Meer documenten
Disclaimer: deze transcriptie is geautomatiseerd omgezet vanuit audio en dus geen officieel verslag. Om de transcripties verder te verbeteren wordt constant gewerkt aan optimalisatie van de techniek en het intrainen van namen, afkortingen en termen. Suggesties hiervoor kunnen worden gemaild naar info@1848.nl.
Inkoop- en aanbestedingsbeleid toeziend op hardware en software van de Rijksoverheid
[0:00:33] Zullen we beginnen bij mij?
[0:00:34] Dank u wel.
[0:00:35] Corine Schipper, ik ben waarnemend directeur bij het NCC.
[0:00:40] Mijn naam is Jasper Nochtegaal, directeur Digitale Weerbaarheid bij de RD.
[0:00:44] En ik ben Richard Lennart, directeur van de Rijksinkoopsamenwerking.
[0:00:50] Goedemiddag.
[0:00:50] Geert Moelker, werkzaam bij het ministerie van Economische Zaken en Klimaat
[0:00:54] op het gebied van mededeling en consumentenbeleid.
[0:00:58] En ik ben hiervoor het thema aanbesteden, zeg maar.
[0:01:01] Leo Harteveld, plaatsvangend directeur Inrichtingen, AIVD.
[0:01:06] Mijn naam is Hester Somsen, ik ben plaatsvervangend NSTV.
[0:01:12] Aart Jochem, CISO Rijk bij CEO Rijk.
[0:01:24] Goedenavond allemaal, dank voor uw komst.
[0:01:26] Dankzij de aanwezigheid. Ik zag dat de heer Wijma iets verlaat zal zijn.
[0:01:29] Die zal ongetwijfeld nog aanschuiven.
[0:01:32] We hebben de avond opgesplitst in een drietal blokken.
[0:01:35] Blokken over inkoop en aanbestedingen.
[0:01:37] Daar gaan we ongeveer dertig minuten over praten.
[0:01:39] Onder andere EZK en IVHR.
[0:01:41] En dan hebben we nog een blok over de veiligheid.
[0:01:43] weer d'r om dertig minuten voor AIVD, NCRC en de NCTV.
[0:01:47] En dan hebben we daarna nog even de vragen vanuit de Kamer en allen.
[0:01:50] Ook weer dertig minuten, een drietal blokken.
[0:01:54] Dan zou ik graag willen beginnen met de woordvoerder van de EZK.
[0:02:03] Ja, dan pak ik het woord toch heel eventjes om mijn dank uit te spreken
[0:02:06] voor het feit dat jullie als Kamerleden zulke interesse tonen in de inkoop.
[0:02:12] Er valt echt veel te doen met ons vakgebied, op het gebied van uiteraard veiligheid, ook
[0:02:17] als het gaat om klimaat, sociale samenleving, dus dank daarvoor en ook complimenten voor
[0:02:21] de verscheidenheid aan vakgenoten die jullie hebben uitgenodigd, want daarmee kunnen we
[0:02:26] wel het bereden terrein afdekken.
[0:02:30] Ik ben Richard Lennerts, ik ga straks het onderdeel Rijksinkop Samenwerking en ABRO voor
[0:02:33] mijn rekening nemen, dus de veiliging.
[0:02:35] Mijn collega Geert gaat beginnen met het wettelijke kader.
[0:02:42] Het leek ons goed om even te starten voordat we concreet op de uitvoeringspraktijk ingaan.
[0:02:48] Wat is nou eigenlijk het letterlijke kader waar binnen inkopen en aanbestedingen plaatsvindt?
[0:02:52] Dat is interessant, maar ook wel een beetje een complex terrein.
[0:02:59] En dan kom ik hierbij bij uit.
[0:03:02] Kijk, in Nederland kennen we de aanbestedingswet van 2012 en ook een specifieke wet nog voor
[0:03:09] Defensie en Veiligheid en die hebben allebei een basis in het zeg maar het
[0:03:14] Europese recht en die hebben ook zeg maar van oorsprong doelen die gaan over de
[0:03:22] tegengaan van corruptie, het doelmaten besteden van belastinggeld wat altijd een
[0:03:27] belangrijk doel is en het gelijke kansen bieden aan ondernemers die zeg maar die
[0:03:30] opdrachten gegund krijgen. In Nederland gaat er zo'n 80 miljard om in
[0:03:35] aanbestedingen. Dus dat is een belangrijke facet. De laatste jaren zie je gebeuren dat er steeds meer
[0:03:41] nieuwe wettenregelgeving komt, zowel nationaal als internationaal, die ook andere doelen toevoegt aan
[0:03:47] het algemene kader als het gaat om aanbesteden. Dat zie je op milieuterrein, maar ook op gelijkspeelveld.
[0:03:54] Ik zal er straks nog wel wat meer over zeggen. En het mooie natuurlijk aan het aanbestedingsvak is,
[0:03:59] van even los van wat de wettelijke verplichtingen zijn, je kan ook altijd zelf ook heel erg goed
[0:04:03] kijken van hoe ga ik het dan doen. Dus als je risico's wil afdekken, dan kan je natuurlijk
[0:04:07] in het maken van een bestek daar altijd zelf goed bij nadenken hoe je dat doet of het creëren
[0:04:13] van kansen op welke vlak die je ook maar ziet. En de ontwikkeling dus van het traditionele
[0:04:21] onderwerp ademsteden, als ik het even zo mag zeggen, is dat het steeds meer als een soort
[0:04:26] strategisch beleidsinstrumenten wordt gezien.
[0:04:29] In het recente rapport van Enrico Letta, dat hij ook in het kader van de Europese
[0:04:35] markt heeft geschreven, noemt hij dit ook.
[0:04:37] En hij zegt, goh, er zitten heel veel facetten bij aanbesteden die we met elkaar
[0:04:40] kunnen en moeten bereiken.
[0:04:42] En soms zit dat aan de bevorderde kant, om het gebied van duurzaamheid en sociaal
[0:04:46] verlichte innovatie. En soms zit dat ook aan de beschermkant.
[0:04:49] En dat is, denk ik, dat is het rode ratje in het geheel waar we vandaag met elkaar
[0:04:55] over spreken. Ik gebruik dit plaatje wel vaker, ook wel eens op presentaties. Inkopers worden hier
[0:05:04] altijd wat zenuwachtig van, of moet ik dat allemaal gaan bereiken, maar het is natuurlijk wel iets wat
[0:05:08] echt een ontwikkeling is die zeg maar gaande is. Nou, even kort een aantal zaken en Richard zal
[0:05:17] daar verder in detail ook wat meer op ingaan. Wat zijn nou de mogelijkheden als het gaat om
[0:05:24] ...op het gebied van veiligheid die je in kunt zetten.
[0:05:31] In algemene zin is het natuurlijk zo dat als je een product of een dienst inkoopt...
[0:05:36] ...dat je in het bestek daar hele specifieke eisen aan kunt stellen...
[0:05:39] ...wat je daaraan wilt doen.
[0:05:41] En dan toch kan het nog wel eens de situatie zijn...
[0:05:43] ...dat je misschien wel het goede product uitvraagt...
[0:05:45] ...maar dat er aanbieders bij zitten die om wat voor reden dan ook onwelgevallig zijn.
[0:05:51] Laat ik het maar even zo neutraal benoemen.
[0:05:53] Dat kan zijn omdat die op betrouwbaar wordt geacht of dat kan zijn omdat die beticht wordt
[0:05:59] van oneerlijk spel of omdat er een bepaalde mate van afhankelijkheid dreigt te ontstaan.
[0:06:07] En, zeg maar, alle aanbestedingswetgeving bevat best wel veel mogelijkheden om daar iets
[0:06:13] mee te doen.
[0:06:15] We zullen straks nog wat voorbeelden toelichten en ook in de handreikingen, volgens mij die
[0:06:18] zijn toegestuurd, worden dit soort voorbeelden uitgewerkt.
[0:06:23] Maar in die situaties, ik zal er een paar benoemen, inschrijvers uit niet-Europese landen kunnen
[0:06:32] in principe worden uitgesloten, tenzij het partijen zijn met wie in het kader van de WTO-afspraken
[0:06:37] zijn.
[0:06:38] Het laatste zijn heel veel landen, het eerste zijn bijvoorbeeld wel Rusland en China, die
[0:06:42] daar niet onder vallen.
[0:06:44] Ook als een aanbieding binnenkomt met een hele lage inschrijving, dat is ook zo'n typische
[0:06:48] situatie, daar kan en soms moet een aanbestendende dienst daar ook wat mee, om dat in eerste
[0:06:54] plaats te onderzoeken en soms ook om uit te sluiten.
[0:06:59] En nou ja, goed, ook als het gaat met speciale sectorbedrijven, dus dat zit met name in de
[0:07:06] bijvoorbeeld energiesectoren speelt dat, als de waardes voor meer dan 50% uit niet-Europese
[0:07:14] landen komen, dan moet ook zo'n aanbestendende dienst daar stappen mee zetten.
[0:07:17] Dus dat is een hele toolbox.
[0:07:19] En daarbovenop kennen we in Nederland ook nog de aanbestedingswet voor defensie en veiligheid.
[0:07:25] En die biedt voor aanbestedingen die daar onder vallen, en dat is wel een selecte groep,
[0:07:30] dus dat gaat natuurlijk in principe over defensieproducten of producten waarvan we met elkaar hebben bepaald
[0:07:35] dat die ook bepaalde kwetsbaarheid hebben,
[0:07:39] biedt nog aanvullende mogelijkheden om extra eisen te stellen aan de aanbieders en ook aan de veiligheid.
[0:07:45] En daar ga jij in jouw presentatie ook nog op in.
[0:07:48] En ook zo'n nieuw iets, denk ik, van de afgelopen jaren, wat we ook gezien hebben rondom de sancties
[0:07:52] rondom Rusland, daar was ook aanbesteden een nadrukkelijk onderdeel in.
[0:07:56] Het is natuurlijk ook wel logisch dat je dan ook niet wilt dat aanbesteed wordt aan partijen
[0:08:02] die uit zo'n land op dat moment terechtkomen.
[0:08:05] Er is nog meer te noemen, maar ik denk het verhaal dat ik wil zeggen, want er is best
[0:08:08] een hele uitgebreide gereedschapskist beschikbaar.
[0:08:11] Er is wel, denk ik, één maar.
[0:08:13] En als je met inkopers praat, zeggen ze ook wel van ja, we zijn dit niet zo gewend om toe te passen.
[0:08:18] Het is ook best wel ingewikkeld en ze voelen ook wel een hoge bewijslast vaak om dat te doen.
[0:08:24] Deels hebben we daardoor ook die voorlichting ook gemaakt.
[0:08:30] Maar we denken ook wel, en dat is in de eerdere Kamerbrief ook al wel eens aangekondigd,
[0:08:33] dat de Europese regels op een aantal vlakken ook nog wel wat duidelijker kunnen zijn
[0:08:37] en ook wel wat meer mogelijkheden kunnen bieden.
[0:08:40] Dus de Europese Commissie heeft ook aangekondigd de Europese aanbestedingsregels te gaan herzien
[0:08:45] de komende jaren.
[0:08:46] Dat is in ieder geval een van de thema's die we vanuit Nederland daar op de agenda willen
[0:08:50] zetten.
[0:08:50] Kan je bijvoorbeeld een aantal elementen die nu in die aanbestedingswet Defensie en Veiligheid
[0:08:56] zitten, die het wat breder toepasselijk maken, zodat het ook in andere sectoren wat makkelijker
[0:09:02] van toepassing is?
[0:09:04] Daar wou ik het bij laten en het ook aan jou overdragen.
[0:09:07] Dank. En toen ging hij ook op zwart.
[0:09:09] En toen ging hij ook meteen op zwart.
[0:09:11] Op welk knopje mag ik kijken?
[0:09:14] Dank voor deze goede intro, Geert.
[0:09:17] Er is dus al heel veel geregeld in de wet en regelgegeven wat kan.
[0:09:21] En wat Geert ook aangaf.
[0:09:23] Het is voor inkopers soms best wel lastig om te overzien wat er allemaal kan en wat er moet.
[0:09:27] Er is gelukkig wel hulp bij.
[0:09:29] Ik zal hem straks wel ook wat verder toelichten.
[0:09:31] Mijn onderste op het rijtje was onder andere die er net stond over subsidieverordening.
[0:09:36] Nou, elke aanbesteding die we in Nederland doen, die publiceren we op Tendernet.
[0:09:40] Tendernet is SWSpeak bezig om te zorgen dat als wij iets publiceren wat onder dat regime zou vallen,
[0:09:45] dat je als inkoper een berichtje krijgt, let even op, hier is een regel van toepassing als het gaat om subsidies.
[0:09:50] Dus op die wijze probeer je ook die inkopers die het lastig hebben te helpen.
[0:09:55] Ik ga nu inzoomen op het Rijksinkopstelsel.
[0:09:57] Dat is het deel wat wij noemen als de Rijksinkoop.
[0:10:01] En het lijkt me goed dat ik jullie kort toelicht hoe dat stelsel werkt.
[0:10:06] Even als het om de volumes gaat, rechtsboven staat het.
[0:10:09] Het gaat over ongeveer 17 miljard euro.
[0:10:11] Wij kopen als Rijksoverheid voor ongeveer 17 miljard euro in.
[0:10:15] Plus wat Defensie doet, maar dat we niet in de openbare cijfers allemaal hebben.
[0:10:20] 17 miljard.
[0:10:23] Wij hebben een groter impact dan die 17 miljard.
[0:10:26] Andere overheden kijken wat doet het Rijk.
[0:10:29] En als wij als Rijk het goede voorbeeld geven, dan volgen die andere overheden ook ons voorbeeld
[0:10:35] heel vaak.
[0:10:35] Omgekeerd, als wij het niet goed doen, leggen ze het makkelijk naast elkaar neer.
[0:10:39] Dus wij voelen ook wel echt een prikkel om het hele goede voorbeeld te geven.
[0:10:44] Ik ga zometeen over de verdeling van die percentages in die daar staan.
[0:10:48] Hele linksboven zie je de politiek, dat zijn jullie.
[0:10:51] Wij zijn ervoor om te zorgen dat jullie ambities in de praktijk worden gebracht.
[0:10:55] En voor het Rijksinkoopstelsel geldt dat het loopt via deze lijnen.
[0:10:58] De ICBR, dat is Interdepartementale Commissie Bedrijfsvoering Rijk.
[0:11:04] In bijna alle gevallen zitten daar de plaatsvangers, secretaris-generaals in.
[0:11:08] En het gaat over de bedrijfsvoer van de Rijksoverheid.
[0:11:10] Daar komen de brede thema's langs.
[0:11:13] Daar vindt in veel gevallen ook de besluitvorming plaats.
[0:11:16] Als wij een kader op inkoopcommitte willen toepassen,
[0:11:20] dan vindt de vaststelling in de ICBR plaats.
[0:11:22] Breed gedragen.
[0:11:25] Daar zie je beneden ook weer een IC staan.
[0:11:28] We hebben vaker van die termen binnen het Rijk, vergeef me de afkortingen.
[0:11:32] Interdepartementale Commissie Inkoop en Aanbesteden.
[0:11:36] Nou, wie zit er daar? Aan de hoofd van de tafel zit daar de CPO, Chief Procurement Officer.
