Verslag vergadering Commissie voor Binnenlands Bestuur, Gelijke Kansen en Inburgering
Verslag
– Een aantal sprekers nemen mogelijk deel via videoconferentie.
De heer Warnez heeft het woord.
De zomervakantie komt eraan en dan moeten we daar natuurlijk op inpikken. Een recent rapport van Audit Vlaanderen, gepubliceerd op 13 juni 2023, wijst op problemen met de cyberveiligheid bij lokale besturen in Vlaanderen, ondanks de inspanningen en investeringen van de Vlaamse Regering. Het rapport omvatte een bevraging onder 144 lokale besturen in Vlaanderen, evenals diepte-interviews met veertig andere lokale besturen. Daarnaast werden de resultaten van ICT-veiligheidsaudits bij een groot aantal lokale besturen tussen april 2020 en het voorjaar van 2023 in het algemene beeld meegenomen.
Hoewel lokale besturen de afgelopen jaren vooruitgang hebben geboekt op het gebied van informatieveiligheid, mede als gevolg van de Algemene Verordening Gegevensbescherming (AVG), zijn er nog steeds belangrijke verbeterpunten. Deze omvatten een gebrek aan gestructureerde en concrete aanpak van ICT en digitalisering, beperkt inzicht in alle ICT-risico's, onvoldoende bewustzijn van risico's in samenwerking met externe leveranciers en de noodzaak van een betere afstemming van de capaciteit en positionering van de ICT-functie op de vereiste risicobeheer- en digitaliseringsambities.
Specifiek blijkt uit het rapport dat minder dan de helft van de lokale besturen een concreet ICT-actieplan heeft en slechts een derde een actuele ICT-risicoanalyse heeft. Dit gebrek aan proactief risicobeheer vormt een aanhoudend risico.
Minister van Binnenlands Bestuur Bart Somers waarschuwt lokale besturen om waakzaam te blijven tijdens de zomervakantie omdat hackers zich bewust zijn van verminderde ICT-diensten tijdens die periode. Hij waardeert de inspanningen van lokale besturen, maar pleit ook voor minder, maar meer slagkrachtige besturen om de problemen met cyberveiligheid efficiënt aan te pakken.
Cyberveiligheid van lokale besturen staat deze legislatuur hoog op de agenda. Er werd cofinanciering voor audits voorzien, er is een toolbox ontwikkeld alsook werd dit jaar het Cyber Response Team (CRT) uitgerold, dat getroffen besturen ondersteunt bij een cyberaanval.
Hoe wilt u lokale besturen beter ondersteunen bij het ontwikkelen van concrete ICT-actieplannen en het uitvoeren van actuele ICT-risicoanalyses?
Zijn er plannen om de bewustwording van risico's in samenwerking met externe leveranciers te vergroten en hoe kan dit worden gerealiseerd?
Kunt u inzicht geven in de werking van het CRT? Is dat volledig operationeel?
Waar komt de vaststelling vandaan dat kleine gemeenten grotere problemen hebben op het vlak van cyberveiligheid? Ziet u meer kleine gemeenten die gehackt zijn? Kan een grote schaal van een gemeente ook niet betekenen dat een gemeente net interessanter is voor hackers? Ik verwijs naar Antwerpen, maar ook naar Diest, Willebroek en Geraardsbergen, die groter zijn dan een gemiddelde Vlaamse gemeente.
Minister Somers heeft het woord.
Mijn oproep tot waakzaamheid voor de zomervakantie had in de eerste plaats tot doel om lokale besturen nogmaals te wijzen op hun verantwoordelijkheid inzake cyberveiligheid. Lokale besturen zijn zelf verantwoordelijk voor de cyberveiligheid van hun systemen en moet zelf actie ondernomen. Uit het rapport van Audit Vlaanderen blijkt gelukkig dat heel wat lokale besturen dat de voorbije jaren ook gedaan hebben.
