Overheid onvoldoende voorbereid op langdurige uitval van ICT-dienstverlening
Op 12 september 2025 stuurde de minister van Binnenlandse Zaken en Koninkrijksrelaties een Kamerbrief naar de Tweede Kamer, vergezeld van het rapport Van kwetsbaar naar weerbaar. In de brief wordt bevestigd dat de overheid onvoldoende voorbereid is op acute en langdurige uitval van ICT-dienstverlening. De aanleiding voor het rapport was de financiële noodsituatie van een grote internationale ICT-leverancier in 2024, die bijna leidde tot een landelijke crisis.
Kernboodschap van het rapport
Het rapport stelt dat burgers moeten kunnen rekenen op een betrouwbare overheid. Politiek, bewindspersonen en de ambtelijke top hebben de verantwoordelijkheid om overheden weerbaar te maken tegen langdurige uitval van ICT-diensten. Digitale weerbaarheid moet zwaarder wegen dan de ontwikkeling van nieuw beleid. Daarvoor is een substantiële investering nodig in rijksbrede faciliteiten die de afhankelijkheid van externe leveranciers en de risico’s van geopolitieke ontwikkelingen en cyberdreigingen verkleinen.
Bevindingen op rijksniveau
Het rapport laat zien dat bestaande beleidsdocumenten en kaders voor ICT-uitbesteding in de praktijk onvoldoende bescherming bieden tegen de risico’s van langdurige uitval. Er zijn geen uniforme definities van vitale of kritieke ICT-diensten. Kennis over continuïteitsrisico’s is versnipperd en wordt vaak ad hoc georganiseerd tijdens incidenten. Onafhankelijke toetsing op risico’s bij uitval ontbreekt grotendeels. Monitoring van leverancierscontracten vindt slechts plaats bij enkele grote partijen, waardoor een volledig overzicht ontbreekt. Gezamenlijke terugvalvoorzieningen zijn nauwelijks aanwezig en in een dreigende crisissituatie ontbreekt een vaste governance-structuur om snel te handelen.
Bevindingen bij individuele overheidsorganisaties
Bij afzonderlijke organisaties zijn soortgelijke tekortkomingen vastgesteld. ICT-dienstverlening is bij de meeste organisaties vergaand uitbesteed en vormt daarmee een essentieel onderdeel van primaire processen. Toch blijken deze processen niet bestand tegen abrupte en langdurige uitval.
Specifieke bevindingen zijn:
Veel ICT-systemen zijn verouderd en gebaseerd op leveranciersspecifieke oplossingen, wat de wendbaarheid beperkt.
Aanbestedingen worden vaak op operationeel niveau uitgevoerd zonder voldoende strategische risicoanalyse.
Kennis en bewustzijn over ICT en risico’s ontbreken op managementniveau.
Contractuele terugvalopties, zoals step-in-rechten of effectieve uitwijkplannen, zijn onvoldoende ingericht.
Monitoring richt zich vooral op operationele kwaliteit van dienstverlening, terwijl strategische leveranciersrisico’s nauwelijks worden gewogen.
Context: nationale veiligheid en digitale afhankelijkheid
De bevindingen raken aan bredere thema’s zoals nationale veiligheid en digitale autonomie. Het risico van een ‘digitale monocultuur’, waarbij veel organisaties afhankelijk zijn van een klein aantal internationale leveranciers, wordt steeds groter. Geopolitieke ontwikkelingen, marktinstabiliteit en cyberdreigingen vergroten de kans op abrupte verstoringen van ICT-diensten. Het vergroten van digitale weerbaarheid van de overheid wordt gezien als een maatschappelijke opgave.
Wettelijk fundament
De Wet weerbaarheid kritieke entiteiten en de Cyberbeveiligingswet, die eind 2025 in werking treden, leggen een fundament om de weerbaarheid van vitale infrastructuur te vergroten. Tegelijkertijd vraagt het dreigingslandschap om versnelling. Prioriteit wordt gegeven aan aanbevelingen die direct raken aan hoogrisico- en vitale processen.
Actiepunten van de minister
De minister geeft prioriteit aan de volgende activiteiten:
Center of Excellence – Oprichting van een centraal expertisecentrum dat kennis en kunde bundelt en overheidsorganisaties ondersteunt.
Centrale monitoring van leveranciers – Inrichting van een mechanisme om marktontwikkelingen en risico’s bij ICT-leveranciers proactief te volgen.
Toetsing van risicovolle ICT-uitbestedingen – Verkennen van een voorafgaande toets bij hoogrisicoprojecten.
Overheidsbrede IT-sourcingstrategie – Ontwikkelen van een uniforme strategie waarmee risicobewust en verantwoord beslissingen worden genomen. Gestart wordt met het herijken van de strategie voor de Rijksoverheid; andere overheidslagen sluiten later aan.
Terugvalfaciliteiten – Ontwikkelen van overheidsbrede noodvoorzieningen voor uitval van cruciale ICT-diensten.
Toetsing op naleving van kaders en risicomanagement – Controleren of organisaties kaders volgen en maatregelen effectief zijn.
Continuïteitsmanagement en digitaal leiderschap – Versterken van de verantwoordelijkheid voor continuïteit, bewustzijn en leiderschap op alle bestuursniveaus.
Uitvoering en coördinatie
De uitvoering van deze acties wordt gecoördineerd door de Interdepartementale Commissie Bedrijfsvoering Rijk en de Taskforce Continuïteit ICT-dienstverlening. De rijksoverheid staat centraal, maar andere overheidslagen kunnen aansluiten. Voor specifieke onderdelen wordt gewerkt met een plateauplanning.
Toezicht en financiering
De minister voert overleg met toezichthouders om toezicht op de uitvoering te borgen. Hoewel er draagvlak is voor de aanbevelingen, vormt de financiering een belangrijk aandachtspunt. Substantiële investeringen zijn noodzakelijk om de plannen daadwerkelijk te realiseren.
Afsluiting
De overheid is nog onvoldoende voorbereid op langdurige uitval van ICT-dienstverlening. Het rapport en de Kamerbrief laten zien dat er dringend maatregelen nodig zijn om de weerbaarheid te vergroten. De afhankelijkheid van enkele grote leveranciers, het ontbreken van gezamenlijke voorzieningen en onvoldoende strategisch risicomanagement vergroten de kwetsbaarheid.
De minister geeft prioriteit aan concrete acties zoals een Center of Excellence, centrale monitoring, een nieuwe sourcingstrategie en terugvalfaciliteiten. Hiermee wordt gewerkt aan het vergroten van de digitale weerbaarheid van de overheid, zodat de continuïteit van vitale processen voor burgers, bedrijven en samenleving beter kan worden gewaarborgd.