36765 Nota naar aanleiding van het verslag inzake Regels ter implementatie van Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333) (Wet weerbaarheid kritieke entiteiten)

Nota n.a.v. het (nader/tweede nader/enz.) verslag

Nummer: 2025D45523, datum: 2025-11-04, bijgewerkt: 2025-11-04 14:07, versie: 1

Directe link naar document (.docx), link naar pagina op de Tweede Kamer site.

Gerelateerde personen:

Eerste ondertekenaar: F. van Oosten, minister van Justitie en Veiligheid (Ooit VVD kamerlid)

Bijlagen:

Onderdeel van zaak 2025Z19450:

Indiener: F. van Oosten, minister van Justitie en Veiligheid
Voortouwcommissie: vaste commissie voor Justitie en Veiligheid

Onderdeel van activiteiten:

2025-11-27 12:00: Procedures en brieven (Procedurevergadering), vaste commissie voor Justitie en Veiligheid

Preview document (🔗 origineel)

36765 Regels ter implementatie van Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333) (Wet weerbaarheid kritieke entiteiten)

NOTA NAAR AANLEIDING VAN HET VERSLAG

Met belangstelling heb ik kennisgenomen van het verslag van de vaste commissie voor Justitie en Veiligheid op het wetsvoorstel Wet weerbaarheid kritieke entiteiten (hierna: Wwke). Dit wetsvoorstel strekt tot de uitvoering van de Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (hierna: CER-richtlijn).¹ Ik dank de commissie voor het binnen een korte periode uitbrengen van het verslag en dank de leden van de fracties voor de gestelde vragen, die ik in deze nota beantwoord. De vragen en opmerkingen uit het verslag zijn integraal opgenomen in cursieve tekst en de beantwoording daarvan in gewone typografie. Ik hoop de vragen genoegzaam te hebben beantwoord en hoop op een spoedige voortzetting van de behandeling van dit wetsvoorstel. Tot slot merk ik op dat ik tevens een nota van wijziging aanbied.

I. Algemeen

De leden van de GroenLinks-PvdA-fractie hebben kennisgenomen van het voorstel voor de Wet weerbaarheid kritieke entiteiten (hierna: het wetsvoorstel). Deze leden zullen hun vragen en opmerkingen uiteenzetten op volgorde van de memorie van toelichting. Wegens de overlap met de Cyberbeveiligingswet (hierna: Cbw), zullen deze leden hun inbreng richten op de raakvlakken tussen het wetsvoorstel en de Cbw.

De leden van de VVD-fractie hebben met interesse kennisgenomen van het wetsvoorstel. Deze leden benadrukken het belang van het beschermen van onze kritieke entiteiten – zeker in een tijd waarin geopolitieke spanningen, hybride dreigingen en cyberaanvallen steeds vaker voorkomen – en danken de regering en ambtenaren die betrokken zijn geweest bij de totstandkoming van het wetsvoorstel. Zij stellen nog enige vragen.

De leden van de NSC-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel. Deze leden onderstrepen de noodzaak van het versterken van de (civiele) weerbaarheid en zijn het dan ook van harte eens met het doel van deze wet om de weerbaarheid van essentiële diensten tegen risico’s en dreigingen zo veel mogelijk te vergroten. Zij hebben nog een aantal vragen over het wetsvoorstel.

De leden van de BBB-fractie hebben kennisgenomen van het wetsvoorstel. Deze leden hebben hier nog een aantal vragen over.

De leden van de CDA-fractie hebben met interesse kennisgenomen van het wetsvoorstel. Deze leden maken graag van de gelegenheid gebruik om enkele vragen te stellen aan de regering over onderhavig wetsvoorstel.

De leden van de SP-fractie hebben het wetsvoorstel gelezen en hebben hier nog enkele vragen over.

De leden van de ChristenUnie-fractie hebben kennisgenomen van het onderhavige wetsvoorstel. Deze leden hebben naar aanleiding van dit wetsvoorstel nog wel enkele vragen.

1. Inleiding

De leden van de VVD-fractie lezen in de inleiding van de memorie van toelichting van het wetsvoorstel dat de lidstaten van de Europese Unie (hierna: EU) uiterlijk op 17 oktober 2024 aan de Critical Entities Resilience Directive (hierna: CER-richtlijn) moeten voldoen door de richtlijn in nationale regelgeving om te zetten. Deze leden betreuren dat het niet is gelukt de CER-richtlijn tijdig te implementeren. Deze leden vragen de regering waarom de implementatie van de CER-richtlijn niet tijdig heeft plaatsgevonden, welke knelpunten er zijn geweest bij de implementatie van de richtlijn en wat de (financiële) gevolgen zijn van deze niet-tijdige implementatie.

De Nederlandse inspanningen zijn er altijd op gericht geweest de omzetting van de CER-richtlijn naar nationale wetgeving tijdig en spoedig af te ronden. Het tot stand brengen van de vereiste wetgeving heeft helaas meer tijd gekost, waardoor het niet is gelukt om de implementatie tijdig af te ronden. Dit komt doordat de omzetting naar nationale wetgeving een omvangrijk en complex traject is, onder meer door de toepasselijkheid van de CER-richtlijn op een groot aantal sectoren en de introductie van nieuwe verplichtingen voor organisaties. Daarbij is de omzetting naar nationale wetgeving gedaan met grote zorgvuldigheid vanwege de aanzienlijke impact op vele Nederlandse organisaties. Vanwege die impact is uit een oogpunt van zorgvuldige voorbereiding er ook voor gekozen om het wetsvoorstel open te stellen voor internetconsultatie, hoewel dit bij implementatiewetsvoorstellen niet verplicht is. De internetconsultatie heeft waardevolle reacties opgeleverd en heeft onder meer geleid tot aanpassingen van het wetsvoorstel en aanvullingen in de bijbehorende toelichting.