Vanuit Vlaanderen doen we al heel veel om lokale besturen te ondersteunen in het nemen van acties en het uitvoeren van actuele ICT-risico’s. Er is het project ‘Cyberveilige gemeenten’ samen met de Vereniging van Vlaamse Steden en Gemeenten (VVSG) met onder meer de toolkit cybersecurity. Daarin staan concrete handvaten om als lokaal bestuur mee aan de slag te gaan. De VVSG zet nieuwbrieven, infosessies en webinars in om dit beter bekend te maken bij lokale besturen.
Specifiek wat de actuele ICT-risico’s betreft, zijn er de ICT-veiligheidsaudits van Audit Vlaanderen met cofinanciering vanuit Vlaanderen. Ondertussen bereikten we al 163 van de 300 lokale besturen met zo’n audit. We zullen dat aanbod dit najaar en in 2024 nog verderzetten.
Daarnaast wordt ook in 2023 het Traject Ethisch Hacken in samenwerking met de VVSG verdergezet, waarbij studenten van de hogeschool Howest hackings uitvoeren bij lokale besturen om kwetsbaarheden op te sporen. De inschrijvingen daarvoor werden opnieuw opengesteld op 12 juni. De besturen die nog niet hebben deelgenomen, krijgen voorrang. De VVSG laat weten dat alle veertig beschikbare plaatsen ondertussen werden ingevuld door lokale besturen die nog niet eerder het traject doorlopen hebben. Dat is ook heel positief.
We nemen ook bijkomende acties. Zo ontwikkelden het Agentschap Binnenlands Bestuur (ABB) en Audit Vlaanderen een zelfevaluatietool voor ICT-risico’s. Deze tool laat lokale besturen toe om heel laagdrempelig ICT-risico’s te identificeren en op te volgen. Het instrument is zeer recent gelanceerd en is gepubliceerd op de website van Audit Vlaanderen.
Met betrekking tot uw vraag omtrent de bewustwording van risico’s in de samenwerking met externe leveranciers, is het zo dat het huidige ondersteuningsaanbod daar al aandacht aan besteedt. Zo zijn er verschillende sjablonen en leidraden ter beschikking gesteld via de toolkit cyberveiligheid, waarin de samenwerking met leveranciers aan bod komt, in het bijzonder de Richtlijnen Secure Software Development en de recent ontwikkelde beveiligingsrichtlijn voor camerasystemen.
Daarnaast spendeert het Cyber Response Team ook aandacht aan een duidelijke rolverdeling in de samenwerking met leveranciers. In het najaar komt het CRT nog met specifieke aanbevelingen aan lokale besturen rond leveranciersrelaties.
Tot slot verwijs ik in dat verband ook naar het programma Lokaal Digitaal van minister-president Jambon, dat ook inspeelt op deze problematiek. Dit initiatief beoogt lokale besturen bij te staan via samenwerking en het bundelen van expertise om tot kwalitatieve aanbestedingen met duidelijke rolverdelingen te komen.
U had ook nog een vraag omtrent het Cyber Response Team dat ik daarnet al even aanhaalde. Ik kan u verzekeren dat dat sinds begin dit jaar volledig operationeel is. Het biedt zowel proactieve als reactieve ondersteuning.
De grootte van het lokaal bestuur, waar u naar verwijst, is geen indicatie op zich voor de mate van cyberweerbaarheid. Het reflecteert wel de financiële en organisatorische beperkingen waarbinnen vooral kleinere steden en gemeenten kunnen werken. Uit het rapport van Audit Vlaanderen blijkt namelijk dat kleine lokale besturen doorgaans over onvoldoende voltijdsequivalenten (vte’s) beschikken om de vele operationele en strategische verwachtingen met betrekking tot informatiebeveiliging in te vullen. Kleinere besturen, met een beperkt aantal vte’s, moeten zich vaker beroepen op meer externe ondersteuning om het informatiebeveiligingsbeleid uit te tekenen en ICT-risico’s te beheren, en stoten ook daar op financiële beperkingen.
