend dat een bedrijf...
[0:01:30] haar eigen alarmsysteem en alarmcodes niet op orde heeft.
[0:01:35] De VVD heeft de afgelopen jaren meerdere voorstellen gedaan...
[0:01:38] om Nederland als mkb en de inwoners te beschermen.
[0:01:41] En in dit debat wil ik drie punten naar voren brengen.
[0:01:45] Analoge terugvalopties, veiligheid van het mkb...
[0:01:48] en de zonnepanelen en de omvormers.
[0:01:51] Dus eerst de analoge terugvalopties.
[0:01:56] Daar heb ik samen met de Partij voor de Dieren vorig jaar nog een motie voor ingediend.
[0:02:00] Dank ook voor de brief en de uitvoeringen daarvan.
[0:02:03] Dus nu wordt er eigenlijk elk jaar in aanpak vitaal ook gekeken hoe zit het met de weerbaarheid
[0:02:09] van ons vitale sector en dat analoge terugvalopties die weerbaarheid kan verhogen.
[0:02:13] Dus dat is fijn, dat volgen we op de voet.
[0:02:15] En het wordt ook alleen maar actueler als je kijkt dat de navoet-topman Rob Bauer ook
[0:02:19] adviseerde dat Nederlanders genoeg zaklampen, drinkwater, dat soort dingen in huis moeten
[0:02:24] hebben.
[0:02:25] Niet alleen bij een digitale aanval, maar ook gewoon bij een storing.
[0:02:28] En het is de inzet van de VVD geweest dat ook de Rijksoverheid haar analoge plan en haar
[0:02:34] eigen drinkwater klaar heeft staan.
[0:02:36] Dus dank, geen vraag, maar dit wilden we nog even benoemen.
[0:02:40] Dan de veiligheid van het MKB, want MKB'ers denken nog te vaak dat een cyberaanval hun
[0:02:45] niet zou overkomen.
[0:02:46] Op het moment dat een mkb'er vastzit met zo'n digitale gijzeling,
[0:02:51] kan dat potentieel het faillissement van het bedrijf betekenen
[0:02:53] en ook een persoonlijke ramp.
[0:02:55] Dus daarom breken wij een lans om die mkb'er ook te helpen
[0:02:58] in hun strijd tegen de cybercriminaliteit.
[0:03:00] En hierbij is het ook belangrijk dat de DTC haar dienstverlening
[0:03:04] sneller uitbreidt om nog meer informatie, ook ongevraagd,
[0:03:08] aan nog meer mkb'ers te geven.
[0:03:11] We horen namelijk van VNO dat dit nog beter kan en sneller kan.
[0:03:15] Dus graag een reactie hierop van de minister.
[0:03:19] Daarnaast wil ik de minister ook complimenteren met het snel opvolgen
[0:03:22] van onze verzoeken over een cybersecurity-keurmerk
[0:03:24] en daarin ook gewoon aan te haken op Europese ontwikkelingen.
[0:03:27] Dat is heel fijn.
[0:03:28] Je wilt niet eigenlijk nog een loskeurmerk, maar kijken met alles wat er al loopt.
[0:03:32] En ook het aanbieden van die cyberoefeningen voor MCAM-B'ers.
[0:03:35] Dan het laatste punt, voorzitter, over de zonnepanelen en omvormers.
[0:03:39] Want steeds meer mensen hangen hun dagelijks leven aan het internet,
[0:03:42] laat ik het maar zo zeggen, dus ook spullen thuis.
[0:03:44] Maar als deze apparaten niet veilig zijn, of niet veilig worden gemaakt, geïnstalleerd
[0:03:48] en beheerd, dan zijn mensen erg kwetsbaar voor kwaadwillende.
[0:03:51] En zo maakt de toezichthouder, de RDI, zich ernstig zorgen om een groot deel van de zonnepanelen-omvormers
[0:03:56] op de markt.
[0:03:57] En eigenlijk bleek ook dat bijna alle omvormers die ze hebben onderzocht niet veilig zijn.
[0:04:02] Daardoor kunnen ze storing veroorzaken, op afstand uit worden gezet, gehackt worden,
[0:04:06] maar ook als onderdeel van een wapen als cyberaanval worden ingezet.
[0:04:11] En voorzitter, we kunnen niet verwachten dat alle mensen ook zelf begrijpen, als ze dit
[0:04:17] soort technologische snuffels in huis halen, dat zij begrijpen hoe ze daar mee om moeten
[0:04:20] kunnen gaan.
[0:04:21] Dus daar ligt ook echt een verantwoordelijkheid voor de fabrikant, voor de verkoper, maar
[0:04:25] ook voor degene die dit beheert.
[0:04:27] En de RDI adviseert om een omvormer alleen maar aan te schaffen als een CE-markering opstaat,
[0:04:33] want anders voldoet hij niet aan de veiligheidseisen.
[0:04:36] Vanaf 1 augustus dit jaar gaan de nieuwe veiligheidseisen gelden.
[0:04:39] Dat is erg fijn.
[0:04:41] Alleen betekent dat dat tussen nu en 1 augustus mensen dus alsnog zijn overgeleverd aan de
[0:04:46] goodwill van de fabrikanten of de installateurs.
[0:04:49] Dus dat mensen die nu z'n zonnepanelen aanschaffen of laten installeren, dat zij alsnog onveilige
[0:04:54] apparaten in huis halen.
[0:04:56] Dus graag een reactie hierop, wat de VVD betreft.
[0:05:00] Ook gaan die wettelijke eisen pas vanaf de zomer in.
[0:05:03] Doet de minister nu al alles aan om ervoor te zorgen dat mensen gerust ook die klimaattransitie
[0:05:08] aan kunnen gaan?
[0:05:09] Dank.
[0:05:12] Dan zie ik verder geen interrupties en is het woord aan de heer Siksdijkstra van NEC.
[0:05:19] Dank u wel, voorzitter.
[0:05:21] Laten we het eens over China hebben.
[0:05:23] Een mooi land met een rijke historie en een cultuur van hartelijkheid en gastvrijheid.
[0:05:28] Maar ook een land met een staatsinrichting die op veel vlakken diametraal tegenover die
[0:05:32] van Nederland staat.
[0:05:34] De scheiding van overheid en markt zoals we die in Nederland kennen, bestaat niet op
[0:05:37] die manier in China.
[0:05:38] En er is geen echte tegenmacht.
[0:05:39] Chinese bedrijven moeten doen wat de overheid ze opdraagt, of het nu gaat om het overhevelen
[0:05:44] van data, of om het inbouwen van achterdeurtjes in Chinese apparatuur en software.
[0:05:48] China heeft een lange adem en diepe zakken, en heeft bovendien de ambitie om wereldleider
[0:05:53] te worden.
[0:05:55] Intellectueel eigendom stelen uit andere landen via cyberspionage blijkt bijvoorbeeld
[0:05:59] geen probleem in China, van vliegtuigontwerpen tot halfgeleidertechnologie.
[0:06:04] Naar buiten toe wordt het glashard ontkend, maar al jarenlang is vastgesteld dat deze
[0:06:07] diefstal door de Chinese overheid niet alleen wordt getolereerd, maar zelfs
[0:06:11] gestimuleerd, gefinancierd en gecoördineerd.
[0:06:14] Dit alles zal de minister niet onbekend in de oren klinken.
[0:06:17] De AIVD-jaarverslagen zijn al jarenlang glashelder over de intenties en
[0:06:20] cybercapaciteiten van China. Afgelopen februari hebben de MIVD en het NCSC
[0:06:25] nog actief openbaar gemaakt dat de Chinese malware
[0:06:27] Codehanger op systemen van het ministerie van Defensie is ontdekt.
[0:06:32] Hulde voor deze transparantie overigens. We kunnen gezamenlijk, parlement en
[0:06:36] de regering wel vaststellen dat de cyberdreiging vanuit China reëel is.
[0:06:40] Daar moeten we als Nederland weerbaar tegen zijn.
[0:06:42] En dat zijn we vaak nog onvoldoende.
[0:06:44] De minister van JNV rapporteert zelf in de voortgang op de NLCS...
[0:06:48] ...dat het volgens de toezichthouders noodzakelijk is...
[0:06:51] ...om de cyberbasishygiene te verbeteren...
[0:06:53] ...en het risicomanagementproces naar een hoger niveau te tillen.
[0:06:56] Dat lijkt me heel verstandig, maar toch.
[0:07:00] De minister geeft in haar beantwoording van eerdere Kamervragen...
[0:07:03] ...van mijn kant aan, minister van JNV overigens...
[0:07:05] dat het kabinet een landeneutraal beleid voert
[0:07:08] als het gaat om leveranciers van netwerkapparatuur
[0:07:11] en dat het gebruik van Chinese routers en switches binnen kritiek omgevingen
[0:07:14] daarbij niet bij voorbaat uitgesloten is.
[0:07:17] Mijn vraag is, hoe houdbaar is dat landeneutrale beleid nog?
[0:07:21] Wordt het niet tijd om dat beleid eens te gaan herzien
[0:07:23] en de veiligheidseisen op te schroeven?
[0:07:25] Of, laat ik hem omdraaien, onder welke omstandigheden
[0:07:28] zou het volgens de minister wel verantwoord zijn
[0:07:30] om Chinese edge devices, dus apparaten die netwerken met de internet verbinden
[0:07:36] van kritieke omgevingen te gebruiken.
[0:07:40] De minister zegt verder in haar beantwoording dat,
[0:07:42] om eventuele risico's van het gebruik van routers en switches te kunnen beheersen,
[0:07:46] het van belang is te bepalen welke rol deze hebben in de infrastructuur.
[0:07:50] Dat klinkt op zich natuurlijk heel logisch,
[0:07:52] maar uiteindelijk gaat het in de cyberveiligheid om de zwakste schakel.
[0:07:55] En routers en switches hangen aan het internet.
[0:07:58] Een aanvaller hoeft niet alle routers en switches te kunnen hacken.
[0:08:01] Eentje is voldoende om binnen te komen.
[0:08:03] En als hij eenmaal binnen is,
[0:08:04] ook al is dat in een relatief onbelangrijk gedeelte van het netwerk,
[0:08:08] dan kan hij vanaf daar doorstappen naar andere kritieke delen.
[0:08:11] Hoe meer edge-devices in je netwerk zitten, hoe groter het aanvalsoppervlak
[0:08:15] en hoe kwetsbaarder je dus bent.
[0:08:17] Daarbij moet je uiteraard verder kijken dan enkel het land van herkomst van de apparatuur.
[0:08:21] Het edge-device dat door Chinese actoren gehackt was in de Coathanger-casus,
[0:08:26] dat betrof een firewall van een Amerikaans merk
[0:08:28] dat om de haverklap kritieke kwetsbaarheden lijkt te hebben.
[0:08:31] Is de minister het met mij eens dat als je China en andere statelijke actoren
[0:08:36] buiten de deur wil houden dat het juist de edge devices zijn waarbij je
[0:08:40] verzekerd moet zijn dat deze veilig zijn? Is er niet veel terrein te winnen door
[0:08:44] in het aankoop en aanbestedingsproces voor kritieke infrastructuur nationale
[0:08:48] veiligheid niet zomaar een overweging te laten zijn maar het primaire uitgangspunt?
[0:08:53] Wat is het standpunt van de taskforce economische veiligheid hierin?
[0:08:57] Gaan de NIS 2, de Cyber Resilience Act of de APRO nog iets veranderen aan de
[0:09:01] ...in een situatie zoals die nu is?
[0:09:03] En hoe zorgen we ervoor dat dit security-first-principe...
[0:09:05] ...niet alleen een papieren werkelijkheid is binnen overheidsstrategieën...
[0:09:09] ...maar ook bij de uitvoering rond?
[0:09:11] En daarbij kom ik ook bij mijn laatste punt.
[0:09:14] Nederland gaat de implementatiedeadline van de NIS 2-wetgeving...
[0:09:17] ...helaas niet halen, zoals het er nu naar uitziet.
[0:09:19] En laat ik zo zeggen, het is bepaald niet de eerste Europese wet waarvoor dat geldt.
[0:09:24] Mijn vraag aan de minister is, hoe komt dat?
[0:09:27] Is er misschien ook een oorzaak te vinden in het feit...
[0:09:29] de Nederlandse verantwoordelijkheid voor cybersecurity
[0:09:32] bij zoveel verschillende partijen belegd is,
[0:09:34] in tegenstelling tot andere EU-landen, zoals Duitsland en Frankrijk,
[0:09:37] waar er één duidelijke cyberautoriteit is
[0:09:39] voor de verschillende taken binnen beleid en uitvoering.
[0:09:42] Is hier ooit een vergelijkende analyse opgedaan?
[0:09:45] Ik zie uit naar de beantwoording. Dank u wel.
[0:09:48] En er is een interruptie van mevrouw Rijkhofsky van de VVD.
[0:09:52] Ja, dank, voorzitter. Nou, fijn om in ieder geval het NEC ook in deze commissie te hebben,
[0:09:56] want als ik het zo hoor, denk ik, nou, daar kunnen we wel zaken mee doen
[0:09:59] op dit thema. Is de NSC het ook met de VVD eens? Het gaat inderdaad niet alleen om het kunnen uitsluiten
[0:10:06] van bepaalde apparaten, maar dat mensen ook of bedrijven ook weten dat ze dat kunnen. Want ik
[0:10:12] heb een voor mijn verlof, dus dat is een half jaartje geleden, iemand van een gemeente op de lijn
[0:10:18] gehad en die zei wij moeten nieuwe camera's in gaan kopen. Wij willen graag Chinese camera's
[0:10:24] uitsluiten om de redenen om de plekken waar we ze gaan hangen, maar onze juristen zeggen dat
[0:10:29] dat dat niet kan.
[0:10:30] Die moesten zelfs allerlei advocatenkantoren ingaan huren om te onderzoeken of dat wel
[0:10:34] of niet mogelijk was.
[0:10:35] En ik zei, volgens mij is mij altijd verteld dat wij wet en regeling niet hoeven aan te
[0:10:40] passen, want je kan ze op grond van nationale veiligheid al uitsluiten.
[0:10:44] Dus volgens mij zit er en inderdaad de vraag van de wettelijke kaders scherp hebben, maar
[0:10:50] dat ook alle overheidsinstanties ook weten wat die kaders dan zijn en waar ze die kunnen
[0:10:55] vinden.
[0:10:57] Ik denk dat we daar volledig met elkaar eens zijn.
[0:10:59] Ik denk inderdaad dat het goed is dat instanties en bedrijven daar misschien extra op gewezen worden.
[0:11:05] Ik meen ook wel dat de minister daarmee bezig is en dat daar ook handreikingen toe zijn.
[0:11:10] Maar ja, wellichtelijk absurd om dan te horen dat daar hele advocatenkantoren aan te pas moeten komen
[0:11:15] voor iets wat mij een heel duidelijke nationale veiligheidsoverweging lijkt.
[0:11:22] Dan is het woord aan mevrouw Van der Werf van D66.
[0:11:26] Dank u wel, voorzitter.
[0:11:27] Dit is mijn eerste debat als nieuwe woord voor de digitale zaken namens D66.
[0:11:35] En ik heb me in de vorige periode als Kamerlid bezig gehouden met veiligheidsvraagstukken.
[0:11:39] Dus ik ben blij dat juist dit debat over online veiligheid dat ik hier mijn debuut mag maken
[0:11:44] in de commissie.
[0:11:46] De grootste bedreigingen voor bijvoorbeeld ons bedrijfsleven zijn de bedreigingen online.
[0:11:50] En daarom heeft de Cyber Security Raad begin dit jaar ook opgeroepen aan de formerende
[0:11:54] partijen, zet een stap extra.
[0:11:57] want de huidige inspanningen en investeringen zijn niet genoeg om Nederland veilig te houden.
[0:12:02] Dit raakt onze nationale veiligheid en zet onze vrijheid, democratie en welvaart steeds verder onder druk.
[0:12:08] Ik wou de minister van EZK vragen hoe u kijkt naar deze oproep.
[0:12:13] Is zij het met de Raad eens met deze toenemende risico's dat die stap extra moet worden gezet?
[0:12:19] En hoe ziet hij er volgens haar uit?
[0:12:21] Dan, voorzitter, op zowel macro als microniveau staat onze online veiligheid onder druk.
[0:12:27] In het zogenoemde cybersecuritybeeld wordt de volgende conclusie getrokken.
[0:12:32] De digitale dreiging voor Nederland is onverminderd groot en dat komt onder andere door geopolitieke
[0:12:38] spanningen.
[0:12:40] En dan heb ik de vraag.
[0:12:41] Het is nu een jaar of twee geleden dat de inval van Rusland in Oekraïne plaatsvond.
[0:12:46] Er zijn een aantal andere geopolitieke spanningen, die zal ik niet allemaal noemen, maar die
[0:12:50] die zijn niet gisteren ontstaan.
[0:12:52] En ik ben benieuwd wat zouden wij kunnen doen
[0:12:55] om op dat dreigingsniveau te anticiperen
[0:12:58] en dat dan ook daadwerkelijk naar beneden te kunnen krijgen.
[0:13:02] Want, voorzitter, ik vind het ook verrassend
[0:13:05] dat we weten dat dat dreigingsniveau al een tijdje behoorlijk groot is,
[0:13:10] maar dat we er dan bijvoorbeeld niet in slagen
[0:13:12] om op tijd de Europese Cyberveiligheidsrichtlijn
[0:13:18] hierin te voeren, die daar wat aan zou moeten doen.
