Verslag vergadering Commissie voor Algemeen Beleid, Financiën, Begroting en Justitie
Verslag
– Wegens de coronamaatregelen werd deze vraag om uitleg via videoconferentie behandeld.
De heer De Roo heeft het woord.
Minister-president, op 15 oktober heeft de Vlaamse Regering de strategie goedgekeurd om de digitale overheid weerbaarder te maken tegen dreigingen en aanvallen. In de afgelopen periode zijn de cyberaanvallen en -dreigingen toegenomen, onder meer door een verschuiving naar cybercriminaliteit ten aanzien van digitale gegevens en digitale infrastructuur van personen, bedrijven en overheden. Vlaanderen beschikt over gevoelige digitale informatie van burgers, bedrijven en organisaties en moet die te allen tijde beschermen. De regering maakt 5 miljoen euro vrij voor het aanscherpen van de beveiligingstechnologie, voor het versterken van de veiligheidscultuur en voor het uitbouwen van een goed crisismanagement. Het Stuurorgaan Vlaams Informatie- en ICT-Beleid is de eindverantwoordelijke voor het beleid inzake informatieveiligheid. Daarin krijgt het ondersteuning van een werkgroep met experts inzake informatieveiligheid en van de centrale diensten van Digitaal Vlaanderen.
Minister-president, ik heb een aantal vragen over die goedkeuring en die budgettoezegging. Kunt u het traject kaderen waarin deze middelen in de digitale weerbaarheid worden geïnvesteerd? Hoe worden die verdeeld over de doelstellingen? Wanneer wenst u welke mijlpalen te bereiken voor de veiligheidsstrategie? Wat is de rol van het stuurorgaan daarin? Op welke manier zult u de samenwerking tussen de diverse administraties verbeteren en de uitbouw van een algemene veiligheidscultuur faciliteren? Op welke manier zult u monitoren dat de gevoelige informatie van onze Vlaamse burgers, bedrijven en organisaties beschermd blijft?
Minister-president Jambon heeft het woord.
Mijnheer De Roo, ik geef een uitgebreid antwoord op deze belangrijke vraag. De middelen voor digitale weerbaarheid worden geïnvesteerd in drie domeinen: de aanpak van de informatieveiligheid; het verhogen van de digitale competenties; weerbare digitale processen en een robuuste infrastructuur. Ik zal daar wat meer details over geven.
Wat de aanpak van de informatieveiligheid betreft, versterken we het leiderschap op het vlak van informatieveiligheid, met inbegrip van de bescherming van de persoonsgegevens, door een duidelijk kader en een duidelijke governance en verantwoordelijkheden vast te leggen om naar een door de hele Vlaamse overheid gedragen aanpak voor informatieveiligheid te evolueren. Op basis van een periodieke rapportering van hoge kwaliteit moet het voor beslissingsnemers en beleidsvoerders mogelijk zijn om de juiste investeringsbeslissingen te nemen. Met deze prioriteit willen we een Vlaamseoverheidbreed overzicht en focus op informatieveiligheid leggen, met een duidelijk beleidskader binnen de Vlaamse overheid inzake het beheersen van risico’s op het vlak van informatieveiligheid, met inbegrip van de bescherming van de persoonsgegevens, en met betere en geïnformeerde beslissingen zowel wat de hele Vlaamse overheid als de entiteiten ervan betreft, door een duidelijk begrip van de risicoblootstelling van de Vlaamse overheid op het vlak van informatieveiligheid en de veiligheid van de persoonsgegevens.
Dan is er het verhogen van de digitale competenties. Een gebrek aan kennis en expertise met betrekking tot informatieveiligheid leidt tot een situatie waarin we niet in staat zijn om in te schatten wat de risico’s van onze informatieverwerking zijn en ons niet adequaat kunnen beschermen. Op die manier is het onmogelijk om onze beoogde doelstellingen te halen. Met deze prioriteit willen we de volgende resultaten bereiken: een versterkte slagkracht met betrekking tot het garanderen van informatieveiligheid door een sterke coördinatie onder toezicht van het stuurorgaan; een breed draagvlak creëren door de participatie van diverse stakeholders, zoals een werkgroep, de private sector, onderzoek; capaciteiten verhogen door een beroep te doen op strategische partners gespecialiseerd in cybersecurity; minder blootstelling aan risico’s met betrekking tot informatieveiligheid door het opleiden en bewustmaken van de werknemers van de Vlaamse overheid; interne competentie- en kennisopbouw verhogen door een pool aan specialisten met brede inzetbaarheid.
Dan is er het element van de weerbare digitale processen en een robuuste infrastructuur. Deze prioriteit heeft als doelstelling om het veiligheidsniveau van de informatieverwerking op operationeel niveau te verhogen door in de juiste organisatie en veiligheidsbouwstenen te voorzien. Elke entiteit staat binnen de eigen organisatie in voor het correct implementeren van maatregelen en controles zoals gedefinieerd in het informatieclassificatieraamwerk van de Vlaamse overheid. Het is echter logischer en efficiënter om een aantal diensten op een Vlaamseoverheidsbreed basisaanbod te baseren. Die omvatten onder meer het overkoepelend monitoren en opvolgen van informatieveiligheidsincidenten – dat is eerder operationeel – en het optimaal inrichten van veiligheidsgerelateerde dienstverlening, wat eerder organisatorisch en technologisch is.