Nederland is overigens niet de enige lidstaat die de CER-richtlijn niet tijdig heeft omgezet. Volgens het overzicht op de officiële website van de Europese Unie hebben op het moment van schrijven naast Nederland ook 10 andere lidstaten de CER-richtlijn nog niet volledig geïmplementeerd, waaronder Duitsland, Frankrijk en Spanje.² Uiteraard is dit voor Nederland geen excuus om zelf ook niet tijdig te implementeren, maar dit geeft wel een indicatie van de complexiteit en de haalbaarheid van een tijdige implementatie van de CER-richtlijn.

De niet-tijdige implementatie van de CER-richtlijn door Nederland heeft gevolgen voor de hoogte van de boete die aan Nederland kan worden opgelegd wegens niet-tijdige implementatie van de CER-richtlijn. De hoogte van die boete hangt namelijk onder meer af van de duur van de inbreuk, meer concreet: hoe lang Nederland te laat is met het implementeren van de CER-richtlijn.

Voor wat betreft de gevolgen van het ontbreken van nationale wet- en regelgeving waarin de CER-richtlijn is geïmplementeerd wordt erop gewezen dat de CER-richtlijn veel raakvlakken heeft met het staande beleid van de Aanpak vitaal. De regering benadrukt dat de weerbaarheidsdoelen in de Aanpak vitaal al wel beleidsmatig nagestreefd worden. Veel departementen hebben eerder al vitale aanbieders aangewezen en werken continu samen met deze partijen aan het verhogen van hun weerbaarheid. Ook is er in de afgelopen maanden extra inzet gepleegd om vitale processen weerbaarder te maken in het kader van het traject Maatschappelijke weerbaarheid tegen militaire en hybride dreigingen. Dit maakt dat er tijdens de omzetting van de CER-richtlijn in nationale wet- en regelgeving continu aandacht is geweest voor het versterken van de weerbaarheid van de Nederlandse vitale sectoren.

De leden van de NSC-fractie hebben kennisgenomen van het stelsel dat dit wetsvoorstel vormt ter vergroting van de weerbaarheid van kritieke entiteiten. Deze leden merken op dat weerbaarheid deels bestaat uit het preventieve aspect, bijvoorbeeld voorkomen dat een crisis of incident verstorend kan werken, maar ook het aspect omvat dat de situatie na een eventuele crisis of eventueel incident zo snel mogelijk kan worden hersteld. Vitale processen moeten na een crisis of incident weer zo snel mogelijk in orde kunnen zijn. Kan de regering aangeven of beide aspecten in voldoende mate terugkomen in het wetsvoorstel? Of ligt het zwaartepunt met name bij preventie? Zo ja, waarom?

Dit wetsvoorstel regelt de weerbaarheid van kritieke entiteiten en de essentiële diensten die zij verlenen in brede zin, en betreft dus zowel het preventieve aspect als het reactieve aspect. Op grond van artikel 1 Wwke luidt de definitie van weerbaarheid als volgt: het vermogen van een kritieke entiteit om een incident te voorkomen, te beperken en te beheersen, en om bescherming te bieden en bestand te zijn tegen, te reageren op of zich aan te passen aan en te herstellen van een incident. Deze definitie van weerbaarheid volgt uit artikel 2 CER-richtlijn, waarin is bepaald wat onder weerbaarheid in de zin van de CER-richtlijn moet worden verstaan. Uit de definitie van weerbaarheid volgt dat naast de aspecten van het voorkomen, beperken en beschermen, ook expliciet de aspecten van het beheersen, reageren, aanpassen en herstellen onderdeel van dit wetsvoorstel zijn. Al deze aspecten komen ook terug in de zorgplicht (artikel 15 Wwke). Hierbij wijst de regering onder meer op artikel 15, eerste lid, onderdelen a en b, Wwke, die zien op het nemen van maatregelen om te voorkomen dat incidenten zich voordoen. Daarin zit het preventieve aspect stevig verankerd. De regering wijst daarnaast op artikel 15, eerste lid, onderdelen c en d, Wwke, die zien op het bestrijden van de gevolgen van incidenten en het herstellen van incidenten. Daarmee wordt het reactieve aspect geborgd.

De leden van de BBB-fractie stellen dat de EU in 2022 de CER-richtlijn heeft vastgesteld. Deze richtlijn heeft als doel ervoor te zorgen dat organisaties die essentieel zijn voor de samenleving, beter beschermd zijn tegen fysieke dreigingen zoals sabotage, terrorisme, natuurrampen, pandemieën of andere verstoringen. Dit wetsvoorstel zet deze richtlijn om in Nederlandse wetgeving.

De leden van de BBB-fractie stellen dat het wetsvoorstel van toepassing is op organisaties die essentiële diensten leveren, zoals aanbieders in de volgende sectoren: energievoorziening, drinkwater, gezondheidszorg, transport, bankwezen, digitale infrastructuur en voedselvoorziening. Het wetsvoorstel is niet van toepassing op instanties die primair taken verrichten op het terrein van nationale veiligheid, defensie, politie of rechtshandhaving. Ook wordt overlap met de Cbw vermeden. Daarmee wordt beoogd dubbele verplichtingen en tegenstrijdige regelgeving te voorkomen.