[0:13:21] En dan heb ik het over de zogeheten NIS2-richtlijn, die ervoor moet zorgen dat overheidsinstellingen
[0:13:27] aan de benodigde standaarden moeten voldoen.
[0:13:31] En dan gaat het dus over bijvoorbeeld de gemeenten de Rotterdamse haven en Rijkswaterstaat.
[0:13:36] Het is cruciaal voor Nederland dat dit soort partijen goed beveiligd zijn.
[0:13:41] En zonder nationale implementatie kan een toezichthouder daar ook niet op handhaven, zoals nu ook al
[0:13:47] Het geval is natuurlijk met die Digital Services Act, waarvan we ook laatst begrepen
[0:13:51] daar kan op dit moment nog niet iets mee worden gedaan.
[0:13:54] Nou, die wet is nu naar de Kamer gestuurd, maar we weten
[0:13:56] dat gaat nog weer een tijdje duren voor we daarmee aan de slag zijn.
[0:14:00] Ik zou willen voorkomen, voorzitter, dat we dat ook bij NIS 2 gaan krijgen,
[0:14:05] want zonder controle hebben die Europese regels natuurlijk nationaal niet zoveel zin.
[0:14:11] Hoe kan het dat wij er niet in slagen om die richtlijn op tijd om te zetten?
[0:14:15] want ik zag ook dat in België en Duitsland dat dat wel is gelukt,
[0:14:19] dat het daar al verder op de rit is.
[0:14:20] Dus daar zou ik graag een reactie op horen.
[0:14:23] En is de minister met mij eens dat we die maatregelen wat meer urgentie zouden moeten geven?
[0:14:31] Eerder dit jaar stelde D66 schriftelijke vragen over een groep Chinese hackers
[0:14:35] die in de mailaccounts van politici en journalisten inbraken.
[0:14:39] Ook daarvoor geldt, zouden we ons niet beter moeten wapenen tegen dit soort aanvallen?
[0:14:45] zowel in onze hart als in onze software.
[0:14:50] Ook op microniveau staat de digitale veiligheid onder druk.
[0:14:53] Want 16% van de bevolking is vorig jaar slachtoffer geweest van een online misdrijf.
[0:15:00] Dat is ongeveer 1 op de 6 mensen.
[0:15:03] 10% van al deze aangifte leidt tot een verdachte.
[0:15:07] En dat is een heel laag percentage.
[0:15:09] En er zit ook een hele lage pakkans.
[0:15:12] Dus het is niet verrassend dat cybercrime op dit moment de snelstijgende criminaliteit is.
[0:15:17] En daar hebben we het ook al vaak in de commissie JNV over gehad.
[0:15:21] Cybercrime is een lucratieve business geworden voor criminelen.
[0:15:25] Onderzoek wijst uit naar een gebrek aan expertise bij de politie.
[0:15:28] En dat is niet zozeer in de cyberteams, maar vooral op het moment en de plek waar die aangifte worden gedaan, dus aan de balies.
[0:15:36] Wat kan de minister JNV daar aan doen?
[0:15:39] Ik kan me voorstellen dat dat via iemand anders van het kabinet wordt beantwoord.
[0:15:43] Maar ik vind het wel een belangrijke vraag, want tot nu toe zien we dus dat die maatregelen
[0:15:47] te weinig werken, want afgelopen jaar is er weer een stijging van 20 procent.
[0:15:52] Als heel weinig slachtoffers überhaupt aangifte doen en dan ook nog eens daar maar 10 procent
[0:15:56] van tot een verdachte leidt, dan zijn we echt met het kraan open aan het dweilen.
[0:16:02] Dus welke maatregelen neemt het kabinet om die aangifte, die pakkans en ook die expertise
[0:16:08] omhoog te krijgen. De autoriteitspersoonsgegevens sloegen hier gisteren ook over alarm, over die
[0:16:14] cyberaanvallen, maar bijvoorbeeld ook de opvolging daarvan, want in veel gevallen worden slachtoffers
[0:16:19] of klanten, als het om bedrijven gaat, van wie gegevens zijn gestolen, niet geïnformeerd of
[0:16:23] niet volledig geïnformeerd. En dan kunnen mensen dus ook niet alert zijn op phishingpogingen die
[0:16:29] via hun verkregen e-mail of telefoonnummer worden gedaan. Dus ik wil als laatste, voorzitter,
[0:16:35] de minister vragen om organisaties die te maken hebben met cyberaanvallen of data lekken,
[0:16:41] wat gaat zij doen om te zorgen dat zij hun betrokken klanten informeren zodat die ook
[0:16:46] tijdig alert kunnen zijn en maatregelen kunnen nemen. Dank voorzitter. En dank u wel. Ik zie
[0:16:53] geen interrupties. Dan is het woord aan de heer Van Liesen van de PVV. Ja voorzitter,
[0:16:58] dank voor het woord. Een aantal onderwerpen zijn al aangestipt. Ik zal er even kort over
[0:17:02] Het spaart mij weer wat tijd uit.
[0:17:06] De Rijksinspectie Digitale Infrastructuur maakt zich grote zorgen over een deel van de zonnepanelenomvormers.
[0:17:11] Er is al over gesproken.
[0:17:13] Die zorg wordt ook gedeeld door iedereen, gelukkig.
[0:17:17] Er is onderzocht of ze voldoen op het gebied van stoorkans en cyberveiligheid.
[0:17:22] Er werden een aantal omvormers en accessoires onderzocht.
[0:17:26] Sommige omvormers zitten niet direct op het netwerk, maar dat gaat via een accessoire.
[0:17:30] Nou, vijf van de negen omvormers die veroorzaakten storing.
[0:17:33] Geen van de onderzochte omvormers voldeed aan de cyberveiligheid.
[0:17:38] En geen enkel product voldeed aan de administratieve eisen.
[0:17:42] Dus de gebruiksinstructie van hoe moet je ermee omgaan, hoe sluit je maar aan, et cetera.
[0:17:47] In de kabinetsreactie lezen we dat het de spierpunt is van het kabinet om in Europa wetgeving hierover vast te stellen.
[0:17:52] Nou, daar kom ik zo op terug. Dat is die Cyber Resilience Act.
[0:17:56] Het gros van de omvormers komt echt al zelden uit Europa.
[0:17:59] We lezen in het rapport op pagina acht, met alle fabrikanten is direct dan wel via hun
[0:18:04] Europese vestigingen contact geweest.
[0:18:07] En dan staat er nota bene in het rapport ook nog het verschil uitgelegd tussen het China
[0:18:11] Export logo en het Conformité Européenne logo.
[0:18:15] Nou, voor velen is dat mogelijkst te onderscheiden, want lettertypen is hetzelfde, het ziet er
[0:18:19] hetzelfde uit.
[0:18:20] Het enige verschil is dat er wat meer ruimte tussen de C en de E zit, in het geval van
[0:18:23] het Europese keurmerk.
[0:18:24] Alsof er buiten Europa niets bestaat, maar minimaal 71 procent van de zonnepanelen of
[0:18:30] de onderdelen daarvan komen uit China.
[0:18:33] De heer Siks-Dijkstra stelde er ook al kritische vragen over, dus daar sluit ik mij graag bij
[0:18:37] aan.
[0:18:39] Maar via u, voorzitter, hoe gaat de minister hierop anticiperen?
[0:18:44] Want als we kijken naar de Cyber Resilience Act, gaat dat straks een stap verder.
[0:18:48] Ze zullen eisen stellen aan de hardware en de software van alle producten die een digitaal
[0:18:54] component hebben en er moet dan gedurende een periode, minimaal vijf jaar, maar
[0:18:57] gedurende de levensduur van het product, moet dan ondersteuning geboden worden in
[0:19:02] de vorm van beveiligingsupdates. Dat is niet slecht, maar wat nou met een
[0:19:06] product die de end-of-life-cyclus bereikt en dus een uitfaceertermijn heeft?
[0:19:12] Hoe zit het daarmee? En de CRA heeft ook enkel betrekking op fabrikanten en
[0:19:16] importeurs in de Europese Unie. Hoe zit het met digitale platformen als
[0:19:20] Alibaba, Aliexpress, SHEIN, et cetera, waar consumenten de producten vandaan halen,
[0:19:25] waaronder ook omvormers en zonnepanelen die dan weer vervolgens door een beunhuis
[0:19:28] op het dak gelegd worden, met alle gevolgen van dien.
[0:19:32] Voorzitter, dan kom ik nog even bij Digital Trust Center.
[0:19:36] We hebben natuurlijk begrepen dat dit traject loopt en we zien ook dat er
[0:19:42] intensivering is onder de samenwerking.
[0:19:44] We hebben de wet bevordering digitale weerbaarheid bedrijven hebben bebandeld,
[0:19:49] is aangenomen, dus dat is al één stap in de goede richting.
[0:19:51] En verder worden er drie departementen geïntegreerd tot één aparte departement
[0:19:58] wat dan onder justitie en veiligheid gaat komen te vallen.
[0:20:00] Dus dat loopt allemaal.
[0:20:02] Maar er wordt in datzelfde stuk ook nog gesproken over de NIS 2-richtlijn,
[0:20:06] waar de collega's het ook al over gehad hebben,
[0:20:09] waar de uitkomsten van het rapport voor het herinrichten van de zichtstelselen worden meegenomen.
[0:20:14] Wat is hier de status van?
[0:20:16] We hebben een verzamelbrief ontvangen van de staatssecretaris,
[0:20:18] waarbij werd vermeld dat deze zal worden omgezet naar Nederlandse wetgeving.
[0:20:22] En dit komt terug in het notenoverleg van 22 april.
[0:20:25] Dus ik kom dat te zijnde tijd nog even op terug.
[0:20:28] Maar we ontvingen wel signalen dat er wellicht nationale koppen aan toegevoegd gaan worden.
[0:20:34] En in dat kader worden zorgen geuit met betrekking tot de regeldrug.
[0:20:39] Kan de minister hier al een tipje van de sluier oplichten?
[0:20:43] En de rest in zaken NIS 2, dat nemen we dan mee naar het notenoverleg.
[0:20:48] Voorzitter, dan hebben we het nog even over de onderzeese Tata-kabels.
[0:20:53] Nou, ze zijn vitaal verklaard, dat is prima.
[0:20:56] Ik begreep dat er in september een coördinator is aangesteld voor de Zeekabelcoalitie.
[0:21:02] En daar was mijn vraag, worden wij dan nog nader over geïnformeerd over de uitvoering van de coördinerende rol?
[0:21:07] Het is ook goed dat EZK zal aanhaken op geplande tracés, zowel binnen Europa als ook continentaal.
[0:21:17] Voorzitter, dan kom ik bij de voortgang van de Nederlandse cybersecurity-strategie.
[0:21:22] Veel trajecten zijn nog in ontwikkeling of zijn nog niet gestart.
[0:21:26] De wijze van monitoren en evalueren is in ontwikkeling en de nulmeting werd reeds ontvangen in februari.
[0:21:33] Dan is de vraag, wat vindt de minister van de aandachtspunten uit het rapport van Dialogic
[0:21:37] over de beleidslogica van NLCS, zoals over de betrokkenheid van NKB
[0:21:42] bij het verbeteren van digitale weerbaarheid
[0:21:44] en dat er relatief weinig aandacht wordt besteed
[0:21:47] aan de opschaling van innovaties van producten.
[0:21:49] Ik neem heel even een slokje water.
[0:21:55] Wanneer zullen de resultaten van het aangekondigde onderzoek
[0:21:58] naar de samenhang van AI en cybersecurity naar de Kamer gestuurd worden?
[0:22:01] En tenslotte, met betrekking tot dit onderwerp, en dat... Ja.
[0:22:06] Wordt ook aangegeven dat de activiteit bestuurlijk confinant is afgerond.
[0:22:10] en dus niet gemonitord hoeft te worden.
[0:22:12] Last minute ontvingen wij nog van de Vereniging van Nederlandse Gemeenten
[0:22:15] de opmerking dat het sluiten van dit confinant
[0:22:18] slechts een eerste processtap betreft.
[0:22:22] En zij zouden graag zien dat dat wel opgemonitord gaat worden.
[0:22:25] En kan de minister daar een reactie op geven?
[0:22:28] En dan ben ik bij het einde van mijn bedoogd.
[0:22:30] Dank u, voorzitter.
[0:22:32] En dank u voor uw bijdrage.
[0:22:34] Dan vraag ik even aan de heer Sjiks Dijkstra
[0:22:36] of hij de voorzitterstaak over kan nemen,
[0:22:38] Zodat hij mij het woord kan geven.
[0:22:42] Zeker. Het woord is aan mevrouw Katman van de fractie van GroenLinks.
[0:22:46] Pechel daar.
[0:22:47] Dank u wel, voorzitter.
[0:22:50] Voorzitter, vandaag werd bekend dat door een softwarelek
[0:22:53] minstens 26.000 actieve Nederlandse beveiligingssystemen zijn aangetast.
[0:22:58] Supermarkten, banken, stad- en provinciehuizen, nutsbedrijven, BN'ers,
[0:23:03] een voormalige minister, allemaal waren ze kwetsbaar.
[0:23:06] Dienstverleners die hun digitale zaken niet op orde hebben,
[0:23:09] maar wel aan duizenden klanten dienst te leveren, zijn het digitale goud voor criminelen.
[0:23:13] De afnemers zijn de sigaar.
[0:23:15] Het digitale domein is zo ingewikkeld dat een gemiddelde MKB'er er überhaupt niet in staat
[0:23:20] is om te achterhalen of een alarmsysteem cyberveilig is of niet.
[0:23:24] Zou de minister kunnen reflecteren op deze casus?
[0:23:27] Dan bedoel ik een beetje een brede reflectie, waarin vragen kunnen meegenomen worden als
[0:23:31] van, moet er voor zo'n geval niet bijvoorbeeld een loket zijn bij de NCSC om die melding
[0:23:36] beter te kunnen doen?
[0:23:37] Want er was een melding, maar het was ook een beetje moeilijk.
[0:23:40] Waar moet die nou plaatsen als die niet wordt opgevolgd?
[0:23:43] En kan de minister ook reflecteren op bijvoorbeeld mogelijkheden als boetes die kunnen worden opgelegd?
[0:23:48] En die reflectie is belangrijk, omdat we ieder jaar de boodschap krijgen van het cybersecuritybeeld Nederland
[0:23:54] dat de digitale dreiging onverminderd groot is.
[0:23:57] Er gaat geen week voorbij zonder een digitale aanval op een publieke instelling.
[0:24:01] Het DTC doet oprecht goed werk om ondernemers van groot tot klein goed voor te lichten
[0:24:06] over hoe zij digitaal veiliger kunnen worden.
[0:24:08] Maar uit onderzoek blijkt dat contractuele afspraken over cybersecurity voor ondernemers
[0:24:12] nauwelijks een rol spelen bij de keuze voor een ICT-product of dienst.
[0:24:16] En dus, voorzitter, is het tijd van voorlichten en organisaties zachtjes dirigeren
[0:24:22] naar cyberveiligheidsmaatregelen toch wel een beetje voorbij.
[0:24:26] En daarom heb ik de volgende vraag aan de minister.
[0:24:28] Welke wortel en welke stok gaat ze inzetten om ervoor te zorgen dat MKB
[0:24:32] beter aan minimale cyberveiligheidseisen voldoet?
[0:24:35] Ik zeg dit niet omdat ik ze regeldruk wil geven of om ze te pesten, maar cybercriminaliteit
[0:24:40] kost ons miljarden en mkb'ers zelfs de kop.
[0:24:43] Ik ontvang dan ook graag een overzicht van concrete mogelijkheden van maatregelen die
[0:24:48] verder gaan dan alleen maar zachtjes dirigeren.
[0:24:51] En ook vandaag blijkt weer dat veel mensen zich pas bewust worden van cyberrisico's.
[0:24:55] Mijn collega van D66 zei het ook al, wanneer ze het slachtoffer worden van een hek, dan
[0:24:59] is het vaak al te laat.
[0:25:00] Gemiddeld hebben mkb'ers dan 2,5 ton schade, of zijn ze al omgevallen?
[0:25:05] Kan de minister de mogelijkheid onderzoeken om ethische hackers in opdracht van bijvoorbeeld
[0:25:09] het DTC in te zetten voor het mkb, die actief op zoek gaan naar kwetsbaarheden bij ICT-leveranciers
[0:25:15] die grote aantallen mkb'ers treffen?
[0:25:18] Ik overweeg hierop een motie, ook omdat het een mooi gebaar zou zijn richting het mkb.
[0:25:23] Verder moeten we één ding niet vergeten.
[0:25:25] Geen enkele firewall kan op tegen een menselijke fout.
[0:25:28] En fouten maken is nou eenmaal menselijk.
[0:25:31] Mensen blijven gewoon de zwakste schakel in cybersecurity.
[0:25:35] Tegelijkertijd is educatie van gebruikers om zich beter te beveiligen maar tot zover een oplossing.
[0:25:40] Want naast cybersecurity zijn er nog werkelijk duizenden dingen waarvan mensen geacht worden het te snappen.
[0:25:45] Hoe fijn zou het zijn als je als gebruiker ervan kan uitgaan dat je apparaat of dienst sowieso al veilig is
[0:25:51] en dat ook de hele levensduur zo blijft.
[0:25:54] Is de minister bereid te kijken naar mogelijkheden om informatie over de cyberveiligheid en update
[0:25:59] beleid van diensten en apparaten verplicht kenbaar te maken aan consumenten, zodat consumenten
[0:26:04] een geïnformeerd besluit kunnen nemen over hun aankoop?
