Besluit BVA-stelsel Rijksdienst 2021

In dit besluit wordt verstaan onder:

• a. Rijksdienst: de kerndepartementen en de daaronder ressorterende dienstonderdelen;

• b. Dienstonderdeel: een onder de verantwoordelijkheid van de desbetreffende minister ressorterende directie, afdeling, instelling, dienst of bedrijf;

• c. Ambtelijke leiding: hoogste ambtenaar van het ministerie, organisatieonderdeel;

• d. BVA Rijk: Beveiligingsautoriteit Rijk, bedoeld in artikel 7;

• e. BVA: Beveiligingsautoriteit, bedoeld in artikel 3;

• f. BVC: Beveiligingscoördinator, bedoeld in artikel 6;

• g. CIO Rijk: Chief Information Officer Rijk, bedoeld in artikel 10, eerste lid van het Besluit CIO-stelsel Rijksdienst 2021;

• h. CIO: Chief Information Officer, bedoeld in artikel 3, eerste lid, en artikel 9, eerste lid van het Besluit CIO-stelsel Rijksdienst 2021;

• i. CISO Rijk: Chief Information Security Officer Rijk, bedoeld in artikel 10, eerste lid, van het Besluit CIO-stelsel Rijksdienst 2021;

• j. CISO: Chief Information Security Officer, bedoeld in artikel 6, eerste lid, en artikel 9, derde lid van het Besluit CIO-stelsel Rijksdienst 2021;

• k. Te Beschermen Belangen: personen, informatie, informatiesystemen, materieel, goederen, imago en objecten, waarbij in geval van compromittering, of de mogelijkheid van compromittering, nadelige gevolgen, of een risico daarop, kan ontstaan voor de vertrouwelijkheid, beschikbaarheid en integriteit van de primaire processen van de rijksoverheid, delen daarvan of voor andere belangen van de Staat, van zijn bondgenoten of van één of meer ministeries;

• l. Integrale beveiliging: het selecteren, implementeren en periodiek evalueren van een samenhangend stelsel van beveiligingsmaatregelen voor de beveiliging van de Te Beschermen Belangen op basis van risicomanagement;

• m. Risicomanagement: inzichtelijk en systematisch inventariseren, beoordelen en – door het treffen van maatregelen – beheersbaar maken van risico’s en kansen, die het bereiken van de doelstellingen van de organisatie bedreigen dan wel bevorderen, op een zodanige wijze dat verantwoording kan worden afgelegd over de gemaakte keuzes.

• n. Accreditatie: de toestemmingverlening als bedoeld in artikel 2, derde lid van het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie 2013.

• 1 Dit voorschrift geldt voor de Rijksdienst, waartoe gerekend worden de kerndepartementen en de daaronder ressorterende dienstonderdelen.

• 2 De secretaris-generaal kan voor zijn eigen ministerie bepalen dat deze regeling op (delen van) dienstonderdelen met een bijzondere taak niet van toepassing is.

  Het Ministerie van Defensie heeft een eigenstandige positie op de door het Ministerie van Defensie te bepalen onderdelen van integrale beveiliging.

• 1 De minister die belast is met de leiding van een ministerie draagt zorg voor de aanstelling van een BVA. De BVA heeft een kaderstellende, adviserende en toezichthoudende rol over de integrale beveiliging van het departement. Er kan voor twee of meer ministeries één BVA aangesteld worden.

• 2 De secretaris-generaal die belast is met de ambtelijke leiding van een ministerie, is eindverantwoordelijk voor de integrale beveiliging en de inrichting en werking van het departementale beveiligingsstelsel. Deze secretaris-generaal stelt, binnen de rijksbrede kaders, het departementale integrale beveiligingsbeleid vast.

• 3 De BVA heeft een onafhankelijke positie en rechtstreeks toegang tot de secretaris-generaal van het ministerie. De onafhankelijke positie is nodig voor het systeemtoezicht op de opzet, bestaan en werking van de integrale beveiliging van het departement.

• 4 De benoeming en het ontslag van een BVA geschiedt na overleg met de Minister van Binnenlandse Zaken en Koninkrijksrelaties.

• 5 De BVA is verantwoordelijk voor het inrichten van de BVA-functie voor het ministerie en de onder haar ressorterende dienstonderdelen.

• 6 De BVA is agendalid van de Bestuursraad van het ministerie.

• 7 De BVA neemt, namens het ministerie, deel aan het BVA-beraad, bedoeld in artikel 10.