De leden van de BBB-fractie stellen dat een entiteit door de bevoegde minister kan worden aangewezen als kritieke entiteit wanneer zij een of meer essentiële diensten verleent, gevestigd is in Nederland en haar infrastructuur geheel of gedeeltelijk in Nederland ligt, en een incident bij de organisatie aanzienlijke verstorende effecten kan hebben. Bij de beoordeling of sprake is van een aanzienlijk verstorend effect worden onder andere het aantal afhankelijke gebruikers, de ernst en duur van mogelijke gevolgen en het marktaandeel meegewogen. Wanneer een entiteit als kritieke entiteit wordt aangemerkt door de minister, zitten hier vervolgens drie belangrijke verplichtingen aan. Allereerst moeten zij periodiek een eigen risicobeoordeling uitvoeren waarin zij relevante risico’s en kwetsbaarheden in kaart brengen. Vervolgens zijn zij gehouden aan een zorgplicht, die inhoudt dat zij passende en evenredige maatregelen moeten treffen om hun continuïteit en fysieke veiligheid te waarborgen. Daarbij gaat het om een breed spectrum aan maatregelen, variërend van beveiliging van gebouwen en technische installaties tot bedrijfscontinuïteitsplannen, crisismanagement, ketenbeheer en personeelsscreening. Ten slotte geldt er een meldplicht: incidenten die de essentiële dienstverlening aanzienlijk verstoren of dreigen te verstoren, moeten binnen 24 uur worden gemeld bij de bevoegde autoriteit. Voor sommige sectoren, zoals het bankwezen, de financiële markten en de digitale infrastructuur, gelden specifieke uitzonderingen, omdat daar al Europese kaders voor zijn. Daarnaast is er de mogelijkheid tot ontheffing voor entiteiten die nauw samenhangen met nationale veiligheids- of defensietaken.

De leden van de BBB-fractie zijn over het algemeen positief gestemd over het wetsvoorstel. Het is van cruciaal belang dat ook bedrijven hun verantwoordelijkheid nemen in een instabiele wereld. Deze leden maken zich echter wel zorgen over de toenemende regeldruk voor kleinere bedrijven. Kan de regering uitleggen op hoeveel midden- en kleinbedrijven deze wet betrekking zal hebben? En kan de regering daarbij ook uitleggen in hoeverre de regeldruk een beslag gaat leggen op hen?

Bij de omzetting van de CER-richtlijn in nationale wet- en regelgeving is uitvoerig oog geweest voor de regeldruk voor bedrijven. Om de regeldruk voor het midden- en kleinbedrijf (hierna: mkb) vooraf goed mee te kunnen wegen, is een mkb-toets uitgevoerd. Hieruit kwam steun voor de risicogebaseerde systematiek van de Wwke naar voren. Bedrijven kunnen hierdoor bijvoorbeeld zelf kiezen welke systematiek of methode ze gebruiken bij het in kaart brengen van hun risico’s. Hierdoor kunnen zij overlappende verplichtingen onder verschillende (sectorale) wettelijke kaders, zoals het uitvoeren van de risicobeoordeling in het kader van de Cyberbeveiligingswet (hierna: Cbw) en de Wwke, met elkaar combineren waardoor zij minder administratieve handelingen hebben.

De vakdepartementen zijn momenteel bezig met de voorbereidingen voor de risicobeoordelingen, maar welke bedrijven onder het toepassingsbereik van de Wwke zullen vallen en hoeveel daarvan behoren tot het mkb, zal pas duidelijk worden nadat de sectorale risicobeoordelingen volledig zijn uitgevoerd en vervolgens entiteiten zijn aangewezen als kritieke entiteit in de zin van de Wwke.

De leden van de SP-fractie onderschrijven het belang van de weerbaarheid van kritieke entiteiten en essentiële diensten. Tegelijkertijd delen deze leden de zorgen van de Afdeling advisering van de Raad van State (hierna: de Afdeling) over de soms onduidelijke taakverdeling tussen de vakministers en de zelfstandige bestuursorganen. Kan de regering aangeven hoe zij de taakafbakening wat betreft het toezicht zal vormgeven? De Afdeling adviseert om dit duidelijk in kaart te brengen en te regelen. Toch kiest de regering slechts voor samenwerkingsafspraken: waarom is dit het geval?

In haar advies op dit wetsvoorstel heeft de Afdeling advisering van de Raad van State aandacht voor de bevoegdheden van en taakuitoefening door de vakministers op grond van de Wwke en de bevoegdheden van en taakuitoefening door zelfstandige bestuursorganen op grond van andere wetgeving ten aanzien van dezelfde entiteiten. Hierover heeft de Afdeling geadviseerd om in kaart te brengen welke zelfstandige bestuursorganen belast zijn met toezichts- en handhavingstaken gericht op veiligheid, en om aan te geven hoe voorkomen wordt dat de uitoefening van deze taken in de praktijk tot problemen leidt, doordat dit overlapt met taken die zijn toebedeeld via de Wwke. De regering reflecteert hierop als volgt.

