Op 6 december 2022 werd de stad getroffen door een cyberaanval met een grote impact op de dienstverlening en werking van de stadsdiensten.
Artikel 56, §3, 4° Decreet over het Lokaal Bestuur stelt dat het college bevoegd is voor het voeren van de plaatsingsprocedure, de gunning en de uitvoering van overheidsopdrachten.
Bij de aanpak van de cyberaanval onderscheiden we twee verschillende programma’s. De aanpak van beveiliging en verbetering van de eigen netwerken van de autonome leden van de groep Antwerpen zijn in deze programma's niet meegenomen.
Enerzijds wordt het cyberincident zelf aangepakt en zorgen we ervoor dat de dienstverlening terug op het niveau staat van waar we stonden voor de aanval. Dit programma noemen we de aanpak van het cyberincident.
Daarnaast upgraden we het bestaande cyberprogramma tot het cyberprogramma 3.0 waarin we een versnelde uitrol van een cyberveiligheid gestoeld op CIS IG3 normen realiseren voor alle kroonjuwelen, met name de meest essentiële applicaties. Het gaat om het opzetten van cyberveilige omgevingen, het migreren van toepassingen, het uitrollen van Microsoft 365, securityinvesteringen en het overkoepelende programmamanagement.
Meerkosten
De kosten met betrekking tot de cyberaanval worden maximaal gefinancierd door de voorziene middelen voor IT in de meerjarenplannen van de leden van de groep Antwerpen. De twee programma’s brengen echter ook meerkosten met zich mee voor de verschillende klanten van AG Digipolis. Deze resulteren in onderstaande netto bedragen per programma en zijn in de meerjarenbegroting van deze klanten niet voorzien.
Aanpak cyberincident
Na de cyberaanval is er snel geschakeld. De nodige acties worden genomen om ervoor te zorgen dat de dienstverlening terug op het niveau staat van voor de cyberaanval. Deze acties hebben een netto kost van 10.930.000 euro. Dit bedrag moet voorzien worden in het huidige meerjarenplan.
Cyberprogramma 3.0.
Dit programma omvat het versneld invoeren van een cyberveiligheid gestoeld op CIS IG3 normen. De meerkost van dit programma wordt ingeschat op circa 48 miljoen euro.
In totaal zal er ook qua personeel een meerkost zijn om deze programma’s uit te voeren. De inschatting is dat deze meerkost circa 36 miljoen euro bedraagt doordat niet alle voorziene personele middelen zuiver voor cyber kunnen worden ingezet (projecten, beheer en ondersteuning, …).
Realisatiegraad
Op basis van een realistische omzettingsgraad kan AG Digipolis maximaal 64 miljoen euro omzetten binnen het huidige meerjarenplan tot 2025 voor het cyberincident en het cyberprogramma, bovenop de reguliere omzettingsgraad. Deze maximale omzetcapaciteit is bepaald op basis van de realisatie 2022, het aanwerven van 29 VTE en het invullen van behoeften via standaardtoepassingen. De totale omzet zal dus hoger liggen dan de vorige jaren. Op basis van deze inschatting zal een deel van het cyberprogramma 3.0 verder doorlopen in het meerjarenplan 2026-2031.
De netto-meerkosten worden als volgt gespreid in de tijd:
2023 | 2024 | 2025 | totaal | |
Kostenraming | € 19.178.531 | € 32.000.000 | € 12.821.470 | € 64.000.000 |
Tegen de zevende aanpassing van het meerjarenplan 2020-2025 wordt eveneens een scenario uitgewerkt waarin de realisatiegraad nog verhoogd wordt opdat het cyberprogramma 3.0 maximaal gerealiseerd wordt binnen de huidige meerjarenbegroting, met een grotere meerkost.
Op fiscaal vlak is het AG Digipolis Antwerpen gestructureerd als zelfstandige groepering van personen ("kostendelende vereniging") zoals voorzien in artikel 44, §2bis van het Btw-wetboek. AG Digipolis Antwerpen zal haar leden factureren voor de geleverde goederen en diensten en voor hun aandeel in de gezamenlijke kosten van het cyberincident en het cyberprogramma. Dit betekent dat de leden en ook een aantal niet-leden de meerkost van 64 miljoen betalen volgens bepaalde verdeelsleutels.
De algemene verdeelsleutel is gebaseerd op het effectief gebruik van de infrastructuur en ziet er als volgt uit:
STAD | BZA | PZA | AG SO | ZBA | VESPA | MPA |
84,75% | 1,70% | 3,00% | 2,70% | 6,90 | 0,83% | 0,12% |
Voor herstel en installatie van bestaande en nieuwe toepassingen worden de kosten verdeeld op basis van het gebruik van de toepassing.
