Beveiligingseisen Per 1 januari scherpt het kabinet de veiligheidsregels aan voor bedrijven die voor de overheid werken met gevoelige systemen of informatie, om risico’s op spionage, datadiefstal en sabotage te verkleinen. Het moet één set regels opleveren voor alle ministeries en uiteindelijk ook voor lagere overheden.
De Justitiële ICT Organisatie, de ICT-dienstverlener voor het gehele ministerie van Justitie en Veiligheid.
Vanaf 1 januari gelden nieuwe veiligheidseisen voor bedrijven die werken met gevoelige apparatuur of informatie van de overheid. Dat schrijven de minister van Binnenlandse Zaken Frank Rijkaart (BBB) en minister van Defensie Ruben Brekelmans (VVD) aan de Tweede Kamer. Deze Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO) gaan vooralsnog gelden voor alle ministeries en de politie, maar de bedoeling is dat op termijn ook lagere overheden – zoals gemeenten, provincies en waterschappen – onder het nieuwe regime vallen.
De nieuwe eisen gelden als reactie op de groeiende dreiging van cyberaanvallen, spionage en sabotage – vooral van Rusland en China. Zo werden dit voorjaar verschillende websites van provincies en andere overheidsorganisaties platgelegd door DDOS-aanvallen. Vorig jaar werden de IT-systemen van de politie gehackt door een Russische cybergroep. Daarbij werd onder meer een grote hoeveelheid persoonsgegevens buitgemaakt.
De Militaire Inlichtingen en Veiligheidsdienst (MIVD) meldde in een laatste jaarverslag dat Russische hackers vorig jaar voor het eerst een sabotagepoging hadden gedaan door in te breken in het besturingssysteem van een (niet nader genoemde) nutsvoorziening. Andere Europese landen hebben al te maken gehad met daadwerkelijke sabotage: deze maand raakte het Poolse spoor beschadigd na explosies.
Verschillende overheden hanteren eigen veiligheidseisen. De ABRO gaan bewerkstelligen dat straks één regime geldt voor de hele overheid. De eisen worden gemodelleerd naar de regels die het ministerie van Defensie al een aantal jaren hanteert om de ‘kroonjuwelen’ te beschermen, zoals wapensystemen of staatsgeheime informatie. Daarbij draait het bijvoorbeeld om de screening van personeel of over de fysieke beveiliging van werkruimtes met camera’s.
De ABRO-regels werden aangepast aan de laatste ontwikkelingen, zoals werken met de cloud of AI. Daarbij wordt niet alleen gekeken naar het bedrijf dat een opdracht krijgt, maar ook naar alle onderaannemers. Toezicht wordt uitgevoerd door een nieuw Nationaal Bureau Industrieveiligheid (NBIV), waarin de inlichtingendiensten AIVD en MIVD gaan samenwerken. Het gaat niet alleen om de verlening van een contract, maar ook om de uitvoering van een opdracht.
De overheid koopt ieder jaar voor zo’n 15 miljard euro aan producten en diensten in – de uitgaven van het ministerie van Defensie niet meegerekend. In een kleine 10 procent van de opdrachten gaat het om de omgang met gevoelige apparatuur of informatie. Zo’n tweeduizend bedrijven worden al door de overheid gecontroleerd.
Een woordvoerder van het ministerie van Binnenlandse Zaken verwacht dat de ABRO het werk voor bedrijven zal vergemakkelijken. „Nu moeten bedrijven zich verdiepen in allerlei verschillende soorten regels, straks geldt voor álle opdrachtgevers één regime.”
De nieuwe regels zullen komende twee jaar worden ingevoerd bij de ministeries en de politie. Daarna wil Binnenlandse Zaken „in gesprek” met lagere overheden en agentschappen.
NIEUW: Geef dit artikel cadeauAls NRC-abonnee kun je elke maand 10 artikelen cadeau geven aan iemand zonder NRC-abonnement. De ontvanger kan het artikel direct lezen, zonder betaalmuur.
Source: NRC