Een entiteit kan onder meerdere wettelijke kaders vallen, zoals de Wwke en andere wetgeving, en daardoor te maken hebben met verplichtingen voortvloeiend uit verschillende wettelijke kaders en toezichthoudende ambtenaren van meerdere instanties. De regering kiest ervoor om het toezicht in het kader van de Wwke naast het toezicht van zelfstandige bestuursorganen op grond van hun wettelijk kader te laten bestaan en acht het niet mogelijk om a priori met een exclusieve taakafbakening te werken waarin overlap in dat toezicht niet bestaat. Dit maakt het van belang, zoals ook is aangegeven in het nader rapport, dat afstemming plaatsvindt tussen (de aangewezen ambtenaren van) de hiervoor bedoelde verschillende instanties en dat samenwerkingsafspraken worden gemaakt om de doeltreffendheid en doelmatigheid van toezicht te waarborgen. Zoals ook in het nader rapport is aangegeven denkt de regering hierbij onder meer aan afspraken over samenloop van toezicht op eenzelfde entiteit, het voorkomen van onevenredige toezichtslasten en uitwisseling van gegevens. De regering acht het van belang dat in de samenwerkingsafspraken voor ogen wordt gehouden dat verschillende wetten in het veiligheidsdomein verschillende aspecten van veiligheid regelen, geredeneerd vanuit wettelijk verschillende gedefinieerde belangen. De ambtenaren van de hiervoor bedoelde verschillende instanties zullen derhalve elk op basis van hun eigen wettelijke grondslag hun taken uitvoeren en overlap in bevoegdheden doet geen afbreuk aan hun bevoegdheden en verantwoordelijkheden en die van het voor het toezicht verantwoordelijke bestuursorgaan.

De leden van de SP-fractie vinden, evenals de Afdeling, dat toezicht op ministeries die zelf als kritieke entiteiten worden aangewezen, onafhankelijk moet zijn. Deze leden zijn er niet van overtuigd dat het toezicht door de minister van Binnenlandse Zaken en Koninkrijksrelaties voldoende onafhankelijk is. Kan de regering aangeven of zij extra maatregelen zal nemen om de onafhankelijkheid te waarborgen?

In de komende maanden zal het toezicht op kritieke entiteiten in de sector overheid nader worden uitgewerkt. Daarbij zal nadrukkelijk aandacht zijn voor het borgen van de onafhankelijkheid van dat toezicht. De verwachting is dat uw Kamer in het eerste kwartaal van 2026 kan worden geïnformeerd over de maatregelen die zorgen voor het in voldoende mate borgen van de onafhankelijkheid van dat toezicht.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties is voornemens om ambtenaren van de Beveiligingsautoriteit Rijk (BVA Rijk) aan te wijzen die worden belast met het toezicht op de naleving van het bepaalde bij of krachtens de Wwke door kritieke entiteiten in de sector overheid.

De leden van de SP-fractie hebben gelezen dat openbaarmaking via de Wet open overheid (hierna: Woo) in het onderliggende wetsvoorstel wordt beperkt. Waarom vindt de regering de bestaande uitzonderingsgronden in de Woo niet voldoende?

De uitzonderingsgronden in de Wet open overheid (hierna: Woo) zijn niet toereikend, omdat deze niet de garantie bieden dat alle vertrouwelijke gegevens die in het kader van de Wwke worden verwerkt, niet openbaar kunnen worden gemaakt op grond van de Woo. De in artikel 34, tweede lid, Wwke geregelde uitzondering op de Woo biedt kritieke entiteiten op voorhand de garantie dat vertrouwelijke gegevens, waaronder gegevens die door hen als zodanig aan de bevoegde autoriteit (vakminister en toezichthoudende instantie) worden verstrekt, niet openbaar kunnen worden gemaakt op grond van de Woo. Dit geldt ook voor vertrouwelijke gegevens die berusten bij de bevoegde autoriteit (toezichthoudende instantie), bijvoorbeeld over de stand van de weerbaarheid van kritieke entiteiten en incidenten bij deze entiteiten, waarover de bevoegde autoriteit komt te beschikken in het kader van de uitvoering van haar toezichtsactiviteiten. De vertrouwelijkheid van zulke gegevens moet zo veel mogelijk worden geborgd om reputatieschade, benadeling van de concurrentiepositie en openbaarmaking van kwetsbaarheden te voorkomen.

De leden van de ChristenUnie-fractie lezen in de memorie van toelichting dat het de lidstaten van de EU is opgedragen uiterlijk op 17 oktober 2024 aan de CER-richtlijn te voldoen door deze richtlijn waar nodig in hun nationale regelgeving om te zetten. Deze leden constateren dat deze datum al geruime tijd is verstreken, en vragen de regering wat hier de reden voor is en of dit mogelijk gevolgen heeft.

Nederland is overigens niet de enige lidstaat die de CER-richtlijn niet tijdig heeft omgezet. Volgens het overzicht op de officiële website van de Europese Unie hebben op het moment van schrijven naast Nederland ook 9 andere lidstaten de CER-richtlijn nog niet volledig geïmplementeerd, waaronder Duitsland, Frankrijk en Spanje.⁵ Uiteraard is dit voor Nederland geen excuus om zelf ook niet tijdig te implementeren, maar dit geeft wel een indicatie van de complexiteit en de haalbaarheid van tijdige implementatie van de CER-richtlijn.

2. De CER-richtlijn

2.1 Kern van de richtlijn

De leden van de GroenLinks-PvdA-fractie erkennen het belang van een aanwijzingsmogelijkheid voor kritieke entiteiten. Harmonisatie van veiligheids- en beveiligingseisen leidt tot een gelijk niveau van bescherming tussen lidstaten. Dit mag echter niet leiden tot het naar beneden bijstellen van eisen, in het geval deze nationaal hoger zijn dan voorgesteld in de CER-richtlijn. Deze leden vragen de regering om toe te lichten op welke manier nationale veiligheidseisen nu van elkaar verschillen tussen lidstaten.

