[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [🧑mijn] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Inbreng verslag van een schriftelijk overleg over het Fiche: Aanbeveling Blueprint Cyber (Kamerstuk 22112-4018)

Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie

Inbreng verslag schriftelijk overleg

Nummer: 2025D21651, datum: 2025-05-15, bijgewerkt: 2025-05-30 12:17, versie: 3 (versie 1, versie 2)

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (nds-tk-2025D21651).

Gerelateerde personen:

Onderdeel van zaak 2025Z06568:

Onderdeel van activiteiten:

Preview document (🔗 origineel)


2025D21651 INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Binnen de vaste commissie voor Digitale Zaken hebben enkele fracties de behoefte om enkele vragen en opmerkingen voor te leggen aan de Minister van Justitie en Veiligheid over de brief «Fiche: Aanbeveling Blueprint Cyber» (Kamerstuk 22 112, nr. 4018).

De voorzitter van de commissie,

Wingelaar

Adjunct-griffier van de commissie,

Muller

Inhoudsopgave

I Vragen en opmerkingen vanuit de fracties
Vragen en opmerkingen van de leden van PVV-fractie
Vragen en opmerkingen van de leden van GL-PvdA-fractie
Vragen en opmerkingen van de leden van VVD-fractie
Vragen en opmerkingen van de leden van NSC-fractie
Vragen en opmerkingen van de leden van BBB-fractie
II Antwoord/reactie van de bewindspersoon

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de PVV-fractie

De leden van de PVV-fractie hebben met interesse kennisgenomen van de stukken op de agenda van het schriftelijk overleg over de Fiche: Aanbeveling Blueprint Cyber (Kamerstuk 22 112-4018). Naar aanleiding hiervan hebben deze leden nog een aantal vragen.

De leden van de PVV-fractie constateren allereerst dat het kabinet benadrukt dat de beheersing van incidenten en crises in eerste instantie bij de lidstaten zelf ligt, en dat pas bij een grootschalig grensoverschrijdend incident wordt overgegaan op EU-structuren. Daarbij stelt het kabinet dat de Blueprint explicieter moet aangeven dat nationale structuren leidend zijn. Wat gaat de Minister doen om ervoor te zorgen dat dit door de Commissie geborgd gaat worden? Komt Nederland eventueel zelf met een voorstel hiertoe?

Daarnaast merken deze leden op dat het kabinet vragen stelt bij de inzet van gelden uit het Digital Europe Programme voor veilige communicatie, en verzoekt om verduidelijking over de wijze waarop dit gefinancierd kan worden binnen de bestaande budgettaire kaders. Is de Minister voornemens opheldering te vragen hoe deze veilige communicatie eruit zou moeten zien? Maakt IRIS2 («Infrastructure for Resilience, Interconnectivity and Security by Satellite») hier onderdeel van uit en hoe verhoudt zich dit tot bijvoorbeeld Starlink?

Ook nemen zij kennis van het feit dat het kabinet positief oordeelt over het niet-bindende karakter van de Blueprint Cyber (hierna ook: Blueprint). Tegelijkertijd spreekt het kabinet de wens uit dat de Blueprint handzaam en effectief in de praktijk wordt toegepast. Kan de Minister bij de implementatie van deze aanbeveling borgen dat dit niet leidt tot toenemende regeldruk? Wordt deze aanbeveling puur als facultatief beleidsinstrument gezien?

Voorts constateren de leden van de PVV-fractie dat het kabinet in de Nederlandse Cybersecuritystrategie inzet op versterking van het Nationaal Cyber Security Centrum (NCSC), onder andere door middel van een centraal meldportaal. Tegelijkertijd krijgt de EU-coördinatie via de Blueprint een nadrukkelijkere rol. Wat betekent de voorgestelde coördinatie op EU-niveau voor de positie, taken en bevoegdheden van het NCSC tijdens een cybercrisis? Moet het NCSC zijn werkwijze aanpassen aan Europese afspraken?

