De Rijksoverheid is kwetsbaar voor acute en langdurige uitval van ICT-dienstverlening. Dat blijkt uit het rapport ‘Van kwetsbaar naar weerbaar’. Minister Rijkaart (BZK) stuurt de Tweede Kamer een reactie op het rapport.
De centrale boodschap van het rapport luidt dat de overheid haar digitale weerbaarheid moet vergroten, door investeringen en beleidsmatige aandacht, zodat burgers altijd kunnen rekenen op een betrouwbare digitale overheid. Digitale weerbaarheid is volgens het rapport een noodzaak, vooral vanwege risico’s die ontstaan door afhankelijkheid van ICT-leveranciers, geopolitieke ontwikkelingen, en cyberdreigingen. De minister onderschrijft dat het essentieel is om substantiële budgetten vrij te maken voor overheidsbrede faciliteiten en infrastructuur die deze weerbaarheid kunnen ondersteunen.
Het rapport kijkt naar de lessen die zijn geleerd uit een recente bijna-crisis in 2024. In die periode dreigden financiële problemen bij een internationale ICT-leverancier de continuïteit van belangrijke overheidsprocessen te verstoren. Hierdoor werd duidelijk dat de afhankelijkheid van cruciale dienstverlening, van bijvoorbeeld zorg- en financiële dienstverlening tot rechtspraak en infrastructuur, een groot risico vormt als er niet snel en adequaat wordt gehandeld.
Huidige beleid biedt onvoldoende bescherming
Uit het rapport blijkt dat het huidige beleid rond ICT-inhuur en bijbehorende afwegingskaders en hun toepassing onvoldoende bescherming bieden tegen risico’s die de continuïteit en spreiding van IT-leveranciers bedreigen. Tevens ontbreekt het aan duidelijkheid over welke diensten nu als ‘kritiek’, ‘cruciaal’ of ‘vitaal’ aangemerkt moeten worden, zodat beleid en uitvoering niet op een uniforme manier worden ingericht. Centrale kennis en expertise over acute ICT-continuïteitsproblemen zijn volgens de analyse niet voldoende beschikbaar, terwijl ook kennisdeling, zowel nationaal als internationaal, beperkt is. Onafhankelijke toetsing op risicobeheersing rondom uitbestede ICT-diensten ontbreekt veelal bij de overheid. Daarbij komt dat het monitoren van ICT-leveranciers en contracten met leveranciers niet overal centraal, structureel en integraal plaatsvindt. Het gevolg is dat men bij niet-acute crises vaak niet snel en effectief kan anticiperen, mede doordat gezamenlijke voorzieningen ontbreken.
Op het niveau van afzonderlijke organisaties is ICT-dienstverlening volledig verweven geraakt met de kerntaken van de overheid, vooral als deze dienstverlening is uitbesteed. Toch zijn veel processen onvoldoende bestand tegen langdurige ICT-uitval. In veel organisaties ontbreekt het aan essentiële kennis, capaciteit en contractuele alternatieven om tijdens een crisis of bij uitval van diensten accuraat te kunnen handelen. Men merkt dat het verantwoordelijkheidsgevoel, bewustzijn en risicomanagement rond ICT bij leidinggevenden en managers nog ontoereikend is. Ook beoordeelt men vooral operationele risico’s, terwijl op strategisch niveau risico-inschatting van ICT-leveranciers en dienstverlening vaak achterblijft.
Center of Excellence
Minister Rijkaart kondigt onder andere de oprichting aan van een Center of Excellence om kennis te bundelen en organisaties te ondersteunen, evenals centrale monitoring op leveranciers om ICT-marktrisico’s sneller te kunnen signaleren. Verder wordt gewerkt aan toetsing vooraf bij risicovolle uitbestedingen, het formuleren van een samenhangende IT-sourcingstrategie, het ontwikkelen van terugvalopties en crisisfaciliteiten en het versterken van toetsing, risicomanagement en continuïteitsbesef tot op managementniveau.
Geef een reactie