[0:26:07] Is de minister bereid om in Europa aan te dringen op hogere standaarden wat betreft de cybersecurity
[0:26:12] van diensten en apparaten, security by design en cyberveiligheid voor de gehele levensduur
[0:26:19] van het apparaat?
[0:26:20] Welke mogelijkheden ziet de minister eigenlijk op dit gebied?
[0:26:23] Daarnaast heeft iedereen recht op veiligheid, maar in het digitale domein lijkt dat niet op te gaan.
[0:26:29] Cyberveiligheid is geprivatiseerd.
[0:26:31] Bij meta en andere websites moet je betalen voor je privacy.
[0:26:35] Wachtwoordmanagers, VPNs, antivirus, het kost allemaal geld.
[0:26:39] Dure telefoons zijn beter beschermd dan goedkope toestellen.
[0:26:42] Als je minder te besteden hebt, ben je dus minder veilig.
[0:26:45] Daarom wil ik nog de volgende vraag stellen.
[0:26:47] Vindt de minister dat free en open source software die een bijdrage levert aan de cybersecurity van
[0:26:52] mensen actief moet worden aangeboden of aanbevolen door de overheid?
[0:26:56] Hoe kan zij deze software voor iedereen vindbaar en begrijpelijk maken?
[0:27:00] Is de minister bereid om te kijken naar mogelijkheden waarbij bijvoorbeeld bibliotheekmedewerkers of
[0:27:04] gemeenteondersteuninkinden bieden aan mensen met een klein budget bij het cyberveilighouden
[0:27:08] van hun apparaten en diensten?Ten slotte de laatste vraag.
[0:27:12] In het rapport over de nulmeting van de Nederlandse cybersecuritystrategie wordt duidelijk stilgestaan
[0:27:17] bij het probleem van het tekort aan cybersecurity specialisten op de arbeidsmarkt.
[0:27:21] Een tekort dat alleen maar toeneemt.
[0:27:24] Waar komt dat tekort volgens de minister vandaan en hoe gaat het kabinet dit oplossen?
[0:27:27] En kan zij hierbij ook een concreet actieplan maken waarmee we meer vrouwen in de cybersecurity
[0:27:32] sector werken?
[0:27:34] Gisteren zag ik een ongelooflijk mooi poster en daar stond op, geen Cinderella's, maar
[0:27:40] Cyberella's.
[0:27:44] Dank u wel, dan draag ik het voorzittersstokje weer terug over aan mevrouw Katman.
[0:27:49] Dank u wel, voorzitter.
[0:27:51] Dan kijk ik even naar de minister.
[0:27:55] Twintig minuten schorsen we en dan gaan we door met de beantwoording van de minister.
[0:57:11] We gaan verder met het debat over cybersecurity en veiligheid.
[0:57:16] We gaan naar de minister voor de beantwoording.
[0:57:19] Dank u, voorzitter.
[0:57:21] Ik heb een paar hele korte inleidende woorden en dan zal ik snel overgaan tot de vraagbeantwoording.
[0:57:26] We spreken vandaag over online veiligheid en cybersecurity.
[0:57:29] En op 12 maart hebben een groot deel van uw commissie en ik elkaar ook gesproken
[0:57:35] over de behandeling van het wetsvoorstel bevordering, digitale weerbaarheid, bedrijven.
[0:57:40] En met een ruime meerderheid heeft u voor dat wetsvoorstel gestemd.
[0:57:43] En daar wil ik u ook voor bedanken, want daarmee kunnen wij dus ook weer stappen zetten.
[0:57:48] En vandaag staan er weer een aantal belangrijke punten op de agenda.
[0:57:51] We constateren eigenlijk allemaal dat de digitale dreiging nog steeds onverminderd hoog is.
[0:57:57] En dat heeft u ook kunnen lezen in het laatste Cybersecuritybeeld Nederland.
[0:58:01] En daarom zijn we ook hard bezig met de implementatie van de Nederlandse cybersecuritystrategie.
[0:58:08] Het cybersecuritystelsel in Nederland is volop in beweging om die kloof tussen digitale
[0:58:14] dreiging en die weerbaarheid, om die kloof te verkleinen.
[0:58:19] Bijvoorbeeld door de integratie van het National Cybersecurity Centre, het Digitale Trust Center,
[0:58:26] Digital Trust Center, moet ik in het Engels zeggen,
[0:58:28] en het Computer Incidents Response Team.
[0:58:30] We moeten nog steeds, voorzitter, zoeken naar de Nederlandse woorden hiervoor,
[0:58:33] maar we begrijpen volgens mij allemaal wat ermee bedoeld wordt.
[0:58:35] En de implementatie van de NIS,
[0:58:37] het Herziene Netwerk en Informatie Beveiligingsrichtlijn, de NIS2.
[0:58:42] En daarnaast zal de minister van Justitie en Veiligheid u op korte termijn informeren
[0:58:46] over de stappen die we zetten om de publiek-private samenwerking te verbeteren
[0:58:51] via de doorontwikkeling van het landelijk dekkend stelsel
[0:58:55] van cybersecurity-samenwerkingsverbanden,
[0:58:57] die u overigens ook weer kunt vinden op de website van DTC.
[0:59:01] En ook wil ik ondernemers helpen bij het kiezen
[0:59:04] van een betrouwbare ICT-leverancier met behulp van een keurmerk.
[0:59:09] En hebben we de cyberoefening, die ondernemers zelf uit kunnen voeren,
[0:59:13] ook op de website van het Digital Trust Center gelanceerd.
[0:59:16] Die kan je ook daar vinden.
[0:59:18] En op deze manier kunnen ondernemers in de praktijk ervaren, oefenen, hoe ze zich het
[0:59:24] beste tegen een cyberaanval kunnen beschermen.
[0:59:28] En we spreken vandaag ook over veilige digitale producten en diensten.
[0:59:33] Europese maatregelen, zoals wetgeving en certificering, zijn ook hard nodig om de leveranciers
[0:59:38] en de fabrikanten meer verantwoordelijk te maken voor de veiligheid van hun product en
[0:59:43] hun dienst.
[0:59:44] Denk bijvoorbeeld aan het veiliger maken van de zonnepanelen, hier ook benoemd.
[0:59:48] We willen natuurlijk voorkomen dat een groot aantal apparaten op afstand gelijktijdig
[0:59:54] zouden kunnen worden gehackt.
[0:59:56] En met het Europese akkoord op de Cyber Resilience Act hebben we ook een belangrijke meldpaal
[1:00:02] bereikt daarvoor.
[1:00:04] En nu gaat onze volle aandacht dan ook uit naar de implementatie daarvan.
[1:00:08] We hebben het vandaag ook over de vitaal beoordeling van onderzeese datacabels, zeekabels.
[1:00:14] En die heeft vorig jaar plaatsgevonden.
[1:00:17] En er wordt nu heel hard gewerkt aan het vaststellen welke aanbieders binnen die zee-kabelinfrastructuur
[1:00:24] vitaal moeten worden.
[1:00:26] En tenslotte, voorzitter, doe ik het aanbod aan uw commissie, deze commissie, mede ook
[1:00:30] namens de minister van JNV, om op werkbezoek te gaan bij het Nationaal Cyber Security Centrum
[1:00:35] en het Digital Trust Center.
[1:00:36] Zij zouden het heel graag ontvangen om te laten zien wat zij allemaal doen.
[1:00:40] En ik zal nu ingaan op de vragen.
[1:00:43] En ik heb daartoe, voorzitter, als u mij toestaat, vier mapjes.
[1:00:50] Ik wilde er ook wel vijf van maken, maar volgens mij vier leek mij wel voor vandaag voldoen.
[1:00:55] En het eerste is de pijler 1 van de cybersecurity-strategie, de digitale weerbaarheid.
[1:01:01] Twee, ik heb ze ook naar de pijlers geordend, voorzitter, pijler 2 van de cybersecurity-strategie,
[1:01:06] dat gaat over de veilige digitale producten en diensten.
[1:01:10] De derde is de derde pijler, dat gaat over de tegengaan van de digitale dreigingen.
[1:01:14] En de vierde gaat over de arbeidsmarkt, onderwijs en de digitale weerbaarheid van burgers.
[1:01:22] En dan heb ik nog een mapje overig.
[1:01:25] Allereerst pijler 1.
[1:01:28] Mevrouw Rajkowski vroeg naar het beeld, ze zegt het gevraagd en ongevraagd informeren
[1:01:34] buiten de vitale infrastructuur gebeurt nog te weinig.
[1:01:38] Wat is er nou nodig om de dienstverlening bij Digital Trust Center rondom gevraagd en
[1:01:42] ongevraagd notificeren snel uit te breiden?
[1:01:45] Ik ben het volledig met haar eens dat er altijd winst te behalen valt, maar de dienstverlening
[1:01:50] van het Digital Trust Center rondom de ongevraagde dienstverlening is sinds 2021 flink uitgebreid
[1:01:56] en wordt ook nog verder ontwikkeld.
[1:01:59] Het Digital Trust Center verstuurt dagelijks ongevraagde informatie over cyberdreigingen
[1:02:03] naar individuele bedrijven en er wordt ook heel erg nauw samengewerkt met het Nationaal
[1:02:09] cybersecuritycentrum aan een portal waar bedrijven op kunnen aansluiten.
[1:02:15] En door middel van dat portaal kunnen bedrijven gerichter geïnformeerd worden
[1:02:19] over alle cyberdreigingen die voor hen relevant zijn.
[1:02:24] En de verwachting is dat voor de zomer dit jaar de eerste bedrijven die deel
[1:02:28] uitmaken van de pilot van het DTC ook aangesloten kunnen worden op dat portaal.
[1:02:33] Het streven is dan om eind 2024 alle vijftig pilotdeelnemers op die manier te bedienen.
[1:02:40] We hopen daarna dat dan ook verder uit te breiden.
[1:02:45] Voorzitter, de heer Siks-Dijkstra vroeg of we niet moeten afstappen van een landeneutrale aanpak,
[1:02:52] aangezien iedereen weet waar de dreiging vandaan komt.
[1:02:56] Dat doen we niet op die manier.
[1:02:59] Het aanpakken van nationale veiligheidsrisico's als gevolg van statelijke dreigingen luistert
[1:03:03] namelijk heel erg nauw.
[1:03:04] Het vereist maatregelen die gericht zijn, die proportioneel zijn, die adaptief zijn,
[1:03:11] maar die ook vooral risicogebaseerd zijn.
[1:03:14] We hebben namelijk een aanpak nodig die toepasbaar is op dreigingen vanuit elke statelijke actor
[1:03:19] en dat is geen statisch gegeven, helaas.
[1:03:23] En we kunnen gerichte maatregelen nemen daar waar het nodig is en de instrumenten binnen
[1:03:29] die landeneutrale aanpak, die spitsen we dan toe op de vaak landenspecifieke risico's.
[1:03:35] Wat nou precies die dreigingen en risico's zijn, dat staat in het dreigingsbeeld,
[1:03:38] statelijke actoren, en daarmee, en door ook het proactief handelen van de diensten,
[1:03:44] want laat ik dat niet onvermeld laten, die zijn zeer actief, worden individuele bedrijven
[1:03:49] en publieke instellingen ook geïnformeerd over die dreigingen. Dus niet een landenspecifieke
[1:03:55] aanpak, maar wel een hele serieuze gericht aanpak. U heeft een interruptie van de heer
[1:04:02] Ja, dank u wel, voorzitter. En ook dank aan de minister.
[1:04:05] Ik weet niet of de minister er later nog op terugkomt,
[1:04:08] maar mijn vraag ging zat ook natuurlijk specifiek in een landengerichte aanpak
[1:04:13] als het gaat om juist de apparaten die met de internet verbonden zijn.
[1:04:17] Dus de routers en de switches en de edge apparatuur.
[1:04:21] Aangezien het wel bekend is dat het een modus operandi van China is,
[1:04:25] dat zij ook dat soort apparaten, dat ze daar backdoors in kunnen bouwen,
[1:04:29] dat ze die kunnen hacken.
[1:04:30] Dus voor dat specifieke onderdeel is daar niet nog af te stappen
[1:04:36] van die landenneutrale aanpak.
[1:04:37] Hoe kijkt de minister daar tegenaan?
[1:04:40] Minister, ik weet niet of ik deze specifieke, dat wil even checken,
[1:04:44] maar in algemene zin gaan we natuurlijk naar Europese regelgeving ook toe
[1:04:48] die alle beveiligingen op het gebied van cyber in 2025 gaan regelen.
[1:04:53] Dus we moeten heel goed opletten wat de specifieke, wat is algemeen.
[1:04:56] Waar wij heel erg voor pleiten is een algemene regeling
[1:04:59] waarbij fabrikanten gedwongen worden om rekening te houden
[1:05:02] met de cybersecurity-eisen.
[1:05:06] En ik zal zo dadelijk er nog wel wat over toelichten,
[1:05:07] maar het gaat bijvoorbeeld ook over security by design.
[1:05:11] En daarmee zou je een heleboel al kunnen afvangen.
[1:05:14] We willen ook een open handelsland zijn.
[1:05:17] We willen niet daar barrières opleveren waar het niet nodig is.
[1:05:20] Dus we zullen heel gericht moeten zijn, maar in algemene zin geldt
[1:05:23] voor alle producten die we dadelijk in de markt gaan gebruiken,
[1:05:25] die digitaal of via het internet verbonden zijn,
[1:05:31] dat daar de cybersecurity-eisen aan moeten worden gesteld.
[1:05:35] En dan vang je echt al heel veel af.
[1:05:42] De heer Ziks-Dijkstra vroeg ook of de ABRO-regeling nog iets gaat veranderen
[1:05:47] om die statelijke actoren buiten de deur te houden.
[1:05:51] Dat ABRO, dat is de algemene bevoegdheidseisen, beveiligingseisen,
[1:05:56] Ja, ik kan hem afkorten. Natuurlijk, beveiliging.
[1:05:59] Beveiligingseis voor de Rijksoverheid.
[1:06:01] Die beoogt veiligheidsgerelateerde overheidsorganisaties
[1:06:04] om die inkoopeisen en toezicht daarin te beschrijven.
[1:06:08] En op basis daarvan zullen er dus voor de nationale veiligheid
[1:06:10] beperkingen gelden voor landen met een actief cyberprogramma
[1:06:13] gericht tegen Nederland.
[1:06:15] En er wordt nog onderzocht of daar thans een wettelijk kader voor bestaat
[1:06:20] of dat we daar een nieuw kader voor moeten invoeren.
[1:06:27] Voorzitter, D66 vroeg wat ik vind van de oproep van de Cybersecurityraad aan het nieuwe kabinet
[1:06:33] om sterke in te zetten op cybersecurity.
[1:06:37] Eigenlijk in algemene zin ben ik het daar volwondig mee eens, want het kan niet genoeg zijn gezien
[1:06:41] ook de omvang van de dreigingen die wij zien.
[1:06:45] Desalniettemin meen ik ook dat wij al best flink geïnvesteerd hebben in een aanpak.
[1:06:49] Alleen is het iets wat tijd kost om het volledig te implementeren.
[1:06:52] We hebben dus geïnvesteerd in...
[1:06:55] We hebben een nationale cybersecuritystrategie en die voeren wij uit.
[1:06:58] We hebben ook extra middelen voor het tegengaan van digitale dreigingen...
[1:07:02] ...en daar acties op te zetten door statelijk actoren en criminelen.
[1:07:06] Dat vindt u dus ook allemaal terug in die Nederlandse cybersecuritystrategie.
[1:07:10] Daar gaan we ook onverminderd mee door.
[1:07:13] En wat een volgend kabinet daarmee doet, ik kan het alleen maar van harte aanbevelen...
[1:07:16] ...want dit is iets waar volgens mij iedereen...
[1:07:18] ...is ook niet zoveel verschil volgens mij over in de Kamer...
[1:07:20] over hoe belangrijk het is om dit aan te pakken.
[1:07:25] Voorzitter, de heer Siks-Dijkstra en mevrouw Van der Werf vroegen
[1:07:31] waarom die implementatie van die NIS2-richtlijn nou zo lang duurt.
[1:07:36] En ik ben dat eigenlijk, als je er oppervlakkig naar kijkt, ook wel eens.
[1:07:39] Dan denk je van, hol, wat kost dat nou veel tijd?
[1:07:42] Maar het is wel een heel complex traject.
[1:07:44] Want wat wij willen doen...
[1:07:46] We hebben een heleboel zaken bisectoraal geregeld.
[1:07:49] En wij willen ook toespitsen, bijvoorbeeld op de zorg of op het watermanagement
[1:07:53] of dat we zorgen dat we die bedrijven, organisaties die daar actief zijn,
[1:07:57] dat we die ook daadwerkelijk de goede keuzes laten maken.
[1:08:02] Deze richtlijnen zullen ingrijpende gevolg hebben voor duizenden organisaties.
[1:08:06] Dat geldt voor de entiteiten die aan de verplichtingen moeten voldoen,
[1:08:09] maar dat geldt ook voor de departementen, de uitvoeringsorganisaties
[1:08:12] en de toezichthouders die nieuwe taken krijgen waarvoor ze uitgerust moeten zijn.
[1:08:18] Eigenlijk herzien we met deze wet het volledige cybersecuritystelsel in Nederland.
[1:08:24] En voorbeelden daarvan zijn bijvoorbeeld samenwerkingsafspraken tussen het NSC, NSCS, DTC,
[1:08:32] doe mij nog een afkorting, ZORG, CERT en over bijvoorbeeld het delen van de dreigingsinformatie.