De CER-richtlijn sluit voor een deel aan op de reeds bestaande kaders voor de bescherming van onze vitale infrastructuur. De CER-richtlijn stelt deze kaders niet naar beneden bij. In de meeste gevallen vindt er juist een verscherping plaats, al is het maar omdat met de Wwke er een duidelijke wettelijke verankering wordt gecreëerd voor bestaand beleid.

Omdat het in dit geval gaat om een richtlijn en niet om een verordening, is er een mate van implementatievrijheid voor lidstaten van de Europese Unie. De CER-richtlijn strekt tot het bereiken van een minimumniveau (minimumharmonisatie) en lidstaten kunnen besluiten om over te gaan tot het stellen van hogere eisen. Er kan dus sprake zijn van verschillen tussen lidstaten, maar voor alle lidstaten geldt dat er hoe dan ook sprake is van een bepaald minimumniveau.

Vanuit de Europese Commissie is veel aandacht voor samenwerking en harmonisatie waar dat mogelijk is. Er zijn bijvoorbeeld in samenwerking met alle lidstaten niet-bindende richtsnoeren opgesteld die bij toepassing moeten leiden tot een soortgelijke implementatie door lidstaten. Daarnaast wordt momenteel gewerkt aan een brede consultatie van Europese brancheverenigingen, met ruimte voor inbreng van het Nederlandse bedrijfsleven, om tot een handreiking te komen voor maatregelen die kunnen worden genomen ter voldoening aan de zorgplicht door kritieke entiteiten.

2.2 Belangrijkste onderdelen van de richtlijn

De leden van de VVD-fractie zien in overweging 41 van de CER-richtlijn een lijst van essentiële diensten, maar niet expliciet een lijst van (sub)sectoren. Kan de regering verduidelijken of de in de bijlage bij de CER-richtlijn genoemde lijst van (sub)sectoren uitputtend is? Indien dit niet zo is, hoe verhoudt de in het wetsvoorstel opgenomen bevoegdheid om bij ministeriële regeling aanvullende (sub)sectoren aan te wijzen zich tot deze lijst?

Op grond van artikel 5, eerste lid, CER-richtlijn is de Europese Commissie bevoegd om een niet-uitputtende lijst van essentiële diensten vast te stellen voor de in de bijlage bij de richtlijn genoemde sectoren en subsectoren. In overweging 41 van de CER-richtlijn is opgenomen dat die lijst niet uitputtend is en dat lidstaten van de Europese Unie de lijst kunnen aanvullen met andere essentiële diensten op nationaal niveau, teneinde rekening te houden met nationale bijzonderheden bij de verlening van essentiële diensten. Van die ruimte is gebruik gemaakt door in artikel 7 Wwke de bevoegdheid voor de vakminister op te nemen om bij ministeriële regeling aanvullende (sub)sectoren aan te wijzen.

2.3 Verhouding tot de NIS2-richtlijn en de Cbw

De leden van de GroenLinks-PvdA-fractie vragen de regering om beeldend toe te lichten op welke overige aspecten, die niet onder de Cbw vallen, het wetsvoorstel van toepassing is.

In het kader van de Wwke kan het bijvoorbeeld gaan om het plaatsen van omheiningen, obstakels of andere objecten ter bescherming van het gebouw van de kritieke entiteit tegen de gevolgen van een overstroming, waarmee kan worden voorkomen dat een overstroming de continuïteit van de levering van essentiële diensten door die kritieke entiteit kan raken. Het gaat dan niet om de netwerk- en informatiesystemen van de kritieke entiteit of de fysieke omgeving daarvan (daarop is immers de Cbw van toepassing), maar van andere ruimten en (bij)gebouwen van de kritieke entiteit, waarvan de inschatting is dat als deze worden getroffen door een overstroming, de continuïteit van de levering van de essentiële diensten in gevaar komt.

In het kader van de Wwke kan het bijvoorbeeld ook gaan om het treffen van toegangsmaatregelen om te voorkomen dat de fysieke objecten van de kritieke entiteit kunnen worden gesaboteerd, al dan niet door eigen medewerkers. Een ander voorbeeld is het in de bedrijfscontinuïteitsplannen rekening houden met een pandemie. Nog een ander voorbeeld is het installeren van extra (reserve)stroomgeneratoren om te garanderen dat er te allen tijde stroomvoorziening is, waardoor de levering van essentiële diensten niet in gevaar komt.

3. Nationale context

De leden van de GroenLinks-PvdA-fractie lezen dat de cyclus vitaal wordt uitgevoerd door vakministers met de frequentie ‘minimaal vierjaarlijks’. Deze leden vragen de regering om te onderbouwen waarom deze taak is belegd bij vakministers en niet bij de coördinerende minister van Justitie en Veiligheid, die mogelijk over meer kennis beschikt wat betreft veiligheid en weerbaarheid. Tevens vragen deze leden of er een standaardmethodiek wordt toegepast voor de vitaalbeoordeling, de weerbaarheidsanalyse en het actieprogramma per sector. Zij vinden het wenselijk dat deze zo goed mogelijk op elkaar aansluiten tussen sectoren, om tegenstrijdigheden voor entiteiten die onder meer sectoren vallen, te voorkomen. Ook merken deze leden op dat standaardisatie vergelijkingen tussen sectoren mogelijk maakt.

