Inbreng verslag van een schriftelijk overleg over het Fiche: Verordening Informatiebeveiliging in de instellingen, organen en instanties van de Unie (Kamerstuk 22112-3405)
Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie
Inbreng verslag schriftelijk overleg
Nummer: 2022D21936, datum: 2022-05-30, bijgewerkt: 2024-02-19 10:56, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (nds-tk-2022D21936).
Gerelateerde personen:- Eerste ondertekenaar: R.J. Kamminga, voorzitter van de vaste commissie voor Digitale Zaken (VVD)
- Mede ondertekenaar: I. van Tilburg, adjunct-griffier
Onderdeel van zaak 2022Z08541:
- Indiener: W.B. Hoekstra, minister van Buitenlandse Zaken
- Volgcommissie: vaste commissie voor Binnenlandse Zaken
- Volgcommissie: vaste commissie voor Europese Zaken
- Voortouwcommissie: vaste commissie voor Digitale Zaken
- 2022-05-17 15:40: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2022-05-18 11:00: Procedurevergadering (Procedurevergadering), vaste commissie voor Digitale Zaken
- 2022-05-30 14:00: BNC-fiches inzake Verordening Informatiebeveiliging en cybersecurity in de instellingen, organen en instanties van de Unie (Inbreng schriftelijk overleg), vaste commissie voor Digitale Zaken
- 2023-09-05 15:20: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
Preview document (🔗 origineel)
2022D21936 INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG
Binnen de vaste commissie voor Digitale Zaken hebben enkele fracties de behoefte om enkele vragen en opmerkingen voor te leggen aan de Minister van Justitie en Veiligheid en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over het Fiche: Verordening cyberbeveiliging van instellingen, organen en instanties van de Europese Unie (Kamerstuk 22 112, nr. 3406) en het Fiche: Verordening Informatiebeveiliging in de instellingen, organen en instanties van de Unie (Kamerstuk 22 112, nr. 3405)
De voorzitter van de commissie,
Kamminga
De adjunct-griffier van de commissie,
Van Tilburg
| Inhoudsopgave | Blz. | |
| I | Vragen en opmerkingen vanuit de fracties | 2 |
| Vragen en opmerkingen van de leden van de VVD-fractie | 2 | |
| Vragen en opmerkingen van de leden van de SP-fractie | 2 | |
| Vragen en opmerkingen van de leden van de GroenLinks-fractie | 3 | |
| Vragen en opmerkingen van het lid van de BBB-fractie | 4 | |
| II | Antwoord / Reactie van de Minister | 4 |
I Vragen en opmerkingen vanuit de fracties
Vragen en opmerkingen van de leden van de VVD-fractie
De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de stukken voor het schriftelijk overleg: BNC-fiches inzake Verordening Informatiebeveiliging en cybersecurity in de instellingen, organen en instanties van de Unie. Deze leden onderschrijven de doelstellingen van de verordeningen en hebben hierover nog enkele vragen en opmerkingen.
Fiche: Verordening cyberbeveiliging van instellingen, organen en instanties van de Europese Unie
De leden van de VVD-fractie lezen dat digitale weerbaarheid wat het kabinet betreft niet meer vrijblijvendheid kan zijn. Op welke manieren kan dit voldoende worden gewaarborgd in het deze verordening? Hoe verhoudt deze verordening zich tot de NIS 2-richtlijn?
De leden van de VVD-fractie lezen dat de instellingen, organen en instanties van de Unie (EU-IOA’s) eigen kaders mogen opstellen die betrekking hebben op cybersecurity. Deze leden begrijpen dat er verschillen in de kaders kunnen zijn tussen de verschillende EU-IOA’s, maar zouden een wirwar van kaders ook een risico kunnen zijn voor bestuurbaarheid en digitale veiligheid? Digitale veiligheid is zo sterk als de zwakste schakel. Is het kabinet het met deze leden eens dat in alle kaders minimale veiligheidseisen geborgd moeten worden? Zo ja, gaat het kabinet dit meenemen bij de behandeling van deze verordening? Zo nee, waarom niet?
