Het adviescollege waarschuwt in zijn jaarverslag over 2025 dat cruciale basisvoorwaarden nog te vaak ontbreken, terwijl de afhankelijkheid van digitale systemen verder groeit. Het Adviescollege ICT-toetsing (AcICT) is een onafhankelijk adviesorgaan van de Nederlandse overheid dat grote en risicovolle ICT-projecten en informatiesystemen van de Rijksoverheid onderzoekt.
AcICT: sturing op digitale veiligheid schiet tekort
De Rijksoverheid moet veel steviger sturen op digitale veiligheid, structureel investeren in verouderde ICT-systemen en het opdrachtgeverschap van grote IT-projecten professionaliseren, stelt het Adviescollege ICT-toetsing.
Strategisch niveau
Volgens het adviescollege krijgt digitale veiligheid in de praktijk nog te vaak onvoldoende prioriteit op het hoogste bestuurlijke niveau. Beveiligingsincidenten nemen toe, terwijl de basisbeveiliging bij veel organisaties niet op orde is. Beveiligingsrisico’s worden onderschat en inhoudelijke kennis is niet altijd aanwezig. Het AcICT adviseert daarom om vanuit bestuurskamers strategisch te sturen op digitale veiligheid: ‘Digitale veiligheid binnen overheidsorganisaties is geen technisch vraagstuk. Het vraagt strategische aandacht op het hoogste bestuurlijke niveau.’ Zo worstelen gemeenten met de regievoering over cybersecurity, bleek december vorig jaar. Gemeenten komen in de problemen door versnipperde eisen, beperkte capaciteit en afhankelijkheden in de leveranciersketen.
‘Digitale veiligheid binnen overheidsorganisaties is geen technisch vraagstuk’
Voor staatssecretaris Aerdts (Digitale Economie en Soevereiniteit) voelt het advies als een ‘steun in de rug’, schrijft zij aan de Tweede Kamer: ‘Ik onderschrijf de zienswijze van het AcICT dat digitale veiligheid veel meer dan een technisch vraagstuk is en zie het advies van het AcICT als steun in de rug bij de (bestuurlijke) initiatieven die inmiddels zijn gestart.’ In het overleg van secretarissen-generaal van de diverse ministeries is afgesproken dat digitale veiligheid structureel op de agenda blijft en sterker wordt aangestuurd vanuit de top van de overheid, aldus Aerdts. Tegelijkertijd wordt de verantwoordelijkheid daarvoor expliciet bij bestuurders gelegd via nieuwe wetgeving en beleid, ondersteund door onder meer de Nederlandse Digitaliseringsstrategie (NDS).
Aerdts: ‘Ik zie het advies als een steun in de rug’
ICT-systemen
Het adviescollege concludeert verder dat de Rijksoverheid nog altijd te weinig investeert in beheer en onderhoud van ICT-systemen. Structurele verbeteringen blijven achterwege, terwijl deze systemen essentieel zijn voor het functioneren van de overheid. Volgens het college wordt beheer en onderhoud vaak pas serieus genomen nadat systemen al in gebruik zijn. Ook ontbreekt het regelmatig aan voldoende budget voor onderhoud van bestaande systemen. Daardoor blijven noodzakelijke updates, preventief onderhoud en technische vernieuwing achter.
Het AcICT adviseert daarom om gedurende de volledige levensduur van systemen structureel te investeren in onderhoud, tijdig updates door te voeren en al bij de start van projecten geld te reserveren voor ‘toekomstvast onderhoud’. Ook hierin kan Aerdts zich vinden. ‘Bij het oordeel van de departementale CIO over grote ICT-activiteiten onderzoekt de CIO of is voorzien in financiering van de beheer- en onderhoudsfase. Uit de evaluatie van vorig jaar bleek dat de afspraken hierover, en daarmee ook de CIO-oordelen, te vrijblijvend zijn. Eind vorig jaar is daarom aangekondigd dat de eisen aan grote ICT-activiteiten worden aangescherpt en dat we strenger gaan toezien op de naleving daarvan.’ Een CIO is een Chief Information Officer, in deze context de hoogste ICT-verantwoordelijke binnen een ministerie.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.