Verslag vergadering Commissie voor Algemeen Beleid, Financiën, Begroting en Justitie
Verslag
Collega’s, gezien onze volle agenda wil ik u herinneren aan de spelregels met betrekking tot het stellen van vragen om uitleg. Ik zal de spreektijden niet allemaal vermelden, maar ik vraag u toch enige discipline aan de dag te leggen en u enigszins te houden aan de timing, indien dat mogelijk is.
De heer Vandenhove heeft het woord.
Voorzitter, collega’s, minister-president, deze vraag dateert al van even geleden. Door omstandigheden kan ze nu pas worden gesteld. De laatste keer was dit door mijn eigen schuld, omdat ik er niet kon zijn. Mijn excuses daarvoor. De vraag is echter nog altijd zeer actueel, want diverse lokale besturen werden onlangs gehackt. Dit wijst nog maar eens op het belang van cyberveiligheid. Digitaal Vlaanderen, waarvoor u verantwoordelijk bent, heeft als opdracht de Vlaamse en lokale besturen bij het digitaliseren van hun dienstverlening te ondersteunen. Het agentschap heeft meer bepaald als missie “de digitale transformatie voor de overheid van morgen”. Cyberveiligheid maakt daar vanzelfsprekend een fundamenteel onderdeel van uit. In het kader van die cyberveiligheid werd onlangs op Europees niveau de NIS2-richtlijn (netwerk- en informatiesystemen) goedgekeurd. Die richtlijn bevat de normen inzake de beveiliging van de netwerk- en informatiesystemen. In een groot aantal domeinen en sectoren, de zogeheten essentiële diensten, zullen de veiligheidsmaatregelen strenger worden en moeten incidenten worden gemeld. Lokale besturen vallen buiten het verplichte toepassingsgebied in de nieuwe richtlijn, maar lidstaten kunnen die er wel van toepassing op verklaren bij de implementatie van de richtlijn.
Minister-president, hoe ondersteunt Digitaal Vlaanderen momenteel de lokale besturen inzake cyberveiligheid?
Op welke manier zullen de recente cyberaanvallen op lokale besturen leiden tot bijsturingen in de omkadering en ondersteuning van lokale besturen binnen Digitaal Vlaanderen, of zijn er al bijsturingen gebeurd?
Wat is de houding van de Vlaamse Regering ten aanzien van afpersing bij hacking?
Zal Vlaanderen ervoor kiezen om lokale besturen toch op te nemen bij de implementatie van de NIS2-richtlijn?
Minister-president Jambon heeft het woord.
Mijnheer Vandenhove, eerst en vooral, excuseer mij voor mijn laattijdigheid. U weet dat dat mijn gewoonte niet is. Ik dacht dat het om 2 uur was, en mijn goede medewerker hier liet me dit weten. Mijn excuses, dus. Dit is volledig mijn fout.
Ik kom tot uw vragen. Digitaal Vlaanderen ondersteunt de Vlaamse administratie en eveneens de lokale besturen via zijn informatieveiligheidsstrategie en informatieveiligheidsbeleid door middel van een risicogebaseerd raamwerk, bekend als het informatieclassificatieraamwerk (ICR). Dat afsprakenkader is verplicht voor de Vlaamse administratie, maar de lokale besturen zijn vrij om dat kader te volgen. Digitaal Vlaanderen zorgt voor de leiding, de organisatie en de werking van de werkgroep informatieveiligheid, die advies uitbrengt over diverse onderwerpen met betrekking tot een veilige informatieverwerking. Deze werkgroep rapporteert op regelmatige basis aan het Stuurorgaan Vlaams Informatie- en ICT-beleid, waarin ook de Vereniging van Vlaamse Steden en Gemeenten (VVSG) is vertegenwoordigd. Vanuit de Vlaamse administratie werden in het verleden al diverse initiatieven genomen, waaronder cyberveilige gemeenten, een cofinanciering bij ICT-audits bij lokale besturen enzovoort, met als doel het vergroten van de informatieveiligheid bij de lokale besturen.
Daarnaast ondersteunt Digitaal Vlaanderen via zijn raamcontracten zowel de Vlaamse administratie als de lokale besturen. Deze dienstverlening bevat een uitgebreide set aan diensten ter bevordering van de veiligheid bij de verwerking van informatie via deze raamcontracten. De afname van deze contracten gebeurt natuurlijk op vrijwillige basis. Digitaal Vlaanderen biedt een brede waaier aan oplossingen die als veiligheidsbouwstenen kunnen worden ingezet bij het ontwikkelen van oplossingen, binnen de Vlaamse administratie en ook bij de lokale besturen. Die worden actief aangeboden aan alle dienstenleveranciers van de voornoemde overheden. Digitaal Vlaanderen werkt ook actief samen met ondersteunende ledenorganisaties zoals VVSG en Vlaamse ICT-organisatie (V-ICT-OR) om samen een veilige informatieverwerking en bewustwording inzake de achterliggende cyberveiligheidsproblematiek onder de aandacht te brengen.