[1:08:36] Hoe deel je die informatie goed?
[1:08:39] Maar bijvoorbeeld ook het toezicht organiseren op bijvoorbeeld de voedselvoorziening.
[1:08:45] Het opzetten van een centraal portaal.
[1:08:47] Dus dat is de reden, voorzitter, dat dit tijd kost.
[1:08:57] Dan is toch mijn vraag aan de minister en misschien dat mijn buurvrouw dezelfde vraag gaat stellen.
[1:09:01] Hoe komt het dan dat het andere landen wel lukt als het dezelfde wetgeving is?
[1:09:07] Dat is een goede vraag.
[1:09:08] Andere landen hebben soms een algemene regel en wij spitsen het echt toe op de sectoren,
[1:09:12] waardoor het meer tijd kost, maar hopelijk ook effectiever gaat zijn.
[1:09:19] Er is natuurlijk jarenlang onderhandeld over deze richtlijn.
[1:09:23] Toen had Nederland ook al kunnen bedenken, als dat het antwoord is dat wij het meer toespitsen,
[1:09:28] dat we daar dan tijd en dus ook capaciteit voor nodig hebben.
[1:09:33] Dus ik vind dat wel een beetje een makkelijk antwoord, zeg ik in alle eerlijkheid, want
[1:09:37] we hebben daar heel lang over onderhandeld, over al die regels en richtlijnen, en vervolgens
[1:09:42] regelen wij het toezicht niet.
[1:09:44] Dus had de minister dan niet dat zij zich boos maakte toen ze hier achterkwam, of dacht
[1:09:49] zei van het begin af aan, nou, wij doen daar gewoon wat langer over.
[1:09:53] Ik, ik, ik snap het niet helemaal,
[1:09:55] want we zien dat bij de DSA zagen we dat ook gebeuren en nu worden we weer ingehaald.
[1:09:59] En ik zou willen voorkomen dat we straks de enige in Europa zijn waarbij de regels
[1:10:03] op papier zijn, maar in de praktijk niet zoveel mee gebeurt.
[1:10:07] De minister.
[1:10:09] Ja, voorzitter, dat is volgens mij niet het correcte beeld.
[1:10:12] Ik begrijp wel dat deze vraag gesteld wordt.
[1:10:14] Als je bijvoorbeeld naar Duitsland kijkt, dan maken ze wel een generieke regel,
[1:10:16] maar dat moet nog wel door de landen en de lender worden ingevoerd.
[1:10:19] Dus de vraag is wanneer het daar daadwerkelijk ook tot implementatie leidt.
[1:10:25] Dus wat wij hier hebben is een best wel een ver doorgevoerd sectorale opbouw van regels,
[1:10:32] toezichthouders, in de zorg, op het gebied van alle andere infrastructuur.
[1:10:36] En wij moeten zorgen dat we dat op elkaar laten aansluiten.
[1:10:38] En daarom kost het nu meer tijd.
[1:10:39] Maar we hebben wel de verwachting a, dat het aansluit, zoals wij gewend zijn te werken.
[1:10:43] Maar b, dat we ook veel gerichter actie kunnen ondernemen als het daadwerkelijk geïmplementeerd is.
[1:10:47] Ik wil wel gezegd hebben dat ik het op papier ook een lange tijd vind.
[1:10:51] Daar hebben we volgens mij geen discussie over, maar gezien het beeld dat ik aangereikt krijg
[1:10:56] en de informatie daarover, begrijp ik wel waarom het zo lang duurt.
[1:11:01] Dan ga ik proberen om twee vragen in één vraag te stoppen, voorzitter, want u bent streng.
[1:11:07] Ik zou heel graag willen weten van de minister wat de tijdlijn is die zij voor zich ziet om die
[1:11:12] NIS 2-richtlijn om te zetten in nationale regelgeving, want dan ben ik ook wel benieuwd waar
[1:11:17] wanneer we het dan wel kunnen verwachten en of je ergens onderweg in die tijdlijn
[1:11:22] toch al zou kunnen zeggen, want ik begrijp haar antwoord wel dat ze zegt
[1:11:25] het is belangrijk dat die sectoren op elkaar aangesloten zijn, maar wat bij
[1:11:29] de DSA natuurlijk vooral jammer is, is dat de toezicht nog niet functioneert.
[1:11:33] Dus zou je het al onderweg kunnen zeggen, we beginnen al wel deels met handhaven
[1:11:38] en we wachten niet tot het complete plaatje aan elkaar is genaaid,
[1:11:41] om het zomaar te zeggen.
[1:11:44] Het toezicht zal hier niet het heikele punt zijn, omdat we zorgen dat de bestaande toezichthouders
[1:11:50] deze implementatie voor hun rekening gaan nemen.
[1:11:53] Dat is dus al ingeregeld.
[1:11:56] We verwachten even met de tijdpad dat de minister van JNV de conceptwetsvoorstellen ook voor deze
[1:12:03] zomer al naar uw Kamer stuurt.
[1:12:06] Dat is op zich een overzienbare periode, maar wij gaan ondertussen wel beginnen.
[1:12:11] Dus wij zijn al bezig om daar waar nog geen verplichting is wel organisaties al voor
[1:12:18] te bereiden op de taak die komt.
[1:12:25] En ik voeg daar nog aan toe dat half mei de consultatie start.
[1:12:36] Dat had ik ook gezien en ik zou dus ook heel graag zien dat we die deadline halen.
[1:12:43] Ik meen dat die in oktober ligt of dat die in het najaar is, want je zou kunnen zeggen
[1:12:47] Als die consultatie in het voorjaar start, dan zou je de input daarvan in de zomer kunnen verwerken.
[1:12:55] Volgens mij kan je dan nog wel een paar maanden een inhaalslag maken.
[1:13:01] Voorzitter, dat ligt voor een deel buiten mijn planinvloedsweer, zeg maar.
[1:13:05] Het gaat naar de Kamer, dan moet het daarna naar de Raad van State.
[1:13:09] Dus consultatiekamer, Raad van State en dan het parlementaire behandelingsproces.
[1:13:13] Dus voor een deel, als ik voorzichtig ben, ligt dat aan de andere kant van de tafel.
[1:13:17] Wij zullen zorgen om het zo snel mogelijk nu voor de zomer aan te bieden.
[1:13:26] Voorzitter, een vraag van de heer Valise.
[1:13:28] Met het oog op de NIS2 is er een herinrichting van de CSIRT van het stelsel aangekondigd.
[1:13:35] Wat is de status?
[1:13:37] Naar verwachting zullen we de — dit sluit dan niet helemaal aan — NIS2-richtlijn
[1:13:44] dat je aan uw Kamer dus zende, in de hoop dat we daar dan doorheen zijn.
[1:13:49] Zo zie je twee ministeries.
[1:13:50] Ze hebben iets andere taal over de planning, maar we bedoelen hetzelfde.
[1:13:53] En de uitwerking van dat CS-IRT-rapport wordt parallel uitgevoerd
[1:13:57] en daarover wordt u dus gelijktijdig geïnformeerd.
[1:14:00] De uitwerking van het rapport is erop gericht
[1:14:02] om organisaties te ondersteunen in het beter beveiligen van de systemen
[1:14:06] en ook te informeren over de bekende kwetsbaarheden en bedreigingen
[1:14:09] en bijstand te verlenen in het geval van een incident.
[1:14:15] De heer Valies vroeg ook of ik iets kon zeggen over de gevolgen
[1:14:18] voor de regeldruk, voorzitter, die daaruit voortkomen.
[1:14:22] Zoals ik al zei, zitten we in de laatste fase van voorbereiding
[1:14:25] en hoe dat er dan precies uitziet, kan ik nog niet zeggen.
[1:14:29] Maar duidelijk is wel dat de richtlijn eisen met zich meebrengt
[1:14:32] voor nieuwe organisaties.
[1:14:35] En dat is ook nodig voor de digitale weerbaarheid van Europa en Nederland.
[1:14:40] En zoals ik u al net aangaf, is dat wij nu ook al communiceren
[1:14:44] zodat zij zich kunnen voorbereiden.
[1:14:47] Maar bij het opstellen van die regelgeving hebben we natuurlijk wel oog voor de regeldruk.
[1:14:50] Wij proberen ook altijd wel contact te hebben met organisaties, te reflecteren, om te kijken
[1:14:53] hoe we een bepaald doel kunnen bereiken met de minste regeldruk.
[1:15:00] Volgens mij was het ook de PVV.
[1:15:04] De heer Van Lies vroeg waarom het bestuurde confinant digitale veiligheid niet wordt meegenomen
[1:15:09] in de monitoring.
[1:15:10] Het wordt wel meegenomen.
[1:15:11] Het is onderdeel van het actieplan Nederlandse Cyber Security Strategie.
[1:15:16] En op dit moment zijn de projectleiders van het Rijk en de Vereniging Nederlandse Gemeenten
[1:15:21] samen bezig met het formuleren van de acties die daaruit voortkomen.
[1:15:26] En daar hebben we dan ook een structuur voor ingericht en monitoring op die acties.
[1:15:29] Dus niet afzonderlijk meegenomen, maar zit in het totaal.
[1:15:32] Het loopt mee als onderdeel van de cybersecurity-strategie en de rapportages
[1:15:37] die we daarover doen aan uw Kamer.
[1:15:40] D66-mevrouw Van der Werf vroeg wat we doen om de aangiftebereidheid, de pakkans te vergroten.
[1:15:47] Ik wil zeker mede namens de minister van JNV de slachtoffers vooral oproepen om aangifte
[1:15:53] te doen bij de politie, want meer aangiftes leiden er ook toe dat het totaalbeeld van het
[1:15:57] probleem beter wordt en bevordert dus ook de aanpak en het treffen van maatregelen.
[1:16:03] Een van de acties uit de Nederlandse cybersecurity-strategie is het voor meer cybercrime-fenomenen
[1:16:10] mogelijk maken om online meldingen te doen of aangifte.
[1:16:13] Over de voortgang van die actie rapporteren we in de voortgangsrapportage Nederlandse
[1:16:19] cybersecurity-strategie en dat doen we in het najaar van 2024.
[1:16:24] Voorzitter, mevrouw Katman vroeg of ik de mogelijkheid wilde onderzoeken om ethische
[1:16:28] hackers bij DTC in te zetten om digitale kwetsbaarheden te onderzoeken.
[1:16:35] Het Digital Trust Center en het Nationaal Cybersecurity Centrum werken al samen met ethische hackers,
[1:16:40] bijvoorbeeld met de DIVD, en samen wisselen zij ook informatie uit over die kwetsbaarheden.
[1:16:46] We kunnen wel kijken naar intensivering daarvan, maar ik weet wel dat er al veel gebeurt.
[1:16:52] Verder zullen we in het programma Cyclotron samenwerken om die dreigingsinformatie
[1:16:57] nog beter te analyseren.
[1:17:01] Voorzitter, een vraag van de PVV over de nulmeting van de NLCS, de Nederlandse
[1:17:11] de aandachtspunten over beleidslogica, zoals betrokkenheid voor het MKB.
[1:17:16] Ik ben het helemaal eens met BV dat het belangrijk is dat het WODC hele belangrijke
[1:17:21] aanbevelingen en analyses doet in het rapport, het omvangrijke rapport.
[1:17:26] Wij gaan er ook mee aan de slag, voor zover we er niet al mee aan de slag zijn.
[1:17:32] Allereerst een aantal zaken wil ik daar wel over noemen.
[1:17:34] Het zal niet volledig zijn, want het is echt heel veel wat te doen.
[1:17:36] De minister van Justitie en Veiligheid is met collega's in gesprek over hoe de
[1:17:40] conclusies kunnen worden meegenomen in de uitvoering van de cybersecuritystrategie.
[1:17:45] Dan zal ze ook meenemen wat daaruit komt, bovenop wat we al doen in de voortgangsrapportage.
[1:17:51] Verder heeft u die wet aangenomen, de digitale weerbaarheid, waarmee ik nog meer voorlichtingen
[1:17:57] en acties kan nemen richting bedrijven, ook meer kan doen met informatiedeling, et cetera, et cetera.
[1:18:02] Als je naar de website van DTC gaat, zie je ook dat er allerlei tools beschikbaar zijn.
[1:18:08] Mevrouw Rijkovski is weer terug, maar de cybersecurityoefening is geïmplementeerd.
[1:18:12] Dat kan je ook vinden op de website, net zoals het keurmerk.
[1:18:16] Op die manier proberen we de betrokkenheid van het MKB te verhogen.
[1:18:25] Voorzitter. Een vraag rondom de datalekken.
[1:18:30] Ik zit even te kijken wie die is.
[1:18:32] Wat de minister gaat doen dat de organisaties hun klanten die betrokken zijn
[1:18:38] met een incident informeren?
[1:18:40] Ja, D66, ja.
[1:18:42] Het is zorgelijk dat de organisaties niet altijd hun klanten informeren.
[1:18:45] Dus dat zou ons ontzettend helpen als zij dat doen,
[1:18:49] want dan zijn we allemaal weer een stukje veiliger.
[1:18:52] Op grond van de AVG moet een bedrijf die een datalek heeft geconstateerd
[1:18:56] binnen 72 uur een datalek melden aan de autoriteitenpersoonsgegevens
[1:19:00] en moeten ook slachtoffers worden geïnformeerd als een datalek waarschijnlijk een hoog risico voor hen oplevert.
[1:19:07] Het kabinet heeft extra middelen vrijgemaakt voor de autoriteit persoonsgegevens om te zorgen dat ze nog beter haar taken kan uitvoeren.
[1:19:16] De AP houdt dus toezicht op de nalevende AVG en ook of het slachtoffer wordt geïnformeerd als er sprake is van een datalek.
[1:19:26] Dat, voorzitter, waren mijn antwoorden op het eerste blokje.
[1:19:29] Dan ga ik ongemerkt door naar blokje twee.
[1:19:34] Dat gaat over pijler twee van de cybersecuritystrategie.
[1:19:38] Dat was een vraag van mevrouw Rekowski.
[1:19:40] Die vroeg naar de omvormers.
[1:19:44] Daar heeft de RDI inderdaad voor gewaarschuwd.
[1:19:47] Dat is inderdaad een zorg.
[1:19:48] De RDI heeft gewaarschuwd voor het op afstand aan- en uit kunnen zetten van de zonnepaneelinstallaties
[1:19:53] via gehakte omvormers.
[1:19:55] en daarmee ontstaat een risico op misbruik.
[1:19:58] Dat kan een best wel grote impact hebben als het hele elektriciteitsnetwerk uit zou vallen.
[1:20:06] De aankomende cybersecurity-eisen, op grond van de Radio Equipment Directive,
[1:20:12] die bepalen dat de omvormers moeten worden beveiligd tegen de onbevoegde toegang.
[1:20:17] Dus we hebben perspectief wel op een regeling.
[1:20:22] Helaas duurt de uitwerking van de cybersecuritystandaarden van die RET wat langer,
[1:20:26] waardoor de Europese Commissie de ingangsdatum een jaar heeft uitgesteld.
[1:20:30] Het is nu augustus 2025.
[1:20:33] Ja, u noemde 2024, maar het is 2025.
[1:20:37] Ja, maar wij roepen wel in de tussentijd alle fabrikanten op om die beveiliging op pijl te brengen.
[1:20:45] En de RDI is zich ook aan het voorbereiden op de toezichtrol.
[1:20:49] Bijvoorbeeld, het helpt enorm als consumenten en bedrijven de standaard wachtwoorden van de
[1:20:54] omvormer wijzigen in een sterk wachtwoord.
[1:20:56] Dus daar ligt dan ook weer een voorlichtingsrol bij de overheid.
[1:21:00] Doe je updates, maar dan zeg maar in bredere, dat is niet alleen maar doe je updates roepen,
[1:21:04] maar ook zorgen dat we daar veel meer aandacht aan besteden.
[1:21:07] Want dat helpt, dat helpt enorm.
[1:21:12] Mevrouw Rekowski.
[1:21:13] Ja, dank.
[1:21:14] En dit is natuurlijk lastig, dat begrijp ik ook, dat als die veiligheidseisen pas in 2025 ingaan,
[1:21:20] dan is het nu natuurlijk lastig om te handhaven en om te beboeten.
[1:21:24] Tegelijkertijd zou je zo graag toch al wel wat kunnen doen.
[1:21:28] Is het mogelijk om hier wat de randen op te gaan zoeken?
[1:21:32] Dus bijvoorbeeld op het moment dat er...
[1:21:33] Goed dat er gesprekken worden gevoerd met fabrikanten.
[1:21:36] De één zal wat welwillender zijn en beter luisteren,
[1:21:39] kan ik me zo voorstellen, dan de ander.
[1:21:42] Dat er dan ook goed gekeken wordt op het moment dat fabrikanten
[1:21:45] nu al worden gewaarschuwd, maar straks vanaf die datum
[1:21:49] niet aan de juiste eisen voldoen, dat er dan ook niet meer eerste waarschuwing wordt gegeven,
[1:21:53] maar meteen wordt beboet.
[1:21:55] Dan kunnen we misschien toch al, zoals iets misschien wat dwingender duwen,
[1:21:59] de juiste kant op, dan dat we anderhalf jaar moeten gaan wachten.
[1:22:03] Dat is best lang.
[1:22:06] Ja, voorzitter, dat het best lang is, daar ben ik het wel mee eens.
[1:22:09] Dus ik wil wel gaan kijken wat ik kan doen met de DTC, dus daar kom ik dan heel graag nog op terug.