[0:11:42] Engelse term, vrij gangbaar in de wereld, dus vandaar dat we hem ook CPO hebben genoemd.
[0:11:46] En die is verantwoordelijk voor het Rijksinkoopstelsel, dat het hele stelsel in de volle breedte heel goed werkt.
[0:11:52] En als het nodig is voor besluitvorming, schuift hij aan bij de ICBR.
[0:11:59] Elk departement heeft een coördinerend directeur inkoop.
[0:12:03] En dat is degene die in de IKEA zit.
[0:12:05] Dus elk departement is direct vertegenwoordigd in deze interdepartementale commissie
[0:12:10] waar besluitvorming en beleidsvoorbereiding plaatsvindt op inkoop- en aanbestendingsgebied.
[0:12:17] Ik zeg altijd heel flauw, wat doen die mensen?
[0:12:19] Ja, dat is eigenlijk niks. Kade stellen en kijken of het goed wordt nageleefd.
[0:12:23] Maar ze kopen niks in. Dat doen namelijk de inkooporganisaties.
[0:12:28] Daaronder zie je de uitvoering staan. En dat zeg ik met heel veel respect.
[0:12:32] Ik ben zelf onderdeel van die uitvoering. Dat staat voor IUC-managersoverleg.
[0:12:37] De inkoop vindt plaats in veel gevallen, in bijna alle gevallen, via inkoopuitvoeringscentra.
[0:12:43] We hebben er dertien van binnen het Rijk.
[0:12:45] Die dertien zitten aan die tafel onder leiding van een voorzitter.
[0:12:48] En waarom die doorknipte, dat weet ik niet.
[0:12:52] Maar blijkbaar heeft hij een soort autonome modus.
[0:12:56] De voorzitter van het IMO zit ook in de IKEA.
[0:13:01] Daarmee hebben we de mensen van de uitvoering vertegenwoordigd...
[0:13:05] bij de mensen die met beleid bezig zijn.
[0:13:07] Toevallig ben ik dat.
[0:13:10] Dag André, welkom.
[0:13:17] En André is dus degene die op de stoel zit van de...
[0:13:20] het hoofd van de IKEA.
[0:13:23] En André heeft ooit bedacht, ik ga Richard vragen als voorzitter van het IMO.
[0:13:25] Dus ik ben voorzitter imo. Zit ook in de IKEA.
[0:13:29] En ik zeg altijd maar ik heb de mooiste baan van de Rijksinkoop.
[0:13:31] Want ik heb een hele grote club mensen die inkoop doen.
[0:13:34] Mag me met de uitvoering bezighouden.
[0:13:36] En ook iets van beleid vinden. Dus ik zeg het met trots.
[0:13:39] Ik ben ook acht jaar geleden hier komen werken.
[0:13:42] Omdat ik het een heel mooi stelsel vind.
[0:13:43] Daar mogen we ook echt in de wereld trots op zijn hoe dit werkt.
[0:13:46] Dat is vrij uniek hoe het werkt bij ons.
[0:13:48] We hebben het goed georganiseerd. Dat durf ik echt te zeggen.
[0:13:50] Beleid en uitvoering stevig aangesloten.
[0:13:53] Dan zie je daar rechtsonder portefeuilles staan.
[0:13:57] Nou, wij kunnen met z'n allen altijd over alle onderwerpen bezig zijn.
[0:14:02] Dan heb je een vrij drukke agenda en wordt het best wel oppervlakkig.
[0:14:06] Dus wij hebben een aantal portefeuilles samengesteld...
[0:14:09] waar mensen van de IKEA-beleid en mensen van de uitvoering IMO's...
[0:14:13] samenwerken aan beleidsthema's.
[0:14:16] Zoals MVOE, zoals governance, zoals digitalisering.
[0:14:21] waarmee wij zekerstellen dat mensen aan de beleidstafels moeten nadenken over wat het
[0:14:26] betekent voor de uitvoering en dat mensen vanuit de uitvoering meedenken wat dat betekent voor
[0:14:30] beleid. En op die wijze durf ik te zeggen kunnen wij behoorlijk toekomstbestendig beleid ontwikkelen
[0:14:36] wat ook gaat werken in de praktijk. Rechtsboven zie je categorieën staan. Wij hebben van die 17
[0:14:46] miljard euro ongeveer. Grote blok rechts, dat is hele specifieke inkoop.
[0:14:51] Defensie inkoop, Rijkswaterstaat inkoop, specifiek bij een aantal organisaties
[0:14:56] die grote volumes van hetzelfde inkopen. De rest is ongeveer 8 à 9 miljard,
[0:15:03] dat is wat de rest van de departementen inkopen. En maar liefst de helft daarvan,
[0:15:08] dus een kwart van de hele Rijksinkoop, gebeurt onder de vlag van categorie
[0:15:12] management. En wat houdt dat in? Dat één iemand namens de Rijksoverheid, namens de Rijksinkoop,
[0:15:19] goed nadenkt over welke strategie past er bij deze categorie. Hoe ziet de markt eruit? Hoe gaan wij
[0:15:25] zorgen dat we het beste uit de markt halen? Hoe gaan wij zorgen dat de markt zo goed mogelijk kan
[0:15:30] presteren? En die zorgt ervoor dat waar nodig er rijksbrede contracten komen en waar het anders
[0:15:37] moet, dat diegene een strategie heeft zodat bij de departementen er aanbestedingen kunnen
[0:15:42] plaatsvinden op een hele goede wijze met gebruikmaking van de kennis bij de categorie.
[0:15:48] Dus we hebben niet meer op 350 plekken een chef potloden, een chef laptops of een chef
[0:15:54] verzinnend maar.
[0:15:56] Maar de belangrijke onderwerpen zijn bij één plek waar echt deskundigheid ontwikkeld wordt
[0:16:01] van de markt, diepgaande kennis, waarmee je ook zeker kunt stellen dat de inzichten die
[0:16:06] nodig zijn voor een aanbesteding ook hun plek krijgen in die aanbesteding.
[0:16:11] Nou, wat ik wel mooi vind, is de waarborg dat de eigenaar van zo'n categorie,
[0:16:16] degene die zich echt verantwoordelijk moet voelen, dat is altijd een icbr lid.
[0:16:22] Het hoogste niveau wat je kunt hebben binnen het Rijk als het gaat om
[0:16:26] departementsleiding, die is altijd de eigenaar van een categorie.
[0:16:31] En dan kun je als categorie eigenaar misschien heel veel willen,
[0:16:33] maar het is wel fijn als een categorie manager ook werkt ten dienste van de rest van de rij.
[0:16:39] Dus we hebben daar klantenraden omheen georganiseerd, waarmee andere delen van de rijksoverheid
[0:16:44] betrokken zijn om te zorgen dat de inkap daar op een goede wijze plaatsvindt.
[0:16:49] Dat kun je ook tegenspraak noemen en dat gebeurt op die wijze op een hele gedegen wijze.
[0:16:55] Dus maar liefst een kwart is afgedekt vanuit dit stelsel van categorie management.
[0:17:01] Daar komt alles in kweer samen, NWOI, SOI en uiteraard ook beveiliging.
[0:17:09] Gedegenstelsel.
[0:17:09] Vanuit dit stelsel ontwikkelen we ook de invoering van de verdere beveiliging...
[0:17:15] op het gebied van onder andere hardware, maar ook andere elementen...
[0:17:18] die beveiligingen vereisen.
[0:17:22] Mocht je willen inzoomen op de categorieën, met alle plezier, licht eens een keer toe.
[0:17:28] We hebben 22 categorieën, 22 categorie-managers...
[0:17:32] 22 keer een hele stevige verdieping in het werkveld.
[0:17:36] En ook één duidelijke contactpersoon als het gaat om...
[0:17:38] Wat heb jij binnen jouw categorie geregeld?
[0:17:41] CQ, wat moet je binnen jouw categorie regelen?
[0:17:44] Dus als het gaat om de hardware die wij binnen het Rijk inkopen, om een voorbeeld te pakken.
[0:17:47] Daar is een categorie manager die zit of in de zaal of kijkt nu mee.
[0:17:52] En natuurlijk die zeker stelt dat alles wat wij verder ontwikkelen op het gebied van beveiliging.
[0:17:56] Dat diegene dat meeneemt in het programma van eisen, in de aanbesteding.
[0:18:00] En dat alle rijksdiensten die eronder afnemen, ook afnemen onder die specificatie die zijn opgesteld.
[0:18:07] Binnen de regels die er zijn uiteraard.
[0:18:09] En ik ga nu vertellen wat we aan regels gaan uitbreiden.
[0:18:14] Dus ik maak nu een stapje over naar de beveiliging.
[0:18:16] De algemene beveiligingseisen Rijksoverheid op de rachter.
[0:18:21] Is dit nieuw? Nee, we hebben al een ABRO sinds een aantal jaren.
[0:18:26] Wat we wel doen is de ABRO uitbreiden.
[0:18:29] Uitbreiden met elementen uit wat Defensie heeft.
[0:18:32] En waarvan Defensie terecht kan zeggen dat is heel goed.
[0:18:37] Wat die citaat is, ga ik niet verder nalezen, maar ik vind het belangrijk om toe te lichten.
[0:18:41] De ABRO-uitbreiding is niet een beginstuk, maar echt een sluitstuk van de hele weerbaarheidsketing.
[0:18:47] Er is al heel veel in het inkopen, in het aanbesteden.
[0:18:51] Er is al heel veel als het gaat om subsidies, als het gaat om investeringen.
[0:18:54] En de ABRO is een sluitstuk, maar wel een heel belangrijk sluitstuk waar we ook hard aan werken om dat heel gedegen ingevoerd te krijgen.
[0:19:03] Hoe doen we dat? We zitten nu in fase 1.
[0:19:06] Dat is het eind 2023 en 2024 doorlopend.
[0:19:13] En ik weet het procestermen.
[0:19:15] We zijn bezig met het opzetten van de programmaorganisatie.
[0:19:17] En dat is echt nodig om zeker te stellen...
[0:19:20] dat we alle functionarissen binnen het hele stelsel goed aangehaakt hebben.
[0:19:25] Vanuit de Rijksinkoop is het heel helder.
[0:19:27] We hebben, wat kan illustreren, een IKEA.
[0:19:30] Daar zit altijd iemand in van een departement.
[0:19:33] En de uitvoering is betrokken.
[0:19:34] Wat we doen, is zorgen dat wij zekerstellen dat er geen contract getekend mag worden
[0:19:42] als het om een gerubriceerde aanbesteding gaat.
[0:19:46] Die voorbereidingen lopen nu en het gaat er ongeveer als volgt uitzien.
[0:19:52] In de toekomst, en dan praat ik over 2025, dan hebben alle departementen plus de 34 aangewezen
[0:19:59] agentschappen, plus de nationale politie, die hebben aangewezen wat voor hun de te beschermende
[0:20:05] En een defensieterm wordt ook wel eens aangeduid als de kroonjuwelen.
[0:20:08] Kom ik in jullie stukken tegen. Een mooiere term.
[0:20:10] De kroonjuwelen, wat hier vooral echt goed beschermd is.
[0:20:14] En van die TBB's, de beschermde belangen, wordt ook aangegeven...
[0:20:18] wat het niveau is van beveiliging, wat erbij hoort.
[0:20:21] De zogenoemde rubricering.
[0:20:23] Wie doet dat?
[0:20:24] De beveiligingsautoriteit.
[0:20:26] Elk departement heeft een beveiligingsautoriteit.
[0:20:28] En een CISO.
[0:20:29] Een Chief Information Security Officer.
[0:20:32] Dat krijg ik meestal in de afkorting, de CISO.
[0:20:34] Die helpen bij het aangeven wat de te beschermen belangen zijn.
[0:20:39] En de secretaris-generaal van het ministerie of de korpschef, die stellen dat vast.
[0:20:46] Op het hoogst niveau laten wij vaststellen wat de te beschermen belangen zijn.
[0:20:52] En daarbij dus ook welke rubricering erbij hoort.
[0:20:54] En daarmee ook welke risico's je niet mag lopen en wilt mitigeren.
[0:21:00] In de komende periode zijn we bezig om te zorgen dat het aangewezen is.
[0:21:04] Er wordt gewerkt aan of de ABRO onderbrengen in de huidige wetgeving...
[0:21:09] of er moet een juridische aanpassing komen.
[0:21:13] Maar hoe dan ook, links of rechtsom, gaat dat lukken.
[0:21:17] En dan gaan we dat invoeren vanaf 2025.
[0:21:24] Voor elke TBB, dan zal het regime van de ABRO gelden met de rubricering.
[0:21:30] Defensie heeft daar een mooie term, een joint unit voor.
[0:21:34] die de bedrijven, aan wie je wilt gaan gunnen, heel goed screent en gaat voorschrijven welke
[0:21:41] aanvullende maatregelen ze moeten nemen.
[0:21:43] Gaat Defensie dat doen voor de rest van de Rijksoverheid, dan krijg je het erg druk.
[0:21:46] En anders is het nee.
[0:21:47] Dit wordt een joint unit, hetzelfde term, en de AIVD en de MIVD zijn bezig om dat samen
[0:21:52] voor te bereiden.
[0:21:55] Waar je voorheen bij een aanbesteding, zeg even voorheen, ik spreek wel in de verleden
[0:21:58] maar wat wij gaan doen is...
[0:22:03] Nou, techniek laat ik even wat het is.
[0:22:05] Komt vast terug zometeen.
[0:22:08] Waar was ik?
[0:22:12] Er vindt een screening plaats.
[0:22:14] Er wordt voorgeschreven aan welke eisen een organisatie moet voldoen.
[0:22:19] Een leverancier moet voldoen op een aantal elementen.
[0:22:23] En daar worden ook voorschriften afgegeven door de Junit.
[0:22:28] Wat er moet gebeuren om te mogen leveren aan het Rijk.
[0:22:31] Mocht het zo zijn dat niet alle risico's kunnen worden afgedekt die wel horen bij de betreffende
[0:22:37] rubricering, wordt dan het contract getekend.
[0:22:40] Nee, niet direct.
[0:22:41] Dan moet in dat geval de secretaris-generaal of bij de politie de korpschef aangeven dat
[0:22:48] hij akkoord is om deze risico's te accepteren.
[0:22:52] Of niet, en dan is er nog huiswerk nodig.
[0:22:56] Invoering vanaf 2025, we beginnen bij de ministeries, de 34 agentschappen en de nationale politie
[0:23:06] en daarna gaan we verkennen wat er kan voor de overige sectoren, overige overheden.
[0:23:14] Daar zal vrijwel zeker een wettelijke aanpassing voor nodig zijn, maar we beginnen met deze
[0:23:20] onderdelen.
[0:23:22] Niet als big blown in één keer, stap voor stap.
[0:23:26] En wat wel mooi is, inkopers vinden het soms wel lastig.
[0:23:31] Wij merken ook dat opdrachtgevers het lastig vinden als ze er weer iets bij krijgen.
[0:23:36] Alleen de aankondiging dat dit gaat komen heeft al meerdere ministeries opgeleverd die zeggen...
[0:23:42] ik zou het wel fijn vinden als de aanbesteding die ik nu aan het voorbereiden ben...
[0:23:46] als die onder het APRO-regime kan gaan plaatsvinden.
