Zes bedrijven hebben de aanbesteding gewonnen van de Vereniging van Nederlandse Gemeenten (VNG) voor het leveren van monitoring, detectie & respons (mdr)-dienstverlening aan de deelnemende gemeenten. Het betreft Deltics, Ilionx, Orange Cyberdefense, PQR, Tesorion en Thales. De geschatte contractwaarde over de gehele looptijd van acht jaar is honderd miljoen euro. Het zestal volgt KPN op waarmee VNG de samenwerking op 1 juli 2022 verbrak.
KPN zou sinds juni 2019 zogeheten siem (security information and event management)- en soc (security operations center)-diensten leveren aan 211 deelnemers van de GGI-Veilig-aanbesteding. Die samenwerking liep echter spaak. De VNG is ditmaal na een nieuwe aanbesteding in zee gegaan met maar liefst zes partijen. Nu onder de noemer van een mdr-dienstverlening, een bredere aanpak waar siem- en soc-diensten onder vallen, evenals het uitvoeren van forensisch onderzoek, het coördineren van de respons bij incidenten, advisering en cybersecuritytrainingen aan gemeenten.
De winnaars van deze tender, Deltics, Ilionx, Orange Cyberdefense, PQR, Tesorion en Thales, moeten opdrachten via onderlinge minicompetities zien binnen te halen.
De looptijd van de raamovereenkomsten is vier jaar, waarbij nadere overeenkomsten met een looptijd tot 8 jaar geplaatst kunnen worden. De geschatte waarde over de gehele looptijd van acht jaar is honderd miljoen euro. De VNG trok met het organiseren van deze nieuwe GGI-Veilig-aanbesteding op met Bizob (Stichting Bureau inkoop en aanbesteden Zuidoost-Brabant), de inkoopdienst voor Brabantse gemeenten. In totaal hebben 65 aanbestedende diensten, die 127 organisaties vertegenwoordigen, zich aangemeld voor deze tender.
Volgens de VNG is de mdr-dienstverlening meer dan welkom, want het aantal cyberrisico’s voor gemeenten groeit. Volgens het Dreigingsbeeld Informatiebeveiliging 2023-2024 van de Informatiebeveiligingsdienst (IBD) neemt het aantal ransomware-aanvallen met destructieve gevolgen toe. Dat geldt ook voor ernstige kwetsbaarheden in software en dataketens. Daarbij maken gemeenten steeds intensiever gebruik van informatiesystemen en verwerken zij veel gevoelige informatie zoals persoonsgegevens.
GGI-Veilig
GGI staat voor de Gemeentelijke Gemeenschappelijke Infrastructuur (GGI) die de VNG voor de gemeenten wil realiseren. Hierbinnen vormt GGI-Veilig het portfolio van producten en diensten gericht op informatiebeveiliging, uiteenlopend van mdr tot aan de levering van endpoint-security en datacenterbeveiliging.
Eerder al sloot de VNG in het kader van GGI-Veilig contracten voor security-producten/diensten (met KPN, Protinus IT en Telindus-ISIT als leverancier) en adviesdiensten (met Capgemini, BDO Advisory, KPN, Ordina, It-Staffing en Protinus IT als partners). Deze GGI-Veilig-contracten lopen in 2024 af.
Juridisch (op Europees niveau) vind ik het bijzonder dat een vereniging de leden verplichtingen op wil leggen middels contractuele overeenkomsten die in strijd zijn met de vrije marktwerking. Wat betreft een Gemeentelijke Gemeenschappelijke Infrastructuur (GGI) die VNG voor de gemeenten wil realiseren mist het poldermodel een directe democratische inspraak doordat ambtenaren op de bok gaan zitten.