Tevens merken deze leden op dat het kabinet actief werkt aan de implementatie van de NIS2-richtlijn in de Nederlandse Cyberbeveiligingswet (Cbw), waarmee onder andere meldplichten en incidentenclassificatie geregeld zullen worden. Tegelijkertijd noemt de Blueprint aanvullende voorstellen over detectie, meldstrategieën en samenwerking. Hoe verhoudt de Blueprint Cyber zich tot de NIS2-richtlijn en de Cyberbeveiligingswet? Zijn er tegenstrijdigheden of overlap in meldplichten en procedures?

Vervolgens lezen zij dat onder het thema «reageren op een cybercrisis» ook wordt stilgestaan bij de inzet en samenhang van bestaande initiatieven zoals de inzet van responsopties zoals handelsverboden op aanhoudende kwaadaardige cyberactiviteiten. Hoe verhoudt dit zich tot het huidige beleid, dat bestaat uit het overnemen van internationale sancties nadat de VN-veiligheidsraad hiervoor een resolutie heeft aangenomen en het opleggen van sancties vanuit het Gemeenschappelijk Buitenlands en Veiligheid Beleid van de EU? Hoe kijkt de Minister er tegenaan als hieruit een nieuw sanctiebeleid zou volgen?

Tot slot lezen de leden van de PVV-fractie dat het kabinet graag de betrokkenheid ziet van de NAVO bij oefeningen ter voorbereiding op een grootschalige cybercrisis, waarbij aandacht wordt behouden voor EU-lidstaten die niet bij de NAVO zijn aangesloten. Hoe ziet het kabinet dat voor zich? Wijken deze oefeningen af van «Locked Shields» (een jaarlijks georganiseerde grootschalige cyberoefening)?

De leden van de GroenLinks-PvdA-fractie hebben kennisgenomen van de Blueprint Cyber en het bijbehorende BNC-fiche. Deze leden verwelkomen de stap richting een gecoördineerde EU-strategie voor het voorkomen en verhelpen van cybercrises. Daarvoor zijn harde afspraken nodig over acute zaken zoals de crisisrespons, maar ook het handhaven van standaarden zoals interoperabiliteit. Hierover hebben zij enkele vragen en opmerkingen.

De leden van de GroenLinks-PvdA-fractie benadrukken de noodzaak voor Europese samenwerking ten behoeve van de cyberveiligheid. Deze moet publiek-privaat worden vormgegeven, zodat kennis en kunde wordt uitgewisseld en hier snel op wordt gehandeld. Hierin dienen publieke organisaties een sturende rol te spelen, omdat cyberveiligheid een publiek algemeen belang is. Welke verantwoordelijkheden hebben overheidsorganisaties ten opzichte van private organisaties in de nieuwe Europese samenwerkingen? Kunt u uitleggen wat er in de praktijk verandert met de komst van de Blueprint Cyber? Welke aanvullende verantwoordelijkheden krijgen overheden en bedrijven? Wat verandert er ten opzichte van de huidige situatie en kunt u de voordelen van de maatregelen kwantificeren, bijvoorbeeld in de verwachte reactietijd van lidstaten bij een grootschalige netwerkstoring?

Deze leden willen dat de meest actuele dreigingsinformatie betrouwbaar wordt vormgegeven. Het monitoren van dreigingen ligt verspreid over verschillende publieke en private partijen. Zal de Blueprint leiden tot een intensievere samenwerking binnen bestaande nationale samenwerkingsverbanden, zoals het Nationaal Cyber Security Centrum (NCSC)? Kunt u expliciet maken welke ministeries betrokken zijn en welke nieuwe verantwoordelijkheden van hen worden verwacht? Wat schrijft de Blueprint Cyber voor nieuwe verantwoordelijkheden aan de inlichtingen- en veiligheidsdiensten AIVD en MIVD? Zij vragen u ook om in te gaan op wat de Blueprint voorschrijft op het gebied van informatiedeling tussen de EU en niet-EU partners.

De leden van de GroenLinks-PvdA-fractie steunen de suggestie van een continue cyclus van cyberoefeningen. Cyberaanvallen en -storingen zijn doorgaans abstract, waardoor de paraatheid noch bij burgers, noch de overheid, noch het bedrijfsleven wordt doorleefd. Hoe ziet u een dergelijke cyclus voor zich? Op welke organisaties en infrastructuur zijn deze oefeningen van toepassing? Doen Nederlandse organisaties al mee aan grootschalige cyberoefeningen en, zo ja, wat wordt er met de opgedane lessen gedaan? Via welke kanalen wordt deze informatie gecommuniceerd aan Europese partners en wat gaat de Blueprint Cyber daarin veranderen? Is het doel van de cyberoefeningen ook om het maatschappelijke bewustzijn te vergroten, of enkel om de paraatheid van organisaties te toetsen?