[0:23:50] Omdat ik zie dat de waarborgen die dat extra biedt...
[0:23:55] passen bij de tijdgeest.
[0:23:57] Dus die ervaren dat niet als een last.
[0:23:59] Ze zouden ook kunnen zeggen...
[0:24:00] ik wil hem even snel die aanbesteding doen...
[0:24:02] want dan ben ik klaar voordat de ABRO van toepas is...
[0:24:05] en ik door hoppeltjes heen moet springen.
[0:24:07] Nee, ze pakken hem graag vrijwillig op.
[0:24:11] En dat gaan we uiteraard ook netjes uitdragen naar de andere collega's...
[0:24:13] die misschien wat minder prettig kijken naar de kont van beide.
[0:24:18] Maar de voorlopers zijn er al.
[0:24:22] En dat is voor ons ook fijn werken, want even vanuit de uitvoering...
[0:24:26] met onwillige honden is het altijd lastig zaken doen.
[0:24:29] Als we opdrachtgevers hebben die niet willen, moeten wij hard werken.
[0:24:31] Dat is voor mijn adviseurs niet leuk.
[0:24:33] Als we opdrachtgevers hebben die graag willen dat de lat hoog ligt...
[0:24:36] gaan wij ook hoger springen.
[0:24:39] Ze werkt in de sports, ze werkt het hier ook.
[0:24:42] Dit is de toelichting op de AMRO.
[0:24:45] En ik ga de volgende sheet laten zien met een aankondiging.
[0:24:47] Daar hoort wel een nuance bij.
[0:24:48] Het staat er best wel zwart-wit, maar even de nuance erbij.
[0:24:55] Wat er staat, dat leest alsof het linkerblokje, wat we nu hebben, niet meer goed genoeg is.
[0:25:01] Maar we willen vooral laten zien dat voor een aantal departementen dit inderdaad niet genoeg is voor wat hun te beschermen belangen zijn
[0:25:08] en dat er een extra stapje nodig is om die op een ander niveau te beschermen.
[0:25:13] Maar wat links staat, is ontzettend relevant, is nog steeds relevant, blijft relevant.
[0:25:20] En wat ik wel fijn vind om toe te voegen, dit is ontwikkeld door de NCTV
[0:25:25] in hele nauwe samenwerking met de mensen vanuit uitvoering.
[0:25:30] We hebben blijkbaar zelf een tafel kunnen zitten, we hebben intensief samengewerkt
[0:25:32] om te zorgen dat wat er aan toolbox en aan quickscan komt,
[0:25:37] dat het ook in de praktijk werkbaar is.
[0:25:40] Met inkopadviseurs, die met de voeten in de klei staan, het echte werk doen
[0:25:44] en ze ook mee kunnen kijken om het goed te ontwikkelen.
[0:25:46] is van toepassing, is relevant en blijft relevant.
[0:25:52] En dan lijkt het misschien of er heel veel nieuws bij komt.
[0:25:58] Dat lijkt, dat is niet helemaal zo, want wat wij gaan doen...
[0:26:02] met de uitbreving van de ABRO...
[0:26:04] ja, dat is bij Defensie al een jaar of twintig common practice.
[0:26:08] Uiteraard met de aanpassingen die passen bij de tijdsgeest.
[0:26:10] En wat wij gaan doen is, wat bij Defensie al twintig jaar common practice is...
[0:26:14] waar ze ervaring mee hebben, waar ze ook hebben gekeken...
[0:26:16] hoe gebeurt dat in de UK en in de VS.
[0:26:20] Dat wij goed kunnen pikken wat goed bedacht is bij Defensie.
[0:26:24] Ik heb begrepen dat het openbaar is wat we mogen meenemen.
[0:26:29] Het is niet allemaal nieuw.
[0:26:31] Het is vooral heel goed overnemen wat daar heel goed werkt.
[0:26:38] En dan wou ik me bij laten en dan wou ik mijn stokje overgeven.
[0:26:42] Mijn digitale stokje aan de collega's van de AIVD en de NCTV.
[0:26:50] Dan wil ik u even danken voor uw inbreng.
[0:26:53] En dan gaan we even door naar het tweede blokje veiligheid.
[0:26:56] We lopen een beetje vroeg in de tijd.
[0:26:59] Dus we hebben straks wellicht nog extra tijd om vragen te stellen.
[0:27:04] Ja, graag. Ik neem graag het stokje over. Dank u wel.
[0:27:08] Namens de AIVD en de MIVD voer ik het woord.
[0:27:11] Ik zal iets vertellen over de dreiging.
[0:27:13] Daarna neem ik mevrouw Somson het over, over de maatregelen en het hele verdere stelsel.
[0:27:17] En wat verder komt op bepalingen.
[0:27:18] Je beperkt me tot de dreiging.
[0:27:20] Wij doen bij AIVD en NVD, op verzoek naar een opdracht van de Nederlandse regering,
[0:27:25] doen wij onderzoek naar dreigingen die de nationale veiligheid kunnen raken,
[0:27:29] in het bijzonder de democratische rechtsorde en de veiligheid van de staat.
[0:27:34] Met name bij dat laatste aspect, de veiligheid van de staat,
[0:27:36] de staatsveiligheid wordt ook weleens genoemd,
[0:27:38] daar doen wij onderzoek naar landen die de Nederlandse belangen zouden kunnen willen schaden.
[0:27:44] schade. Een onderdeel daarvan is het gebruik van hard en software afkomstig uit landen
[0:27:50] met een offensief cyberprogramma, zoals wij dat noemen, die gericht zijn tegen de Nederlandse
[0:27:53] Belang. Ik kan daar gezien de geheimhouding niet al te veel over vertellen, maar ik kan
[0:27:58] wel verwijzen naar ons openbare jaar verslag, waarin een aantal landen genoemd worden en
[0:28:01] ook voorbeelden naar voren komen. In het algemeen is het zo dat sabotage en algewenste strategische
[0:28:10] afhankelijkheden en spionagerisico's daaruit voortkomen.
[0:28:15] Veel offensieve inrichtingendiensten hebben wettelijke mogelijkheden.
[0:28:20] Het zijn ook andere dan dat wij hebben. Het zijn andere stelsels,
[0:28:23] het zijn andere landen, andere normen en waarden.
[0:28:28] En dat kan ertoe leiden, en dat doet het ook in een aantal gevallen,
[0:28:32] dat inrichtingdiensten van bepaalde landen, medewerkers,
[0:28:36] bedrijven, instellingen, studenten kunnen verplichten, opdrachten kunnen geven om
[0:28:43] gegevens te verzamelen. Verplichten om hun gebruikersgegevens te delen. In bepaalde
[0:28:49] gevallen zelfs fabrikanten verzoeken om technische voorzieningen in software aan te
[0:28:53] brengen. Een voorbeeld daarvan staat ook inmiddels algemeen bekend, ook uit
[0:28:57] jaarverslagen en openbare publicaties, is bijvoorbeeld China, die een speciale wet
[0:29:02] heeft, wettelijke verplichting, waarbij alle Chinese staatsburgers, ook die niet
[0:29:06] in China wonen, dus ook in het buitenland, verplicht bij te dragen aan de veiligheid
[0:29:10] van hun land.
[0:29:11] Dat is een mooie algemene bepaling, maar de Chinese overheid bepaalt dan wat die bereiddrager
[0:29:14] zou moeten zijn.
[0:29:17] Daarnaast kunnen ze ook een beroep doen op alle burgers van het land, alle ingezetenen,
[0:29:22] alle mensen met een nationaliteit, dus algemeenheid.
[0:29:27] Dat noemen we ook wel de whole of society, dus daar kunnen ze mensen ook toe verplichten.
[0:29:32] Nederland is daarbij een aantrekkelijk doelwit.
[0:29:34] Waarom?
[0:29:34] We hebben een enorm goede kenniseconomie, hoogwaardig technologische infrastructuur.
[0:29:40] We zijn deelgenoot van de EU en van de NAVO en in dat geval dus een bepaald interessant
[0:29:49] doelwit.
[0:29:52] Dat geldt ook vanuit Rusland gezien op een andere manier, waarbij China vooral op het
[0:29:58] economische aspect geïnteresseerd is, gefocust is, geldt het voor Rusland veel meer op het
[0:30:04] politieke en het veiligheidsdossier in zijn algemeenheid.
[0:30:09] Ook daar geldt dat Rusland Russische hackers opdracht kan geven om
[0:30:14] posities in te nemen in bepaalde systemen van bijvoorbeeld de
[0:30:17] Nederlandse overheid of van onze partners,
[0:30:21] NAVO-landen, EU-landen.
[0:30:24] En als je dan in die systemen bent ingenesteld, daar een positie op
[0:30:27] ingenomen, dan kun je dus of spioneren of je kunt ervoor zorgen dat in tijden
[0:30:30] en dat jij vindt dat nodig is, bepaalde sabotageactiviteiten kunnen worden uitgevoerd.
[0:30:37] We zien dat met enige regelmatig gebeuren, we publiceren daar ook over, excuse, we waarschuwen
[0:30:46] daar ook over, we brengen er ook dreigingsinschattingen en berichten over uit en werken daarin ook
[0:30:50] heel nauw samen met DNC-TV en NCRC om daar op basis van onze inzichten verder beveiligingsmaatregelen
[0:30:56] voor te bereiden en te nemen.
[0:30:59] Een voorbeeld daarvan is een maatregel die de Nederlandse overheid in 2019 genomen heeft,
[0:31:05] waar het gaat over posities die niet meer mogen worden ingenomen door leveranciers die
[0:31:15] uit zo'n land komen met een offensief cybernetwerk, als het gaat over telecomaspecten.
[0:31:22] Nou, heel bijzonder daarbij is dat we namelijk dat gezien hebben in het verleden dat in de
[0:31:27] supply chain, dus de leveranciers, dat daar positie worden ingenomen.
[0:31:31] En dat heeft ervoor gezorgd dat we zeggen van nou in die vitale, in die kernonderdelen van onze vitale
[0:31:35] infrastructuur, bijvoorbeeld in 5G, daar willen we niet meer zien dat daar vanuit landen met een
[0:31:40] cyber, met een offensief cyberprogramma, wat gericht is tegen Nederlandse belang, dat daar
[0:31:46] apparatuur van gebruikt wordt.
[0:31:49] Dat heeft ertoe geleid dus dat er een algemene maatregel is getroffen waarin dat verboden wordt.
[0:31:56] Ik denk dat u daar nog verder op in zal gaan dadelijk.
[0:31:59] Dat is eigenlijk wat ik in algemeenheid wilde vertellen over de dreiging zoals wij die zien.
[0:32:03] We zien dat dus... We doen dat op basis van onderzoek dat wij doen
[0:32:07] naar spionage en inrichting en veiligheidsdiensten
[0:32:09] van landen met een offensief cyberprogramma
[0:32:12] en naar vooral de modus operandi, de werkwijze die zij daarbij hanteren.
[0:32:17] En dat kan dus ook zijn dat het niet alleen dus staatsorganisaties zelf zijn,
[0:32:21] maar ook groeperingen, organisaties, zoals wij dat noemen, een proxy,
[0:32:25] die dat voor hun doen, zonder dat zij direct betaald worden,
[0:32:27] waargestuurd worden of een onderdeel van zijn van de overheid van het betreffende land.
[0:32:34] Mocht u nog een latere vraag hebben, dan wil ik daar mijn best voor doen...
[0:32:37] ...om de antwoord op te kunnen geven.
[0:32:41] JOURNALISTE En ik denk, het sluit naadloos aan op dit plaatje.
[0:32:46] En dit plaatje is misschien ook bekend van veel van de dingen die we bij de NCTV doen.
[0:32:51] We kijken altijd naar hoe de verhouding is tussen de dreiging...
[0:32:54] ...nou, dit heb ik net door collega Hartveld helemaal uitgelegd...
[0:32:58] Maar ook wat zijn dan onze belangen? Wat moeten we in dit geval beschermen?
[0:33:02] En dat kan gaan van vrij hoogoverbelangen
[0:33:05] tot wat belangen die wat meer in de directe werkwijze van vitale sectoren zitten
[0:33:11] of die horen bij hoogwaardige technologieën, bijvoorbeeld.
[0:33:17] En vervolgens kijken we ook naar de weerbaarheid.
[0:33:19] En als die weerbaarheid hoog is en de dreiging zou bijvoorbeeld laag zijn,
[0:33:23] het belang is wel groter, dan hoef je niet heel veel te doen.
[0:33:27] Wat we natuurlijk wel vaak zien, is dat de dreiging hoog is of hoger wordt.
[0:33:32] Want daar wil ik straks ook nog graag op terugkomen.
[0:33:34] En dat je dan vanuit die te beschermende belangen ook tot de conclusie moet komen
[0:33:38] dat er bepaalde dingen ook nog aan de weerbaarheid gedaan moet worden.
[0:33:42] Want de combinatie van die drie, die geven eigenlijk aan wat de risico's zijn
[0:33:46] en hoe we dan met die risico's om kunnen gaan.
[0:33:52] De aanpak wou ik graag toelichten,
[0:33:54] Want als het gaat over inkoop en aanbesteding bij de Rijksoverheid,
[0:33:58] wordt de nationale veiligheid standaard meegewogen in dat beleid.
[0:34:05] Het luistert naar om dat goed te doen.
[0:34:07] We zijn natuurlijk een open samenleving en we hebben een open economie.
[0:34:10] Voor heel veel zaken zijn we afhankelijk van andere landen.
[0:34:14] En de maatregelen zijn daarom heel erg gericht.
[0:34:17] Ze zijn proportioneel, adaptief en vooral ook risicogebaseerd.
[0:34:22] En dat is niet alleen bij het Rijk dat we deze aanpak uitdragen, maar juist ook bij de vitale
[0:34:27] aanbieders en bijvoorbeeld bij de kennisinstellingen, waar we ook op het gebied van kennisveiligheid
[0:34:31] veel met hun te maken hebben en samen met OCW daar aan de gang zijn gegaan.
[0:34:37] En wat we ook zullen zien in de toekomst bij de vitale aanbieders, dat zijn twee nieuwe
[0:34:43] wetten die in aantocht zijn naar aanleiding van Europese richtlijnen.
[0:34:46] Het ene is de cyberbeveiligingswet en het andere is de wet weerbaarheid kritieke entiteiten.
[0:34:51] We hadden het daarvoor over de CR, de Critical Entities Resilience Directive.
[0:34:56] En wat daar ook van belang is bij die twee wetten, is dat de vitale instellingen hun eigen risicoanalyse
[0:35:04] moeten doen, maar ook goed moeten kijken naar de toeleveranciersketen en welke risico's
[0:35:09] er in die toeleveranciersketen zitten, en dan ook maatregelen nemen om die te beschermen.
[0:35:14] Dus daarmee krijg je ook een soort olievlekwerking die we van groot belang achten.
[0:35:18] Nou, case-by-case, zoals we hier ook hebben staan bij bestaande inkoop- en aanbestedingsbeleid,
[0:35:25] om echt per opdracht risico's voor nationale veiligheid goed inzichtelijk te maken en te
[0:35:30] kijken welke maatregelen dan nodig zijn.
[0:35:33] Niet op voorhand, dat we producten en diensten afkomstig vanuit een specifiek land, en zeker
[0:35:39] zoals net toegelicht, landen met een offensief cyberprogramma richting Nederland, dat we
[0:35:45] ...dat al die producten nationale veiligheidsrisico's met zich meebrengen.
