Het Kabinet zal de Onderzoeksraad Voor Veiligheid, een zelfstandig bestuursorgaan, de opdracht geven het falen van DigiNotar en andere securityproblemen onder de loep te nemen. Dat zegde minister Donner van Binnenlandse Zaken toe aan de kamer in het ict-debat donderdagavond.

Daadkrachtig

De meeste Kamerfracties waren tevreden met de daadkrachtige respons van de Rijksoverheid vanaf vrijdag 2 september, toen bekend werd dat mogelijk ook PKI Overheids certificaten van DigiNotar waren gecompromitteerd.

Maar er was kamerbrede verbijstering over hoe het zo ver heeft kunnen komen. Vooral het gebrek aan toezicht en regie op DigiNotar en het hele PKI Overheidsysteem kreeg keiharde kritiek.

Volgens VVD-Kamerlid Jeanine Hennis was Logius het schoolvoorbeeld van slecht opdrachtgeverschap en had DigiNotar willens en wetens de boel geflest. Volgens de PVV moet de hele zaak “volledig gefileerd" worden. Ook toezichthouder OPTA en de slappe auditingregels kregen er van langs.

Nachtelijke crisis

En wie had tijdens de DigiNotarcrisis eigenlijk de regie, wilde de Kamer weten. Donner: “In het hele proces had de collega van Veiligheid en Justitie [Opstelten] de regie, ik deed slechts de uitvoering. Hij lag al grinnikend in bed, terwijl ik nog op tv moest."

Op de vraag waarom die persconferentie zo nodig om 1 uur 's nachts moest, antwoordde Donner: “Je zit met een internetwereld waar de zon niet op of onder gaat."

Geen parlementair onderzoek

De SP is blij met de toezegging van het onderzoek. De SP had al langer aangedrongen op een zwaarder middel, het parlementair onderzoek. Dat komt er waarschijnlijk niet, al houdt SP-Kamerlid Gesthuizen dit machtsmiddel achter de hand.

“Het onderzoek van de Veiligheidsraad is een belangrijke erkenning van het kabinet dat de veiligheid rond ICT zo lek als een mandje is. Deze toezegging van de minister is voor mij een eerste stap richting een parlementair onderzoek, ik ben vooralsnog dan ook zeker tevreden met deze toezegging. Na afronding van dit onderzoek moet de Kamer echter ook zorgen dat de onderste steen bij de gang van zaken in de politiek boven komt," aldus Gesthuizen.

Meldplicht uitgebreid

De VVD diende een motie in om de meldplicht bij datalekken te verbreden en te versterken. De motie was door alle aanwezige fracties meeondertekend en ook het Kabinet steunt het initiatief van harte. Deze security breach notification moet gaan gelden voor alle maatschappelijke belangrijke organisaties en bedrijven. Tot nog toe was het voorstel beperkt tot internetproviders.

Er zal overigens geen sprake zijn van naming en shaming: de incidenten worden vertrouwelijk bij het nog in te richten Nationaal Cyber Security Centrum (NCSC) gemeld. Govcert zal onderdeel uitmaken van het NCSC, die tevens een zogenoemde ICT Resonse Board krijgt.

Vliegende brigade

Op die manier wordt het NCSC een kennisplatform, maar óók een vliegende brigade bij ict-rampen, zodat een extra aparte digitale brandweer, zoals bepleit door vooral de SP, niet meer nodig is, stelde minister Opstelten.