Fiche: Verordening Informatiebeveiliging in de instellingen, organen en instanties van de Unie
De leden van de VVD-fractie onderschrijven de beoordeling van het kabinet over de eigen merkingen van EU-IOA’s. Deze leden onderschrijven ook de inzet van het kabinet over het verwijderen van de categorie «niet gerubriceerde informatie» uit de verordening. Wat is het standpunt van andere lidstaten over het verwijderen van de categorie «niet gerubriceerde informatie»? Op welke manier kan de slagkracht van de veiligheidsdirectoraten van de EU-IOA’s beter gepositioneerd en verbeterd worden zodat informatie beter beveiligd kan worden?
Vragen en opmerkingen van de leden van de SP-fractie
De leden van de SP-fractie hebben kennisgenomen van de BNC-fiches die gaan over de verbetering van de informatiebeveiliging van EU-instellingen, organen en instanties, alsmede de verbetering van de cyberbeveiliging. Over de twee verordeningen hebben deze leden los wat vragen, maar ook wat algemene overkoepelende vragen.
De leden van de SP-fractie vragen of het mogelijk is aan te geven wat nu de stand van zaken is bij de verschillende EU-instellingen, organen en instanties. Het verwondert deze leden dat er een verordening nodig is om de informatiebeveiliging op orde te krijgen. Kan het kabinet aangeven waarom dit niet intrinsiek als opdracht wordt ervaren? Deze leden vragen hetzelfde over de verordening cyberbeveiliging; welke EU-instellingen, organen en instanties zijn kwetsbaar en hoe komt dat?
De leden van de SP-fractie zijn er van overtuigd dat als er nu een goede analyse wordt gemaakt, het daarmee ook mogelijk is voortgang in de informatiebeveiliging en cyberbeveiliging te volgen. Hoe ziet het kabinet dit?
De leden van de SP-fractie zijn voor zowel de informatie- als de cyberbeveiliging benieuwd naar het speelveld van de verschillende lidstaten en de Nederlandse positie. Waar staat Nederland (redelijk) alleen en waar niet? Hoe ziet het kabinet haar rol in het agenderen van hogere standaarden van beveiliging? Hoe leren EU-IOA’s van een datalek of een cyberaanval bij één van hen? Is er met de nieuwe voorstellen rond het uitwisselen van informatie en het instellen van het Cyberbeveiligingscentrum sprake van overlappende taken met nationale cyberbeveiligingsinstellingen of juist van braakliggend terrein? Kan het kabinet daar op ingaan?
Tot slot vragen de leden van de SP-fractie hoe het kabinet ervoor wil zorgen dat dit inhoudelijke, maar zeker ook technische onderwerp, voldoende geborgd is als het bij de Raad Algemene Zaken wordt besproken? Kan het kabinet daar een bespiegeling op geven?
Vragen en opmerkingen van de leden van de GroenLinks-fractie
Fiche: Verordening cyberbeveiliging van instellingen, organen en instanties van de Europese Unie
De leden van de GroenLinks-fractie zien cybersecurity als randvoorwaarde van een digitaliserende samenleving en overheid. Dit is natuurlijk ook van toepassing op Europese instellingen, organen en instanties (EU-IOA’s). Deze leden lezen dat EU-IOA’s ten minste om de drie jaar een maturiteitsbeoordeling van hun cyberbeveiliging dienen uit te voeren. Weet het kabinet waar deze tijdsspanne op gebaseerd is? Is het kabinet het ermee eens dat veranderingen in de cyberwereld in een hoog tempo gaan, en de voorgestelde tijdsspanne tussen maturiteitsbeoordeling wellicht te lang is?
De leden van de GroenLinks-fractie lezen ook dat de interinstitutionele raad voor cyberbeveiliging (IICB) slechts niet-bindende waarschuwingen kan geven en audits kan aanbevelen. Denkt het kabinet dat dit voldoende effect heeft op EU-IOA’s? Deze leden lezen namelijk ook dat de Europese Rekenkamer geconcludeerd heeft dat het paraatheidsniveau van de EU-IOA’s over het algemeen niet in verhouding staat tot de dreiging.1 Deze leden hopen op een kritische houding richting de EU-IOA’s met betrekking tot dit thema.
