De Nederlandse overheid is niet goed voorbereid op acute uitval van ICT-dienstverlening. Doordat overheidsorganisaties hun ICT-diensten veelal bij dezelfde leveranciers afnemen, loopt Nederland kans op maatschappelijke ontwrichting.
De kans dat een organisatie getroffen wordt door een cyberincident is 1 op 8. Maar het voorbereiden op acute en langdurige uitval van ICT-leveranciers gebeurt nauwelijks. Dat blijkt uit het rapport ‘Van kwetsbaar naar weerbaar’ dat ABDTOPConsult in opdracht van het ministerie van Binnenlandse Zaken opstelde naar aanleiding van een bijna-crisis begin 2024, toen een grote ICT-dienstverlener failliet dreigde te gaan.
Nederland behoort tot de top vijf van meest gedigitaliseerde landen in Europa. ICT speelt een cruciale rol in het primaire proces van uitvoeringsorganisaties zoals DUO, SVB, UWV en de Belastingdienst. Door de focus op kernactiviteiten hebben Nederlandse overheden veel ICT-diensten uitbesteed aan externe leveranciers. Dat biedt kansen voor technologische ontwikkeling en professionele dienstverlening, maar maakt de overheid ook kwetsbaar.
Wake-up call
De sterk verslechterde financiële situatie van een niet bij naam genoemde, grote ICT-leverancier had begin 2024 tot een landelijke crisissituatie kunnen uitgroeien. “Er worden geen uitkeringen meer uitbetaald aan miljoenen Nederlanders en de rechtsgang is tot stilstand gekomen”, schetst het rapport als een mogelijk scenario. Bij een daadwerkelijk faillissement zouden cruciale overheidsprocessen abrupt wegvallen, met ontwrichtende gevolgen voor de hele samenleving.
Die kans lijkt klein, maar het rapport toont aan dat de Nederlandse overheden nog onvoldoende weerbaar zijn tegen dergelijke situaties. Het Cybersecuritybeeld Nederland 2024 benadrukt expliciet het risico van een ‘digitale monocultuur’, waarbij vele organisaties afhankelijk zijn van een klein aantal aanbieders.
Wel kennis, geen toepassing
Het onderzoek toont aan dat de overheid wel kaders en kennis heeft, maar deze onvoldoende toepast. Er zijn veel beleidsregels en richtlijnen beschikbaar, maar de implementatie en controle daarop schieten tekort.
De overheid heeft weliswaar veel beleidsregels voor ICT-uitbestedingen – van sourcingsbeleid tot cloudrichtlijnen van Rijks-CIO, Rijks-CISO en het NCSC. Maar deze regels gaan onvoldoende in op wat er gebeurt als een grote ICT-leverancier plotseling wegvalt. Een goede stap vooruit is de komende Cyberbeveiligingswet (NIS-2), die dit jaar nog moet worden ingevoerd.
Bovendien houdt de overheid geen centraal overzicht bij van welke leveranciers overheidsorganisaties gebruiken. Hierdoor is onbekend waar de grootste risico’s zitten en kunnen concentratierisico’s niet effectief worden beheerst.
Integratie ontbreekt
Niet alleen op rijksniveau schiet de voorbereiding tekort – ook individuele overheidsorganisaties zijn kwetsbaar. Veel hebben verouderde ICT-landschappen met technische achterstand en leverancierspecifieke software. Daardoor kunnen ze moeilijk uitwijken als hun ICT-leverancier wegvalt.
Bovendien gaat het aanbesteden van ICT-diensten vaak mis. Complexe uitbestedingen vragen om samenwerking tussen verschillende afdelingen – van inkoop tot juridische zaken tot IT-specialisten. Maar die integrale aanpak ontbreekt vaak, waardoor belangrijke risico’s niet goed worden afgedekt in contracten.
Het resultaat is schrijnend. “Vergelijk het met inbrekers. Die zoeken ook het huis waar ze het makkelijkst en snelst binnen kunnen komen”, aldus het rapport. In belangrijke overheidscontracten stond bijvoorbeeld niet eens geregeld wie eigenaar is van de software, of ontbraken ‘step-in-rechten’ voor als de leverancier failliet gaat.
Noodzakelijke verbeteringen
Het rapport doet concrete aanbevelingen om de problemen aan te pakken. Op rijksniveau moet het verouderde sourcingsbeleid uit 2012 worden herzien en hebben we rijkskaders nodig voor ICT-risicomanagement. Daarnaast pleit het rapport voor een competence center dat kennis bundelt en organisaties ondersteunt, plus centrale terugvalfaciliteiten voor noodsituaties.
Individuele organisaties moeten vooral hun eigen huishouding op orde brengen. Dat betekent verouderde ICT-systemen moderniseren, bestuurders en managers digitaal vaardiger maken, en professioneel risicomanagement inrichten. “Steeds meer organisaties realiseren zich dat ICT-kennis en strategisch risicomanagement onvoldoende prioriteit krijgen op bestuurstafels”, constateert het rapport.
Minister Rijkaart van Binnenlandse Zaken pakt die handschoen op. Hij kondigt een Center of Excellence aan dat de motor moet worden voor kennisbundeling en activiteiten. Ook komt er centrale monitoring van leveranciers en wordt een overheidsbrede IT-sourcingstrategie opgezet om risico’s beter te spreiden. Deze collectieve aanpak sluit aan bij wat gemeenten al doen op het gebied van digitale veiligheid.
Financiering is uitdaging
De mooie plannen kosten wel geld. Niet alleen vraagt de veelheid aan aanbevelingen om prioritering, ook de financiering vormt een flinke uitdaging. Deze problemen worden versterkt door conceptuele denkfouten in het overheidsbeleid waardoor structurele oplossingen moeilijk van de grond komen. Neem de overheidsbrede terugvalfaciliteiten – die zijn alleen mogelijk met forse investeringen. Voorlopig moeten er nog business cases worden uitgewerkt voordat er daadwerkelijk geld op tafel komt.
Maar het rapport hamert op de urgentie. “Burgers moeten kunnen rekenen op een betrouwbare overheid”, klinkt het. Met oplopende geopolitieke spanningen en alarmerende waarschuwingen van De Nederlandsche Bank en de Algemene Rekenkamer is snel handelen noodzakelijk. Anders dreigen ontwrichtende situaties die de hele samenleving raken.