[1:22:15] We doen een najaarsvoortgangsrapportage en dan zal ik kijken wat we kunnen doen
[1:22:19] in het anticiperen op die regelgeving.
[1:22:22] En ja, voorzitter, een vraag van de PvdA.
[1:22:28] Bereidheid om binnen Europa aan te dringen op hogere standaarden
[1:22:31] wat betreft de cybersecurity van diensten en apparaten,
[1:22:34] de security by design.
[1:22:35] Nou, zoals gezegd, deel ik het belang daarvan.
[1:22:39] Daarom is het ook een doelstelling van de Nederlandse cybersecuritystrategie.
[1:22:42] Wij hebben er ook als Nederland bij de Europese Commissie
[1:22:45] hebben wij heel erg aangedrongen op die algemene eisen.
[1:22:47] Aan alle digitale producten die in de Europese Unie op de markt komen.
[1:22:54] En daarbij zijn we al begonnen voordat de commissie het voorstel deed voor de Cyber Resilience Act.
[1:23:01] En ook tijdens de onderhandelingen hebben we daar flink wat invloed op uitgeoefend op hoog ambitieniveau.
[1:23:08] En het resultaat mag er dan naar ons idee ook zijn.
[1:23:10] Alle digitale producten, inclusief de hardware, software en de losse componenten in de hele toeleveringsketen
[1:23:16] moeten vanaf 2027 passend beveiligd zijn.
[1:23:21] Daarbij geldt dat security by design vereist wordt.
[1:23:27] Producten moeten zonder bekende kwetsbaarheden op de markt worden gebracht.
[1:23:31] Ze moeten er dus mee aan de slag.
[1:23:33] Fabrikanten blijven gedurende hele verwachte gebruikstuur verplicht om kwetsbaarheden op te
[1:23:38] lossen door gratis veiligheidsupdates te verstrekken.
[1:23:40] En een van uw leden, voorzitter, noemde nog end-of-life.
[1:23:44] Ja, dat is dan ook echt end-of-life.
[1:23:47] Dus dan is het ook...
[1:23:49] Zodra een product nog functioneert, moet het aan de eisen voldoen.
[1:23:52] En is dat niet meer zo, dan mag je het ook echt niet meer op de markt hebben,
[1:23:55] want dan zou je het product nog kunnen blijven verkopen,
[1:23:58] terwijl het eigenlijk niet meer aan de standaarden voldoet.
[1:24:00] De heer Van Liesen van de PVV.
[1:24:03] Ja, met de end-of-life-cyclus, dank, voorzitter,
[1:24:05] bedoelde ik dan meer de uitfaceerperiode,
[1:24:08] Want tot een voorraad weg is, gaat er nog wat tijd overheen.
[1:24:13] Is daar ook over nagedacht?
[1:24:15] Sorry, ik was even afgeleid.
[1:24:18] Met die end-of-life-cyclus, dat betekent ook nog aan het eind daarvan...
[1:24:22] dan heb je nog altijd voorraad. Die voorraad moet ook uitverkocht worden.
[1:24:24] Dus je hebt een uitfaseerperiode. Is daar ook over nagedacht?
[1:24:28] Dat is de goede vraag, waar ik ook even op rugspraak had.
[1:24:34] Dus uiteindelijk is de eigenaar...
[1:24:35] die moet handeling verrichten, die moet de voorraad dus terugnemen.
[1:24:38] En wij moeten daar... RDI moet daar toezicht op houden.
[1:24:42] Dat is de wijze waarop het geregeld is.
[1:24:44] Maar daar moeten we denk ik heel erg alert op zijn,
[1:24:46] want daarmee zou je het hele systeem kunnen ondergraven.
[1:24:49] En dat is niet de bedoeling.
[1:24:50] Dus in die verantwoordelijkheidsverdeling wordt het geregeld.
[1:24:58] En ik krijg toegefluisterd dat het fabrikant moet melden
[1:25:01] wat de beëindigingsdatum is van de ondersteuning.
[1:25:04] Dus dat... We hebben meer informatie.
[1:25:06] U heeft nog een interruptie van de heer Sjinks-Dijkstra van NSC.
[1:25:09] Dankuwel.
[1:25:10] Voorzitter, het was hier net ook al tijdens de eerste termijn benoemd,
[1:25:14] de casus van de alarmsystemen, die ook vandaag in het nieuws waren, die kwetsbaar waren.
[1:25:18] Mijn vraag aan de minister is, als de Cyber Resilience Act in werking was getreden,
[1:25:22] wat voor effect zou dat dan hebben op deze casus?
[1:25:30] Ja, dan had je hogere eisen gesteld aan de voorkant aan die software.
[1:25:36] Dus dan was het product, maar ik kan niet beoordelen wat nou precies het risico is,
[1:25:39] daarom twijfel ik even.
[1:25:40] Kijk, aan de voorkant haal je in ieder geval een heleboel risico's weg,
[1:25:43] omdat een product aan de cybersecurity-eisen die wij aan de voorkant hebben gesteld moet voldoen.
[1:25:48] Voldoen je dat niet, dan kan je zelfs een boete krijgen, et cetera, et cetera.
[1:25:51] Dus er wordt dan hardop gehandhaafd.
[1:25:53] Maar er kan natuurlijk een risico zijn dat je er doorheen gaat,
[1:25:57] wat dan weer leidt tot aanscherping van eisen.
[1:25:59] Ik bedoel, volgens mij moeten we met elkaar zo'n systeem gaan organiseren.
[1:26:02] Dus ik kan niet op deze case zeggen, dan was het niet gebeurd,
[1:26:05] maar ik weet wel dat het risico kleiner was geweest.
[1:26:12] U heeft nog een interruptie van de heer Sik-Steikstra.
[1:26:14] Deze casus was natuurlijk ook zo dat het bij de fabrikant al een jaar bekend was dat de
[1:26:19] kwetsbaarheid erin zat.
[1:26:21] Een klokluider had dat aan de fabrikant gemeld en daar is vervolgens niet op geacteerd.
[1:26:24] Wat zou dan onder de CRA vervolgens de gevolgen voor zijn?
[1:26:29] Dat is precies de crux.
[1:26:31] Bij bekende kwetsbaarheid had de fabrikant dit moeten oplossen.
[1:26:35] Dus het scheelt wel de aangescherpte eisen.
[1:26:42] En dan had het inderdaad ook een boete boven het hoofd gehangen.
[1:26:47] Voorzitter, de PVV vroeg hoe de minister gaat anticiperen op de cybersecurity-eisen
[1:26:52] in de Europese wetgeving. Volgens mij heb ik dat al aangegeven, dat de RET per 1 augustus 2025 ingaat
[1:26:59] en dat we daar dus op anticiperen. Ik heb daar ook al wat opmerkingen over gemaakt dat we daar
[1:27:03] proactief in zijn. P van de A, mevrouw Katman, vroeg betere informatievoorzieningen aan consumenten
[1:27:11] over het niveau van de beveiliging van apparaten en diensten die ze aanschaffen, een soort
[1:27:15] veiligheidslabel. Juist consumenten zouden erop moeten kunnen rekenen dat een apparaat
[1:27:21] wat in de Europese Unie wordt aangeboden veilig is. Dat geldt over fysieke veiligheid, bijvoorbeeld
[1:27:27] geen kankerverwerkende stoffen, geen brandgevaar, maar dat moet dus ook voor cybersecurity gaan
[1:27:32] gelden. Een label laat de verantwoordelijkheid voor de juiste keuze bij de consument, maar
[1:27:37] in plaats daarvan heb ik mijn hart gemaakt voor verplichte cybersecurity-eisen voor alle hard-
[1:27:46] En fabrikanten mogen met de komst van de Cyber Resilience Act vanaf 2027, zoals gezegd,
[1:27:52] dus alleen nog maar producten op de markt brengen, digitale producten op de markt brengen die digitaal
[1:27:57] veilig zijn. En dat niveau van beveiliging moet passend zijn voor de risico's die bij het product
[1:28:01] horen. En fabrikanten moeten die producten na verkoop ook veilig houden voor de hele verwachte
[1:28:07] gebruiksduur. En de Cyber Resilience Act verplicht tot het bij de aanschaf duidelijk vermelden van
[1:28:12] in deze ondersteuningstermijn en de CE-markering, dus het label.
[1:28:17] De Cyber Resilience Act, de CRA, gaat voor alle hard- en software-
[1:28:21] en losse componenten gelden, zowel voor consumentenproducten
[1:28:24] als voor zakelijk gebruik en industriele toepassingen.
[1:28:29] En eigenlijk zetten we daar dus met onze Radio Equipment Directive
[1:28:34] de eerste eisen vanaf 2025 al voor de draadloosverbonden apparaten.
[1:28:42] Ik wilde nog toevoegen, want ik dacht al, deze had eigenlijk
[1:28:45] Ik heb in het eerste mapje misschien thuisgehoord de vraag van GroenLinks,
[1:28:48] met voornaam mevrouw Kapman, over de cyberveiligheidseisen.
[1:28:53] Welke mogelijkheid er is om die cyberveiligheidseisen op te stellen
[1:28:56] voor meer dan een klein bedrijf, met zo min mogelijk toename van de regeldruk.
[1:29:01] We waren er net al een beetje over in het gesprek wat we doen om het MKB te ondersteunen.
[1:29:05] Dit is aan de andere kant, de andere kant van de medaille.
[1:29:10] Die digitale veiligheid is echt een voorwaarde ook voor dit soort bedrijven.
[1:29:13] Ze moeten gewoon hun basis op orde hebben.
[1:29:16] Ik ben alleen niet voor het opstellen van extra eisen,
[1:29:19] omdat het A ook niet echt doenlijk is.
[1:29:22] De diversiteit onder de bedrijven is echt heel groot.
[1:29:24] MKB is een hele brede verzameling van soorten bedrijven.
[1:29:28] En heel vaak in de praktijk zorgt de IT-dienstverlener
[1:29:31] voor de cybersecurity.
[1:29:33] En die eisen moeten wel proportioneel zijn
[1:29:35] voor de betreffende bedrijven.
[1:29:38] Maar goed, met de NIS2 gaan we echt al een hele grote stap zetten.
[1:29:41] Dus we doen al het nodige, maar dat hoef ik mevrouw Kapman niet uit te leggen.
[1:29:44] Die weet dat heel goed.
[1:29:47] En bedrijven, en ik denk dat dat wel belangrijk is, ook de MKB'ers moeten meer weerbaar worden
[1:29:51] en ook eisen gaan stellen aan hun toeleveranciers.
[1:29:54] En voor een deel worden ze daar ook gefaciliteerd door het Digital Trust Center,
[1:29:58] met onder andere de Cyberveilig Check die daar te vinden is,
[1:30:01] zodat je goed kan kijken welke acties je moet ondernemen,
[1:30:05] ook al als je wat zelf wat minder kennis in huis hebt.
[1:30:08] Digitale platformen als AliExpress, PVV vroeg daarnaar, ja, de eisen van de CRA gelden ook
[1:30:16] voor geïmporteerde producten van buiten de Europese Unie.
[1:30:21] Importeurs zijn verplicht om bij die fabrikant na te gaan of de producten voldoen aan die
[1:30:25] eisen en de RDI gaat daar dan ook toezicht op houden.
[1:30:28] En als een importeur nou het vermoeden heeft dat de product niet voldoet, dan moet de importeur
[1:30:33] ook verplicht dat melden bij de toezichthouder.
[1:30:35] U heeft een interruptie van de heer Van Liesen.
[1:30:38] Ja, voorzitter, dank voor de interruptie.
[1:30:41] Mijn vraag ging eigenlijk meer over consumenten.
[1:30:43] Als consumenten het zelf bestellen via AliExpress, Ali...
[1:30:48] weet ik veel, allemaal die platformen.
[1:30:49] En het wordt dan door een beunhuis geïnstalleerd op de daken.
[1:30:51] Ja, daar zat eigenlijk meer de crux van de verhaal.
[1:30:56] Volgens mij gaat het ook via een platform, wat aan de regels gehouden is.
[1:30:59] Ik wilde het andersom wel even checken voor de tweede termijn.
[1:31:01] Maar volgens mij ben je dan net zo goed beschermd tegen...
[1:31:04] Dat wordt bevestigd via de platform importeur.
[1:31:17] Voorzitter, de vraag van de PVV hoe ik anticipeer op de komende cybersecurity-eisen.
[1:31:21] Volgens mij heb ik daar het nodige over gezegd.
[1:31:28] Met het oog op de NIS2 of een herinrichting van de CSIRT is aangekondigd wat de status is,
[1:31:34] vroeg de heer Van Liesenaar.
[1:31:36] Naar verwachting zal ik die NIS2-richtlijn binnenkort met u delen.
[1:31:40] Dat wordt in nauwe samenwerking met de departementen uitgevoerd.
[1:31:42] de uitwerking van dat rapport.
[1:31:46] Die uitwerking is er dan ook op gericht om organisaties te ondersteunen in het beter beveiligen
[1:31:50] van de systemen, te informeren over de kwetsbaarheden en bijstand te verlenen in het geval er sprake
[1:31:56] is van een incident.
[1:32:00] Voorzitter. Mevrouw Kapman vroeg naar de bereidheid om binnen Europa aan te dringen op hogere standaarden.
[1:32:08] Volgens mij heb ik daar het nodige over gezegd.
[1:32:10] Ik zie dat er wat herhaling zit van wat ik al eerder heb vermeld, dus daar ben ik door het
[1:32:28] Voorzitter, dan kom ik bij de pijler drie van de Cyber Security Strategie, het standpunt van de
[1:32:36] Task Force Economische Veiligheid. Het was een vraag van de heer Dijkstra. Het staand kabinetsbeleid
[1:32:43] bij het inkopen en gebruiken van producten en diensten is dat er per casus wordt bezien of
[1:32:48] er in relatie tot producten en diensten risico's zijn voor de nationale veiligheid en hoe deze
[1:32:52] beheersbaar kunnen worden gemaakt.
[1:32:55] Het is niet bij voorbaat zo, en eigenlijk hebben we daar net al het nodige over gezegd,
[1:32:59] dat producten uit een bepaald land per definitie veiligheidsrisico's
[1:33:03] met zich meebrengt.
[1:33:05] En dat is eigenlijk ook wel het standpunt van de taskforce Economische Veiligheid.
[1:33:09] En als ik dit zo doorneem, dan denk ik dat we gedeeld hebben dat we een open economie zijn
[1:33:12] en dat we dus die balans proberen te zoeken en die proportionaliteit.
[1:33:17] U heeft een interruptie van de heer Sik-Steikstra.
[1:33:21] Ja, voorzitter, dan zou ik toch wel de vraag aan de minister,
[1:33:24] dit natuurlijk horende willen stellen van, kan zij een voorbeeld noemen van een situatie
[1:33:30] waarin bij vitale infrastructuur het wel verantwoord zou zijn om een Chinese router te gebruiken?
[1:33:39] Nee, ik zou bijna zeggen, nee dat kan ik niet op deze manier, want ik moet dat onderzoeken.
[1:33:46] De heer Siksdijkstra.
[1:33:48] Zou u dat willen onderzoeken?
[1:33:52] Voorzitter, misschien even een herfrasering, zou meneer Siksdijkstra nog even uitzoeken
[1:33:56] wat, willen benadrukken wat hij nou precies bedoelt met deze vraag.
[1:33:59] Oké, ik zal hem even raseren.
[1:34:02] Het zit hem voornamelijk in de software, of de hardware moet ik zeggen...
[1:34:06] ...die maakt dat een netwerk verbonden is met het internet.
[1:34:09] De rand van het netwerk, als een router of een switch...
[1:34:13] ...die ervoor zorgt dat een bedrijf of een overheidsinstantie verbonden is met het internet...
[1:34:17] ...als die van Chinese makelaarij is, dan lijkt mij dat eigenlijk in principe onverantwoord.
[1:34:24] Ik zou geen enkele situatie kunnen bedenken dat je daar zou zeggen...
[1:34:28] Daar kunnen we ervoor zorgen, als het gaat om de vitale instelling,
[1:34:31] dat het wel een Chinese router is.
[1:34:33] En moeten we op dat gedeelte niet afstappen van dat landeneutrale?
[1:34:36] En dat is mijn vraag aan de minister.
[1:34:38] Eén tegenvoorbeeld zou genoeg zijn, maar daar zou ik wel heel benieuwd naar zijn.
[1:34:43] Volgens mij, voorzitter, wat ik net heb toegelicht,
[1:34:46] is dat wij heel erg kijken naar de risico's.
[1:34:48] Het gaat heel erg uit over de toepassing.
[1:34:50] We maken die beoordeling per casus, per geval.
[1:34:53] Als we in algemene zin dat zouden doen,
[1:34:55] zouden we ook fouten kunnen maken de andere kant op.
[1:34:57] Dus ik begrijp de vraag van de heer Sjiks-Dijkstra.
[1:34:59] Dit ruikt naar we moeten onderzoek doen en volgens mij moeten we dat dan ook doen.
[1:35:03] En zorgen dat we proportioneel kijken wat het risico is.
[1:35:06] Waar wordt het voor gebruikt?
[1:35:07] In welke toepassing zit het?
[1:35:09] Zit het in een bepaalde sector?
[1:35:10] Heeft het te maken met kritieke systemen?
[1:35:12] Gaat het over vitale infrastructuur?
[1:35:13] Volgens mij maken al dat soort zaken heel erg uit om dit proportioneel te bekijken.
[1:35:17] Ik zie een kleine instemming bij meneer Sjiks-Dijkstra.
