Preview document (🔗 origineel)

---

> Retouradres Postbus 20701 2500 ES Den Haag
de Voorzitter van de Tweede Kamer der Staten-Generaal Bezuidenhoutseweg 67 2594 AC Den Haag
Datum	26 januari 2026
Betreft	Beantwoording Feitelijke Vragen GrIT

Geachte voorzitter,

Op 17 december jl. heeft de vaste commissie van Defensie feitelijke vragen gesteld over de zevende voorgangsrapportage van het programma Grensverleggende IT. Hierbij bied ik u de antwoorden aan op de feitelijke vragen.

DE STAATSSECRETARIS VAN DEFENSIE

Gijs Tuinman

Feitelijke vragen van de vaste commissie Defensie over de zevende voorgangsrapportage over het programma Grensverleggende IT.

1. Zijn er veiligheidsrisico’s verbonden aan de betrokkenheid van de Amerikaanse bedrijven Kyndryl en Cisco bij de IT-structuur in verband met de voor deze bedrijven geldende Amerikaanse wetgeving? Zo ja, hoe worden deze risico’s uitgesloten of gemitigeerd?

Defensie ziet op dit moment geen veiligheidsrisico’s bij de inzet van de Amerikaanse bedrijven Kyndryl en Cisco. Alle data wordt uitsluitend binnen de eigen Defensie‑datacenters verwerkt en opgeslagen; export van die data is niet toegestaan. Toegang tot de datacenters hebben alleen personen met een passende screening, en medewerkers van Kyndryl en Cisco ondergaan dezelfde strenge veiligheidsonderzoeken als defensiepersoneel. Deze maatregelen sluiten de invloed van Amerikaanse wetgeving op de IT‑systemen effectief uit of mitigeren ze.

2. Kunt u nader toelichten tot welke kosten het langer actueel houden van huidige IT heeft geleid? Welke IT betreft het hier?

Het betreft kosten voor extra lifecycle-management, bijvoorbeeld cybersecurity, met name op het gebied van werkplek-gerelateerde zaken, en enkele noodzakelijke uitbreidingen van huidige (private) clouddiensten. Dit is het gevolg van de vertraging in de planning van het programma GrIT (in totaal € 6,1 miljoen over de rapportageperiode van 1 januari 2025 tot en met 30 juni 2025).

3. Is ten opzichte van de vorige voortgangsrapportage binnen het programma GrIT de benodigde Defensiecapaciteit ook voor het hele jaar 2025 en tot medio 2026 georganiseerd?

De capaciteit voor de tweede helft van 2025 is geborgd, dit zal ook in de volgende Voortgangsrapportage worden opgenomen.

Voor 2026 heeft het programma de capaciteitsbehoefte aangegeven voor het hele kalenderjaar, waarbij in overleg met de betrokken afdelingen per kwartaal de capaciteit definitief wordt geborgd.

De benodigde capaciteit wordt per kwartaal herijkt, aangepast op de actuele stand van zaken, zodat Defensie (schaarse) capaciteit optimaal kan inzetten voor alle programma’s en projecten die prioriteit hebben.

4. Kunt u van de genoemde negen hoofdrisico’s aangeven wat de inschatting is van de kans van optreden en de inschatting van de impact? Kan dit in volgende voortgangsrapportages worden opgenomen? In bijgevoegde vertrouwelijke bijlage is de risicomatrix toegevoegd. In deze matrix wordt voor de negen hoofdrisico’s de kans en impact aangegeven. In toekomstige voortgangsrapportages wordt deze matrix toegevoegd aan de vertrouwelijke bijlage. Daarbij merk ik op dat de risicomatrix betrekking heeft op de rapportageperiode van 1 januari 2025 tot 30 juni 2025. Voor de volgende voortgangsrapportage zal de matrix worden geactualiseerd. Vooruitlopend hierop wil ik uw Kamer informeren dat risico drie, inzake koppelingen, zich inmiddels heeft voorgedaan. De oplevering van het Private Cloud Platform (PCP) op 15 oktober 2025 is mede vertraagd omdat koppelingen tussen de nieuwe IT en de bestaande IT onvoldoende gemaakt konden worden. Er zijn mitigerende maatregelen genomen om de impact op de rest van het programma te verkleinen en te zorgen voor een snelle oplevering. Hierover wordt u in de volgende voortgangsrapportage nader geïnformeerd.