De Wwke sluit voor een groot deel aan op het huidige kader voor de bescherming van onze vitale infrastructuur, te weten de Aanpak vitaal. De Aanpak vitaal kent al een systematiek waarin er een primaire verantwoordelijkheid bij de vakminister ligt en een coördinerende verantwoordelijkheid bij de Minister van Justitie en Veiligheid. Bij de omzetting van de CER-richtlijn in nationale wet- en regelgeving is ervoor gekozen om aan te sluiten bij deze reeds bestaande systematiek. Hiervoor is gekozen omdat, zeker wat betreft de fysieke weerbaarheid, er sectoraal veel verschillen zijn die ook sectorale kennis en expertise behoeven. De vakminister staat daarnaast in nauwer contact met de “eigen” sector en heeft beter zicht op aanpalende sectorale wet- en regelgeving waar bedrijven zich ook toe moeten verhouden. De sectoroverstijgende kennis wat betreft veiligheid en weerbaarheid die bij de Minister van Justitie en Veiligheid ligt, wordt voldoende wettelijk geborgd door de rol die de Minister van Justitie en Veiligheid heeft bij veel onderdelen van de Wwke. Zo moet de vakminister in overleg met de Minister van Justitie en Veiligheid de risicobeoordelingen opstellen en waar nodig levert de Minister van Justitie en Veiligheid hierbij input.

Momenteel bestaat er een standaard vitaalinstrumentarium, opgesteld door de Minister van Justitie en Veiligheid, dat een sectoroverstijgend uitgangspunt biedt voor alle vakministers bij het uitvoeren van de vitaalbeoordeling. Hiermee wordt een uniforme uitvoering van de vitaalbeoordeling door de verschillende vakministers zo goed mogelijk gewaarborgd.

De leden van de CDA-fractie lezen dat Nederland al enige tijd de zogeheten Aanpak vitaal kent. Dit is beleid ter bescherming van de vitale infrastructuur. Deze leden vragen op welke manier deze Aanpak vitaal moet worden herzien of aangepast naar aanleiding van de implementatie van de CER-richtlijn. Is de genoemde vitaalbeoordeling te vergelijken met de risicobeoordeling of nationale strategie zoals voorgesteld in de CER-richtlijn of betreft dit een ander onderdeel van de aanpak? En, zo ja, hoe voorkomt de regering overlap en onduidelijkheid hierover?

De Wwke sluit voor een groot deel aan op de huidige kaders voor de bescherming van de vitale infrastructuur, de Aanpak vitaal. Met de Wwke worden bepaalde onderdelen van de Aanpak vitaal wettelijk verankerd, zoals de cyclus vitaal en de rol van de vakministers. Zo schrijft de Wwke voor dat de bevoegde autoriteiten ten minste elke vier jaar een risicobeoordeling moeten uitvoeren en dat de bevoegde autoriteiten de kritieke entiteiten moeten ondersteunen.

De risicobeoordeling van de bevoegde autoriteit, bedoeld in artikel 9 Wwke, is te vergelijken met de huidige vitaalbeoordeling en de weerbaarheidsanalyse. Genoemd instrumentarium wordt momenteel zodanig aangepast dat deze voldoet aan de eisen die de Wwke aan de risicobeoordeling en het aanwijzen van kritieke entiteiten stelt. Op dit moment wordt verder bezien welke aanpassingen er nodig zijn in de Aanpak vitaal met de komst van de Wwke. Hierbij zullen het wettelijk kader en het beleidsmatige kader in ieder geval in samenhang bezien worden, en zal er ingezet worden op een vergelijkbaar weerbaarheidsniveau door in te blijven zetten op het delen van informatie, best practices en dreigingsbeelden tussen sectoren.

Voor de sectoren die onder de Wwke vallen zal het beleidsmatige kader overgaan naar het wettelijke kader van de Wwke. Omdat de Wwke implementatiewetgeving betreft en de CER-richtlijn bepaalt dat deze niet van toepassing is op overheidsinstanties die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, zijn de huidige vitale aanbieders die zulke overheidsinstanties zijn, uitgezonderd van de Wwke. Voor deze partijen zal het beleidsmatige kader blijven gelden.

4. Gemaakte implementatiekeuzes op hoofdlijnen

De leden van de GroenLinks-PvdA-fractie vragen de regering of zij heeft overwogen om de Cbw en het wetsvoorstel samen te voegen in één wet, gezien de nauwe samenhang tussen beide wetten.

De regering heeft bezien of de CER-richtlijn en de NIS2-richtlijn⁶ kunnen worden geïmplementeerd in één wet en heeft geconcludeerd dat dat niet wenselijk is. Wel worden beide richtlijnen zoveel mogelijk in samenhang geïmplementeerd. Bij de hiervoor genoemde conclusie zijn onder meer de onderstaande aspecten van belang.

De richtlijnen bevatten op veel punten gelijkenissen, maar ook verschillen. Zo bevatten beide richtlijnen een zorgplicht en een meldplicht, maar is de invulling van die verplichtingen verschillend. Zo bevat de meldplicht in het kader van de CER-richtlijn niet de fasen die de NIS2-richtlijn wel voorschrijft.

Naast het bestaan van soortgelijke verplichtingen in beide richtlijnen bevatten de richtlijnen elk afzonderlijk ook verplichtingen die de andere richtlijn niet bevatten. Zo bevat de NIS2-richtlijn een verplichting voor bestuursleden voor het volgen van een opleiding, terwijl de CER-richtlijn deze verplichting niet kent. Andersom is ook het geval. Zo bevat de CER-richtlijn de verplichting voor kritieke entiteiten die essentiële diensten verlenen aan of in zes of meer lidstaten van de Europese Unie de verplichting om de bevoegde autoriteit hierover te informeren. De NIS2-richtlijn bevat geen dergelijke verplichting voor essentiële entiteiten en belangrijke entiteiten.