[1:35:20] Misschien...
[1:35:20] De heer Sjiks-Dijkstra.
[1:35:22] Sorry voor alle interrupties, voorzitter.
[1:35:24] Ja, mijn vraag gaat specifiek over vitale instellingen en waar wordt het voor gebruikt?
[1:35:29] Dit gaat om routers, dus dat is standaard iets wat gebruikt wordt om met internet te verbinden.
[1:35:35] En waar in het netwerk het gebruikt wordt, maakt het ook minder uit.
[1:35:38] Want dat zou een beetje zijn alsof je zou zeggen...
[1:35:41] ik wil niet dat inbrekers in mijn woonkamer komen, dus ik doe mijn voordeur goed op slot.
[1:35:45] Maar de keukendeur, dat maakt niet uit, want het maakt niet uit of ze in mijn keuken komen.
[1:35:49] En dan ben ik benieuwd van, zijn er omstandigheden...
[1:35:52] waaronder je bij vitale infrastructuur voor netwerkdoeleinden
[1:35:58] wel Chinese apparatuur zou kunnen gebruiken.
[1:36:00] En misschien als de minister dat niet hier ter plekke kan beantwoorden,
[1:36:03] ben ik wel benieuwd van zijn, is er dergelijke casuïstiek?
[1:36:06] De minister.
[1:36:07] Ja, want als je bijvoorbeeld even in de metafoor te blijven,
[1:36:09] als je hele dikke betonmuren hebt, dan kom je er ook niet binnen.
[1:36:12] Dus het hangt er ook heel erg vanaf of je in een gesloten systeem zit of niet,
[1:36:15] of dat je in een open systeem zit.
[1:36:18] En dat moet je echt per geval bekijken.
[1:36:20] Op het moment dat je bij een vitale infrastructuur zit,
[1:36:24] dan zijn er sowieso extra eisen die we met elkaar stellen.
[1:36:27] Kritieke processen, idem dito.
[1:36:29] Maar als het minder kwetsbaar is, dan is er wel wat ruimte.
[1:36:34] Helaas zijn mij ook gevallen bekend waar we geen echte alternatieven hebben.
[1:36:38] Dus dan moet je weer een ander soort afweging gaan maken
[1:36:40] of je beveiligingseisen kan toevoegen aan het gebruik van een bepaald product.
[1:36:45] Dus het luistert nogal naar.
[1:36:50] Laatste interruptie.
[1:36:52] Dit zal mijn laatste interruptie zijn.
[1:36:55] Maar dan ben ik wel benieuwd hoe de minister dat voor zich ziet,
[1:36:58] van welke betonlaag zou er dan omheen kunnen zitten,
[1:37:02] dat je zou kunnen zeggen, een router, dat kan prima,
[1:37:05] een Chinese router zijn voor vitale instellingen.
[1:37:08] Nou ja, bijvoorbeeld de radio, de Red,
[1:37:11] geeft in ieder geval al beveiligingseisen aan de voorkant.
[1:37:14] Dus we moeten ook even kijken in welk tijdpad we ons begeven.
[1:37:17] Dus binnen een bepaalde tijd hebben we die eisen die voor alle producten gelden.
[1:37:21] Daar zal ook deze apparatuur zich aan moeten houden.
[1:37:24] Als er dan nog extra reden is voor risico's, je zit in kritieke processen, dan wel vitale infrastructuur,
[1:37:29] dan moeten we misschien nog een extra check doen.
[1:37:32] Maar dat gebeurt overigens ook bij de inkoopeisen al.
[1:37:35] Dus op het moment dat het gaat over deze sectoren, dan zit er op basis van alle regelgeving die we hebben,
[1:37:40] ook bij de inkoper, bedrijf dat het gebruikt, zitten er al extra eisen die moeten worden gecheckt.
[1:37:46] uit welk land komt het, welke risico's zijn er, en die moeten worden afgebakend
[1:37:49] en dan weer uitgesloten. Dus ik wil best wel nog gerichter de vraag beantwoorden,
[1:37:54] maar moet ik denk ik even een casus hebben die we dan doorlichten. Het zou heel interessant
[1:38:00] kunnen zijn om dat eens eventjes van binnen en van buiten te bekijken hoe dat eruitziet
[1:38:03] nu en hoe dat eruitziet over anderhalf jaar. En die uitdaging wil ik wel aangaan.
[1:38:08] En als dan de casus is degene die de heer Zikzak daarnet heeft geschetst,
[1:38:27] Ik probeer even de non-verbaal voorzitter te kijken of dit nou een toezegging is van mij of dat het gewoon
[1:38:32] een aanbod was dat niet is aangenomen.
[1:38:34] Dat maakt wel uit, maar misschien wil ik nog even ter toelichting geven.
[1:38:37] Wat wij voor gekozen hebben, is een risicomanagementsysteem.
[1:38:41] Wij hebben niet voor gekozen voor een zwart-wit systeem waarin op voorhand allerlei apparatuur wordt
[1:38:45] uitgesloten. Dat systeem kent dus een bepaald soort discipline, een bepaald soort gedrag.
[1:38:49] En dat is per definitie complexer dan een aantal zaken uitsluiten of toelaten.
[1:38:56] En ik begrijp best wel dat we dat eigen moeten maken en dat je aan de voorkant zou kunnen zeggen
[1:38:59] hoe kan het nou toch zijn dat je bepaalde scanners hebt van bepaalde afkomst?
[1:39:04] Ja, dat knap ik ook weleens achter mijn oren en ik vermoed dat we dat op die manier doen.
[1:39:07] Maar als je gaat verdiepen in die casustiek, dan spelen een heleboel factoren mee.
[1:39:11] Dan is het echt de vraag dat als je het heel generiek zou afkeuren, bijvoorbeeld het voorbeeld
[1:39:17] wat de heer Zik-Zijksa geeft, of je dan niet onevenredig, disproportioneel
[1:39:21] bepaalde handelsrelaties of productenstromen verhindert.
[1:39:25] En de schade daarvan kan vele malen groter zijn
[1:39:27] dan misschien datgene wat je oplost.
[1:39:29] Daarom kiezen wij met elkaar voor een risicogebaseerd systeem,
[1:39:33] wat wel wat ingewikkelder uit te leggen is.
[1:39:35] Dat begrijp ik, daar zijn we nu ook een beetje mee bezig.
[1:39:39] Maar het is wel belangrijk ook, daarom is de vraag van de heer Zik-Zijksa ook terecht,
[1:39:42] dat we het ook wel kunnen uitleggen hoe we kijken naar dit soort keuzes.
[1:39:49] Dus in die zin wil ik het wel een keertje oppakken in de handschoenen,
[1:39:51] als ik dan maar even vooruit zeven mag zijn.
[1:39:53] Dan kunnen we toch een toezegging...
[1:39:55] En de heer Sjinks, daar is hij.
[1:39:57] Dank u wel, voorzitter. Nou, ik neem die toezegging graag aan.
[1:40:00] Ik begrijp ook de diplomatieke reden daarachter, hoor.
[1:40:03] Maar ik zou inderdaad wel benieuwd zijn als de minister een casus zou kunnen geven
[1:40:07] waarin het wel verantwoord is dat binnen een vitale instelling
[1:40:10] de netwerkapparatuur afkomstig uit China gebruikt zou kunnen worden,
[1:40:15] onder welke omstandigheden dat zou zijn.
[1:40:16] ...want dan krijgen wij als commissie ook wat meer inzicht in hoe dat aanbestedingsbeleid nou werkt...
[1:40:21] ...en hoe bijvoorbeeld zo'n toets op nationale veiligheid in de praktijk ook vormgeeft...
[1:40:26] ...of zo'n situatie denkbaar is, dus...
[1:40:29] Wat ik zal doen, even voor alle helderheid, is in de voortgangsrapportage in Alinea een paragraaf op te nemen...
[1:40:34] ...waarbij we even een casus langslopen, zoals net geschetst.
[1:40:37] Dan zou ik niet willen vrezen van wat kunnen we doen om dit mogelijk te maken...
[1:40:41] dan zou ik het willen beschrijven vanuit welke acties nemen we om te kijken
[1:40:45] welke risico's er verbonden zijn bij het aanschaffen van deze routerapparatuur
[1:40:50] in deze context. Dus dat zal ik doen, dat is één.
[1:40:53] Het tweede is, ik denk dat dit ook een hele interessante vraag kan zijn
[1:40:56] om mee te nemen in het werkbezoek wat ik heb aangeboden,
[1:40:58] want het gaat er juist om hoe we dit in de praktijk toepassen
[1:41:01] en hoe dit eruitziet.
[1:41:04] En dan kan ook zeker ook de reflectie vanuit de Kamer
[1:41:07] nuttig zijn bij het optimaliseren van die processen.
[1:41:14] Voorzitter, dan ga ik door met de vraag van D66 en die had te maken met de inval in de Oekraïne
[1:41:21] door Rusland, wat we kunnen doen om op het dreigingsniveau te anticiperen en het naar
[1:41:26] beneden te kunnen krijgen.
[1:41:28] Nou, ik zit, zoals ik net zei, in pijler drie van de Nederlandse cybersecurity-strategie
[1:41:33] en daarin beschrijft het kabinet de aanpak van de cyberdreiging door meer zicht en meer
[1:41:38] grip op de kwaadwillenden te krijgen, zoals bijvoorbeeld statelijke actoren, maar ook
[1:41:43] cybercriminelen. En zoals we ook in de voortgangsrapportage aangeven, lopen in
[1:41:50] dat kader diverse trajecten, zoals dat we investeren in de operationele slagkracht
[1:41:54] van de IVD en de MIVD, dat we een tijdelijk wetsvoorstel onderzoeken naar landen met
[1:42:03] een offensief cyberprogramma, of we dat actiever kunnen doen. Onderzoeks- en
[1:42:08] opsporingsactiviteit bij de politie en het Openbaar Ministerie, dat is eigenlijk
[1:42:11] een doorlopende actie en dat we ons diplomatieke netwerk versterken.
[1:42:17] Tot op heden zien we, maar je moet altijd voorzichtig zijn met dit soort uitspraken,
[1:42:22] is dat er vanuit Rusland, in de Oekraïne, dat die aanval nog in beperkte mate
[1:42:27] heeft geleid tot bepaalde spillovereffecten naar Nederland.
[1:42:30] Maar onze alertheid is wel beduidend toegenomen.
[1:42:35] Voorzitter, dan kom ik bij de vierde pijler.
[1:42:38] Dat gaat over vooral de cybersecurity specialisten.
[1:42:42] Dat is een vraag van mevrouw Katman.
[1:42:44] Hoe gaan we om met het tekort aan cybersecurity-specialisten?
[1:42:47] Dat is eigenlijk wel een algemeen probleem, dat we te weinig gescholde cybersecurity-professionals
[1:42:53] hebben.
[1:42:54] Dat is wel een essentiële voorwaarde voor cybersecurity.
[1:42:57] Als een actie uit de strategie heb ik een onderzoek laten uitvoeren naar de kwalitatieve en de
[1:43:02] kwantitatieve tekorten op de cybersecurity-arbeidsmarkt, als je dat zo een naam kan geven.
[1:43:09] Dat rapport ontvangt u binnenkort.
[1:43:13] En wij zien eigenlijk wel dat die vraag steeds toeneemt.
[1:43:16] Dat heeft natuurlijk ook te maken met de toename van digitalisering
[1:43:19] en dat het aanbod niet hard genoeg meegroeit.
[1:43:23] En eigenlijk is het...
[1:43:24] We zijn geneigd om dan het probleem van tekort aan cybersecurity professionals
[1:43:28] als één probleem te zien, maar het is natuurlijk een samenspel van een heleboel uitdagingen,
[1:43:33] als ik het zo mag noemen.
[1:43:36] Het gaat eigenlijk over de hele keten van onderwijs tot aan arbeidsmarkt
[1:43:39] en het aanbod en vraag en aanbod daar.
[1:43:42] Daar heb ik ook een algemene zin, een actieplan.
[1:43:45] Het tekorten in de arbeidsmarkt op het gebied van digitale en technische beroepen
[1:43:50] hebben we anderhalf jaar nu in uitvoering.
[1:43:53] En dat ziet echt op dat hele traject van scholing tot en met aan de slag gaan
[1:43:59] en ook blijven en omscholen.
[1:44:02] Het is dus niet one size fits all, maar het heeft onze aandacht.
[1:44:05] En daarover rapporteer ik ook regelmatig wat de voortgang is, in ieder geval van het actieprogramma.
[1:44:15] Dan kom ik bij het mapje overig, een vraag van de heer Siks-Dijkstra over de inkoop en de aanbesteding.
[1:44:30] Even kijken of ik dat niet voor een deel … Ik heb daar net iets nodig over gezegd in de beantwoording
[1:44:36] van de andere vragen, dat de inkoopeisen … Daar doen we een check op het risico van het land.
[1:44:43] en het kritieke proces.
[1:44:45] Er is ook een quickscan opgeleverd en een handrekening voor de overheden, lokaal en rijksoverheid,
[1:44:51] om die checks goed te kunnen doen, maar ook voor bedrijven die aanbestedingsplichtig zijn.
[1:44:57] De vitale sectoren vallen onder andere daaronder.
[1:45:01] Dan hebben we het dus weer over die risicogebaseerde checks die we doen bij die inkoop.
[1:45:09] Vraag over de Zee-Kabelcoalitie, naar aanleiding van de aanstelling van de coördinator.
[1:45:16] Het is in het begin zo'n private activiteit, maar we gaan ons daar wel steeds meer tegen aanmoeien,
[1:45:22] omdat we zien hoe belangrijk het is dat we die goede infrastructuur hebben en dat die ook veilig is.
[1:45:29] Het ministerie van Economische Zaken probeert ook de partijen die interesse hebben in het realiseren
[1:45:33] van een aanlanding in Nederland, om die zo goed mogelijk te faciliteren.
[1:45:37] Daarvoor hebben we dan de Zee-Kabelcoalitie.
[1:45:39] Dat is een publiek-private samenwerking.
[1:45:42] Die zet in op het stimuleren van zeekabelaanlandingen in Nederland.
[1:45:49] Het ministerie van Economische Zaken is een van de leden van die coalitie.
[1:45:52] We hebben ook budget beschikbaar gesteld voor het aanstellen van een coalitiecoördinator via het
[1:45:56] Nederlandse Platform voor de Informatiesamenleving, de ECP.
[1:46:00] Die coördinator is gestart in september.
[1:46:03] En ik zal bij de voortgangsrapportage van de Strategie Digitale Economie u informeren over
[1:46:09] de voortgang en de resultaten tot dusver.
[1:46:13] Mevrouw Katman vroeg of ik kon reflecteren op het Carrier Global Software Lack.
[1:46:20] Voordat u hier aan begint, nog een interruptie van mevrouw Rijkhofsky.
[1:46:25] Ik weet nog al twee jaar geleden als ik over zeekabels werd gepraat, zat iedereen niet
[1:46:30] natuurlijk aan uw kant, maar van, goh, waarom is dat eigenlijk interessant?
[1:46:34] Moeten we het erover hebben?
[1:46:35] En gelukkig is dat, wordt dat besef wel steeds groter.
[1:46:37] Hoe onze digitale economie vindt, de economie daar ook van afhankelijk is van goede
[1:46:41] en snelle verbindingen.
[1:46:43] Kan die coördinator, op het moment dat u die voortgangsrapportage naar de Kamer stuurt,
[1:46:48] want u schreef ook dat de schepen die nodig zijn om dit soort kabels aan te leggen,
[1:46:52] te onderhouden, et cetera, zijn van de communiteit ook volgeboekt.
[1:46:56] Dus dat maakt soms de bewegingsruimte voor ons ook als Nederland lastig om te investeren.
[1:47:00] Of daar al een update voor is, want mochten er toch nog meer moeten worden vervangen of aangelegd
[1:47:05] of die aanlanding geregeld vanuit Canada, dan is het natuurlijk wel belangrijk dat het inboeken
[1:47:11] van die kabels snel gebeurt.
[1:47:13] Dus zou een update daar ook in meegenomen kunnen worden?
[1:47:16] Ja, ik neem die update mee.
[1:47:22] De reflectie, gevraagd door mevrouw Kapman.
[1:47:27] Voor deelstukjes misschien een beetje de herhaling van wat we al eerder hebben gedeeld.
[1:47:31] dan zou je even kijken of ik daar voldoende aan tegemoet ben gekomen.
[1:47:36] De eigenaar of de leverancier van het systeem
[1:47:38] is primair verantwoordelijk voor de beveiliging van het systeem.
[1:47:42] En in dit geval is er wel eens een kwetsbaarheid in de software
[1:47:45] en die is gemeld door een ontdekker, een partij.
[1:47:50] En dat is gemeld aan Carrier Global en aan de alarmcentrale SMC.
[1:47:55] En die SMC, die alarmcentrale, die bedient in Nederland veel klanten.
[1:48:00] En vervolgens is door beide bedrijven geen actie ondernomen.
[1:48:04] En dat is kwalijk.
[1:48:05] Laten we dat wel uitspreken.
[1:48:07] In ieder geval, dat neem ik voor eigen risico, een rekening.
[1:48:10] Want ik vind dat dat zou moeten.
[1:48:11] We moeten allemaal alert zijn en ons verantwoordelijkheid nemen.
[1:48:13] En dat helpt enorm als iedereen dat doet.
[1:48:17] En het in de media bekendmaken van de kwetsbaarheid is eigenlijk de laatste stok achter de deur
[1:48:22] die een ontdekker van de kwetsbaarheid kan inzetten om bedrijven te motiveren om het aan te pakken.