Deze leden steunen de roep om een robuuste en gediversifieerde Domain Name System (DNS)-infrastructuur. De roep om redundantie en soevereiniteit van het DNS geldt volgens hun voor alle onderdelen van onze kritieke digitale infrastructuur. Daarmee hoort het vergroten van de digitale soevereiniteit een expliciet doel te zijn van de Europese cyberveiligheidsagenda. Deelt u de mening dat digitale soevereiniteit onder de Blueprint Cyber moet vallen? Ziet u het tegengaan van de afhankelijkheid van enkele techmonopolies, met name van Amerikaanse en Chinese leveranciers, als onderdeel van de Europese paraatheid en veiligheid? Hoe bevordert de Blueprint dat streven?

De leden van de GroenLinks-PvdA-fractie benadrukken dat weerbaarheid en paraatheid bij uitstek een maatschappelijke opgave is. Het aanjagen van actief burgerschap en sociale cohesie, door bestaande verenigingsstructuren te versterken en nieuwe netwerken op te bouwen, zijn een integraal deel van onze crisisrespons. Alleen door collectief te handelen kan een samenleving dreigingen te lijf gaan. Kunt u meer toelichten over hoe de afspraken uit de Blueprint Cyber worden uitgewerkt samen met civiele cybercrisisnetwerken? Welke netwerken betreft dit, en welke rol hebben maatschappelijke netwerken, zoals kerken, (sport)verenigingen en wijkteams, in de plannen van de Europese Commissie? Vindt u dat de Blueprint op dit punt toereikend is?

Deze leden steunen de komst van veilige, soevereine communicatiemiddelen. Informatiedeling tussen actoren en partners, maar ook de crisiscommunicatie richting burgers, moet in geen enkel geval afhankelijk zijn van systemen die Europa niet zelf in handen heeft. Zij willen meer informatie over de eisen die worden gesteld aan dergelijke communicatiemiddelen, welke alternatieven reeds beschikbaar zijn, en welke oplossingen Nederland te bieden heeft. De leden van de GroenLinks-PvdA-fractie zijn ervan overtuigd dat interoperabiliteit, dataportabiliteit, en soevereiniteitseisen voor alle digitale diensten – met name crisisdiensten – cruciaal zijn. Deze standaarden zouden evengoed moeten gelden voor cloudinfrastructuur, menen zij. Deze standaarden dienen breed te worden nageleefd en dragen direct bij aan de cyberveiligheid van Europa. Deelt u de mening dat er dwingende afspraken moeten worden gemaakt voor deze standaarden voor alle Europese overheidsdiensten en voor het ICT-inkoop en -aanbestedingsbeleid? Bent u bereid om te pleiten voor afdwingbare Europese standaarden voor interoperabiliteit, dataportabiliteit en soevereiniteit?

Deze leden dringen u aan om de Blueprint Cyber te zien als aanzet voor verdere beleidsvorming. Het is van belang dat informatiedeling wordt ingebed met harde afspraken, die voorzien zijn van goede «checks en balances». Data is kostbaar en gevoelig en dient ten strengste beveiligd te zijn. Daartoe vragen zij u om verder te definiëren wat een «significant incident» betekent. Deelt u de mening van deze leden dat incidenten, waarin informatie van personen wordt buitgemaakt of uitgelekt, ook als «significant» moeten worden aangemerkt? De leden van de GroenLinks-PvdA-fractie vinden de opvatting dat alleen incidenten met grote materiële en immateriële schade voor entiteiten «significant» zijn, te beperkt is.

Deze leden zijn benieuwd naar het vervolg van de Blueprint Cyber. Zij vragen u om aan te geven welke onderdelen van de Blueprint wat u betreft moeten worden doorvertaald in harde afspraken en nieuw beleid. Ook horen zij graag hoe u de aanbevelingen uit de Blueprint proactief aan organisaties en burgers gaat communiceren, en deze zo praktisch mogelijk maakt.