Grotere lokale besturen bieden meer digitale dienstverlening aan en zetten daarvoor meer ICT-systemen in, waardoor er meer aanvalsmogelijkheden zijn. Echter, vanwege de grotere diversiteit aan ICT-systemen en de grotere capaciteit, kunnen grotere lokale buren relatief snel en goed reageren op aanvallen en kunnen niet-getroffen systemen operationeel blijven. In tegenstelling tot grotere besturen, is bij kleinere besturen vaak de volledige ICT-omgeving getroffen en duurt herstel langer.
Ik hoop dat ik daarmee een aantal antwoorden heb gegeven op uw vraag.
De heer Warnez heeft het woord.
Ik denk dat dat een redelijk uitvoerig antwoord was, minister. Ik denk dat we vandaag al heel wat initiatieven genomen hebben vanuit Vlaanderen om die lokale besturen en de cyberveiligheid te versterken. Het zijn wel vaak individuele zaken, per beleidsniveau. Ik ben er persoonlijk niet van overtuigd dat een kleine gemeente minder beveiligd zijn. Ik denk wel dat ze externe expertise moeten inhuren, maar die kleinere schaal maakt misschien net dat het minder interessant is voor een hacker om daar binnen te treden. Dat hebben we ook gezien met Antwerpen. Daar moet je ook eerlijk in zijn. Als je daar binnen wilt, dan kom je daar binnen. Geen enkele gemeente of stad, hoe groot ook, kan dat individueel aan.
Ik denk dat we wat we de laatste legislatuur gedaan hebben, individueel moeten evalueren, en dat we moeten bekijken om dat in een structurele, coherente aanpak te gieten, om dat de volgende legislatuur een sterke basis te geven in een structureel beleid.
De heer Tommelein heeft het woord.
Uiteraard is dit voor alle lokale besturen een enorm belangrijk thema. Het is goed dat dit op de agenda geplaatst wordt. Het rapport van Audit Vlaanderen is duidelijk. Er zijn al heel wat stappen vooruit gezet, maar uiteraard is er nog altijd mogelijkheid tot verbetering. De hacks uit het afgelopen jaar hebben ook de noodzaak van die cyberveiligheid aangetoond.
Op Europees vlak is er de NIS2-richtlijn (Network and Information Security), die omgezet moet worden. Weet u, minister, hoever het daarmee staat, en of die onderhandelingen al zijn opgestart?
Minister Somers heeft het woord.
Wat die laatste heel concrete vraag betreft, mijnheer Tommelein: dat is natuurlijk een federale aangelegenheid. De besprekingen met het federale niveau moeten nog worden aangevat. Ik overleg voor het standpunt van de Vlaamse Regering evident met minister-president Jambon, aangezien hij verantwoordelijk is voor Digitalisering. De verwachting is dat de besprekingen om die richtlijn om te zetten, in het najaar aangevat zullen worden.
Meer algemeen, mijnheer Warnez, denk ik dat we deze legislatuur een steile leercurve hebben doorgemaakt. Ik denk dat we heel wat instrumenten op poten hebben gezet, waar we ook veel van hebben geleerd. Ik ben het met u eens dat de uitdaging voor de volgende Vlaamse Regering zal zijn om hetgeen wat we nu ‘on the field’ hebben opgebouwd, te verankeren en structureel te maken, en te bekijken hoe we op een duurzame manier die ICT-omgevingen van lokale besturen verder kunnen beveiligen.
De heer Warnez heeft het woord.
Over de tussenkomst van collega Tommelein: de Europese NIS-regeling is een heel specifieke, strenge regeling voor cyberveiligheid. We kunnen ervoor kiezen om die lokale entiteiten al dan niet daaronder te laten vallen. Ik denk vooral dat het ook zaak is om daarover, minister, met de VVSG, die daar een expertise in heeft ontwikkeld, te overleggen, want dat zal wel wat gevolgen hebben op het terrein. Wat niet betekent – mochten we hen daar niet onder laten vallen – dat we hen uiteraard niet zouden blijven ondersteunen, of niet van hen verwachten dat zij een robuust cyberveilig systeem hebben.
De vraag om uitleg is afgehandeld.