[0:35:50] Dus het is echt afhankelijk van verschillende factoren.
[0:35:53] En we kijken dan ook echt specifiek naar of een dergelijke opdracht...
[0:35:57] ...dan aan een van die te beschermende belangen raakt.
[0:36:00] Bijvoorbeeld vitale infrastructuur...
[0:36:02] ...of die hoogwaardige kennis en technologie en de weerbaarheid.
[0:36:05] En daarvoor hanteren we de zogenaamde C2000-criteria...
[0:36:08] ...die eerder zijn geformuleerd.
[0:36:10] Ik kwam ook al terug in het verhaal van collega Hartenveld.
[0:36:14] Vooral of een dergelijke partij afkomstig is uit een land met wetgeving
[0:36:18] die de partij verplicht om samen te werken met de overheid van dat land.
[0:36:22] Ook of die partijen, de aanbiedende partijen,
[0:36:26] of die afkomstig is uit een land met een offensief cyberprogramma
[0:36:28] tegen Nederlandse belangen en dat zowel in de jaarverslagen
[0:36:31] als in het dreigingsbeeld staatelijke actoren is dat vastgesteld
[0:36:34] welke landen dat voor ons zijn.
[0:36:36] Dus in ieder geval Rusland, China, Noord-Korea en Iran.
[0:36:40] En de lijst is niet per se limitatief, dus dat is ook een onderdeel van de dreiging.
[0:36:46] En dan natuurlijk of zo'n partij dan toegang krijgt tot specifieke gevoelige locaties.
[0:36:52] Dus gevoelige ICT-systemen, vitale infrastructuur, wat werkt en in hoeverre kan misbruik daarvan
[0:37:00] dan ook daadwerkelijk een nationaal veiligheidsrisico vormen.
[0:37:03] En dat laatste vergt vaak ook echt wel gedegen onderzoek.
[0:37:06] en dat doen we door een risicoanalyse die we dan maken met de verschillende partijen.
[0:37:12] Bijvoorbeeld de inlichting- en veiligheidsdiensten zitten altijd aan tafel,
[0:37:15] het NCSC en het relevante vakdepartement.
[0:37:18] Bijvoorbeeld rondom die casus telecom is EZK natuurlijk een hele belangrijke,
[0:37:21] omdat de telecomwet onder de verantwoordelijkheid van de minister van EZK of EZ valt.
[0:37:26] Toezichthouders zitten ook aan tafel, omdat die ook veel kennis hebben
[0:37:29] over hoe systemen werken en waar de kritiekonderdelen zitten
[0:37:33] en eventuele andere relevante partijen.
[0:37:36] Dan maken we een technische analyse op basis van die nationale veiligheidsrisico's.
[0:37:42] En dan kijken we met name naar de spionagerisico's en de sabotagerisico's.
[0:37:47] En dat doen we ook door bijvoorbeeld aanvalscenario's op te stellen.
[0:37:53] Wat zou de tegenstander doen als je bepaalde informatie zou willen hebben?
[0:37:58] En dat je die aanvalscenario's dan ook afzet tegen de kans en de impact daarvan.
[0:38:03] En vervolgens wordt ook op dat technische niveau wordt gekeken van wat zijn nou de technische
[0:38:07] maatregelen die genomen kunnen worden om die risico's te detecteren en te beheersen.
[0:38:13] Dan vervolgens wordt ook gekeken van als je die maatregelen hebt toegepast, wat hou je
[0:38:19] dan nog over en hoe ga je verder om met die restrisico's.
[0:38:23] Ik zie dat de slijt is al eentje verder, maar het geeft wel de context aan, want we zaten
[0:38:29] net in het bovenste blauwe plaatje.
[0:38:30] En dan vervolgens ga je naar het oranje gedeelte en ga je kijken wat je daaraan kan doen.
[0:38:38] En het is in dit soort analyses, dus ook vanwege die aanvalscenario's,
[0:38:42] wordt ook echt heel goed gekeken naar wat is een aanvalsroute die bepaalde actoren zouden kunnen nemen.
[0:38:49] En wat is dan de meest logische en de minst arbeidsintensief?
[0:38:53] Want ook de andere actoren die proberen het ook op een zo makkelijk mogelijke manier te doen.
[0:38:57] En soms is dat dus door zelf in software of hardware achter deurtjes in te bouwen, bij wijze van spreken.
[0:39:04] En aan de andere kant kan een actor ook inzetten om bestaande software of software van anderen te hacken
[0:39:10] en dan te kijken wat ze daarmee kunnen.
[0:39:13] En dan met die risicoanalyse krijgen we echt een goed beeld van wat er kan.
[0:39:17] Risico's, beheersmaatregelen en de acceptatie.
[0:39:20] En dan vervolgens is daarbij de vraag van god, wat betekent dat?
[0:39:24] zeker bij hele grote opdrachten, ook rondom bijvoorbeeld de diplomatieke of economische
[0:39:28] consequenties en de juridische haalbaarheid van maatregelen.
[0:39:31] Want we hebben net het juridisch kader toegelicht gekregen en bijvoorbeeld één van de andere
[0:39:35] dingen waar je dan ook naar zou kunnen kijken is bij, in het geval van Telecom, de Telecomwet.
[0:39:42] Daarin worden de entiteiten verplicht tot continuïteit van hun business en dat zou ook een bepaald
[0:39:49] wettelijk kader zijn om dan op bepaalde zaken uit te sluiten, omdat je je continuïteit
[0:39:53] niet kan garanderen, wat dat betreft.
[0:39:56] Dus dat is dan de andere afwegingen die daarbij komen.
[0:40:01] En dat doen we in interdepartementaal verband.
[0:40:04] Ook om zeker te zijn dat we alle goede invalshoeken daarbij betrekken.
[0:40:08] Er is altijd een risico-eigenaar.
[0:40:11] Ik denk dat dat ook in het verhaal van collega Lenners ook naar voren kwam.
[0:40:16] Want het gaat uiteindelijk, de organisatie die iets in gebruik neemt,
[0:40:19] ...is verantwoordelijk ook voor zowel de inkoop en dus ook van tevoren bedenken...
[0:40:25] ...waar zitten mijn te beschermen belangen, hoe ga ik daarmee om?
[0:40:28] En je ziet wel dat sommige van die hele intensieve besluitvormingen...
[0:40:33] ...zoals rondom 5G echt op het niveau van vakministers...
[0:40:37] ...en ook gezamenlijke besluitvorming vergen, soms tot op het niveau van de ministerraad.
[0:40:42] We hebben ook de Taskforce Economische Veiligheid...
[0:40:46] ...dat is ook een interdepartementale structuur op dg-niveau...
[0:40:49] juist ook over dit soort zaken wordt gewisseld, waar alle ministeries in zitten, maar ook
[0:40:55] de veiligheidsdiensten en de politie aan tafel.
[0:40:57] Wij zitten dat voor als NSTV.
[0:41:00] 5G is een belangrijk voorbeeld daarvan, maar bijvoorbeeld ook de antivirussoftware van Kaspersky.
[0:41:06] Ik heb in 2018 al onderzoek naar gedaan en gezegd dat we dat niet in de systemen van de
[0:41:11] Rijksoverheid willen en bijvoorbeeld NukTag bij de douane, wat ook herhaaldelijk naar voren is gekomen.
[0:41:16] Wat ik bij dit plaatje nog graag wou aangeven, is dat dit ook een continu proces is.
[0:41:23] Want je ziet natuurlijk toch, als dreiging verandert, dan zul je weer de loop doormoeten,
[0:41:28] waarbij de dreigende informatie van de inlichtingendiensten een trigger kan zijn, technologische ontwikkelingen
[0:41:33] kunnen een trigger zijn, andere partijen, partners van Nederland in dit domein die ons
[0:41:41] een signaal kunnen geven.
[0:41:42] Dus het is een continu proces om te kijken of we dit nog voldoende doen
[0:41:48] en of de maatregelen die we hebben om de boel te beheersen voldoende zijn.
[0:41:53] Een voorbeeld daarvan natuurlijk in deze tijd
[0:41:57] is de continue aandacht die we hebben voor de dreiging vanuit Rusland
[0:42:01] en ook wat dat aan eventuele mogelijkheid met zich mee zou kunnen brengen
[0:42:08] voor een aanval op andere landen binnen het NAVO-gebied.
[0:42:13] En wat dat dan betekent als dat ook richting Nederland zich zo verder uitbreidt,
[0:42:17] waardoor inzicht in afhankelijkheden en toeleveranciers,
[0:42:20] maar ook andere risico's, dat dat echt cruciaal is
[0:42:23] om dat voortdurend tegen het licht te houden.
[0:42:25] Nou werd inderdaad ook al aangegeven door collega Moeller,
[0:42:29] er zijn sancties op de Russische Federatie,
[0:42:31] dus daar zit dan niet zozeer de zorg,
[0:42:33] maar wel wat betekent dit gewoon voor het overige, hoe we afhankelijk zijn van wat.
[0:42:40] Dan misschien nog deze, wat de inzet is, want goed onder de aandacht brengen
[0:42:47] en wat dat betreft ook echt een hele goede samenwerking.
[0:42:50] We hebben een mooie quickscan gemaakt.
[0:42:53] Het ligt bij u op het bureau en kunnen we ook nog digitaal sturen.
[0:42:57] Want dat zijn, zeg maar, de drie instrumenten
[0:42:59] die onderdeel maken, uitmaken van de toolbox veilig inkopen.
[0:43:03] Sinds 2018 zetten we echt in op het verhogen van dat risicobewustzijn
[0:43:08] en risicomanagement binnen de verschillende organisaties.
[0:43:11] Rijksoverheid, maar zeker ook vitale aanbieders en kennisinstellingen
[0:43:15] en ook bijvoorbeeld lokale en regionale overheden
[0:43:17] die ook bepaalde producten zouden kunnen en willen inkopen, uiteraard.
[0:43:22] Dus de quickscan is vooral bedoeld om de risico's te identificeren,
[0:43:26] gewoon een vragenlijst van goed, waar zou dat kunnen zitten,
[0:43:29] maar ook om na te denken over die te beschermen belangen.
[0:43:32] En de handleiding is dan voor het uitbreiden van de verdere risicoanalyse
[0:43:36] en dan de aanstelingsrechtelijke handvatten voor het beheersen van die risico's.
[0:43:41] Want dat is inderdaad wel vaak dat we meekregen van, ja, waar staat het dan precies
[0:43:45] en hoe werkt dat dan precies, soms wel enger ook geïnterpreteerd
[0:43:49] dan wat de mogelijkheden zijn die de huidige regelgeving biedt.
[0:43:53] En dan is er specifiek voor cyber, omdat we daar natuurlijk ook zien
[0:43:57] dat daar een extra risico is, is er in samenwerking met de AUVD, CEO Rijk, NCC en de NEC ook een
[0:44:04] handreiking ontwikkeld om dat goed door te lopen en stapsgewijs ook echt te bepalen van
[0:44:09] waar zitten de eventuele risico's.
[0:44:12] Ik denk dat dat ook een hele belangrijke is.
[0:44:17] Verder voor de regelgeving EU-aanbesteidingsrichtlijnen zijn wij van harte ondersteunend aan de EZK
[0:44:22] om dat voor elkaar te krijgen, want ik denk dat we daar toch in het Europese ook naar moeten
[0:44:25] van wat daar de mogelijkheden zijn.
[0:44:28] En misschien ook nog goed om te zeggen dat de instrumenten die we hebben,
[0:44:31] dat we die gevraagd, maar ook ongevraagd kunnen doen.
[0:44:35] Dus zo'n risicoanalyse kunnen we ook ongevraagd uitvoeren.
[0:44:38] Het is wel altijd in samenwerking, maar het signaal kan komen van anderen
[0:44:42] en hoeft niet per se vanuit de organisatie zelf te komen.
[0:44:46] Dus ik denk dat dat nog een belangrijke is ook om hier te noemen.
[0:44:53] Dat was het voor nu. En dan tijd voor vragen. Ook graag bereid.
[0:44:58] Ja, dan dank ik u voor uw uitstekende verhaal en dan kijk ik even naar mijn linkerzijde of
[0:45:03] er vragen zijn bij mevrouw Rijkoski van de VVD.
[0:45:08] En dank ook voor al jullie aanwezigheid, want het is ook fijn om te zien dat er ook zoveel
[0:45:13] verschillende soorten kennis hier aan tafel zit.
[0:45:16] Dat gaat ons vast ook helpen in antwoord geven op de vraag waar ik en mijn collega naar op
[0:45:23] zoek zijn.
[0:45:25] Als ik me gewoon even helemaal plat sla, wat voor mij een van de redenen was om samen met
[0:45:31] de heer Siks-Dijska deze technische briefing aan te vragen, is eigenlijk op het moment
[0:45:35] dat ik met jullie spreek of met jullie collega's, dan hoor ik dat er goed wordt nagedacht op
[0:45:42] nationale veiligheid, dat er allerlei mogelijkheden zijn in aanbesteding om rekening te houden
[0:45:47] met de huidige dreiging.
[0:45:49] Maar dat ik aan de andere kant ook tegelijkertijd mensen op de lijn krijg, die bij lokale overheden
[0:45:58] werken bijvoorbeeld, en die mij bellen en zeggen, ja, wij proberen nu X, Y, Z uit een aanbesteding
[0:46:04] te houden, maar onze juristen zeggen dat dat niet mogelijk is, wij zijn dan naar een landsadvocaat
[0:46:09] gestapt om te kijken of die ons kan helpen, en zij zeggen allemaal, ja, het kan allemaal
[0:46:12] niet.
[0:46:14] Dus voor mij zit er steeds een verschil tussen wat ik hier hoor en wat ik dus uit de praktijk krijg.
[0:46:20] En ik ben dus echt op zoek naar...
[0:46:23] We moeten nou zeker niet landen als China categorisch uitsluit.
[0:46:27] Dat zou ook hartstikke onhandig zijn, mag ik ook meteen mijn mooie laptop inleveren.
[0:46:30] Dus dat is ook helemaal niet de bedoeling.
[0:46:32] Alleen ik ben op zoek naar dit soort slimme...
[0:46:36] Moeten we nou echt de regels aanpassen?
[0:46:38] Zit het in meer bewustwording?
[0:46:40] zit het in... Nou, ik ben benieuwd wie mij antwoord op deze vraag kan geven.
[0:46:47] En dan de heer Siegsteinstra van NRC.
[0:46:51] Dank voorzitter en ook dank aan alle aanwezigen voor een uitgebreide presentatie.
[0:46:56] Ik kan me zeker aansluiten bij de vraag van mevrouw Rajkowski.
[0:46:59] Ik had zelf ook nog twee vragen.
[0:47:02] Zal ik ze gelijk maar even allebei stellen?
[0:47:06] Mooi. Eerste vraag, die zit wel duidelijk op het eerste blok
[0:47:10] als het gaat om inkoop en aanbesteding.
[0:47:13] dat ik benieuwd was. Nationale veiligheid, en ik zag er ook bij staan, strategische autonomie,
[0:47:19] dat kan zeker meegenomen worden als toetsingskader in wat wel of niet aanbesteedt zal worden.