• 8 De BVA is standaard lid van het departementale Kerncalamiteitenteam dat bijeengeroepen wordt in geval van een calamiteit die gevolgen heeft voor de bedrijfsvoering en veiligheid van de aanwezigen.

• 9 De BVA-functie wordt zodanig ingericht dat over voldoende kennis en ervaring wordt beschikt om de taken, bedoeld in artikel 4, uit te voeren.

De secretaris-generaal die belast is met de ambtelijke leiding van een ministerie draagt aan de BVA met betrekking tot het ministerie, in ieder geval de volgende taken op:

• 1. het opstellen van het (inter)departementale integrale beveiligingsbeleid wat ervoor zorgt dat de primaire processen van het departement en daardoor ook de Rijksdienst zo veel mogelijk ongestoord doorgang kunnen vinden;

• 2. het opstellen van een meerjarige departementale visie ten aanzien van de integrale beveiliging, afgestemd op maatschappelijke en politiek-bestuurlijke ontwikkelingen en dreigingen;

• 3. het opstellen van beleid over accreditaties zodat de secretaris-generaal vooraf toestemming verleent voor het verwerken van bijzondere informatie;

• 4. het (doen en laten) uitvoeren van beveiligingsgerelateerde (periodieke) inspecties, audits en onderzoeken;

• 5. het (laten) ontwikkelen en (laten) onderhouden van een calamiteitenplan en de uitvoeringsprotocollen en de sturing op de totstandkoming daarvan;

• 6. het tot stand komen van een periodieke departementale dreigingsanalyse door het inzichtelijk en systematisch inventariseren, beoordelen en periodiek evalueren van de dreigingen en een daarop ingericht samenhangend stelsel van beveiligingsmaatregelen voor de beveiliging van de Te Beschermen Belangen op basis van risicomanagement;

• 7. het periodiek (schriftelijk) rapporteren over de stand van de integrale beveiliging aan de ambtelijke leiding en het informeren van de BVA Rijk hierover;

• 8. het initiëren en coördineren van onderzoeken naar mogelijke compromittering van bijzondere informatie, en in geval van compromittering het (namens de secretaris-generaal) treffen van (nood)maatregelen om verdere inbreuk te voorkomen en adviseren over te nemen vervolgstappen;

• 9. het gevraagd en ongevraagd adviseren aan de ambtelijke leiding en het lijnmanagement over de integrale beveiliging, te realiseren verbeteringen en beveiligingsmaatregelen;

• 10. het adviseren over en het coördineren van de operationele uitvoering van de beveiliging van bewindspersonen;

• 11. het adviseren over het aanwijzen en wijzigen van vertrouwensfuncties;

• 12. het laten afhandelen en het adviseren en toezicht houden bij belangrijke beveiligingsincidenten alsmede invulling van het incidentenmanagement ten behoeve van te leren lessen;

• 13. het houden van toezicht op de beveiliging van nationale belangen in relatie tot internationale verdragen en richtlijnen;

• 14. het toezicht houden op de implementatie en werking van de departementale en rijksbrede kaders van integrale beveiliging en het opstellen van een generiek dreigingsprofiel en een toezichtkader;

• 15. het inzichtelijk hebben van kwetsbare functies en toezicht houden op de weerbaarheid tegen ondermijning;

• 16. het bevorderen van de bewustwording over beveiligingsrisico’s binnen het ministerie;

• 17. het uitvoeren van opgedragen taken uit de Baseline intern persoonsgerichte onderzoeken;

• 18. Het fungeren als algemeen aanspreekpunt en contactpersoon voor de BVA Rijk, de AIVD, politie, (rijks)recherche, de NCTV en internationale organisaties (zoals EU en NAVO) over integrale beveiliging.

• 1 De dienstonderdelen van het ministerie en de aan integrale beveiliging gerelateerde functies zoals CIO en CISO verstrekken de BVA de informatie die redelijkerwijs noodzakelijk is voor de uitoefening van zijn taken op grond van dit besluit.

• 2 De BVA kan namens de secretaris-generaal in het geval van een (mogelijke) ernstige en/of acute inbreuk op de beveiliging van personen, gebouwen, materieel, goederen en overige objecten, of een risico daarop:

  • a. aanwijzingen geven aan iedere ambtenaar, externe medewerker en/of bezoeker voor zover dat noodzakelijk is voor de uitvoering van het integrale beveiligingsbeleid en de naleving van de beveiligingsvoorschriften; of

  • b. onverwijld maatregelen laten treffen om (zo veel als mogelijk) de beveiliging te laten herstellen en verdere schade te laten beperken.

