Sinds 2015 maakt het ministerie van Buitenlandse Zaken (BZ) gebruik van de ICT-dienstverlening van het Shared Service Center (SSC)-ICT. SSC-ICT is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en verleent ICT-diensten aan 9 ministeries. Vanuit de gedachte van ‘gedeelde diensten’ ligt de nadruk bij SSC-ICT op standaarddienstverlening. De ICT-dienstverlening voor BZ wijkt hiervan af omdat BZ wereldwijd werkt, te maken heeft met verhoogde dreiging van statelijke actoren en moet voldoen aan eisen vanuit de EU en NAVO.
Eind 2023 heeft BZ besloten om te vertrekken bij SSC-ICT. Het programma Transitie ICT-dienstverlening gaat uitvoering geven aan dit besluit. De minister van BZ heeft het Adviescollege ICT-toetsing (AcICT) gevraagd dit programma te onderzoeken.
Conclusie: doorzetten vertrekbesluit te risicovol
AcICT vindt het besluit van BZ om nu te vertrekken bij SSC-ICT te risicovol, zowel vanuit het perspectief van BZ als vanuit het rijksbrede belang. Wij hebben hiervoor de volgende redenen:
- Vertrek brengt de urgente verbetering voor informatiebeveiliging in gevaar.
Een periode van ontvlechting (circa 5 jaar) vraagt veel schaarse capaciteit en aandacht van zowel SSC-ICT als BZ. Dit gaat ten koste van het terugdringen van urgente beveiligingsrisico’s. - Er is grote kans op herhaling van de problematiek door onvolwassen besturing van BZ.
De overgang naar een andere ICT-dienstverlener lost geen problemen op omdat BZ onvoldoende is toegerust om de besturing op het ICT-domein goed in te richten. - Vertrek belemmert de noodzakelijke beveiliging tegen statelijke actoren voor BZ en rijksbreed.
Advies: geef de urgente verbetering van de huidige ICT-dienstverlening topprioriteit
AcICT adviseert om het vertrekbesluit niet door te zetten, maar eerst topprioriteit te geven aan de urgente verbetering van de huidige ICT-dienstverlening:
- Zorg dat SSC-ICT en BZ de urgente beveiligingsrisico’s terugdringen.
- Zorg dat de besturing bij BZ fundamenteel verbetert.
- Realiseer vanuit BZK een rijksbrede aanpak voor beveiliging tegen statelijke actoren.
- Evalueer na twee jaar gezamenlijk de opvolging van de adviezen.