[0:47:28] En eigenlijk ook naar aanleiding van een recente casus die speelde was rondom de Cisco WebEx,
[0:47:32] dat mijn collega's en ik ook zaten te kijken naar bijvoorbeeld het onderdeel wanneer gaat
[0:47:39] een bedrijf ook over tot het melden van kwetsbaarheden aan zijn gebruikers.
[0:47:44] Dat was iets wat daar nogal speelde, wat de staatssecretaris ook had aangekaart.
[0:47:47] Dat is eigenlijk het hele Coordinated Vulnerability Disclosure traject.
[0:47:52] Is dat iets wat ook scherp op het netvlies staat bij departementen,
[0:47:56] bij het gremium wat u ook beschreef,
[0:47:59] als een afwegingskader voor wanneer een product wel of niet veilig beschouwd wordt?
[0:48:05] is de producent enigszins secure in hoe de kwetsbaarheden gemeld en verstrekt worden aan de afnemers.
[0:48:12] De tweede vraag is meer een blokje veiligheid.
[0:48:16] Meneer Harteveld of mevrouw Somsen kan daar misschien wel antwoord op geven.
[0:48:20] Dat zat hem in het volgende.
[0:48:23] Want als we bijvoorbeeld kijken naar de telecomsector,
[0:48:25] dan zijn er specifieke posities die niet meer ingenomen worden
[0:48:28] door personen uit landen met een officieel cyberprogramma.
[0:48:31] Bijvoorbeeld China in dit geval, heel concreet.
[0:48:34] En dat ging dan voornamelijk om vitale onderdelen en kernonderdelen.
[0:48:41] Mijn vraag was eigenlijk, hoe worden die bepaald en wie stelt dat vast?
[0:48:45] Want in een eerder debat met de minister hadden we het over routers en switches.
[0:48:49] Echt de edge apparatuur van een bepaald netwerk waarvan je kan zeggen van,
[0:48:52] nee, dat is aan zich niet een interessant onderdeel voor een cyber-actor.
[0:48:57] Maar is wel een heel belangrijke steppingstone,
[0:48:59] uiteindelijk, wat de te beschermen belangen is.
[0:49:02] En wat is daar nou in de praktijk het beleid rondom?
[0:49:06] Hoe ga je om met de auto's uit China?
[0:49:08] Als ik hem even plat sla.
[0:49:09] Dat zou ik me vragen.
[0:49:12] Dan dank ik jullie voor de vragen.
[0:49:14] Kijk even naar rechts.
[0:49:14] Wie de vragen van mevrouw Gajkowski zou willen beantwoorden.
[0:49:19] En dan zie ik dat de heer Weimar alvast het eerste woord wil nemen.
[0:49:22] Ja.
[0:49:22] Het woord is aan de heer Weimar.
[0:49:24] Ja, dank u wel.
[0:49:26] Voorzitter.
[0:49:29] Ja, de vraag is over het contrast dat u constateert.
[0:49:35] Mensen in de praktijk merken toch dat het ingewikkeld is om het aan de navolging te geven aan hoe
[0:49:41] kunnen we veilig inkopen, als ik het zo mag platslaan en formuleren, terwijl de mogelijkheden
[0:49:46] er wel zijn.
[0:49:49] Nou, dat is zeker het geval.
[0:49:50] Het is zo dat, zeg maar, in dat stelsel wat we hebben, we hebben veertienhonderd inkopers,
[0:49:55] Zo'n beetje bij ons binnen het Rijk werken.
[0:49:58] Dan heb ik het alleen over de Rijksoverheid, die in ieder geval...
[0:50:04] ...als het gaat om wat is de regelgeving, goed op de hoogte zijn van wat er kan.
[0:50:09] Ik denk dat een beetje de zwakke steen in het verhaal nog is...
[0:50:13] ...dat aan de kant van de opdrachtgevers, waar het zo is dat het voor de hand liggend is...
[0:50:17] ...dat je alert bent op veiligheidszaken, zoals bij C2000...
[0:50:22] ...dat men die alertheid ook wel heeft...
[0:50:24] ...en dat de mogelijkheden dan ook goed worden geëxploreerd en geëxploiteerd.
[0:50:28] Maar dat waar het gaat om...
[0:50:31] ...waar het niet zo voor de hand liggend is...
[0:50:33] ...denk bijvoorbeeld aan een nieuw gebouw, wat wij willen neerzetten...
[0:50:36] ...wat je vol kunt stoppen met sensoren, die heel interessant kunnen zijn...
[0:50:39] ...als het gaat om veiligheidsproblematiek...
[0:50:42] ...dat dat nog minder in het voorhoofd zit.
[0:50:46] En we kopen zo'n beetje 16,9 miljard in per jaar...
[0:50:50] over die categorieën die Richard heeft toegelicht.
[0:50:55] Dus het systeem als zodanig, dat biedt echt wel de mogelijkheden
[0:50:58] om dat niveau van alertheid te vergroten.
[0:51:01] En dat zijn we nu ook druk aan het bewerkstelligen, dat dat omhooggaat.
[0:51:06] Maar dat is aan de kant van de inkopers.
[0:51:08] Als ik kijk naar de kant van de opdrachtgevers,
[0:51:11] ja, dan zit er voor mij nog wel een punt in.
[0:51:14] Wat wij doen in de bedrijfsvoering van het Rijk,
[0:51:17] is dat we, als ik even de hiërarchie van de wetgeving een beetje van stal
[0:51:20] We werken met kaders.
[0:51:22] Kaders zijn dan afspraken die we uiteindelijk vaststellen...
[0:51:27] ...op het niveau van de DG, directoraat, overheidsorganisatie.
[0:51:35] Maar dat zijn afspraken die worden gemaakt op basis van...
[0:51:38] ...ik zou haast zeggen, toch het niveau van mandatering.
[0:51:41] Artikel 44 van de Grondwet, wat ernaast staat, bepaalt uiteindelijk...
[0:51:46] ...dat de departementen zelf bepalen hoe zij omgaan met hun bedrijfsvoering.
[0:51:51] Dus er zit wel een afsprakenbasis aan vast,
[0:51:55] maar als ik kijk naar de wetgeving die vooral een externe werking heeft
[0:51:59] en de leveranciers, wat kun je allemaal doen
[0:52:01] en wat zou je kunnen doen in termen van uitsluiting enzovoort,
[0:52:04] is het zo dat het systeem wat we nu aan het opzetten zijn
[0:52:08] toch hoofdzakelijk gebaseerd zal zijn op die onderlinge afspraken
[0:52:12] en de navolging daarvan.
[0:52:14] En even terug naar de vraag, aan de kant van de opdrachtgevers
[0:52:18] denk ik dat het erg behulpzaam zou zijn
[0:52:20] Als die wetgeving en ook de interne werking daarvan versterkt wordt
[0:52:25] en dat het niet alleen gebaseerd is op een voorschrift
[0:52:28] wat we nu aan het maken zijn, wat de status heeft van een kader,
[0:52:32] maar dat ook, ja, hoe moet ik het formuleren,
[0:52:35] in termen van hierarchie van wetgeving ook nadelbepaald is
[0:52:38] dat de toepassing van de apro-voorschriften,
[0:52:41] dat is bij Defensie, en dat is binnen dat departement aan de orde,
[0:52:46] niet alleen is gebaseerd op zo'n kaderstelling,
[0:52:49] maar dat het ook, zeg maar, een hoger niveau kent van...
[0:52:53] Ik zou zeggen, ja, de constatering dat je het ook kunt afdwingen...
[0:52:57] ...dat departementen dat navolging geven.
[0:52:59] Dus dat omhoog krijgen van de sense of urgency...
[0:53:03] ...ook aan de kant van de opdrachtgevers, dat helpt enorm...
[0:53:06] ...als dat, zeg maar, op dat niveau op een wat hoger plan gebracht wordt.
[0:53:11] Dus in de praktijk, even terug naar uw vraag...
[0:53:14] ...in de praktijk is het zo dat we constateren...
[0:53:17] ...dat er nog best wel wat moet gebeuren.
[0:53:19] Het systeem, dat is voldoende robuust, dat is ook gebleken de afgelopen jaren,
[0:53:24] om dat allemaal te kunnen doorvoeren.
[0:53:27] Aan de kant van de opdrachtgevers,
[0:53:29] daar moet, denk ik, echt wel nog aan gewerkt gaan worden.
[0:53:32] En dan helpt het als we wat rugvind krijgen, zoals ik het net aangaf,
[0:53:36] in het kader van andere regelgeving dan behalve kaderstelling.
[0:53:40] De externe werking, misschien dat nog even als punt,
[0:53:44] Want ja, dat is toch een kwestie van welke stappen ga je maken.
[0:53:50] Want als het zo is dat wij voldoende fiducie hebben...
[0:53:53] ...dat het intern goed geborgd is en dat we dat voor elkaar krijgen...
[0:53:58] ...nou, daar heb ik alle vertrouwen in, dan is het ook zaak...
[0:54:00] ...dat je de dialoog met de markt aangaat en ook de markt gaat informeren...
[0:54:03] ...over welke eisen gaan we nu aan u stellen de komende periode.
[0:54:07] Ik hoop dat tegemoetkomt aan een antwoord op de vraag.
[0:54:15] Mag ik nog wat aanvullen? Want ik begreep dat de telefoontjes komen vanuit de decentrale overheden.
[0:54:23] Als meneer Lennart even de microfoon zou willen uitzetten, dan schreef ik daarna het woord aan
[0:54:28] de heer Lennart om toevoeging te geven aan de beantwoording.
[0:54:34] Ja, dat was al genoeg. Telefoontjes komen vanuit de decentrale overheden. Ik ga niet
[0:54:41] over de decentrale overheden. Wat we net geschetst hebben gaat over wat we als
[0:54:46] Ik durf wel de inschatting te maken wat daar speelt.
[0:54:50] Als je de vraag stelt of je partijen mag uitsluiten...
[0:54:54] dan kan ik me voorstellen dat het antwoord is nee.
[0:54:58] Maar dat is niet wat je wil.
[0:55:00] Wat je wil is dat je een hele getegen aanbesteding doorloopt...
[0:55:03] waardoor partijen bij jou binnenkomen waar je graag zaken mee doet.
[0:55:07] En dan komt de toolbox.
[0:55:10] Die biedt meer dan voldoende handvat.
[0:55:13] Ik durf te zeggen, om in alle gevallen de selectie-eisen zodanig op te stellen en de procedure zodanig
[0:55:19] te kiezen, dat je aan zekerheid grenzen de waarschijnlijkheid, even met disclaimen erbij,
[0:55:26] welk partij uitkomt waar je wel graag zaken mee wil doen.
[0:55:30] Het zit hem ook voor een deel in de creativiteit van op welke wijze, via welke stappen kun
[0:55:34] je ergens komen.
[0:55:35] Maar platweg de vraag stellen, mag ik partijen uitsluiten uit bepaalde landen, ja, wij hebben
[0:55:41] geen landenbeleid. Dus het antwoord is nee. Dus dan klopt het antwoord van landsadvocaat.
[0:55:45] Maar even terug, daar valt me wel veel te winnen. En mocht de collega's, laat ik het ook zeggen,
[0:55:49] vanuit de Rijksoverheid zich melden, ja, stuur ze vooral terug. Laat ze de vraag op tafel leggen.
[0:55:55] Ze mogen alles hier bij mij aankloppen. Dat geldt voor alle inkopers uit de hele Rijksoverheid.
[0:55:59] Dan gaan wij hier samen goed in gesprek hoe wij die betrokkenen kunnen helpen om het wel voor
[0:56:03] elkaar te krijgen. Misschien nog één laatste aanvulling, want juist die bijlage drie,
[0:56:09] Die quick guide is juist bedoeld om, wat best een ingewikkeld wettelijk kader is,
[0:56:13] om dat duidelijk te maken.
[0:56:14] En daar zie je ook dat het mogelijk is om juist de opdrachten en de opdrachtformulering heel duidelijk
[0:56:20] aan te geven waarvoor het is en dat je ze ook hele hoge veiligheidseisen mag stellen,
[0:56:24] zolang dat proportioneel is aan het doel wat je aanbesteding is.
[0:56:28] Maar als ik het hoor, want het is breder dit ook bedoeld en ook breder toegankelijk voor anderen,
[0:56:34] en kunnen ook zeker nog met de VNG contact opnemen om te horen hoe dat daar al geland is
[0:56:38] of waar de behoefte is op dat vlak.
[0:56:45] Dan dank ik u voor uw beantwoording en de toezegging
[0:56:48] dat u ook nog met VNG in gesprek gaat treden.
[0:56:51] En dan kijk ik even naar links naar mevrouw Rekuske
[0:56:53] of de vraag daarmee beantwoord is.
[0:56:56] En dan ga ik even weer naar rechts kijken
[0:56:59] wie de vraag wil beantwoorden van de heer Siks-Dijkstra
[0:57:01] in zaak toetsingskamer en WebEx.
[0:57:04] Dat wordt dan de heer...
[0:57:06] JOCHEM. Jochem.
[0:57:10] Ja, hij doet het.
[0:57:13] U hoort heel vaak, het antwoord van een risicoanalyse is een sleutel hierbij.
[0:57:19] En dat geldt zeker voor inkopen en de maatregelen die je neemt.
[0:57:23] En nogmaals wijzend op het kader wat de NCTV ook heeft uitgebracht,
[0:57:28] dat is een heel goed hulpmiddel daarbij.
[0:57:32] Heel specifiek op WebEx de vraag van hoe is die communicatie geweest
[0:57:39] en is dat ook een onderdeel van de inkoop.
[0:57:43] Wij zijn als Nederland eigenlijk al een jaar of tien, denk ik, gidsland
[0:57:47] als het gaat over Coordinated Vulnerability Disclosure,
[0:57:50] met name het NCCC is daar al heel lang ook internationaal aan de weg,
[0:57:55] dus dat geeft bij ons eigenlijk vrij normaal gebruik
[0:57:59] van hoe worden kwetsbaarheden gemeld en hoe wordt daarop gereageerd
[0:58:03] en er zijn afspraken over gemaakt.
[0:58:05] Dat is nog niet overal internationaal de standaard, maar wel een heel mooi voorbeeld.
[0:58:13] Dus als je kijkt naar onze algemene inkoopvoorwaarden in de ARBIT,
[0:58:17] dan staat er nou een leverancier moet wel voldoen aan een beveiligingsniveau
[0:58:22] wat redelijkerwijs verwacht wordt, en dat geldt ook voor het melden van kwetsbaarheden.
[0:58:28] Maar dat staat nog niet verder uitgewerkt van het moet op die manier.
[0:58:31] Dus dat is afhankelijk van de dienst, wordt dat specifiek afgesproken voor de dienst.
[0:58:38] Als het gaat om Webex, heeft Cisco procedures voor het melden van kwetsbaarheden.
[0:58:47] En dat was ook onderdeel natuurlijk van de inkoop.
[0:58:51] Daarbij zeggen ze, als er geen handelingsperspectief is voor de klant,
[0:58:56] dan zullen wij ook niet informeren.
[0:58:58] Dus in het gesprek dat we hebben gehad met Cisco
[0:59:01] hebben ze dat ook uitgebreid uitgelegd.
[0:59:04] En wij hebben ook kunnen uitleggen waarom wij in deze casus
[0:59:08] niet goed in staat waren om dan onze eigen risico's te beoordelen daarbij.
