Vragen van het lid Yesilgöz-Zegerius (VVD) aan de Minister van Justitie en Veiligheid over het bericht «Justitie deelt kritieke informatie over hacks niet met bedrijven» (ingezonden 8 maart 2021).
Vraag 1
Bent u bekend met het bericht «Justitie deelt kritieke informatie over hacks niet met bedrijven»?1
Vraag 2
Bent u bekend met de betreffende brief van de Cyber Security Raad? Zo ja, hoe beoordeelt u de zorgwekkende analyse van de Cyber Security Raad? Kunt u dit toelichten?
Vraag 3
Klopt het dat nog veel dreigingsinformatie blijft hangen bij het National Cyber Security Centrum (NCSC) omdat de wettelijke basis voor het delen van deze informatie met betrokkenen nog niet op orde is? Zo ja, in hoeveel gevallen zijn bedrijven slachtoffer geworden van cyberaanvallen, terwijl het NCSC wel over relevante cruciale informatie beschikte en deze vervolgens niet kon delen?
Vraag 4
Wordt er bij het NCSC actief gezocht naar alternatieven om toch cruciale dreigingsinformatie te kunnen delen met betrokkenen? Zo ja, op welke alternatieven wordt ingezet en op welke schaal? Zo nee, waarom niet en wat is de huidige status van het landelijk dekkend stelsel? Welke niet-vitale sectoren kunnen nog steeds geen dreigingsinformatie ontvangen?
Vraag 5
Heeft het Digital Trust Center (DTC) inmiddels een OKTT-status (objectief kenbaar tot taak) mogen ontvangen zodat zij niet-vitale bedrijven kunnen voorzien van dreigingsinformatie? Zo nee, wat is de status, waarom is dit nog steeds niet gebeurd en wat zorgt voor de vertraging? Bent u het met de mening eens dat er snelheid gebaat is bij het toekennen van de OKTT-status aan het DTC, gezien de enorme veiligheidsrisico’s die bedrijven nu lopen?
Vraag 6
Gelet op deze veiligheidsrisico’s voor duizenden ondernemers, wat is er op korte termijn (wettelijk) nodig om niet-vitale bedrijven toch te kunnen voorzien van dreigingsinformatie?
Vraag 7
Hoe staat het met de samenwerking tussen het NCSC en samenwerkingsverbanden met een OKTT-status zoals de Nationale Beheersorganisatie Internetproviders? In hoeveel gevallen heeft het NCSC al dreigingsinformatie gedeeld met bedrijven die onderdeel uitmaken van het Nationale Beheersorganisatie Internetproviders?
Vraag 8
Het bovenstaande overwegende, hoe beoordeelt u het huidige vermogen van de Nederlandse overheid om actief dreigingsinformatie te delen met Nederlandse bedrijven? Bent u het met de mening eens dat Nederland achterloopt op dit vlak wanneer wij kijken naar landen om ons heen zoals het Verenigd Koninkrijk?
Vraag 9
Bent u het ook met de mening eens dat dit onacceptabel is gezien de serieuze veiligheidsrisico’s voor onze hoogontwikkelde kenniseconomie? Zo ja, bent u bereid om in gesprek te gaan met uw collega’s uit het Verenigd Koninkrijk? Zo ja, kunt u de Kamer op de hoogte houden van deze gesprekken?
Vraag 10
Bent u bereid om op de korte termijn, gezien de actuele en reële dreiging van cyberaanvallen, maatregelen te nemen die het delen van dreigingsinformatie tussen overheid en niet-vitale bedrijven mogelijk maakt? Zo nee, waarom niet? Zo ja, kunt u de Kamer zo spoedig mogelijk informeren over de te nemen stappen en het bijbehorende tijdspad? Zo nee, waarom niet?
X Noot
1Het Financieele Dagblad, 24 februari 2021, «Justitie deelt kritieke informatie over hacks niet met bedrijven», https://fd.nl/economie-politiek/1375016/justitie-geeft-kritieke-informatie-over-cyberhacks-niet-door-aan-kwetsbare-bedrijven-kxb1caBDYOtP