Dan de bijsturingen ten gevolge van die ‘attacks’, die al niet meer zo recent zijn. Naar aanleiding van die incidenten werd in samenwerking met het Agentschap Binnenlands Bestuur (ABB) het Cyber Response Team van de Vlaamse overheid opgericht. Deze organisatie zal in de eerste plaats inzetten op het ter beschikking stellen van adviezen en die in samenwerking met de ondersteunende ledenorganisaties verspreiden onder de lokale besturen en hun dienstenleveranciers. Het Cyber Response Team beantwoordt vragen vanuit de lokale overheden met betrekking tot informatieveiligheidsvraagstukken op basis van bestaande beleidslijnen vanuit het Vlaamse informatieclassificatieraamwerk, gecombineerd met aanbevelingen uit de audits van Audit Vlaanderen en bevindingen en adviezen op basis van de securityincidenten die werden gemeld aan het centrum voor cyberveiligheid van de federale overheid. Tot de oprichting werd beslist in de nasleep van de incidenten van eind december waaraan u refereerde. De opbouw van deze dienstverlening werd opgestart met enkele informatiesessies, waarop een 450-tal vertegenwoordigers van de lokale besturen aanwezig waren.
Het Cyber Response Team heeft de aangehaalde vragen beantwoord en werkt momenteel verder aan de aangebrachte onderwerpen die meer structuur en organisatie vergen.
Wat is onze houding ten opzichte van afpersing? Ik wil daar heel duidelijk in zijn: ik veroordeel die praktijken natuurlijk ten strengste. We buigen niet voor die druk en we zullen niet ingaan op dat soort eisen. Overgaan tot betaling in geval van afpersing betekent de facto dat we die businessmodellen ondersteunen. U zult het met mij eens zijn dat dat absoluut niet de bedoeling kan zijn.
We moeten onze energie steken in het onrendabel maken van die business, door de drempel zó hoog te leggen voor hacking – en dat doen we door te investeren in cyberveiligheid – dat de investering voor hackers dermate zwaar wordt dat men onverrichter zake afdruipt.
Dan kom ik aan uw laatste vraag, of we zullen kiezen om de lokale besturen op te nemen bij de implementatie van de NIS2-richtlijn. De NIS2-richtlijn verplicht verstrengde cybersecurityregels voor onder meer overheidsentiteiten, zowel centraal als decentraal. Het is aan de lidstaten om te beslissen of ze ook bij lokale besturen deze regels willen opleggen.
De Vlaamse overheid zal deelnemen aan de werkgroep die de NIS2-richtlijn omzet in nationale wetgeving, waarop de Vlaamse overheid haar strategie en beleid afstemt. De analyse en impact moeten nog worden gedetailleerd. De beslissing om de lokale besturen al dan niet op te nemen onder de verplichtingen van de NIS2-regelgeving zal worden bepaald door de resultaten van die oefening en eventueel bijkomende adviezen, waarbij de betrokken autoriteiten binnen de Vlaamse overheid richting zullen geven aan de finale positionering. We gaan dus kijken hoe we die NIS2-richtlijn nationaal gaan implementeren. En we gaan dan beslissen of het aangewezen is om de lokale besturen daarbij op te nemen.
De heer Vandenhove heeft het woord.
Minister-president, dank u wel. Het is goed dat er onmiddellijk gereageerd is na die cyberaanvallen van eind vorig jaar. Het is ook goed dat het Cyber Response Team opgericht is. U zegt dat u effectief alle betrokkenen samengebracht hebt met heel wat aanwezigen. Ik zou ervoor willen pleiten dat dat op regelmatige tijdstippen gebeurt zodanig dat we niet enkel ingrijpen op het ogenblik dat er dingen gebeuren, maar dat we eigenlijk preventief ingrijpen en ook de gemeentebesturen zoveel mogelijk ondersteunen in heel deze problematiek want dat is natuurlijk een beetje het gegeven: het is pas wanneer ze zelf met problemen geconfronteerd worden dat ze al dan niet eventuele maatregelen nemen. Het is goed dat Vlaanderen daar ondersteunt en dat ook de minister van Binnenlands Bestuur daar de nodige inspanningen doet om de gemeenten en steden daarmee te ondersteunen.
De heer De Roo heeft het woord.
Minister-president, het is niet de eerste keer dat cyberaanvallen een onderdeel zijn van de vraagstelling in deze commissie. Ik denk terug aan de aanval op Belnet bijna twee jaar geleden waarin ook een zeer grootschalige aanval richting onze systemen was opgezet. In het antwoord dat u me toen gegeven hebt, hebt u ook verwezen naar het feit dat om het risico op cyberaanvallen verder te beperken er ook nood is aan een verdere internationale samenwerking, zowel met andere overheden alsook met een aantal grote ICT-spelers. Ik heb daar niets over gehoord in uw huidig antwoord. Op welke manier wordt verder werk gemaakt van die internationale samenwerking?
Minister-president Jambon heeft het woord.
Digitaal Vlaanderen zit natuurlijk in een netwerk van andere overheden op Europees niveau. Daar is uitwisseling van bevindingen van expertise. Dat is de manier waarop we internationaal samenwerken.
De vraag om uitleg is afgehandeld.