Relevant is ook dat de CER-richtlijn bepalingen bevat die gelden voor organisaties die worden aangeduid als kritieke entiteit, terwijl de NIS2-richtlijn bepalingen bevat die gelden voor organisaties die worden aangeduid als essentiële entiteit of belangrijke entiteit. Die termen (kritieke entiteit, essentiële entiteit en belangrijke entiteit) moeten worden gebruikt in nationale wetgeving ter implementatie van de richtlijnen. In dit kader wordt ook gewezen op het feit dat alle kritieke entiteiten (onder de Wwke) weliswaar op grond van artikel 8, eerste lid, onderdeel i, Cbw van rechtswege essentiële entiteit zijn onder de Cbw (omdat de NIS2-richtlijn dit dwingend voorschrijft), maar dat andersom dit niet het geval is. Dit betekent dus dat er organisaties zijn waarop zowel de Wwke als de Cbw van toepassing zijn, maar dat er ook organisaties zijn waarop alleen de Cbw van toepassing is.

Gelet op de hiervoor genoemde aspecten concludeert de regering dat één implementatiewet zal leiden tot een onduidelijke, verwarrende en onnavolgbare wet, waaruit voor organisaties niet duidelijk blijkt welke verplichtingen voor hen gelden en wat dus van hen wordt verlangd. Daarmee kunnen ook de doelen van beide richtlijnen in het geding komen.

De leden van de VVD-fractie lezen in het wetsvoorstel dat ervoor is gekozen om de nationale risicobeoordeling sectoraal uit te voeren, zodat de beoordeling wordt uitgevoerd met voldoende inzicht in sectorspecifieke eigenschappen en belangen. Deze leden ondersteunen het doel van deze keuze, maar vragen hoe voldoende coherentie tussen de sectoren wordt geborgd, zodat in de verschillende sectoren uiteindelijk hetzelfde weerbaarheidsniveau wordt gehandhaafd. Kan de regering toelichten of er entiteiten zijn die onder meerdere sectoren vallen en, zo ja, op welke wijze het wetsvoorstel omgaat met deze entiteiten en hoe wordt voorkomen dat deze entiteiten te maken krijgen met overlappende of conflicterende verplichtingen vanuit verschillende bevoegde autoriteiten?

De coherentie tussen de sectoren wordt geborgd doordat in de Wwke is gekozen voor de systematiek waarin er een primaire verantwoordelijkheid bij de vakminister ligt en een coördinerende verantwoordelijkheid bij de Minister van Justitie en Veiligheid ligt. De Minister van Justitie en Veiligheid werkt bijvoorbeeld aan het opstellen van één handleiding voor de bevoegde autoriteiten voor het uitvoeren van een sectorale risicobeoordeling. Zo wordt zoveel mogelijk coherentie tussen sectoren nagestreefd.

Omdat het aanwijzen van entiteiten als kritieke entiteit in de zin van de Wwke nog moet plaatsvinden, valt op dit moment nog niet te zeggen of er entiteiten zijn die onder meerdere sectoren vallen. Bij een aanwijzing van eenzelfde kritieke entiteit onder twee verschillende sectoren kunnen de aard, kwetsbaarheden en gevolgen van de twee verschillende essentiële diensten – ondanks dat er sprake is van één kritieke entiteit – verschillen en zal dus ook per essentiële dienst naar de sectorspecifieke aspecten worden gekeken. Het kan voorkomen dat de risicobeoordeling van de ene bevoegde autoriteit (vakminister) op andere aspecten de nadruk legt dan de risicobeoordeling van de andere bevoegde autoriteit (vakminister). Over de verschillende sectorspecifieke aspecten zullen dan tussen de desbetreffende vakministers onderling afspraken worden gemaakt om conflicterende verwachtingen en dubbel werk te voorkomen. Hierbij wordt uiteraard ook gepoogd de (administratieve) lasten en regeldruk voor bedrijven zoveel mogelijk te beperken.

De leden van de VVD-fractie vragen in het verlengde hiervan waarom er niet voor is gekozen om het toezicht bij één toezichthouder te beleggen met sectorspecifieke kennis in plaats van de gekozen route van verschillende toezichthouders per sector. Hoe wordt toezicht en handhaving gecoördineerd in het geval een kritieke entiteit valt onder meerdere bevoegde autoriteiten en wie heeft in zo'n geval de regie?

In artikel 8, eerste en tweede lid, Wwke zijn de vakministers aangewezen als de bevoegde autoriteit voor kritieke entiteiten. Op grond van artikel 8, derde lid, onderdeel a, Wwke heeft de bevoegde autoriteit, en dus de vakminister, de taak om te zorgen voor de bestuursrechtelijke handhaving van het bepaalde bij of krachtens de Wwke.⁷ De vakministers wijzen bij besluit de ambtenaren aan die zijn belast met het toezicht op de naleving van het bepaalde bij of krachtens de Wwke, zie artikel 36, eerste lid, Wwke.⁸ Daarbij zal het gaan om de aanwijzing van ambtenaren van sectorale toezichthoudende instanties, omdat sectorspecifieke kennis een belangrijk onderdeel is om te kunnen toetsen of een kritieke entiteit weerbaar is. Deze keuze ligt in het verlengde van de keuze om de risicobeoordeling van de bevoegde autoriteit door de vakminister uit te laten voeren. Daarnaast is van belang dat het aansluiten op reeds bestaande toezichtrelaties gunstig kan zijn gelet op de (administratieve) lasten en regeldruk voor bedrijven, nu een kritieke entiteit al een relatie heeft met de desbetreffende instantie en de werkwijze van die instantie reeds bekend is.

