De Nederlandse overheid is onvoldoende voorbereid op langdurige uitval van ICT-diensten. Dat blijkt uit het ABDTOPConsult-rapport Van kwetsbaar naar weerbaar, dat vrijdag samen met een Kamerbrief van minister van Binnenlandse Zaken Frank Rijkaart naar de Tweede Kamer is gestuurd. De risico’s blijken groot: verstoringen bij één grote leverancier kunnen leiden tot ontwrichting van essentiële overheidsprocessen, zoals zorg, rechtspraak en inkomensvoorzieningen.
Uit het rapport wordt onder meer duidelijk dat primaire processen binnen de overheid niet bestand zijn tegen abrupte en langdurige uitval van (uitbestede) ICT-diensten. Bij individuele overheidsorganisaties ontbreekt kennis en ICT-uitbestedingen worden op een te laag niveau in de organisaties uitgevoerd. ‘De verantwoordelijkheid, kennis en awareness over ICT, beheer en risico’s in de gedigitaliseerde overheidsorganisaties zijn nog onvoldoende op alle managementniveaus’, schrijft Rijkaart in zijn brief over het rapport aan de Tweede Kamer.
Ook hebben overheidsorganisaties te weinig (contractuele) terugvalopties ingericht om een crisissituatie en/of acute uitval van hun ICT-diensten op te vangen. Volgens de onderzoekers is kennis over risico’s is versnipperd en de regie ontbreekt. Geopolitieke spanningen, afhankelijkheid van enkele grote leveranciers en cyberdreigingen vergroten de kwetsbaarheid.
Omvallende leverancier zette overheid aan het denken
In de Kamerbrief schrijft Rijkaart dat de financiële problemen van een grote internationale ICT-leverancier in 2024 tot een landelijke crisissituatie hadden kunnen uitgroeien. Het risico betrof verstoring van overheidsdienstverlening op meerdere terreinen, van financiële en zorggerelateerde processen tot rechtspraak, het Openbaar Ministerie en politietaken. Deze casus werd in een ander traject beheerst, maar de lessen zijn volgens de minister breder toepasbaar. (De casus waar Rijkaart op doelt lijkt te gaan om Atos, red.)
‘De les is helder: we moeten niet alleen vertrouwen op technologie, maar ook voorbereid zijn als technologie faalt. Dit rapport laat zien dat we nú in actie moeten komen. Als we echt stappen wil maken, is er een substantiële financiële bijdrage nodig’, stelt staatssecretaris van Binnenlandse Zaken Eddie Van Marum in een reactie aan iBestuur. Er is volgens hem geld nodig voor onder meer de aanschaf van rijksfaciliteiten, die de overheid minder kwetsbaar maken voor ICT-risico’s met betrekking tot leveranciers en geopolitieke ontwikkelingen. ‘Dit vraagt om een gezamenlijke investering, zowel publiek als privaat. Burgers en bedrijven moeten kunnen rekenen op een betrouwbare digitale dienstverlening van de overheid.’
Meer budget nodig
De kernboodschap uit het rapport is volgens de Kamerbrief dat burgers moeten kunnen rekenen op een betrouwbare overheid. Het is volgens de onderzoekers de verantwoordelijkheid van politiek, bewindspersonen en de ambtelijke top om overheden weerbaar te maken tegen langdurige uitval van ICT-diensten. Daarvoor is een politieke afweging nodig en moet substantieel budget beschikbaar komen om rijksfaciliteiten te bouwen die de overheid minder kwetsbaar maken.
Het kabinet zegt de aanbevelingen uit het rapport ‘daadkrachtig’ te willen opvolgen. Minister Rijkaart kondigt onder meer aan dat er een nieuw Center of Excellence komt om kennis en kunde te bundelen en overheidsorganisaties te ondersteunen. Ook wordt centrale monitoring ingericht om leveranciers en marktontwikkelingen beter te volgen, zodat sneller kan worden ingegrepen bij dreigende uitval. Verder wordt gewerkt aan een nieuwe IT-sourcingstrategie, voorafgaande toetsing van risicovolle uitbestedingen en de ontwikkeling van gezamenlijke terugvalfaciliteiten voor noodsituaties.
De Tweede Kamer debatteert binnenkort over de uitkomsten van het rapport en de vervolgaanpak.