Deze aanpak combineert proactieve en reactieve maatregelen om een zo volledig mogelijke omgeving te verkrijgen. Met deze prioriteit willen we een aantal resultaten bereiken: het verhogen van de maturiteit van onze veiligheidsorganisatie door ondersteuning met betrekking tot veiligheidsdienstverlening en tools, de geïntegreerde dienstverlening met betrekking tot het beheersen van risico’s van onze gemeenschappelijke ICT-systemen, het verhogen van het operationele veiligheidsniveau door Vlaamseoverheidbrede veiligheidsbouwstenen verder uit te bouwen, de tijdige detectie van informatieveiligheidsincidenten en versterkte slagkracht met betrekking tot ernstige informatieveiligheidsincidenten.
Om deze resultaten te bereiken werd na de goedkeuring van de veiligheidsstrategie op 15 oktober 2021 door de Vlaamse Regering een bijbehorend veiligheidsprogramma opgestart. De verdeling van de voorziene middelen over de verschillende domeinen zal pas in de verdere opzet van dit programma gedetailleerd worden. Er werd een programmamanager aangeduid, die is gestart met het opzetten van de communicatiekanalen en de programmastructuur naast de opsplitsing in concrete projecten. Een eerste rapporteringsmoment aan het Stuurorgaan Vlaams Informatie- en ICT-beleid is voorzien voor 2 december, volgende week dus.
De veiligheidsstrategie goedgekeurd door de Vlaamse Regering wordt operationeel gemaakt door middel van een strategisch plan met bijhorend veiligheidsprogramma. Dit strategisch plan 2020-2024 focust op een aantal prioriteiten: een integrale aanpak van de informatieveiligheid door middel van een duidelijk beleidskader binnen de Vlaamse overheid en een verhoogde digitale slagkracht. Dat kan door een verhoging van de digitale competenties van de werknemers door middel van opleiding, bewustmaking, strategische partners, competentie en kennisopbouw, en door weerbare processen, geautomatiseerd in robuuste applicaties en infrastructuur, door middel van een adequaat dienstverleningsmodel met de juiste veiligheidsbouwstenen.
Het is niet mogelijk en zelfs niet zinvol om alle beschikbare technologische en/of organisatorische veiligheidsmaatregelen toe te passen op alle digitale toepassingen. Daartoe hebben we het informatieclassificatieraamwerk ontwikkeld. Dit raamwerk zorgt ervoor dat informatie naar juiste waarde wordt geschat en navenant wordt beveiligd. Het vormt aldus de basis voor het informatieveiligheidsbeleid en de daaraan gekoppelde veiligheidsmaatregelen voor de Vlaamse administratie en is een belangrijke pijler van onze strategie informatieveiligheid.
Een belangrijke rol is weggelegd voor het Stuurorgaan Vlaams Informatie- en ICT-beleid als verantwoordelijke voor de validatie van het informatieveiligheidsbeleid van de Vlaamse administratie en voor de overkoepelende aansturing en coördinatie van de implementatie van dit beleid. Het stuurorgaan wordt hierin ondersteund door de speciaal daartoe opgerichte Werkgroep Informatieveiligheid.
We voeren het ‘lines of defence’-model in. Dit lijnenmodel is een governancemodel om aan optimaal risicobeheer te kunnen doen. De eerste lijn is elke entiteit van de Vlaamse overheid. Een entiteit beslist autonoom hoe zij haar eigen omgeving beveiligt, binnen de grenzen van haar onafhankelijkheid en bevoegdheden. De tweede lijn is het Digital Security Office van het agentschap Digitaal Vlaanderen. Dit office bewaakt voor de gehele Vlaamse administratie de kwaliteit van het beheer van de informatieveiligheid. De derde lijn is een onafhankelijke partij die verifieert welke controles en maatregelen werken en of de geïdentificeerde risico’s reëel en volledig zijn. Hierbij gaat het om een entiteit zoals Audit Vlaanderen of een externe auditeur.
Onze strategie informatieveiligheid voorziet in de nodige technologie en in de nodige governance om een veilige en vlotte digitale transformatie mogelijk te maken. Maar om na te gaan of de strategie werkt, moet er gemeten worden. Dit doen we door een periodieke kwaliteitsvolle rapportering over informatieveiligheid aan beslissingsnemers en beleidsvoerders, door het inrichten van selfassessments en een conformiteitstoetsing.
Daarnaast voeren we het ‘lines of defence’-governancemodel in, zoals ik al heb gezegd in het antwoord op de vorige vraag. Het monitoringaspect zit hierbij in de derde lijn: er wordt een beroep gedaan op een onafhankelijke partij, die verifieert welke controles/maatregelen werken en of de geïdentificeerde risico’s reëel en volledig zijn. Hierbij gaat het om een entiteit zoals Audit Vlaanderen of een externe auditeur.
De heer De Roo heeft het woord.
Dank u, minister-president, voor uw antwoord. Het was een uitgebreid antwoord, en dat is ook goed, want het toont aan dat u en de hele Vlaamse Regering de digitale veiligheid en digitale weerbaarheid bijzonder belangrijk vinden en daar ook de nodige middelen voor voorzien. Ik heb in uw antwoord een op-maataanpak gehoord, ik heb in uw antwoord een gelaagd systeem gehoord, ik heb in uw antwoord ook competentieopbouw gehoord, zowel intern als extern, naast een aantal zeer technische zaken. Ik zal het verslag van uw antwoord nog eens heel rustig opnieuw lezen. Ik heb geen bijkomende vragen.
Ik denk dat het belangrijk is om te herhalen dat er tot op vandaag geen grote incidenten zijn geweest bij de Vlaamse overheid – hout vasthouden – en ik hoop dat we dat zo kunnen houden. Als overheid hebben we de taak om informatie goed te beschermen en moeten we er alles aan doen om de burgers en hun informatie zo goed mogelijk te beschermen via investeringen. Die investeringen zijn nu gebeurd, en we zullen dat de komende periode opvolgen.
De vraag om uitleg is afgehandeld.