• 3 De BVA is bevoegd tot het aanvragen van wijzigingen in of het laten wijzigen van de lijst met vertrouwensfuncties van een departement.

• 4 De BVA adviseert de secretaris-generaal en bereidt het besluit voor om (vooraf) toestemming te verlenen voor het verwerken van de nationale bijzondere informatie met de rubricering Departementaal Vertrouwelijk of hoger en voor het verwerken van internationale informatie van de EU en NAVO.

• 1 De secretaris-generaal die belast is met de ambtelijke leiding van een ministerie, draagt er zorg voor dat voor dienstonderdelen met een substantiële integrale beveiligingscomponent een BVC-functie wordt ingesteld. Benoeming en ontslag van de BVC-functie geschiedt in afstemming met de BVA.

• 2 Voor dienstonderdelen met een kleinere of minder complexe integrale beveiligingscomponent wordt door de ambtelijke leiding van het betreffende dienstonderdeel een BVC-rol toegewezen aan een functionaris. Toewijzing van de BVC-rol geschiedt in afstemming met de BVA.

• 3 De taken en bevoegdheden van de BVC zijn direct afgeleid van de taken en bevoegdheden van de BVA en worden vastgelegd in het BVA-stelsel van het ministerie.

• 4 De BVC is gepositioneerd in het dienstonderdeel en legt verantwoording af aan het bevoegd gezag van het dienstonderdeel.

• 5 De BVC heeft een functionele relatie met de BVA. De BVC verstrekt de BVA de informatie die naar zijn oordeel redelijkerwijs noodzakelijk is voor de uitoefening van zijn taken op grond van dit besluit.

• 1 De Minister van Binnenlandse Zaken en Koninkrijkrelaties stelt een BVA Rijk aan.

• 2 De BVA Rijk is belast met het bewaken van het integrale karakter en de consistentie van rijksbrede kaders voor integrale beveiliging, het bevorderen van een interdepartementale aanpak van beveiligingsissues, alsmede het toezicht op de werking van de integrale beveiliging van de Rijksdienst.

• 3 De BVA Rijk heeft een onafhankelijke positie en rechtstreeks toegang tot de secretaris-generaal van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. De onafhankelijke positie is nodig voor het rijksbrede toezicht, en voor de implementatie en werking van de rijksbrede kaders van integrale beveiliging.

De BVA Rijk is belast met de volgende taken:

• 1. vanuit een regierol stimuleren van beheersing van de integrale beveiliging en veiligheid binnen de Rijksdienst;

• 2. vanuit een regierol versterken van innovatie en de doorontwikkelingen van de organisatie en het vakgebied van integrale beveiliging binnen de Rijksdienst;

• 3. vanuit een regierol investeren in een cultuur van kennisdeling en het bevorderen van het lerend vermogen op het gebied van integrale beveiliging binnen de Rijksdienst;

• 4. vanuit een regierol vergroten van de bewustwording over beveiligingsrisico’s binnen de Rijksdienst;

• 5. het, voor wat betreft de integrale beveiliging, proactief bijdragen aan de gedachtevorming binnen de interdepartementale gremia op het terrein van de bedrijfsvoering en het zijn van gesprekspartner op rijksniveau voor (delen van) de instanties die zijn belast met specifieke onderdelen van de integrale beveiliging;

• 6. het stimuleren van de ontwikkeling (en waar nodig zelf opstellen) van rijksbrede kaders, normen en maatregelen voor integrale beveiliging en het inhoudelijke adviseren aan de verschillende (beleids)domeinen;

• 7. het bewaken van het integrale karakter en de consistentie van de rijksbrede kaders, normen en maatregelen voor beveiliging en het voorkomen of oplossen van lacunes, overlap en tegenstrijdigheden hierin;

• 8. het houden van systeemtoezicht op de werking en effectiviteit van de rijksbrede kaders van de integrale beveiliging van de Rijksdienst;

• 9. het (laten) ontwikkelen en (laten) onderhouden van een calamiteitenplan Rijksdienst en uitvoeringsprotocollen voor aspecten van integrale beveiliging waar een rijksbrede uniforme aanpak van belang is;

• 10. het functioneel aansturen van de BVA’s en het bevorderen van gemeenschappelijke belangen met inachtneming van ieders onderscheiden verantwoordelijkheden;

• 11. het adviseren van de Minister van Binnenlandse Zaken en Koninkrijksrelaties over de (mogelijke) impact van (voorgenomen) wet- en regelgeving, beleid en uitvoeringstrajecten voor de integrale beveiliging en veiligheid van de Rijksdienst;