[0:59:13] Dat is ook wel overgekomen en zoals ik heb kunnen lezen,
[0:59:16] dan gaan we ook samen met Cisco overleggen om die procedures aan te scherpen,
[0:59:21] zodat wij en ook andere klanten in staat zijn om, als er zich zoiets voordoet,
[0:59:25] Ook al is er in hun beeld niet een handelingsperspectief voor ons
[0:59:29] om wel te melden.
[0:59:34] Ja, en wat dat betreft ook even doorpakken op de vraag
[0:59:38] over onveilige routers bij de Rijksoverheid.
[0:59:42] Ook dit is natuurlijk gewoon steeds een onderdeel van die risicoanalyses.
[0:59:49] En wat wij afgelopen jaar hebben gezien, is dat die in het algemeen is,
[0:59:53] of ze nu onafhankelijk uit welk land ze komen,
[0:59:57] dat die apparaten een gewild doelwit zijn van,
[1:00:01] nou ja, dan wel hackers, dan wel statelijke actoren.
[1:00:04] Dus eigenlijk over de hele breedte geldt hiervoor
[1:00:06] dat je gewoon echt wel heel goed moet weten wat je daar neerzet,
[1:00:10] hoe je de kwetsbaarheden behandelt en op tijd maatregelen neemt.
[1:00:15] Dus ik denk dat dat vrij algemeen onder de aandacht van statelijke actoren is.
[1:00:23] Ja, een kleine toevoeging van mevrouw Somsen.
[1:00:26] Ja, in aanvulling daarop.
[1:00:28] Want bijvoorbeeld recent is ook de Casus Codehanger gepubliceerd.
[1:00:32] Nou, prachtig onderzoek.
[1:00:34] Maar ook daar kwam uit naar voren dat het device aan zich geen Chinese device was.
[1:00:41] En ik denk dat dat illustratief is voor het feit dat in sommige gevallen,
[1:00:46] ik noemde net die aanvalscenario's en hoeveel moeite ook een actor moet doen.
[1:00:50] Soms hoef je dus minder moeite te doen,
[1:00:52] maar kan je op een vrij simpele manier door bepaalde dingen
[1:00:55] gewoon van andere categorie software te hacken
[1:00:59] of daar malware op te installeren.
[1:01:02] Dus ik denk dat het belangrijk is
[1:01:05] om dan dus ook geen schijnveiligheid te creëren vanuit de optiek
[1:01:08] oké, dan hebben we niks meer uit China en dan is het allemaal veilig.
[1:01:11] Dus ik denk dat dat het allerbelangrijkste is om mee te geven,
[1:01:14] waarbij natuurlijk wel iedere keer die afweging gemaakt moet worden
[1:01:16] van wat wil je dan.
[1:01:17] Eigenlijk de belangrijkste vanuit veiligheidsoptiek
[1:01:20] is hang zo min mogelijk aan het internet.
[1:01:22] Maar goed, er moet natuurlijk wel een hele hoop wel.
[1:01:24] En dan kom je eigenlijk bij de volgende stappen,
[1:01:25] van wat voor beveiligingsmaatregelen kan je dan nemen?
[1:01:28] Dus dat zit heel erg in actieve monitoring en detectie.
[1:01:31] Dus als er iets geks gebeurt, dat je dat ziet.
[1:01:34] Segmenteren van systemen en netwerken als de eerste breach er is, zeg maar,
[1:01:38] van het internet naar het volgende stukje, dat het niet over je hele netwerk is.
[1:01:42] Nou, patch management is natuurlijk een hele belangrijke.
[1:01:44] En ook het voorbereiden op incidenten.
[1:01:46] Want we zijn voorbij aan het idee dat als je je heel goed voorbereidt,
[1:01:50] dat het dan nooit gebeurt, want dat weet je gewoon niet.
[1:01:53] Dus ik denk dat die gelaagdheid in die meerdere verdedigingslinies,
[1:01:56] dat is eigenlijk het antwoord waar we dan naar op zoek zijn.
[1:01:59] En ook nog misschien op de vraag van wie bepaalt dan wat wel of wat niet?
[1:02:03] Dat doen we in zo'n expertisegroep,
[1:02:07] waarbij we trekken op de expertise van de diensten vanuit het NCC,
[1:02:12] afhankelijk van om welke apparatuur het gaat,
[1:02:14] ook eventueel nog anderen die ons daarop kunnen adviseren,
[1:02:17] om dan echt te kijken van... En ook vooral de plek, hè.
[1:02:20] Dus als we het hebben over dat beschermenbelang, waar wordt het dan gebruikt?
[1:02:24] En vanuit die twee involshoeken, is spionage hier een risico
[1:02:29] of is sabotage hier een risico?
[1:02:31] En ik denk dat we juist ook op sabotage de laatste tijd daar meer naar kijken
[1:02:35] dan dat we misschien drie, vier jaar geleden deden.
[1:02:37] Toen was toch echt vooral het idee,
[1:02:39] het gaat vooral om spionage en informatie weghalen.
[1:02:41] En het sabotagerisico zien we nu ook erbij, ja.
[1:02:48] Dank voor de toevoeging.
[1:02:49] Ik zag dat de heer Hartenveld nog heel graag iets daarop wil zeggen.
[1:02:53] Ja, dank u wel, inderdaad.
[1:02:54] Ja, wat ik eigenlijk wilde benadrukken is dat het zo ongelofelijk uniek is hoe wij hier met elkaar samenwerken.
[1:03:01] Niet alleen in dit verband met het rechtsinkoopsysteem, maar ook de kennis over...
[1:03:05] Wij doen onderzoek als AIVD en MGD, onderzoek naar de bedreigingen,
[1:03:09] dus naar de organisaties en de personen die ons willen schaden, zeg maar.
[1:03:14] En met de kennis van dat onderzoek hebben wij een hele goede werk systematiek in de lopende
[1:03:20] jaren ontwikkeld, samen met NCTV en NCRC, dat wij onze kennis overdragen en op basis
[1:03:25] daarvan inderdaad die risicoanalyses goed kunnen maken, want die door jullie goed gemaakt
[1:03:30] kunnen worden.
[1:03:31] En ik denk dat dat aangeeft hoe alles met elkaar ook wel weer samenhangt, maar vooral die samenwerking
[1:03:36] zo ongelooflijk belangrijk is en dat wil ik nog even toevoegen.
[1:03:42] Hartelijk dank voor de toevoeging.
[1:03:44] Ik wil even kijken naar de heer Ziks-Dijkstra of de vraag daarmee beantwoord is.
[1:03:49] En dan vraag ik meteen door aan mevrouw Rikowski of ze nog een opvolgende vraag heeft.
[1:03:53] Zeker.
[1:03:55] Dank. Zeer verhelderend dit, dus nogmaals dank daarvoor.
[1:04:00] Ik kan me zo voorstellen dat wel eens informatie bekend is,
[1:04:05] bijvoorbeeld bij de diensten, die niet op papier of in openbaarheid gedeeld kan worden
[1:04:13] bij bijvoorbeeld bepaalde aanbestedingen of misschien bepaalde andere soorten plannen.
[1:04:21] Terwijl het misschien wel nodig kan zijn om dit op papier ergens officieel op te pennen,
[1:04:27] zodat iemand er zo'n bepaalde partij uit kan sluiten.
[1:04:30] Dus dan wordt er misschien wel mondelingen advies gegeven, nou gaan we niet met deze
[1:04:33] club in zee.
[1:04:35] Maar dat er wel wordt gevraagd, nou dan hebben wij het wel nodig dat dit advies officieel
[1:04:39] gegeven wordt, anders kunnen wij dit niet uitsluiten.
[1:04:43] Zijn er dat soort situaties en hoe gaan jullie daaraan mee om?
[1:04:48] Nee, daar blijven we heel duik over zijn.
[1:04:50] We gaan niet... Ik ken uit de praktijk geen voorbeelden dat wij gezegd hebben van...
[1:04:54] ...goh, dit zetten we niet op papier, maar ik zou met Land X of organisatie I...
[1:04:58] ...zou ik geen zaken doen. Dat zijn altijd zaken die wij aan het papier toevertrouwen...
[1:05:02] ...waar we ook verantwoording over moeten afleggen en willen afleggen.
[1:05:05] En ik denk dat het een... Nee, dat is een theoretisch, een hypothetische casus.
[1:05:11] Mag ik er misschien nog een aanvulling op geven?
[1:05:14] Ik probeer even te beredeneren vanaf de andere kant.
[1:05:17] We hebben iets nodig, zeg ik dan maar even, we willen dat inkopen.
[1:05:22] En aan de kant van de opdrachtgever is bepaald dat een bepaalde goed
[1:05:27] of dienst die we willen hebben, een klassificatie kent
[1:05:32] en daarmee gerubriceerd is.
[1:05:33] En dat betekent dat je daarmee ook hebt bedacht aan de voorkantgut
[1:05:37] hoe risicovol is dit?
[1:05:39] En als dat zo is, naarmate het opschaalt en naar het hoogste niveau komt,
[1:05:44] Dus zodat uiteindelijk ook in overleg met de joint unit wordt bepaald met wie
[1:05:49] en welke partijen kunnen we zaken gaan doen.
[1:05:52] Dus er zit aan die kant, denk ik, wel de informatie om te kunnen beoordelen
[1:05:56] is dit een goede partij met wie we zaken kunnen doen,
[1:05:59] gelet op het risico, wat aan de voorkant al is afgewogen.
[1:06:04] Dus ik denk dat het systeem, mits goed ingeregeld uiteraard,
[1:06:08] dan ook, ja, in ieder geval aan die kant van de inkoop,
[1:06:14] risicomijdend kan zijn.
[1:06:21] Dank voor de beantwoording.
[1:06:22] De heer Sikstenkstra.
[1:06:24] Dank voorzitter. Ik heb nog een
[1:06:28] tweetal vervolgvragen
[1:06:29] en wederom veel dank voor de beantwoording van vorige
[1:06:31] vragen. Ik sluit aan bij mijn
[1:06:33] collega dat dit inderdaad een zeer
[1:06:34] inzichtelijke sessie is.
[1:06:37] Ik sloeg even aan op iets wat
[1:06:38] mevrouw Somsen zei, namelijk van
[1:06:41] hang zo veel mogelijk aan het internet.
[1:06:43] Dat is een van de beste risicomitigaties.
[1:06:45] Zo min mogelijk.
[1:06:46] Ik zei zo veel mogelijk? Uiteraard zo min mogelijk.
[1:06:52] Excuseer mij. Haal dit uit de handelingen.
[1:06:55] Het mag niet vastgelegd worden. Zo min mogelijk aan het internet.
[1:06:59] Ik kan me voorstellen dat wanneer een organisatie...
[1:07:03] een opdrachtgever voor een aanbesteding een risicoanalyse maakt...
[1:07:07] dat dat een onderdeel is wat daar zeer prominent in naar voren komt.
[1:07:13] Dat bijvoorbeeld de te beschermen belangen in de ideale situatie in een gesegmenteerd
[1:07:18] netwerk hangen.
[1:07:19] En er nog een ander netwerk is dat wel aan het internet hangt, met routers waar de impact
[1:07:23] gewoon minder groot is wanneer er een aanval is.
[1:07:27] Maar ik kan me ook voorstellen dat de situatie van een intern netwerk van een departement
[1:07:31] of een agentschap wel over tijd verandert.
[1:07:33] En misschien zijn er wat medewerkers die denken, nou is het toch wel handig als ik even vanuit
[1:07:38] mijn TBB-omgeving kan mailen naar een andere omgeving en er dingen aan elkaar geknoopt
[1:07:43] worden en de situatie op papier niet meer in de praktijk zo is. Hoe wordt in zo'n situatie
[1:07:51] omgegaan met eigenlijk een hybride verdedigingslinie, zou je kunnen zeggen? Dat was mijn eerste
[1:08:01] vraag. Ik zit even te kijken naar mijn tweede vraag. Die sluit er eigenlijk wel op aan.
[1:08:06] En dat ook in aanleiding van wat de heer Jochem net zei,
[1:08:09] als het gaat om opdrachtgeverschap, waar hij ook zei dat aan die kant...
[1:08:13] Of als meneer Weimar...
[1:08:15] Eén van u zei dat aan de kant van de opdrachtgever
[1:08:17] zeker nog gewerkt moet worden en dat extra regelgeving ook zou helpen
[1:08:21] in de manier waarop opdrachtgevers gestuurd kunnen worden.
[1:08:25] Kunt u iets toelichten over in welke mate in de praktijk
[1:08:29] al goed gekeken wordt naar ook veranderende netwerken
[1:08:33] en de manier waarop ook risicomanagement over tijd verandert.
[1:08:39] Ja, ik denk dat...
[1:08:40] Dan kijk ik even naar rechts, geef ik het woord aan de heer Wijman.
[1:08:43] Die staat al klaar in de startblokken.
[1:08:46] Ik ben te enthousiast misschien.
[1:08:48] Ik denk dat het een gemeenschappelijk antwoord gaat worden.
[1:08:51] Maar als ik het beoordeel vanuit het type vraag wat u stelt,
[1:08:56] is het zo dat we in dat inkoopstelsel wat we hebben,
[1:09:01] categoriemanagement hebben ingevoerd,
[1:09:03] Een category manager is degene die zorg draagt voor de aanbestedingen en voor de inkoop.
[1:09:11] Dus als het zo zou zijn dat er veranderende omstandigheden zijn, is het zo dat die functionaars
[1:09:18] constant monitoren wat er gebeurt in deze markt en hoe moeten we ons daartoe verhouden.
[1:09:23] De contractuele bepalingen die we vastleggen in die doorgaanse periode, dat zijn raamovereenkomsten,
[1:09:32] die een periode van een aantal jaren bestrijkt,
[1:09:36] moeten dit soort elementen ook in zijn opgenomen.
[1:09:39] Dus op het moment dat er gewijzigingsomstandigheden zijn
[1:09:42] waarbij we risico's zouden gaan lopen,
[1:09:44] en daar is aan de voorkant in zo'n aanbesteding echt goed over nagedacht,
[1:09:48] wat ik gewoon ook verwacht,
[1:09:50] dan is het zo dat we daar onderweg op kunnen acteren.
[1:09:54] Dus het is niet zo dat een opdrachtgever in dit soort gevallen
[1:09:59] per departement, zeg maar, iets gaat inkopen.
[1:10:02] We hebben voor het Heden Rijk juist dat categorie-management ingericht
[1:10:08] om ervoor te zorgen dat we in gemeenschappelijkheid inkopen
[1:10:11] en dat we ook voorkomen dat we allerlei mooie bloemtjes zien bloeien
[1:10:16] die we dan moeten gaan bieden.
[1:10:22] GESPREKSLEIDER En dan zie ik de heer Jochem in de startblokken.
[1:10:25] Ja, het is natuurlijk inderdaad aan de orde van de dag, wil ik bijna zeggen,
[1:10:30] dat een product waarvan je nu denkt dat je veilig bent,
[1:10:35] blijkt morgen opeens niet veilig te zijn.
[1:10:39] Een deel van hetgene wat wij doen, de manier op wie we handel drijven,
[1:10:43] onze democratie inrichten enzovoort, doen we ook online
[1:10:46] en met gebruikmakende van internet.