[1:48:27] En de melder heeft die stap ondernomen.
[1:48:29] en dat is ook terecht dan, want dat is ook een manier zoals ons systeem werkt.
[1:48:35] Maar het National Cyber Security Centrum kan ook een rol vervullen als intermediair,
[1:48:41] als de melder van een kwetsbaarheid en het bedrijf, als die er samen niet uitkomen.
[1:48:46] En in dit geval is pas na het melden aan de media
[1:48:49] contact gezocht met het National Cyber Security Centrum.
[1:48:53] En toen is een zogenaamde Coordinated Vulnerability Disclosure, noem je dat dan,
[1:48:58] een melding is ingediend, dan kan het cybersecuritycentrum contact opnemen met de Nederlandse organisatie
[1:49:05] SMC om afspraken te maken over hoe je ermee omgaat.
[1:49:09] Het is nu primair aan Carey Global en SMC om intern te onderzoeken waarom die melding
[1:49:14] van die kwetsbaarheid niet heeft geleid tot actie en om te zorgen dat er in de toekomst
[1:49:19] beter op wordt geacteerd.
[1:49:21] Dus de reflectie is deze en ik hoop dat ook doordat er richtbaarheid aan is gegeven dat
[1:49:27] dat dit tot alertheid ook bij andere bedrijven werkt.
[1:49:30] We hoeven niet altijd te denken dat het kwade zin is.
[1:49:33] Het is misschien ook soms onvoldoende
[1:49:35] bewustzijn van de verantwoordelijkheid die je hebt om deze informatie te delen.
[1:49:41] Dan ga ik naar een vraag van de heer Valise.
[1:49:45] Hij vroeg of wanneer het onderzoek rondom
[1:49:47] Artificial Intelligence, AI en cybersecurity klaar is.
[1:49:51] Het ministerie van ECT heeft TNO de opdracht gegeven om een verkenning uit te
[1:49:55] op de impact van AI op cybersecurity.
[1:49:59] In die verkenning werken we samen met overheidspartners, kennispartners en bedrijfsleven.
[1:50:03] Daar wordt een rapport opgemaakt.
[1:50:07] Ik verwacht dat die verkenning voor de zomer kan worden gedeeld met uw Kamer.
[1:50:13] De heer Siks-Dijks vroeg ook hoe we principes zoals Security First, hoe we zorgen dat dat
[1:50:19] niet alleen beleid is, maar ook daadwerkelijk wordt uitgevoerd.
[1:50:24] Ik ben het daar volledig mee eens.
[1:50:25] moeten zorgen dat het geen papieren tijger wordt, maar dat we daadwerkelijk actie uitvoeren en
[1:50:31] handelen op de reigingen en ook preventie daarvan.
[1:50:34] Maar ik denk ook dat we met de verschillende Europese wet- en regelgevingen, wat er is,
[1:50:39] maar zeker over wat er gaat komen, op het gebied van digitale weerbaarheid laten zien — ook
[1:50:43] dat die vrijblijvendheid eigenlijk wel voorbij is, de NIS2, de CRA, et cetera — en dat de toezicht
[1:50:48] vanuit onafhankelijk toezichthouders voor het laten slagen, het effectief laten zijn van
[1:50:53] deze regels, in dit geval door de RDI, essentieel is.
[1:50:58] Mevrouw Katman vroeg nog hoe een vrije en open-source software een bijdrage kan leveren aan
[1:51:05] de cybersecurity van de overheid en hoe we dat zo proactief mogelijk kunnen aanbieden.
[1:51:13] In oktober 2022 heeft het Ministerie van Binnenlandse Zaken een open-source-strategie
[1:51:19] gepubliceerd.
[1:51:20] en onderdeel daarvan is een afwegingskader en een stappenplan
[1:51:23] om ervoor te zorgen dat overheidsprofessionals
[1:51:26] zo goed mogelijk uitvoering geven aan het open source tenzij-beleid.
[1:51:31] En dat beleid kent het uitgangspunt dat overheden worden opgeroepen
[1:51:34] om de broncode van open source, van open software,
[1:51:37] die ontwikkeld is met publieke middelen,
[1:51:39] zoveel mogelijk open source te publiceren.
[1:51:42] En dus ook bij software ten behoeve van cybersecurity van de overheid.
[1:51:46] Er bestaan ook al verschillende voorbeelden van open source software
[1:51:49] vanuit de overheid voor cybersecurity, zoals het project OpenCAT — dat noemen we een kwetsbaarhedenanalysetool,
[1:51:55] dat staat van de afkorting — of internet.nl. Daarmee ben ik door mijn vragen heen, voor zover ik het kan overzien.
[1:52:04] Ik kijk even naar links en ik zie inderdaad dat iedereen tevreden is over de beantwoording van de
[1:52:09] vragen. Dus dat brengt ons eigenlijk meteen bij de tweede termijn. Voor mevrouw Rijkhofsky hoeft dat
[1:52:18] niet voor de heer Sjiksdijkstra, het woord aan de heer Sjiksdijkstra.
[1:52:24] Dank u wel, voorzitter.
[1:52:26] En ook wederom dank aan de minister voor de beantwoording.
[1:52:31] Nou, we hebben toch veel onderwerpen gehad.
[1:52:32] En waar ik toch nog even bij stil wil staan is, u raadt het al, het landeneutrale beleid.
[1:52:39] Ik zie uit naar de casus die onze kant op komt bij het volgende document wat de Kamer op,
[1:52:46] wat richting de Kamer gaat.
[1:52:49] Maar mijn vraag is dan toch nog wel, als we kijken naar het inkoop- en aanbestedingsproces,
[1:52:57] als het gaat om kritieke infrastructuur, vitale infrastructuur, nu staat er nog wel beschreven
[1:53:03] als nationale veiligheid een overweging is om mee te nemen, maar als we naar security
[1:53:06] first toegaan, zou dat wel het uitgangspunt moeten zijn.
[1:53:10] En ik zou toch wel benieuwd zijn, misschien dat dat ook nog meegenomen kan worden in die
[1:53:15] hoe komen we uiteindelijk, ook met die Europese wet en regelgeving,
[1:53:19] maar ook met de APRO, op een punt dat dat de norm gaat zijn
[1:53:23] bij het aanbestedingsproces?
[1:53:25] Een tweede vraag die ik nog had, die ziet ten aanzien van de NIS 2
[1:53:32] en andere wet- en regelgeving, de implementatie ervan,
[1:53:35] dat dat nog wel eens op zich laat wachten
[1:53:37] en dat dat wel een patroon lijkt te zijn,
[1:53:40] is natuurlijk ten dele door de sectorale toezichthouders.
[1:53:42] Maar mijn vraag was natuurlijk ook, als je kijkt naar de verantwoordelijke voor beleid en uitvoering in Nederland op cybersecurity en alle rollen,
[1:53:49] is dat bij Nederlandse partijen best wel verspreid over veel overheidsonderdelen.
[1:53:54] Deelt de minister dat en denkt zij dat dat invloed heeft op de manier waarop de termijnen nog wel lang kunnen duren voordat ze geïmplementeerd worden?
[1:54:04] En voorzitter, ik zou bij deze ook graag een twee minuten debat willen aanvragen om eventueel dit nog voort te zetten.
[1:54:11] Dank u wel.
[1:54:13] Dan is het woord aan mevrouw Van der Werff van D66.
[1:54:17] Dank u wel, voorzitter.
[1:54:18] Ook dank aan de minister voor de overzichtelijke beantwoording.
[1:54:21] En ik kan me voorstellen,
[1:54:23] soms ook wat onoverzichtelijk voor haar,
[1:54:25] aangezien het voor een groot deel natuurlijk
[1:54:27] helemaal niet op haar beleidsterrein lag.
[1:54:29] Dus dank daarvoor.
[1:54:31] Ik wil op drie punten nog even terugkomen.
[1:54:33] We hadden het over die nationale security,
[1:54:36] cybersecurity-strategie
[1:54:36] en de extra middelen.
[1:54:39] Zij hebben natuurlijk die oproep gedaan
[1:54:41] aan het kabinet en toen gaf u aan van ja, daar zijn wij ook mee bezig, daar hebben we ook geld voor gereserveerd.
[1:54:48] Maar wat zij vragen is natuurlijk niet niks, want zij zeggen in 2024 is er eigenlijk 200 miljoen extra al nodig,
[1:54:54] oplopend tot 550 in 2028. Dat is natuurlijk een oproep waar op dit moment nog geen gehoor aan wordt gegeven.
[1:55:02] Nu hoeven we natuurlijk niet alles één op één over te nemen wat er uit het veld komt, maar ik was wel benieuwd
[1:55:07] of u dat nog even kan duiden in hoeverre dat nodig is en waar u dan op anticipeert.
[1:55:12] Tweede punt is dat NIST 2 waar we het over hadden.
[1:55:15] Ik ben niet helemaal gerustgesteld over de timing, ook al gaf u aan van
[1:55:19] nou ik zou best in een tijdspad iets aan kunnen geven.
[1:55:23] Dat is natuurlijk ook lastig, want de minister van JNV is hier niet bij aanwezig.
[1:55:27] Maar ik overweeg wel een motie op dit punt om dit toch tijdig voor elkaar te hebben in Nederland.
[1:55:33] En daarom sluit ik mij graag aan bij het verzoeken om een tweede minutendebat
[1:55:37] mijn buurman al heeft gedaan. Het derde punt is op het punt van de aangifte en de pakkans bij
[1:55:46] slachtoffers van datalekken en bedrijven. U gaf aan, ja wij moedigen mensen natuurlijk van harte aan
[1:55:53] om aangifte te doen. En dat begrijp ik, dat wil ik vanaf deze plaats ook nogmaals benadrukken,
[1:55:57] het belang daarvan. Alleen op het moment dat mensen weten dat die pakkans ongeveer 10% is,
[1:56:03] dan is dat natuurlijk niet zo heel motiverend om die aangifte te gaan doen.
[1:56:07] Dus er zal ook iets aan die kant moeten gebeuren.
[1:56:11] Aan het vergroten van de pakkans...
[1:56:14] misschien ook aan het vergroten van de expertise bij het opnemen van die aangifte.
[1:56:18] Maar daarbij vond ik het antwoord nog wat mager...
[1:56:22] want ook alleen online meldingen kunnen doen.
[1:56:24] We weten ook van mensen hoe traag dat soms kan lopen voor je daar weer wat van hoort.
[1:56:30] Dus ik zou daar graag wat meer inzet van het kabinet zien.
[1:56:35] Dan is het woord aan de heer Valieze van de PVV.
[1:56:38] Ja, voorzitter, dank voor het woord en dank ook aan de minister
[1:56:41] voor de heldere beantwoording van vele vragen die gesteld zijn.
[1:56:43] Ik heb toch nog een kleine vraag met betrekking op eerder genoemd onderwerp
[1:56:49] met betrekking tot de platformen.
[1:56:51] Er zijn diverse platformen, die zijn niet allemaal gestationeerd in Europa.
[1:56:55] Dus dan ben ik eigenlijk benieuwd hoe gaat het dan dadelijk
[1:56:58] met die Cyber Resilience Act werken voor die platformen die dus buiten de Europese Unie vallen.
[1:57:06] En dat was eigenlijk mijn laatste vraag nog.
[1:57:10] Dank u wel. Dan mijn vraag aan mevrouw Rijkhofsky.
[1:57:12] Of ze wil even de voorzittershammer wil overnemen om mij het woord te geven.
[1:57:18] Ja hoor, dank. Dan geef ik nu het woord aan mevrouw Katman van GroenLinks B.V.A.
[1:57:21] voor de tweede termijn.
[1:57:22] Ja, en ik doe mijn tweede termijn ook een beetje bij een aantal vragen,
[1:57:25] om nog een paar vragen te stellen bij de vragen die ik heb gesteld.
[1:57:28] want sommige waren misschien niet duidelijk genoeg.
[1:57:30] Maar dat is altijd een beetje lastig als je voorzetter bent.
[1:57:34] Want de vraag over de open source software lag vooral in het verlengde van
[1:57:37] dat het er gewoon toe doet hoe dik je portemonnee bent op heel veel vlakken
[1:57:41] of hoe dik je portemonnee is op heel veel vlakken.
[1:57:43] En het doet er ook gewoon toe of je geld hebt of niet, of je cyberveilig bent of niet.
[1:57:48] En open source software kan gewoon ongelooflijk helpen bij die cyberveiligheid
[1:57:51] van mensen die misschien niet het geld hebben om al die pakketjes aan te schaffen.
[1:57:56] En datzelfde geldt ook voor al die punten die we eigenlijk hebben om mensen te helpen met
[1:58:00] digitalisering.
[1:58:01] Of er vanuit daar ook niet actiever gestuurd kan worden op die cyberveiligheid, op de gratis
[1:58:06] alternatieven die er zijn, om die mensen te helpen.
[1:58:09] Dus daar was die vraag om gesteld.
[1:58:13] Dan wat betreft die ethisch hackers, dat weet ik.
[1:58:15] Er wordt samengewerkt met ethisch hackers bij de NCSC.
[1:58:19] Maar mijn vraag ging veel meer vanuit de kant van de MKB'ers.
[1:58:22] Om ethisch hackers in te huren is gewoon ongelooflijk duur.
[1:58:26] En het zou mkb'ers kunnen helpen, als het niet alleen maar is dat die mkb'ers bij de NCSC zitten
[1:58:31] om die dreigingsinfo ook in beeld te krijgen en te delen, maar letterlijk als het gaat specifiek
[1:58:37] om sommige dingen waar mkb'ers als een collectief in een sector of bijvoorbeeld bij een alarmsysteem
[1:58:43] gewoon eens willen weten, hé, we willen dat eigenlijk gewoon laten hekken, omdat we willen weten waar
[1:58:47] die kwetsbaarheden zitten, dat dat ook proactief kan worden uitgevraagd als een soort steun voor
[1:58:52] voor die mkb'er die vaak in z'n eentje, en soms ook niet eens met z'n tienen,
[1:58:56] het geld hebben om dat goed te doen.
[1:59:00] Dus daar was mijn vraag eigenlijk op opgericht.
[1:59:03] Die vraag over de label, eigenlijk ben ik het wel eens met het antwoord van de minister
[1:59:07] dat inderdaad die verantwoordelijkheid bij die fabrikant ligt.
[1:59:11] Dat is mooi, maar zou het dan kunnen?
[1:59:13] Want in ieder geval gaat het al in, of in ieder geval gaan we iets meer snelheid
[1:59:16] maken, al 20, 25 voor die draadloze apparaten.
[1:59:19] Maar zou dat dan ook al voor meerdere apparaten kunnen gaan gelden?
[1:59:25] Of wordt dat echt tekortdag?
[1:59:27] En dan ook het antwoord over dat melden bij de AP, dat is in ieder geval goed, maar dat
[1:59:33] gaat over wanneer persoonsgegevens in het gedrang zijn.
[1:59:36] Maar wat nou dus als het gaat om lekken in software, die dus geen gevolg hebben voor die
[1:59:40] persoonsgegevens, maar het gaat om een lek in serversoftware, waardoor ransomware kan
[1:59:45] worden geïnstalleerd?
[1:59:47] Waar ga je dan heen?
[1:59:48] en weet iedereen ook goed genoeg waar je die melding doet.
[1:59:56] En dan mijn vraag over die tekorten op de arbeidsmarkt.
[2:00:00] Fijn dat het rapport er is, dat die bevindingen er snel aankomen.
[2:00:03] Ik ben in ieder geval benieuwd. Ik hoop dat het gewoon beter gaat
[2:00:06] sindsdat er een actieplan is.
[2:00:08] Maar vooral de vraag, zitten nou die cyber-rallies in dat?
[2:00:11] Krijgen we daar ook een stand van zaken als zitten die in het rapport?
[2:00:18] Omdat er nu ook wel steeds vaker, bijvoorbeeld als we het hebben over apps voor digitale zorg,
[2:00:24] ja, als daar gewoon te weinig vrouwen aan werken, dan krijg je soms misschien ook zelfs wel apps
[2:00:28] die voor vrouwen helemaal niet van toepassing zijn. Dus meer vrouwen in gewoon de hele ICT-sector,
[2:00:33] niet alleen in de cybersecurity, zou gewoon zo ongelooflijk fijn zijn.
[2:00:39] Geef ik u deze de voorzet, is haar maar weer terug.
[2:00:41] Ja, dank u wel. En dan is er een interruptie van de heer Valise van de PVV.
[2:00:50] Aangezien ik mijn spreektijd net al heb gebruikt voor de tweede termijn,
[2:00:52] wil ik even vragen stellen aan mevrouw Katman om het dan weer door te verwijzen
[2:00:56] richting de minister als het mij wordt toegestaan met betrekking aan de toekomst.
[2:01:01] U heeft het ook even gehad over het logo, maar we zien dat het CE-logo
[2:01:06] totdat heel verwarrend is, want je hebt dus het China Export logo
[2:01:08] en je hebt het Conformité Européenne logo.
[2:01:13] Bent u het daarmee eens dat daar ook nog wel eens wat aandacht voor mag komen?
[2:01:16] Dank u.
[2:01:19] Heer Verlies, ik dank u voor deze vraag.
[2:01:21] Ik ben het daarmee eens.
[2:01:23] Eigenlijk wil ik aan de minister vragen of hij het daarmee eens is.
[2:01:30] Dat brengt ons bij de beantwoording van de minister.