De meerkosten voor 2023-2025 van de aanpak van het cyberincident en het uitrollen van het cyberprogramma 3.0 overstijgen de huidige budgetten die door de leden van de groep Antwerpen voorzien zijn in het meerjarenplan. Deze meerkosten zullen bij de zevende aanpassing van het meerjarenplan budgettair verwerkt worden. In de tussentijd prefinancieren de leden en niet-leden de meerkosten die op hen betrekking hebben volgens de verdeelsleutels. Dit gebeurt in de wetenschap dat bij de zevende aanpassing van het meerjarenplan de bedragen aanvullend op de stedelijke dotaties voorzien worden vanuit de centrale stedelijke begroting.
Aandeel per klant voor 2023-2025 van de netto meerkosten
2023 investeringen | 2024 investeringen | 2025 investeringen | |
Stad Antwerpen | € 16.312.716,61 | € 27.839.440,00 | € 11.512.721,86 |
Brandweerzone Antwerpen | € 331.839,66 | € 465.824,66 | € 142.754,74 |
Politiezone Antwerpen | € 517.766,95 | € 857.310,92 | € 279.855,87 |
AG Zorgbedrijf Antwerpen | € 1.059.634,84 | € 1.403.954,69 | € 472.566,12 |
AG Stedelijk Onderwijs | € 486.805,60 | € 678.040,11 | € 205.134,54 |
AG VESPA | € 223.616,77 | € 318.090,46 | € 85.615,93 |
AG MPA | € 133.411,23 | € 203.949,71 | € 42.524,08 |
VZW Integratie en inburgering | € 96.432,75 | € 196.821,32 | € 66.690,17 |
Beschut Wonen Antwerpen | € 16.296,93 | € 32.593,87 | € 10.796,72 |
AG Culturele instellingen Antwerpen/erfgoed | € 9,23 | € 3.974,27 | € 2.809,58 |
Totaal | € 19.178.531 | € 32.000.000 | € 12.821.470 |
De evolutie naar een cyberveilige omgeving behelst zowel de omgeving zelf, als ook de veiligheid van de toepassingen. Bij de zevende aanpassing van het meerjarenplan zal Digipolis de recurrente exploitatiekosten die voortvloeien uit het cyberincident en het cyberprogramma berekenen op basis van de (security-) vereisten en de maximale inzet van standaard toepassingen (SAP, Microsoft en Salesforce).
De netto meerkosten voor de recurrente exploitatiekosten en het aandeel van de leden en niet leden zullen aan het college voorgelegd worden bij de 7e aanpassing van het meerjarenplan.
De prestaties en aankopen die AG Digipolis heeft gedaan in het kader van de aanpak van het cyberincident en het cyberprogramma 3.0 zullen aan de verschillende klanten worden gefactureerd op basis van de verschillende verdeelsleutels.
De budgettaire aspecten van deze meerkosten worden geregeld bij de zevende aanpassing van het meerjarenplan.
Het college beslist om de meerkosten van het cyberincident en het cyberprogramma budgettair te verwerken bij de zevende aanpassing van het meerjarenplan.
Het college beslist dat de prestaties en aankopen die AG Digipolis tot en met 31 mei 2023 heeft gedaan en nog zal doen in het kader van de recovery en het cyberprogramma 3.0 aan de verschillende leden en niet leden onmiddellijk worden gefactureerd. De facturen moeten binnen de 30 dagen voldaan worden.
Het college beslist dat de kosten voor herstel en installatie van bestaande en nieuwe toepassingen worden verdeeld op basis van het gebruik van de toepassing.
Het college beslist dat de kosten van het cyberincident en het cyberprogramma worden verdeeld op basis van onderstaande verdeelsleutel:
STAD | BZA | PZA | ZBA | AG SO | VESPA | MPA |
84,75% | 1,70% | 3,00% | 6,90% | 2,70% | 0,83% | 0,12% |
Het college geeft opdracht aan:
Entiteit | Opdracht |
AG Digipolis | Om tegen 15 juni een overzicht te bezorgen van het bedrag aan ontvangen leveranciersfacturen gekoppeld aan het cyberincident en het cyberprogramma 3.0. Het algemeen overzicht per entiteit moet bezorgd worden aan stad Antwerpen Financiën Thesaurie. Elke entiteit ontvangt een individueel overzicht van het aandeel. |
AG Digipolis | Om tegen 30 juni alle gerealiseerde kosten gekoppeld aan het cyberincident en het cyberprogramma 3.0 te factureren aan de entiteiten volgens hun aandeel in deze kosten. |