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het BNC-fiche over de Blueprint Cyber. Deze leden verwelkomen de herziening van de Blueprint en delen de noodzaak om het cybersecuritycrisismanagement te herzien. Zij stellen nog enkele vragen over het BNC-Fiche.

De leden van de VVD-fractie vragen naar een nadere toelichting op de inzet van het kabinet ten aanzien van de versterkte publiek-private samenwerking bij de bestaande en nieuwe initiatieven. Hoe wordt deze samenwerking versterkt in de nieuwe Blueprint en maakt het uitwisselen van relevante gegevens hier ook onderdeel van uit?

Deze leden vragen wat de inzet is van het kabinet ten aanzien van de uitwerking van de rollen, taken en bevoegdheden van de Europese Commissie en van ENISA, het Europees agentschap voor cybersecurity.

Zij vragen verder of het kabinet kan nagaan of er een impact assessment zal worden gedaan door de Europese Commissie bij de herziening van de Blueprint, en zo niet, of dat alsnog kan worden gedaan.

Ook vragen de leden van de VVD-fractie of de grootschalige stroomstoring van onlangs in Spanje en Portugal nog nieuwe inzichten heeft opgeleverd, en of het kabinet bereid is te vragen naar de inzichten die deze lidstaten sindsdien hebben opgedaan en welke gevolgen dat heeft voor de gesprekken over de herziening van de Blueprint.

Vragen en opmerkingen van de leden van de NSC-fractie

De leden van de NSC-fractie hebben met belangstelling kennisgenomen van het «Fiche: Aanbeveling Blueprint Cyber». Naar aanleiding hiervan hebben deze leden enkele vragen en opmerkingen.

In het BNC-fiche geeft het kabinet aan: «Het kabinet hecht waarde aan een praktisch document dat ten tijde van crisis daadwerkelijk door de betrokken actoren zal worden geraadpleegd.» De leden van de NSC-fractie vragen hoe het kabinet hier in Nederland invulling aan zou willen geven? Zou dit praktisch document specifiek moeten toezien op cybercrises of betreft het ook andere crises (met al dan niet een digitaal component)? Wat kan daarnaast verwacht worden van individuele burgers?

Het BNC-fiche vermeldt verder: «Om ervoor te zorgen dat de Blueprint Cyber een effectief en overzichtelijk document blijft, is het voor het kabinet essentieel dat de Blueprint Cyber zich alleen richt op cybercrisismanagement.» Deze leden vragen het kabinet om een nadere toelichting op dit standpunt. Hoe ziet het kabinet het onderscheid tussen cybercrisismanagement en andere vormen van crisismanagement, vooral in het licht van hybride dreigingen? Hoe definieert het kabinet een cybercrisis, en is het onderscheid tussen cybercrises en andere crises nog steeds relevant en goed af te bakenen?

Het BNC-fiche stelt ook: «Het kabinet ziet daarom graag duidelijker opgenomen dat de nationale structuren leidend zijn.» De leden van de NSC-fractie steunen deze visie vanuit het perspectief van subsidiariteit, maar hebben vragen over de aansluiting van de Nederlandse nationale structuren op de Blueprint Cyber bij opschaling naar EU-niveau. Gezien het feit dat systemen met elkaar verbonden zijn en incidenten zich over grenzen kunnen verspreiden, willen deze leden weten hoe het kabinet denkt dat deze structuren goed kunnen samenwerken met EU-structuren.

Daarnaast blijkt uit het fiche niet welke instantie de rol van nationaal aanspreekpunt zal krijgen voor EU-crisisstructuren, zoals het «European Cyber Crisis Liaison Organisation Network» (EU-CyCLONe). Zij vragen het kabinet wie zij voor deze rol in Nederland in gedachten heeft.