[1:10:49] Dus het is zaak om dat veilig in te richten.
[1:10:54] Ik ben er met een eens dat alles wat aan het internet hangt,
[1:10:56] Moet je er rekening mee houden dat dat vroeg of laat iemand anders in handen heeft.
[1:11:01] Maar je moet zorgen dat je daarop op inricht.
[1:11:04] En wij krijgen met enige regelmaat natuurlijk inlichtingberichten
[1:11:08] of cyberadviezen, vooral van de inlichtingdienst,
[1:11:11] en advisories van het National Cyber Security Centre,
[1:11:14] waarin gewaarschuwd wordt voor nieuwe kwetsbaarheden.
[1:11:18] En die worden gedeeld met die doelgroepen
[1:11:20] om ook die veranderende situatie te kunnen reageren.
[1:11:24] Je kan dan op dat moment zeggen van nou, aan de vang van deze risicoanalyse gaat het gewoon
[1:11:30] de normale patchcircuit in om te repareren of ik moet gewoon echt maatregelen nemen en
[1:11:36] tijdelijk iets offline zetten.
[1:11:38] Nou, dat kunnen hele ingrijpende besluiten zijn, we hebben dat ook in de casus van Citrix
[1:11:43] zo'n paar jaar geleden gezien en je moet daar echt wel op voorbereid zijn om dat soort keuzes
[1:11:50] te maken en weten waar je dan wat voor impact dat heeft.
[1:11:55] Dat gebeurt eigenlijk regelmatig.
[1:11:57] We hebben dat ook met WebEx overwogen de afgelopen keren en aangegeven dat dit toch wel een hele grote impact heeft.
[1:12:04] En de manier waarop we dit oppakken, daar hebben we een andere keuze voor gemaakt.
[1:12:11] Die cyberadvies, maar ook het periodiek kijken van nou is mijn te beschermen belang nog wel tegen de dreigingen die vandaag de dag zijn.
[1:12:23] Ik gebruik ook graag het cybersecuritybeeld Nederland,
[1:12:26] wat de NSTV jaarlijks publiceert, van verschuift dat landschap?
[1:12:32] En moeten we daar dan onze, nou ja, onze strategie op aanpassen?
[1:12:36] En uiteindelijk komt dat helemaal terug,
[1:12:38] moet ik mijn maatregelen daar ook op aanpassen?
[1:12:40] Dus die periodieke evaluatie van past hetgene wat we hebben ingeregeld
[1:12:44] nog steeds bij de dreiging en het belang dat we hebben,
[1:12:47] dat is wel essentieel.
[1:12:50] En daar wil ik het kort bij laten.
[1:12:54] Dank voor de woordvoering. En dan heeft mevrouw Schipper nog een toevoeging.
[1:12:58] Ja, het werd net al genoemd, de beheersingsmaatregelen en het patchen.
[1:13:01] Dat is allemaal heel belangrijk.
[1:13:03] En toch nog hier benadrukkend ook, de basis is toch echt het zicht op je systemen,
[1:13:08] het zicht op je edge devices, het zicht en inzicht daarin.
[1:13:11] En het actueel houden in antwoord ook op de vraag daarop
[1:13:15] van wat nou als die omstandigheden veranderen.
[1:13:18] Het volstaat niet om alleen het zicht te hebben op het nu,
[1:13:20] maar om het zo in te regelen dat dat zicht actueel is,
[1:13:23] zodat je ook daadwerkelijk, zodra er zo'n beveiligingsadvies komt,
[1:13:26] ook weet, oh ja, daar zit ook iets waar ik zelf onderdeel van ben
[1:13:29] of waar mijn systemen zelf onderdeel van zijn.
[1:13:32] Als je dan kijkt naar de trendanalyses die we doen,
[1:13:35] de adviezen die we concreet uitbreiden, uitbrengen,
[1:13:38] dan zie je daar ook het basisadvies wat we steeds maar weer herhalen.
[1:13:42] Zorg nou dat je dat inzichtelijk hebt.
[1:13:44] En dat proberen we ook in onze adviesproducten
[1:13:45] steeds veel naar de aandacht te brengen.
[1:13:49] En dan zie ik mevrouw Somsen nog eventjes.
[1:13:52] Nou, je eerste complementariteit aan het werken, denk ik, tussen onze verschillende organisaties.
[1:13:57] Want ik denk wat ook nog goed is om te noemen, is als omstandigheden wijzigen van de manier waarop je iets inzet.
[1:14:06] Bijvoorbeeld als het gaat over scan-apparatuur.
[1:14:08] Daar hebben we zo'n hele exercitie gedaan met technische experts.
[1:14:12] Van waar kijk je naar, wat is het aanvalscenario, wat voor data zou je er eventueel wel of niet uit kunnen halen.
[1:14:17] Heb je daar dan wat aan?
[1:14:19] En daar zit dan een conclusie ook aan vast.
[1:14:21] Op het moment dat zoiets dan stand-alone wordt ingezet,
[1:14:24] is het geen steppingstone en heeft het verder niet echt risico's
[1:14:26] voor de te beschermende belangen.
[1:14:29] Als die omstandigheden wijzigen, dan moet je weer opnieuw die slag doen
[1:14:33] van wat betekent dat dan en kijken of je daar andere beheermaatregelen op moet nemen.
[1:14:39] En het laatste is, denk ik, ook gewoon de mens in dit alles,
[1:14:42] want daar blijft het NCC en alle anderen ook de hele tijd...
[1:14:45] Het is vooral het gemak, inderdaad.
[1:14:48] Daar is DigiNotar ook ooit niet goed mee gegaan.
[1:14:51] En ik denk dat dat een hele belangrijke is om continu, ook bij alle medewerkers,
[1:14:56] gewoon aan bewustwording te blijven werken.
[1:15:00] Dan dank ik u voor de beantwoording.
[1:15:02] Gaat me na aan het hart.
[1:15:03] Zeker de plan-doe-check-act-cyclus die continu blijft doorlopen.
[1:15:07] Kijk naar de heer Sigisdijkstra met de vraag of de vraag van hem hiermee beantwoord is.
[1:15:12] En dan ga ik even voor de volgende ronde als er nog behoefte aan is.
[1:15:15] Mevrouw Rijkowski.
[1:15:16] Ja, dank. Het is een zeldzame mogelijkheid dat we met veel rondjes vragen kunnen stellen.
[1:15:23] Dus daar maak ik graag gebruik van.
[1:15:26] Als het gaat om bijvoorbeeld scan-apparatuur.
[1:15:29] Dan wordt er inderdaad gekeken.
[1:15:31] Oké, er komt een aanvraag binnen. Is dit wel of niet risicovol?
[1:15:34] Nee, het is stand-alone. Kan geen kwaad.
[1:15:37] Maar ik kan me zo voorstellen dat het uiteindelijk het doel ook niet is om het stand-alone te houden.
[1:15:41] Op een gegeven moment kunnen ze langskomen en zeggen...
[1:15:43] Nou, we kunnen nu zoveel data verzamelen, met wat AI erbij.
[1:15:48] We kunnen het allemaal nog slimmer, nog beter.
[1:15:50] En dan kunnen we echt de meeste, echt nog veel meer drugs uit de pakketjes halen, bijvoorbeeld.
[1:15:56] Dus ja, het is echt voor Nationale Veiligheid belangrijk...
[1:15:58] dat we het allemaal wel connecten en niet stand-alone houden.
[1:16:03] Ik kan me voorstellen dat er dan wel wordt gezegd...
[1:16:06] nou, dat mag dus niet, hoop ik dan, in het kader van Nationale Veiligheid.
[1:16:09] Maar ja, ondertussen is er wel dan eerder wel besloten voor die scan-apparatuur.
[1:16:13] Misschien zijn andere marktpartijen minder groot geworden of uit de markt alweer geprijsd.
[1:16:18] En hebben daardoor ook geen alternatieven.
[1:16:20] Dus ik ben ook een beetje aan het zoeken naar dat ik de losse afwegingen wel begrijp.
[1:16:26] En aan de ene kant zou ik het wenselijk vinden om ook meer dus wat breder of een stap verder te kunnen denken.
[1:16:32] Hoewel dat misschien niet altijd helemaal rechtmatig is om fictief na te denken over wat hierna zou kunnen gebeuren.
[1:16:39] Maar ik kan me wel voorstellen dat dat wel belangrijk is.
[1:16:42] Want het grootste verweer dat ik steeds krijg is...
[1:16:45] Ja, maar mevrouw Rikowski, er zijn geen alternatieven in de markt.
[1:16:48] Dan denk ik, ja, maar als we ook nooit een keer voor een alternatief kunnen kiezen...
[1:16:53] dan gaan die alternatieven er ook niet komen.
[1:16:55] Dus daar zit ook een beetje mijn vraag in.
[1:16:59] En dan zie ik dat heer Jochem al aanstalt te maken om die vraag te beantwoorden.
[1:17:04] Ja, want het is gewoon een hele realistische casus.
[1:17:06] En producten die je aanschaft en die je vaak ook voor langere tijd gebruikt,
[1:17:14] en zeker in de manier waarop...
[1:17:18] Nou, we lopen er eigenlijk vaak ook wel met cloudtechnologie tegenaan.
[1:17:21] Wat je vandaag koopt, is niet meer het product wat je over een jaar gebruikt.
[1:17:26] Dat zullen we dus moeten blijven volgen.
[1:17:29] En daar zijn ook weer voorbeelden van dat opeens blijkt
[1:17:31] dat nieuwe functionaliteit nieuwe risico's met zich meebrengt
[1:17:36] en dus ook nieuwe maatregelen vereisen.
[1:17:38] En dan zie je opeens dat multifactor-authenticatie erbij komt
[1:17:42] en dat andere zaken gebeuren, of dat je op een gegeven moment moet kiezen
[1:17:47] om, ja, dat het toch een product te onveilig wordt
[1:17:51] om op deze manier te blijven gebruiken.
[1:17:54] Ja, en wat dan je alternatieven zijn, dus of producten of extra maatregelen
[1:17:57] of toch offline blijven gebruiken en minder functionaliteit,
[1:18:00] dat zijn de keuzes die je gewoon per keer moet afwegen.
[1:18:03] maar het steeds opnieuw realiseren van dit heeft een impact op dit product dat we gebruiken
[1:18:10] of dit proces waarin het gebruikt wordt, dat is wel iets wat hard nodig is en ook gebeurt, ja.
[1:18:19] Dan dank ik u voor de beantwoording en dan heeft mevrouw Somsen nog een toevoeging.
[1:18:23] Ja, zeker.
[1:18:25] Specifiek, ik had het net over dat hele systeem dat we hebben ingericht,
[1:18:28] er is een proces-eigenaar, in dit geval is dat de douane
[1:18:31] als het gaat over dit soort van scan-apparatuur.
[1:18:35] En daar hebben we dan de hele expertsessie mee gedaan, hierop uitgekomen.
[1:18:40] Als dat dus wijzigt en als er wensen zijn vanuit andere veiligheidsargumentatie
[1:18:45] of anderszins, dan is dat ook weer aan hun, en daar zijn wij ook met z'n allen bij betrokken
[1:18:50] om er dan voor te zorgen, dan gaan we dus een nieuwe risicoanalyse maken.
[1:18:52] En dan gaan we kijken hoe dat zit.
[1:18:54] En het is ook wel degelijk zo dat dan vervolgens ook gekeken wordt
[1:18:58] van wat zijn dan eventueel de alternatieven en hoe weeg je dat dan?
[1:19:02] En hoe kan je inderdaad ook vanuit mogelijke verdringingseffecten
[1:19:06] welke andere leveranciers zou je kunnen uitnodigen, benaderen, betrekken
[1:19:11] om wel bepaalde apparatuur te kunnen leveren.
[1:19:14] Dus dat blijft in die Plan, Do, Check, Act cyclus.
[1:19:22] En dan wil mevrouw Rekowski graag een vervolgvraag stellen.
[1:19:25] Als de heer Siksdijkstra dat even.
[1:19:28] Dank.
[1:19:28] Ja, en dan ik denk dat de bewustwording als het gaat om,
[1:19:34] als we bepaalde apparaten inkopen uit bepaalde landen,
[1:19:38] dat die ook heel anders was dan tien jaar geleden bijvoorbeeld.
[1:19:42] Dus ik begrijp ook dat er nu gewoon ook bepaalde dingen al zo zijn ingeregeld,
[1:19:45] dat we nu, misschien was gedacht, misschien is dit niet helemaal handig,
[1:19:48] of als dit wordt uitgebreid dan zullen we weer een risicoafweging moeten maken
[1:19:52] en dan was het antwoord nee.
[1:19:54] Alleen met de kennis van nu, dat als er nu een aanbesteding komt,
[1:19:57] dan kunnen we nu al inschatten dat het niet alleen blijft bij product A,
[1:20:03] maar dat er zeer waarschijnlijk daarna wordt aangeboden
[1:20:06] om inderdaad ook uit te kunnen breiden, et cetera.
[1:20:10] Dus kunnen we nu ook die risicoafweging niet alleen meenemen
[1:20:14] tot er nu gevraagd wordt, maar nadenken van
[1:20:17] wat gaan die aanbieders als stap 2, 3, 4 willen zetten?
[1:20:21] En kan dat dan meegewogen worden in de ja of de nee?
[1:20:24] Het woord is aan de heer Jochem of mevrouw Somsen, mevrouw Somsen.
[1:20:34] Niemand heeft een glaasbol en aan de andere kant denk ik dat de inkopende instanties natuurlijk
[1:20:39] ook vooral zo lang mogelijk van het product en de inkoop willen genieten.
[1:20:45] Dus ik denk dat die afweging en helemaal eens hoor dat we daar tien jaar geleden misschien
[1:20:49] anders in zaten.
[1:20:51] Dus aan de ene kant ja, ik denk dat inkopers heel erg zelf ook in die categorie en er vooruit
[1:20:57] van wat zijn de technologische ontwikkelingen,
[1:20:59] waar wil ik apparatuur voor hebben, op welke manier,
[1:21:02] maar dat er zeker ook rekening mee moet worden gehouden
[1:21:05] dat je af en toe een bepaalde uitbreiding misschien wel zou willen
[1:21:08] vanuit efficiëntieoverweging of anderszins,
[1:21:11] maar dat je toch vanuit die veiligheidsafweging komt
[1:21:14] dat daar een andere oplossing voor moet worden gezocht.
[1:21:17] Of je kunt ook andere beschermende maatregelen weer nemen.
[1:21:20] Dus dat is juist het hele pakket van hoe mitigateer je nou de risico's
[1:21:23] die dan voortkomen uit zo'n volgende stap, wat je zou willen.
[1:21:29] Jochem heeft nog een toevoeging.
[1:21:31] Toch nog een kleine toevoeging.
[1:21:33] Zeker vanuit mijn rol ook als CISO om die risico's in de gaten te houden,
[1:21:37] ben ik wat dat betreft ook wel blij met de manier waarop wij met strategisch leveranciersmanagement omgaan.
[1:21:43] Waarbij gewoon expertise en een langdurige relatie met de belangrijkste leveranciers van de Rijksoverheid is.
[1:21:50] En die dit soort ontwikkelingen ook op de voet volgen en daar ook goed contact mee houden.
