Op 15 oktober heeft de Vlaamse Regering de strategie goedgekeurd om de digitale overheid weerbaarder te maken tegen dreigingen en aanvallen. In de afgelopen periode zijn de cyberaanvallen en -dreigingen toegenomen, onder meer door een verschuiving naar cybercriminaliteit ten aanzien van digitale gegevens en digitale infrastructuur van personen, bedrijven en overheden. Vlaanderen beschikt over gevoelige digitale informatie van burgers, bedrijven en organisaties en moet die te allen tijde beschermen. De regering maakt 5 miljoen euro vrij voor het aanscherpen van de beveiligingstechnologie, voor het versterken van de veiligheidscultuur en voor het uitbouwen van een goed crisismanagement.

Vlaams volksvertegenwoordiger Stijn De Roo (CD&V) ondervroeg minister-president Jan Jambon (N-VA) over de veiligheidsstrategie van de Vlaamse overheid.

De minister-president antwoordde dat de middelen voor digitale weerbaarheid worden geïnvesteerd in drie domeinen: de aanpak van de informatieveiligheid; het verhogen van de digitale competenties; weerbare digitale processen en een robuuste infrastructuur.

Wat de aanpak van de informatieveiligheid betreft, wordt het leiderschap op het vlak van informatieveiligheid versterkt, met inbegrip van de bescherming van de persoonsgegevens, door een duidelijk kader en een duidelijke governance en verantwoordelijkheden vast te leggen om naar een door de hele Vlaamse overheid gedragen aanpak voor informatieveiligheid te evolueren. Op basis van een periodieke rapportering van hoge kwaliteit moet het voor beslissingsnemers en beleidsvoerders mogelijk zijn om de juiste investeringsbeslissingen te nemen.

Dan is er het verhogen van de digitale competenties. Deze prioriteit beoogt volgende resultaten: een versterkte slagkracht met betrekking tot het garanderen van informatieveiligheid door een sterke coördinatie onder toezicht van het stuurorgaan; een breed draagvlak creëren door de participatie van diverse stakeholders.

Wat de weerbare digitale processen en een robuuste infrastructuur betreft. Deze prioriteit heeft als doelstelling om het veiligheidsniveau van de informatieverwerking op operationeel niveau te verhogen door in de juiste organisatie en veiligheidsbouwstenen te voorzien. Elke entiteit staat binnen de eigen organisatie in voor het correct implementeren van maatregelen en controles zoals gedefinieerd in het informatieclassificatieraamwerk van de Vlaamse overheid. Het is echter logischer en efficiënter om een aantal diensten op een Vlaamseoverheidsbreed basisaanbod te baseren.

Deze aanpak combineert proactieve en reactieve maatregelen om een zo volledig mogelijke omgeving te verkrijgen. Met deze prioriteit willen we een aantal resultaten bereiken: het verhogen van de maturiteit van onze veiligheidsorganisatie door ondersteuning met betrekking tot veiligheidsdienstverlening en tools, de geïntegreerde dienstverlening met betrekking tot het beheersen van risico’s van onze gemeenschappelijke ICT-systemen, het verhogen van het operationele veiligheidsniveau door Vlaamseoverheidbrede veiligheidsbouwstenen verder uit te bouwen, de tijdige detectie van informatieveiligheidsincidenten en versterkte slagkracht met betrekking tot ernstige informatieveiligheidsincidenten.

Om deze resultaten te bereiken werd na de goedkeuring van de veiligheidsstrategie op 15 oktober 2021 door de Vlaamse Regering een bijbehorend veiligheidsprogramma opgestart. Dit strategisch plan 2020-2024 focust op een aantal prioriteiten: een integrale aanpak van de informatieveiligheid door middel van een duidelijk beleidskader binnen de Vlaamse overheid en een verhoogde digitale slagkracht. Dat kan door een verhoging van de digitale competenties van de werknemers door middel van opleiding, bewustmaking, strategische partners, competentie en kennisopbouw, en door weerbare processen, geautomatiseerd in robuuste applicaties en infrastructuur, door middel van een adequaat dienstverleningsmodel met de juiste veiligheidsbouwstenen.

Een belangrijke rol is weggelegd voor het Stuurorgaan Vlaams Informatie- en ICT-beleid als verantwoordelijke voor de validatie van het informatieveiligheidsbeleid van de Vlaamse administratie en voor de overkoepelende aansturing en coördinatie van de implementatie van dit beleid. Het stuurorgaan wordt hierin ondersteund door de speciaal daartoe opgerichte Werkgroep Informatieveiligheid.

We voeren het ‘lines of defence’-model in. Dit lijnenmodel is een governancemodel om aan optimaal risicobeheer te kunnen doen. De eerste lijn is elke entiteit van de Vlaamse overheid. Een entiteit beslist autonoom hoe zij haar eigen omgeving beveiligt, binnen de grenzen van haar onafhankelijkheid en bevoegdheden. De tweede lijn is het Digital Security Office van het agentschap Digitaal Vlaanderen. Dit office bewaakt voor de gehele Vlaamse administratie de kwaliteit van het beheer van de informatieveiligheid. De derde lijn is een onafhankelijke partij die verifieert welke controles en maatregelen werken en of de geïdentificeerde risico’s reëel en volledig zijn. Hierbij gaat het om een entiteit zoals Audit Vlaanderen of een externe auditeur.

Er vindt een periodieke kwaliteitsvolle rapportering plaats over informatieveiligheid aan beslissingsnemers en beleidsvoerders, door het inrichten van selfassessments en een conformiteitstoetsing.

Stijn De Roo: “Het is overduidelijk dat de Vlaamse Regering de digitale veiligheid en digitale weerbaarheid bijzonder belangrijk vindt en daarvoor ook de nodige middelen en aanpak voorziet.  

We mogen ons gelukkig prijzen dat er tot heden geen grote incidenten zijn geweest bij de Vlaamse overheid. Het behoort tot de taak van de overheid de burgers en hun informatie goed te beschermen. Hiervoor zijn de nodige investeringen gebeurd. Ik blijf deze problematiek opvolgen.”

Het volledige verslag van mijn vraag vraag vindt u hier.