[2:01:32] Kijk even.
[2:01:33] Vijf minuten is goed.
[2:01:36] Dan schorsen we haar erin voor vijf minuten.
[2:13:38] De minister is klaar voor de beantwoording.
[2:13:46] Minister.
[2:13:46] Dank u wel.
[2:13:48] Ik zit even te kijken of ik nu de goede...
[2:13:51] Het gaat snel, he, voorzitter.
[2:13:52] Dus als ik dan niet precies alle vragen heb, dan zult u mij vast daarop corrigeren.
[2:13:56] Allereerst is Heer Siks-Dijkstra.
[2:13:59] Security first.
[2:14:02] Kunnen we nou niet zorgen dat je security first centraal zet bij inkoop, bij aanbestedingen?
[2:14:10] Het risico...
[2:14:11] We zien inderdaad dat het risico steeds groter wordt.
[2:14:12] Ik denk dat het logisch is dat die vraag ook wel voorkomt.
[2:14:17] In de A-bureau is daar juist voor bedoeld om te zorgen dat we heel erg gericht kijken naar de
[2:14:22] cybersecurity-risico's, maar het voorstel om nationale veiligheid als bindende voorwaarde te
[2:14:28] zien bij inkoop en aanbesteding vind ik interessant.
[2:14:30] Dus ik wil dat wel explicieter even meenemen om te kijken of dat voldoende die plek heeft of dat
[2:14:35] we daar nog iets aan moeten doen.
[2:14:39] Dan, voorzitter, de NIS 2.
[2:14:44] Ja, helaas gaat dat niet sneller.
[2:14:48] Ik heb dat geprobeerd uit te leggen in Nederland, omdat we dat doen heel specifiek, dat we dat
[2:14:52] doen per sector, dat we de bestaande toezichthouders ook willen faciliteren en willen zorgen dat
[2:14:57] zij het goede toezicht kunnen houden, dus de NIS goed gaan implementeren.
[2:15:01] Maar ondertussen doen we al het nodige.
[2:15:03] We zijn bezig met het implementeren van een risicomanagementsysteem.
[2:15:05] Er zijn trainingen en alles in de bedoeling om te zorgen dat als die wet dadelijk geïmplementeerd is,
[2:15:12] dat we een vliegende start hebben en ook daadwerkelijk al klaar zijn.
[2:15:15] Dus ik begrijp het signaal, maar met de zorgvuldigheid die wij nu betrachten,
[2:15:21] is dit echt het het hoogst haalbare.
[2:15:22] En ik heb de termijnen in de eerste termijn geschetst, de termijnen van die wet.
[2:15:27] Dan was er een vraag over het geld en of we voldoende DTC in staat stellen om het werk te doen.
[2:15:33] Dit kabinet heeft 111 miljoen euro structureel uitgetrokken voor het versterken van de cybersecurity.
[2:15:40] Het is uiteraard aan een volgend kabinet om daar eventueel een verzwaring in te doen.
[2:15:45] Ik heb op dit moment geen signalen dat het met het huidige takenpakket niet zou lukken.
[2:15:51] Ten aanzien van de pakkans D66, ja, ik begrijp die zorg.
[2:15:59] Ik denk dat wij die allemaal onderschrijven.
[2:16:02] En het heeft, denk ik, terecht, zoals u ook aangaf, een aantal kanten.
[2:16:08] Het gaat over het melden, melding doen, en dat kunnen we makkelijker maken
[2:16:13] door het online melding te doen van een risico of een crimineel gedrag
[2:16:21] of een risico wat je ziet.
[2:16:24] Aan de andere kant willen we natuurlijk ook dat het opgepakt wordt
[2:16:27] en dat op dit moment de pakkans wel laag is.
[2:16:29] Dus dat onderschrijf ik.
[2:16:31] Ik weet dat bij het Openbaar Ministerie de politie hard wordt gewerkt
[2:16:34] aan het versterken van deze capaciteit, maar ja, we moeten ook wel realistisch zijn
[2:16:38] dat de tekorten die er zijn in de arbeidsmarkt überhaupt
[2:16:41] en dan specifiek op deze kennis ook hier gelden.
[2:16:46] Desalniettemin zijn we toch aan het kijken hoe we de keten kunnen versterken.
[2:16:50] En zo weet ik dat het DTC betrokken is bij een project samen met politie onder andere
[2:16:55] en MKB om, twee pilots zijn dat in Noord-Nederland en in Oost-Nederland,
[2:17:00] om betere ondersteuning te geven aan mkb, hoe je ook aan de preventieve kant dit goed kan doen,
[2:17:05] hoe ook de politie kennis kan nemen van de risico's en de dreigingen die worden ervaren,
[2:17:10] zodat we toch die expertise bouwen, ook met praktijkkennis. Ten aanzien van de platforms,
[2:17:16] de Ali, ja, als een platform in Europa een product hier verkoopt, dan moet het aan de eisen voldoen.
[2:17:23] Als je zelf een pakje koopt in China, ja, ik zou bijna zeggen, dan koop je een pakje in China.
[2:17:29] Dus dat is wat het is.
[2:17:31] Ik hou wel van het niet te verbloemen, maar volgens mij is dat wat het is.
[2:17:35] Wat wij doen in de Europese Unie is het versterken en verstevigen van de veiligheid.
[2:17:40] En daar is onze regelgeving op opgericht.
[2:17:43] Dan open source.
[2:17:45] We kunnen dat niet verplichten, maar we kunnen natuurlijk wel bevorderen.
[2:17:49] En dat laatste ben ik ook zeer gemotiveerd voor.
[2:17:52] Bijvoorbeeld in aanbestedingen.
[2:17:54] zodat je zorgt dat je open source al bevorderd als dat kan
[2:17:59] en dat je dan ook zorgt dat het beschikbaar wordt gesteld.
[2:18:03] Dan de vraag rondom ethisch hacken,
[2:18:06] dat het inhuren daarvan enorm duur is.
[2:18:10] Dat klopt, maar je kan wel een vraag stellen aan DTC
[2:18:13] en dat kan je individueel doen en collectief.
[2:18:15] En we hebben het project Cyclotron,
[2:18:18] waar we met verschillende bedrijven en overheidsinstellingen,
[2:18:21] kennisinstellingen, dan met zo'n algemeen softwareprobleem aan de slag gaan, het analyseren
[2:18:25] en kijken wat daaraan te doen valt.
[2:18:27] Dus er is wel degelijk een manier om niet zelf die kosten te maken, maar het een collectief
[2:18:33] vraag te maken. De vraag rondom de labels, voorzitter, heb ik net volgens mij, hebben wij
[2:18:41] in de randen van dit debat eventjes gedeeld dat het niet haalbaar is om aparte certificeringssystemen
[2:18:48] nu te versnellen en naar voren te halen.
[2:18:50] met het tijdpad wat voorligt.
[2:18:53] Dan de lekken in de software die gevolg hebben voor ransomware
[2:18:57] is bekend waar je je moet melden als je ethisch hacker bent.
[2:19:01] Ja, dat is bij de DVD NCSC.
[2:19:04] Mij is bekend dat hackers dit wel weten.
[2:19:08] En als je het niet weet, dan is het op de websites van deze organisaties
[2:19:13] voldoende te vinden zodat je weet waar je heen moet.
[2:19:15] Maar de ervaring leert dat dit werkt.
[2:19:20] Dan komen we bij de cyber-rela's, tekort in de arbeidsmarkt.
[2:19:23] Ik vind het woord echt erg leuk, dus we gaan eens kijken of we daar wat mee kunnen.
[2:19:28] Ik denk inderdaad dat het volstrekt terecht is om dat te bevorderen.
[2:19:31] Dus we zullen eens even kijken of we daar wat creativiteit in kunnen brengen
[2:19:34] om meer vrouwen in de cyber aan de slag te krijgen.
[2:19:39] Dus ik denk dat het belangrijk zit.
[2:19:41] En het zat ook in het rapport, dus het wordt ook meegestuurd aan uw Kamer binnenkort.
[2:19:45] En dan kunnen we nog kijken of daar nog goede ideeën aan toe te voegen zijn.
[2:19:49] Dan ten aanzien van het CE- en het China-exportlogo, de verwarring daaromtrend.
[2:19:55] Ja, het is een volstrekt rechtpunt.
[2:19:57] En wij zaten hier ook net te puzzelen van wat doe je daar nou mee?
[2:20:00] Want als het commercieel is, dan kan je daar natuurlijk een zaak van maken.
[2:20:03] Ik zeg nou, dat bedrijf hanteert een logo wat heel erg lekt op dat van mijn bedrijf.
[2:20:07] En ik was eerder, dus die ander moet daarmee ophouden.
[2:20:09] Dat is eigenlijk zoals het werkt.
[2:20:12] En dan moeten rechten daar mee eens zijn.
[2:20:15] Maar hier gaat het natuurlijk over een overheidsactiviteit.
[2:20:18] Dus ik weet niet precies welke weg daar dan het beste voor ligt.
[2:20:23] Ik vind het wel zorgelijk, want met een logo probeer je natuurlijk bepaald soort veiligheid uit te stralen.
[2:20:28] En als dat dan nepveiligheid is, dan ben je verder van huis.
[2:20:31] Dus wat ik zal doen, is ik zal het in de Europese Unie aankaarten.
[2:20:34] Hebben zij al acties ondernomen op deze verwarring?
[2:20:38] Zo nee, kunnen wij er dan nog iets aan doen?
[2:20:41] Ik denk wel in dit geval dat het Europees zou moeten zijn.
[2:20:43] Maar dat er iets moet gebeuren, dat is wel duidelijk.
[2:20:48] En ik zal het aankaarten, navragen en dan over rapporteren en eventueel misschien zelf iets in gang zetten.
[2:20:56] Dus dat waren de vragen, voorzitter.
[2:20:59] Dan nog een vraag van de heer Sjiks-Dijkstra van NEC.
[2:21:03] Dank, voorzitter. Ik meen dat ik één onbeantwoorde vraag had en dat had te maken met de verantwoordelijkheidsverdeling
[2:21:08] voor cyberbeleid en uitvoering in Nederland, anders dan de sectorale toezichthouders.
[2:21:16] Dus het gaat om de functies en rollen.
[2:21:17] Ik kan hem nog verder toelichten als de minister daar behoefte aan heeft.
[2:21:29] Ja, ik denk dat het helpt.
[2:21:30] Dus ga ik u een algemeen antwoord geven.
[2:21:32] En daar bent u niet bij gebaand.
[2:21:36] De heer Siksdijkshaag.
[2:21:37] Dank u wel, voorzitter.
[2:21:39] Dan zit hem voornamelijk in een aantal rollen waarvan we in Nederland dat allemaal
[2:21:44] bij aparte instanties hebben belegd waarvan mijn gevoel
[2:21:47] kan nader onderzocht worden dat in andere landen vaak gecentraliseerder is.
[2:21:51] Bijvoorbeeld de beleidsverantwoordelijke
[2:21:53] voor de Nationale Cybersecurity Agenda in Nederland is de NCTV.
[2:21:56] Nationaal CSIRT is dan weer het NCSC en CSIRT DSP.
[2:22:01] Dan heb je de National Cybersecurity Certification Authority,
[2:22:04] dat is dan weer de RDI.
[2:22:06] Dan heb je het National Coordination Center, dat is dan weer de RVO.
[2:22:10] En dan heb je uiteindelijk ook nog de National Security Authority
[2:22:12] en dat is dan het NSA, dat valt onder de AIVD in Nederland.
[2:22:16] En dat zijn heel veel instanties, zes instanties voor vijf taken.
[2:22:21] En ik heb het hier net in andere landen dat anders belegd is.
[2:22:24] En is daar al wel eens naar gekeken?
[2:22:26] Nee, dan begrijp ik uw vraag toch goed. Dat klopt.
[2:22:29] Maar we hebben in Nederland echt kwalitatief hoogstaande organisaties,
[2:22:34] een aantal die u noemt, en we hebben ervoor gekozen,
[2:22:37] maar dat is een keuze, om de bestaande structuur te versterken.
[2:22:40] En dat leidt tot een bepaalde vertraging in de eerste fase, maar hopelijk tot een versnelling
[2:22:44] in de fase dat we het geïmplementeerd hebben.
[2:22:47] En het heeft er ook mee te maken dat sector-specifiek vaak ook betere communicatie met de achterban
[2:22:53] geeft, dus dat je veel meer in kan spelen als je in de zorg werkt, dus veel meer in kan
[2:22:56] spelen op de daadwerkelijke behoefte van zorgorganisaties bijvoorbeeld, of als je in de infrastructuur
[2:23:01] zit idem dito.
[2:23:02] Dus er is wel degelijk over nagedacht en er is ervoor gekozen om niet weer een nieuwe
[2:23:06] structuur te bouwen, waar je overigens dan ook heel veel tijd mee kwijt bent, maar op basis van
[2:23:11] de bestaande structuur deze wet en regelgeving in te voeren. Ik ben het wel eens dat dat, als je het
[2:23:16] zo schetst, wel een heel versnipperd beeld geeft. Desalniettemin is er ook een coördinatie natuurlijk
[2:23:22] bij de RDI, bij dadelijk de integrale organisatie op het gebied van cybersecurity. Dus daar waar we
[2:23:27] kunnen, integreren we ook daadwerkelijk de activiteiten. Dat zal ook, zolang ik hier zit,
[2:23:32] zeg maar mijn insteek zijn om te zorgen dat het wel overzichtelijk blijft. In die zin ben ik ook
[2:23:35] en enthousiast over de integratie van DTC en CSC en zo verder.
[2:23:40] Daar waar het kan, moet je dat wel bundelen.
[2:23:42] De heer Sjik-Steikstra.
[2:23:44] Dank, helder.
[2:23:46] Ik begrijp inderdaad dat dat een keuze is die ooit gemaakt heeft,
[2:23:49] maar ik ben wel benieuwd, kan de minister onderbouwen
[2:23:51] dat dit inderdaad in een later stadium wel tot versnelling leidt
[2:23:54] ten opzichte van nabuurlanden?
[2:23:57] Laat ik dan voorstellen, voorzitter, om in de najaarsrapportage,
[2:24:01] waar ik gewoon jaarlijks rapporteer over de voortgang van de acties,
[2:24:03] dan met name aan de aanleiding van de integratie van DTC en CAC, et cetera,
[2:24:08] nog eens reflecteren op deze vraag en aangeven dat in de Kamer is gevraagd
[2:24:13] over of het systeem dat wij hebben, hoe je kan bevorderen dat dat toch
[2:24:17] uiteindelijk gaat werken en uiteindelijk die versnelling oplevert.
[2:24:19] Dus eigenlijk bevestiging van de structuur.
[2:24:21] En dan zou ik eraan toe willen voegen en daar samenvoegen waar mogelijk,
[2:24:24] maar ook uitleggen waarom er verschil is wat we hanteren
[2:24:28] om bijvoorbeeld die achterbannen, die echt heel anders zijn, te bereiken.
[2:24:41] Dan kijk ik naar links.
[2:24:42] Dan zijn volgens mij alle vragen beantwoord.
[2:24:44] Dan dank ik de minister voor de beantwoording.
[2:24:49] Dan kijken we even naar de toezegging.
[2:24:52] Ik hoorde al namelijk hier op links iemand zeggen dat dat klinkt als een toezegging.
[2:24:56] Daar gaan we nu even doorheen lopen.
[2:25:00] Het lid Sykes-Dijkstra heeft een twee-minutendebat aangevraagd.
[2:25:04] De minister zegt toe in de volgende voortgangsreportage van de NLCS de conclusies en aanbevelingen uit het
[2:25:10] rapport van Dialogic mee te nemen.
[2:25:12] De minister zegt toe dat in de volgende voortgangsrapportage NLCS een casus wordt opgenomen
[2:25:18] naar aanleiding van de genoemde punten van het lid Siks-Dijkstra met betrekking tot de risico's
[2:25:22] van het gebruik van mogelijke onveilige apparaten verbonden met het internet, zoals routers en
[2:25:27] security first bij aanbestedingen.
[2:25:29] Ja, allebei knikken.
[2:25:31] De minister zegt toe dat in de volgende voortgangsrapportage NLCS de bestuurlijke
[2:25:35] convenant Digitale Veiligheid wordt meegenomen.
[2:25:38] De minister zegt toe dat in de volgende voortgangsrapportage Strategie Digitale Economie over
[2:25:47] de voortgang en reportage van de nieuwe aangestelde coördinator van de Zeekabelcoalitie wordt geïnformeerd.
[2:25:53] Hierin wordt ook een update opgenomen met betrekking tot het genoemde punt van het lid
[2:25:56] Rajkowski over het aanleggen of vervangen van nieuwe zeekabels.
[2:26:01] De minister zegt ook toe dat het onderzoek over de samenhang AI en cybersecurity voor de zomer
[2:26:06] met de Kamer wordt gedeeld.
[2:26:08] De minister zegt toe dat de Kamer binnenkort een onderzoek ontvangt over het tekort op de arbeidsmarkt
[2:26:13] met betrekking aan cybersecurity professionals, tussen haakjes tijdpad en een vraagteken.
[2:26:20] De minister zegt toe in de najaarsrapportage te reflecteren op de vraag van het lid Siks-Dijkstra
[2:26:26] met betrekking tot de decentralisatie en met betrekking tot cybersecurity-toezichthouders.
[2:26:35] Ik zie iedereen knikken, dan hebben we ook de toezicht gehad en dan sluit ik de vergadering.
[2:26:40] Ja, ja, ja. Dank u wel.