Tot slot vermeldt het BNC-fiche: «Het kabinet is echter van mening dat de Blueprint Cyber niet dit detailniveau moet hanteren. Bovendien ziet deze aanbeveling niet specifiek op cybercrisismanagement.» De leden van de NSC-fractie verzoeken het kabinet om een nadere toelichting op deze zienswijze. Zien zij geen risico in het ontbreken van expliciete richtlijnen, bijvoorbeeld met betrekking tot DNS-redundantie, die naar hun mening essentieel is? Hoe schat het kabinet het risico in van te grote vrijblijvendheid of te open normen als dergelijke zaken onvoldoende worden uitgewerkt? Welke andere vormen van diversificatie of redundantie acht het kabinet noodzakelijk, waar dit momenteel nog onvoldoende is geregeld?

Gegeven dat de Commissie het belang van veilige cloudinfrastructuur in crisissituaties benadrukt, maar niet definieert wat daaronder valt, vragen deze leden wat het kabinetsstandpunt op dit onderwerp is. Hoe verstrekkend zouden deze eisen moeten zijn als het gaat om cloudaanbieders? Ziet het kabinet daarnaast het belang ervan in dat de EU in het kader van de weerbaarheid bevordert dat er meer vormen van schaalbare cloudopslag beschikbaar zijn waarbij de betreffende data en digitale diensten niet toegankelijk zijn voor niet-Europese inlichtingendiensten en dat deze niet eenvoudig stopgezet kunnen worden door niet-Europese mogendheden?

Vragen en opmerkingen van de leden van de BBB-fractie

De leden van de BBB-fractie hebben kennisgenomen van de aanbeveling Blueprint Cyber, die gericht is op het verbeteren van de EU-brede coördinatie bij grootschalige cybercrises. Hoewel het voorstel op dit moment niet bindend is, achten deze leden het van belang om te benadrukken dat het richtinggevend kan zijn voor toekomstige Europese wet- en regelgeving. In dat licht hebben deze leden enkele opmerkingen en vragen.

Zij sluiten zich aan bij het standpunt van het kabinet dat nationale crisisstructuren, zoals het Landelijk Crisisplan Digitale Veiligheid (LCP-D), leidend moeten blijven in de aanpak van cybercrises. De leden van de BBB-fractie maken zich daarnaast zorgen over het ontbreken van voldoende waarborgen voor de rechtsstaat en fundamentele rechten, met name waar het gaat om informatie-uitwisseling.

Voorts vragen deze leden om een nadere toelichting op het standpunt van het kabinet ten aanzien van vrijwillige aanbevelingen die mogelijk kunnen leiden tot verplichte datalokalisatie of de uitsluiting van niet-EU cloudproviders. Waarom verzet het kabinet zich tegen deze aanbevelingen, ondanks hun niet-bindende karakter?

De leden van de BBB-fractie onderschrijven de zorgen van het kabinet over het gebrek aan duidelijke prioritering voor acute crisisrespons binnen het voorgestelde financieringskader. Hoewel het voorstel formeel niet juridisch bindend is, rijst de vraag hoe groot de kans is dat de Blueprint op termijn alsnog zal uitmonden in bindende regelgeving. Op welke onderdelen zou dat volgens het kabinet met name het geval kunnen zijn? Denk hierbij aan domeinen zoals kunstmatige intelligentie, cloudbeveiliging en crisiscommunicatie.

Deze leden willen daarnaast weten op welke wijze het kabinet waarborgt dat nationale crisisstructuren daadwerkelijk de regie behouden wanneer de EU-coördinatie bij een cybercrisis wordt opgeschaald. Ook vragen zij hoe wordt voorkomen dat besluitvorming op Europees niveau ten koste gaat van nationale autonomie in crisissituaties.

Met betrekking tot de paragraaf over civiel-militaire samenwerking en de rechtsstatelijke aspecten daarvan vragen de leden van de BBB-fractie welke juridische en ethische kaders het kabinet voor ogen heeft bij informatie-uitwisseling tussen civiele en militaire actoren binnen het kader van de Blueprint. Tevens willen deze leden weten op welke wijze parlementaire betrokkenheid en democratische controle op dergelijke samenwerking worden geborgd.

Tot slot vragen zij waarom het kabinet van mening is dat de aanbeveling over DNS-diversificatie niet thuishoort binnen het Blueprint-kader. Overweegt het kabinet, mede in het licht van deze aanbeveling, om in Nederland strategische publieke DNS-capaciteit op te bouwen?

II Antwoord/reactie van de bewindspersoon