De leden van de GroenLinks-fractie stellen vast dat CERT-EU, onder andere, ook de bevoegdheid tot het delen van informatie met nationale instanties van lidstaten en tot het samenwerken met derde landen krijgt. Wordt er ook toezicht gehouden op deze bevoegdheden? Hoe ziet het kabinet de controlerende rol van het Europees Parlement als democratisch gekozen volksvertegenwoordigers in bredere zin in dit dossier?
Fiche: Verordening Informatiebeveiliging in de instellingen, organen en instanties van de Unie
De leden van de GroenLinks-fractie zien het als nuttig en waardevol dat er een voorstel ligt voor een gemeenschappelijk niveau van informatiebeveiliging. Deze leden lezen dat ieder EU-IOA een eigen intern informatiebeveiligingsbeleid kan opzetten. Deze leden vragen wat het kabinet ervan vindt dat hierbij elk EU-IOA een «eigen wiel» zal moeten uitvinden, in plaats van dat er gekozen is voor harmonisatie van informatiehuishouding tussen instellingen, organen en instanties. Hoe wordt er door het Nederlandse kabinet gepleit voor meer harmonisering?
De leden van de GroenLinks-fractie lezen dat er een interinstitutionele coördinatiegroep voor informatiebeveiliging wordt opgericht, waarin de beveiligingsautoriteiten van de EU-IOA’s vertegenwoordigd zijn. Deze leden zijn benieuwd of het Europees Parlement hier ook bij betrokken is. Hier werkt ook een grote groep mensen met mogelijk gevoelige informatie. Deze leden vinden het wenselijk dat medewerkers van het Europees Parlement ook geïnformeerd worden over het belang van informatiehuishouding en dat het Europees Parlement kan meebeslissen over informatiebeveiliging.
De leden van de GroenLinks-fractie delen de zorgen van het kabinet over tot in hoeverre de beveiliging van informatie in de categorie niet-gerubriceerde informatie op de voorgestelde manier niet gewaarborgd is.
Vragen en opmerkingen van het lid van de BBB-fractie
Het lid van de BBB-fractie heeft met interesse kennisgenomen van de BNC-fiches inzake Verordening Informatiebeveiliging en cybersecurity in de instellingen, organen en instanties van de Unie. Het kabinet vraagt zich af of de IICB wel voldoende bevoegdheden krijgt om goed te kunnen bijdragen aan een hoger en gemeenschappelijker niveau van de digitale weerbaarheid, aangezien de IICB enkel niet-bindende waarschuwingen kan geven en audits kan aanbevelen. Ook vraagt het kabinet zich af in hoeverre de EU-lidstaten voldoende vertegenwoordigd zijn in de IICB, aangezien de veiligheid van de EU-IOA’s ook de belangen van de lidstaten raakt
Het lid van de BBB-fractie heeft daarom de volgende vragen aan de Minister. Wat is de reden dat de termijn van 24 uur voor het melden van significante cyberdreigingen, kwetsbaarheden of incidenten aan het CERT-EU onderhavig is aan discussie? Wat zijn mogelijke uitzonderingsgronden om van deze termijn af te wijken? Welke extra bevoegdheden ziet het kabinet concreet voor het IICB? Wat is het standpunt van andere lidstaten hierover? Welke lidstaten delen het standpunt van het kabinet dat lidstaten voldoende vertegenwoordigd moeten zijn in de IICB? Europese landen zijn vaak afhankelijk van buitenlandse leveranciers voor cyberbeveiligingsdiensten, waaronder Amerikaanse bedrijven. In hoeverre borgt dit voorstel de veiligheid van EU-IOA’s als deze bedrijven niet aan dezelfde veiligheidsregels worden onderworpen?
II Antwoord / Reactie van de Minister
Europese Rekenkamer, 2022, Speciaal verslag, «Cyberbeveiliging van EU-instellingen, -organen en -agentschappen, Paraatheidsniveau staat over het algemeen niet in verhouding tot dreigingen» (https://www.eca.europa.eu/Lists/ECADocuments/SR22_05/SR_cybersecurity-EU-institutions_NL.pdf).↩︎