[1:21:55] Dus het is, ja, blij dat dat inderdaad zo is ingericht ook.
[1:22:00] Ja.
[1:22:01] En dan nog het woord aan de heer Harteveld.
[1:22:03] Ik wil nog toevoegen dat dit ook weer aangeeft, eigenlijk,
[1:22:07] die vraag van u en het voorbeeld hierin,
[1:22:10] dat het zo ontzettend belangrijk is om de kennis te hebben over de aanvallers.
[1:22:13] Want doordat wij die hebben, als MIVD en IVD,
[1:22:16] kunnen we dat dus delen met de beleidsbepalers en beleidsmakers
[1:22:19] en kan er dus hier beleid op worden aangepast.
[1:22:22] Dus daar begint het ook weer voor een deel mee.
[1:22:23] en daarom is het ook constant met elkaar in gesprek te blijven hierover.
[1:22:29] Wederom, mevrouw Sonsen.
[1:22:31] Ja, het is aanvulling op aanvulling.
[1:22:38] Maar ik probeer me even te verbeelden, hoe werkt dat nou op het moment
[1:22:41] dat wij aan de slag gaan met een aanbesteding
[1:22:45] waarbij we een raamovereenkomst uiteindelijk in de markt gaan zetten
[1:22:51] en tot een gunning gaan komen.
[1:22:55] Het onderwerp wat voortdurend voorbijkomt, is het zo
[1:22:58] dat als de bewustwording aan de voorkant goed is...
[1:23:01] We zorgen ervoor dat we inderdaad bij gunningscriteria
[1:23:06] en aanbestedingsvoorwaarden hebben bedacht wat zou er kunnen gaan gebeuren.
[1:23:11] Je kunt niet alles overzien, maar wat voor gewijzigde omstandigheden
[1:23:14] zouden zich kunnen aandienen.
[1:23:17] Dat je heel goed in staat bent om ervoor te zorgen
[1:23:20] ...dat je dat ook in zo'n aanbesteding en uiteindelijk contractuele bepalingen meeneemt.
[1:23:26] Als het zo is dat er wezenlijke wijzigingen plaatsvinden...
[1:23:28] ...zoals dat dan in het aanbestedingsrecht heet...
[1:23:33] ...dan is het zo dat je ook de mogelijkheid hebt...
[1:23:36] ...als we zeggen, jongens, er zijn nu zulke wezenlijke wijzigingen aan de orde...
[1:23:40] ...we moeten eigenlijk stoppen met dit contract...
[1:23:44] ...en we moeten opnieuw de zaak gaan aanbesteden.
[1:23:47] Dus je hebt die mogelijkheden wel, maar in mijn hoofd begint het allemaal
[1:23:50] met die bewustwording aan de voorkant.
[1:23:53] En ik denk dat voor de usual suspects, als ik het zo mag noemen,
[1:23:58] dat dat echt wel aan de orde is.
[1:23:59] Voor de komende periode, ik gaf net ook even het voorbeeld van een gebouw,
[1:24:03] is dat nog de kunst die we zullen moeten gaan verstaan
[1:24:06] om dat ook uiteindelijk in te bedden en te internaliseren.
[1:24:14] En dan nog een laatste toevoeger van de heer Jochem.
[1:24:17] Nou, ik wil hem iets breder trekken, want dit doen we natuurlijk op het gebied van veiligheid.
[1:24:22] Maar organisaties of producten of dienstleveranciers kunnen ook andere voorwaarden, wat treft privacy,
[1:24:28] en andere ethische waarden gaan doen.
[1:24:30] En daar wordt eigenlijk op dezelfde manier ook naar gekeken.
[1:24:33] En wat betekent dit nu voor ons ook?
[1:24:36] Ik trek hem iets breder, ja.
[1:24:38] Dank voor de beantwoording.
[1:24:39] Ik geluid op de tijd.
[1:24:40] Kijk even naar mevrouw Rijkowski of daarmee de vraag...
[1:24:43] Nee, geen vraag meer.
[1:24:44] De heer Siegsdijkstra.
[1:24:45] Dank, voorzitter. Ik heb eigenlijk nog drie vragen en ik weet niet of dat allemaal binnen de tijd past,
[1:24:50] maar ik ga ze gewoon stellen en anders mogen ze kiezen.
[1:24:53] Mijn eerste vraag ging toch wel om een stukje strategische autonomie. Ik kan me voorstellen
[1:24:57] dat er situaties zijn waarin wel daadwerkelijk na een goede risicoafweging wordt gezegd,
[1:25:03] Chinese apparatuur levert geen aanvullende risico's op ten opzichte van bijvoorbeeld
[1:25:07] Europese of Amerikaanse apparatuur, dus waarbij de veiligheidsrisico's gelijk zijn,
[1:25:11] maar er nog steeds wel een belang is vanuit strategische autonomie om bijvoorbeeld partijen
[1:25:16] te stimuleren als inkoop vanuit de overheid, omdat daarmee ook Europese partijen sterker
[1:25:21] kunnen worden.
[1:25:21] Is dat iets wat nu serieus wordt meegenomen, is mijn eerste vraag.
[1:25:25] De tweede vraag ging om de coathercasus die eerder werd aangenomen.
[1:25:29] Ik ging toen zelf uit persoonlijk interesse maar eens even kijken naar de apparatuur die
[1:25:32] toen gebruikt wordt en ook het aantal kwetsbaarheden wat daarvoor in het verleden ook aanwezig
[1:25:38] was.
[1:25:39] En als ik keek naar de CV6-scores, dan ging het wel om in de orde van tientallen kritieke scores per jaar van zo'n product.
[1:25:46] En ik kan niet vanaf hier zo'n risicoanalyse maken, maar ik kan me wel voorstellen dat naarmate een product vaker veel kritieke kwetsbaarheden zal hebben,
[1:25:55] dat daarmee ook de risicoanalyse ten opzichte van zo'n product ook verandert.
[1:25:59] En ik ben benieuwd, wordt dat ook serieus meegenomen in de afwegingen?
[1:26:03] En mijn laatste vraag is aan mevrouw Schipper en dat ging over de zicht op de systemen.
[1:26:07] Is het nou zo dat naarmate het landschap ook verandert en er een versazing plaatsvindt,
[1:26:12] meer dingen naar de cloud toegaan, dat daarmee ook instanties zelf minder zicht op hun omgeving
[1:26:18] hebben aangezien veel meer dingen worden uitbesteedt, of is daar geen sprake van volgens u?
[1:26:25] Dank voor de vraag, de heer Steekstrand.
[1:26:26] In het begin ik ben mevrouw Schippen voor de laatste vraag, lijkt mij makkelijk te beantwoorden.
[1:26:32] Ja, de praktijk is weliswaar weer barstig.
[1:26:34] Het is belangrijk om in goed contact te staan met je toeleverancier.
[1:26:39] Het is degene, de IT-organisatie die je ondersteunt op het moment
[1:26:43] dat je dat niet allemaal zelf in beheer hebt en daar goede afspraken te maken.
[1:26:48] Wat algemeen antwoord, dat kan ik me zo voorstellen.
[1:26:52] Maar dat is denk ik wel waar de crux zit.
[1:26:54] Op het moment dat je daar zelf niet meer direct over gaat,
[1:26:59] dan gaat het om de afspraken die je maakt met je IT-leverancier.
[1:27:04] Nou, daar kijk ik ook nog weer eventjes naar, naar mijn collega Aad Jochem.
[1:27:09] Voor de aanvulling daarop wellicht nog in hoe we daar dan mee omgaan binnen het Rijk.
[1:27:14] En hoe wij dat weer uitdragen naar Vitaal en andere organisaties.
[1:27:18] Dan dank ik mevrouw Schipper voor de beantwoording.
[1:27:20] Ik kijk naar de heer Jochem en die gaat dan meteen deze vraag nog even verder toelichten.
[1:27:24] Als ook dadelijk, want ik zag hem al bij de eerste vraag naar de knop reiken om een antwoord te geven.
[1:27:29] Dus dan kan ik meteen aanvullend voor de eerste vraag nog.
[1:27:32] Zeker, nou die eerste vraag is misschien het snelste beantwoord.
[1:27:34] want er is na het reces een uitgebreid debat over het onderwerp strategische autonomie
[1:27:39] en daar zou ik eigenlijk naar willen verwijzen.
[1:27:42] Het tweede gaat over hoe het zit met je zicht op je cloudomgevingen,
[1:27:47] want je besteedt inderdaad een hele hoop, met name technisch werk,
[1:27:51] besteed je uit aan een leverancier,
[1:27:54] maar je besteedt niet je verantwoordelijkheid uit naar die leverancier.
[1:27:57] Dus je blijft gewoon nog steeds verantwoordelijk
[1:28:00] voor de veiligheid van je proces, van de veiligheid van je dienst.
[1:28:05] Maar dat doe je bij cloudleveranciers op een andere manier.
[1:28:09] En soms ook moet je ook echt wel onder de motorkap gaan kijken
[1:28:11] om je risicoanalyses goed te doen, dat doen we dan ook.
[1:28:15] Maar er wordt veel meer geleund wel op, nou ja, third-party-onderzoek,
[1:28:20] zeg maar, bij dat soort leveranciers.
[1:28:22] We zien dat ook eigenlijk in de industrie al heel veel gebeuren.
[1:28:26] Dus twee rapportages, dat soort technische termen waar dan in staat.
[1:28:31] En daarbij moet je soms over de technische inrichting vertrouwen op andere...
[1:28:37] Ze worden dan ook wat trusted parties genoemd, dat dat goed beoordeeld wordt.
[1:28:40] Maar er blijft veel scherpte in blijven
[1:28:43] en ook het gesprek blijven voeren met die leveranciers.
[1:28:49] En dan kijk ik naar links of daarmee de vragen beantwoord zijn.
[1:28:55] Daar heeft de heer Jochem net een antwoord op gegeven, dacht ik.
[1:29:03] Maar ik denk meer eens naar de algemeenheid.
[1:29:06] Er komen dan meldingen dat bepaalde edge devices of andere kwetsbaar zijn.
[1:29:11] Ja, dan zou het dus in de plan, do, check, act cyclus moeten zitten om dan te kijken...
[1:29:16] moet ik het dan patchen en moet ik daar dan verder mee aan de gang?
[1:29:19] En naarmate het er meer worden, zou ik hopen, maar dat ze dan natuurlijk vanuit de enste wegen zien...
[1:29:24] ...er dan gekeken wordt van ja, hoe veilig is dit nog?
[1:29:28] Dus het zit wel, en ik denk naarmate er dus meer en meer aandacht voor is...
[1:29:33] ...ook echt met die twee nieuwe wetten die eraan zitten te komen...
[1:29:37] ...waar dus ook echt bestuurlijke aansprakelijkheid aan vasthangt...
[1:29:39] ...als je je risicomanagement niet op orde hebt...
[1:29:41] ...en als je heel lang bijvoorbeeld heel kwetsbare producten niet zou patchen...
[1:29:45] ...en daar geen beleid op hebt, dat hoort daar wel bij.
[1:29:48] En datzelfde geldt voor de toeleveranciersketen...
[1:29:51] ...dus over de beheersmaatregelen daar.
[1:29:53] Dus de heer Weimar had het over dat besef bij opdrachtgevers.
[1:29:56] Ik denk dat de NIS en de SER ook nog extra gaan bijdragen
[1:29:59] aan dat besef bij die opdrachtgevers.
[1:30:01] Dat het dus heel belangrijk is dat je goed in de cybersecurity
[1:30:05] van de aanschafproducten en ook hoe ze cybersecurity blijven.
[1:30:10] Dus dat meer in algemene termen, niet zozeer over de individuele casus.
[1:30:18] Hartelijk dank voor de beantwoording.
[1:30:19] Ik kijk nog heel even naar rechts, maar we hebben nog tijd voor een uitsmeting.
[1:30:22] Want dan zie ik de heer Hartveld nog even voorover.
[1:30:24] Ik wil er nog toevoegen dat, zeker in de Coathanger-casus dat we daar gezien hebben,
[1:30:28] dat is natuurlijk geen Chinese apparatuur.
[1:30:31] Dus ook hier geldt dus hoe belangrijk het is.
[1:30:34] Maar ken je wel je aanvallers?
[1:30:36] Dus weet wat voor manieren daar gebruik wordt gemaakt van apparatuur die niet van landen afkomstig is,
[1:30:42] die een cyberprogramma tegen een ernstig belang hebben.
[1:30:45] Dus dat weer delen met elkaar en daar dan weer beleid op aanpassen en maatregelen.
[1:30:51] En dan zie ik aan mijn rechterzijde de heer Lennerts en de heer Nachtegaal.
[1:30:58] De heer Lennerts eerst?
[1:31:00] De heer Nachtegaal mag eerst.
[1:31:02] Dank u.
[1:31:03] Ja, nog aanvullend daarop ook.
[1:31:05] We hebben zicht op systemen.
[1:31:06] Is er minder zicht op systemen?
[1:31:09] Die vraag.
[1:31:10] Het is moeilijk om zicht te hebben op alle systemen, maar misschien met het voorbeeld
[1:31:13] ook van de telecom die we net hadden.
[1:31:15] We hebben enerzijds een besluit genomen in die ANWB om te zeggen
[1:31:20] we willen bepaalde dingen niet meer zien en dan ga je misschien categorisch uitsluiten.
[1:31:25] Maar er zit ook nog een regeling achter, een ministeriële regeling.
[1:31:28] En die gaat naar juist veel dieper op de weerbaarheidseisen die we eigenlijk stellen
[1:31:32] dan ook aan diezelfde partijen die eigenlijk geen netwerk van een bepaalde leverancier meer mogen hebben.
[1:31:37] Maar dat wil niet zeggen dat ze niet actief moeten zijn op de weerbaarheid
[1:31:40] omdat die nationale veiligheidsdraging nog steeds heel erg actief is op die aanbieders.
[1:31:43] En daarom is er in die regeling bijvoorbeeld heel erg diep ingestoken op bepaalde regels.
[1:31:48] En daar staan ook dingen in als een actuele inventaris van je hardware en je software
[1:31:52] bijhouden, zodat je er ook goed zicht blijft houden op de risico's die je loopt en dat
[1:31:55] niet uit het oog verliest.
[1:31:59] En dan laatste woord aan de heer Lennart.
[1:32:01] Ja, ik wou niks inhoudelijks zeggen, maar ik ben begonnen met de complimenten voor dat
[1:32:05] jullie de brede gezelschap hebben uitgenodigd.
[1:32:08] En ook met complimenten voor de wijze waarop jullie ons bevraagd hebben met diepgang.
[1:32:12] En ja, jullie hebben ook echt alert geluisterd en de scherpe waargestelden.
[1:32:16] Dus bedankt daarvoor en bevestig ons ook wel dat wij deze wijze van samenwerken,
[1:32:20] dat het goed werkt, want het voelt ook als een ingespeeld team zo.
[1:32:24] Dus dank voor de gelegenheid.
[1:32:27] Dank voor het mooie slotwoord, meneer Lannerts.
[1:32:29] U neemt me de woorden uit de mond. Ik vond het een uiterst constructieve bijeenkomst.
[1:32:32] Hartelijk dank alle voor uw bijdrage.
[1:32:35] De kijkers thuis, de mensen op de tribune en dan sluit ik deze bijeenkomst.