• 12. het bevorderen van en, waar nodig, bepalen van een gezamenlijke aanpak van beveiligingsbeleid, beveiligingskwesties en beveiligingsbelangen die departement overstijgend zijn;

• 13. het in geval van departement overstijgende calamiteiten en dreigingen direct – waar mogelijk in overleg met de BVA’s en secretarissen-generaal – ingrijpen waar nodig om beveiligingsrisico’s te minimaliseren;

• 14. het voorbereiden van de jaarrapportage over integrale beveiliging, risico’s en dreigingen binnen de Rijksdienst.

• 1 De BVA Rijk kan de Minister van Binnenlandse Zaken en Koninkrijksrelaties rechtstreeks informeren, indien zijn taakuitoefening op grond van dit besluit daartoe aanleiding geeft. Dit gebeurt na overleg met de secretaris-generaal van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

• 2 De BVA’s, de CIO Rijk en de CISO Rijk verstrekken de BVA Rijk de informatie die naar zijn oordeel redelijkerwijs noodzakelijk is voor de uitoefening van zijn taken op grond van dit besluit.

• 3 De BVA Rijk heeft een interdepartementale coördinatierol bij rijksbrede beveiligingscalamiteiten. De BVA Rijk kan, na afstemming met de departementale BVA’s, in het geval van een (mogelijke) ernstige en/of acute inbreuk op de beveiliging van personen, gebouwen, materieel, goederen en overige objecten, of een risico daarop, onder verwijzing naar artikel 8, dertiende lid:

  • a. aanwijzingen geven aan iedere ambtenaar, externe medewerker en/of bezoeker voor zover dat noodzakelijk is voor de uitvoering van het integrale beveiligingsbeleid en de naleving van de beveiligingsvoorschriften.

  • b. onverwijld maatregelen laten treffen om (zo veel als mogelijk) de beveiliging te laten herstellen en verdere schade te laten beperken.

• 4 Voor de bevoegdheden genoemd in het derde lid, heeft de BVA Rijk, na afstemming met de BVA, indien nodig direct toegang tot de secretaris-generaal van ministeries.

• 5 De BVA Rijk kan een secretaris-generaal van een departement rechtstreeks informeren over de integrale beveiliging van het departement, indien zijn taakuitoefening op grond van dit besluit hiertoe aanleiding geeft. Dit gebeurt in overleg met de secretaris-generaal van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, tenzij de omstandigheden dat niet toelaten.

• 1 Er is een BVA-beraad dat op strategisch niveau de beveiliging van de gehele Rijksdienst bespreekt om opzet, bestaan en werking van de integrale beveiliging van de Rijksdienst te borgen en verbeteren. Het BVA-beraad coördineert centraal en in gezamenlijk overleg de beveiliging van de Rijksdienst en adviseert zo nodig aan interdepartementale besluitvormingsorganen.

• 2 Het BVA-beraad wordt voorgezeten door de BVA Rijk.

• 3 Het BVA-beraad is in formele zin een voorportaal voor besluitvorming in het overleg van secretarissen-generaal (SGO). Voorstellen van het BVA-beraad worden eerst besproken in de Interdepartementale Commissie Bedrijfsvoering Rijk (ICBR).

• 4 Het BVA-beraad doet (mede) voorstellen voor het rijksbrede integrale beveiligingsbeleid en een meerjarige visie, afgestemd op maatschappelijke en politiek-bestuurlijke ontwikkelingen en dreigingen, op voorspraak van BVA Rijk.

• 5 Het BVA-beraad doet (mede) voorstellen voor de kaders en normen voor integrale beveiliging en risicomanagement voor de ministeries en de daaronder ressorterende dienstonderdelen, op voorspraak van BVA Rijk.

• 6 Het BVA-beraad heeft tevens als doel kennisdeling en samenwerking te bevorderen.

• 7 Vaste leden van het BVA-beraad zijn de BVA Rijk en de BVA’s. Zij vertegenwoordigen het departement en de daaronder ressorterende dienstonderdelen.

Dit besluit wordt drie jaar na inwerkingtreding geëvalueerd en vervolgens elke drie jaar.

Dit besluit treedt in werking met ingang van 1 januari 2021.

Het beveiligingsvoorschrift Rijksdienst 2013 wordt ingetrokken.

Dit besluit wordt aangehaald als: Besluit BVA-stelsel Rijksdienst 2021.