Overleg tussen de hiervoor bedoelde toezichthoudende instanties vindt plaats in het overlegorgaan Samenwerkend Toezicht (Digitale) Weerbaarheid (STDW). In dit overlegorgaan maken deze instanties afspraken over afstemming, informatie-uitwisseling en contact richting entiteiten. Daarmee wordt geborgd dat toezicht en handhaving gecoördineerd plaatsvinden en dat dubbele belasting voor de entiteit wordt voorkomen.

Voor grote concerns of corporaties die in meerdere sectoren actief zijn, kan het voorkomen dat verschillende onderdelen van een concern elk onder het toezicht van een andere bevoegde autoriteit vallen. Deze onderdelen hebben vaak operationeel geen directe verbinding met elkaar. In dat geval zijn dus meerdere bevoegde autoriteiten actief binnen hetzelfde concern, zonder dat dit leidt tot conflicterende belangen. De (ambtenaren van de) hiervoor bedoelde instanties trekken gezamenlijk op en maken indien nodig in het hiervoor genoemd overlegorgaan afspraken over wie in de praktijk de regie voert.

De leden van de CDA-fractie begrijpen dat in de CER-richtlijn is bepaald dat een nationale risicobeoordeling moet worden uitgevoerd om inzicht te krijgen in de risico’s die negatieve gevolgen kunnen hebben voor de verlening van essentiële diensten op het grondgebied. De regering heeft ervoor gekozen om de nationale risicobeoordeling sectoraal uit te voeren. Deze leden vragen op welke manier overzicht gehouden wordt over de nationale risicobeoordeling als deze sectoraal wordt uitgevoerd. In hoeverre wordt een overkoepelende nationale risicobeoordeling gemaakt in samenspraak met de eindverantwoordelijke minister en de betreffende vakministers, met voldoende oog voor adequate informatiedeling?

De Wwke sluit voor een groot deel aan op de huidige kaders voor de bescherming van onze vitale infrastructuur, de Aanpak vitaal. In de huidige Aanpak vitaal wordt de onderverdeling bij vakministers reeds toegepast. Hiervoor is gekozen omdat, zeker wat betreft de fysieke weerbaarheid, er sectoraal veel verschillen zijn die ook sectorale kennis en expertise behoeven. De (sectoroverstijgende) kennis wat betreft veiligheid en weerbaarheid die bij de Minister van Justitie en Veiligheid ligt, wordt voldoende wettelijk geborgd door de rol die de Minister van Justitie en Veiligheid heeft bij veel onderdelen van de Wwke. Zo moet de vakminister in overleg met de Minister van Justitie en Veiligheid de risicobeoordelingen opstellen en waar nodig levert de Minister van Justitie en Veiligheid hierbij input. Daarnaast stelt de Minister van Justitie en Veiligheid de nationale (uitvoerings)strategie, bedoeld in artikel 13 Wwke, op die als uitgangspunt fungeert voor de sectorale risicobeoordelingen. Hiermee wordt bewerkstelligd dat hoewel de vakminister per sector maatwerk kan leveren, er wel vanuit een gemeenschappelijk en overkoepelend weerbaarheidsstartpunt wordt gewerkt.

De leden van de CDA-fractie vragen of de regering in kan gaan op het begrip ‘kritieke entiteit’. Wanneer is hier sprake van en op welke manier wordt rekening gehouden met het verschil tussen de sectoren?

In artikel 6, eerste lid, Wwke zijn de criteria opgenomen op basis waarvan de vakminister beoordeelt of een entiteit kwalificeert als kritieke entiteit, waaronder het criterium dat een incident bij die entiteit aanzienlijke verstorende effecten zou hebben. In artikel 6, tweede lid, Wwke zijn de criteria opgenomen waar de vakminister rekening mee moet houden bij het bepalen of een verstorend effect aanzienlijk is. Die criteria betreffen onder meer het aantal gebruikers dat afhankelijk is van de door de entiteit verleende essentiële dienst en het marktaandeel van de entiteit op de markt voor de betrokken essentiële dienst. Hoewel deze algemene criteria voor alle sectoren gelden, kunnen deze criteria per sector verschillend worden ingevuld. De vakminister zal dan ook per sector beoordelen hoe de criteria worden toegepast en welke entiteiten worden aangewezen als kritieke entiteit in de zin van de Wwke.

5. Hoofdlijnen van de Wwke

5.1 Sectorale risicobeoordeling

De leden van de GroenLinks-PvdA-fractie vragen de regering om meer helderheid over hoe de sectorale risicobeoordeling in de praktijk zal worden uitgevoerd. Door welke organisaties, onder verantwoordelijkheid van vakministers, zullen de beoordelingen worden uitgevoerd? Beschikt elke vakminister over de capaciteit om dit te bewerkstelligen? Daarnaast vragen deze leden hoe deze beoordelingen worden aangesloten op reeds bestaande risicoanalyses en dreigingsbeelden. Deze leden vragen de regering om dubbel werk te voorkomen, maar juist te werken aan een diep en integraal inzicht door het uitvoeren van risicobeoordelingen.

In de praktijk verschilt het per vakminister welke organisatie onder de verantwoordelijkheid van de vakminister de beoordeling uitvoert. Sommige vakministers kiezen ervoor om zelf de beoordeling uit te voeren. Als de personele capaciteit of expertise hiervoor niet binnen het vakministerie zelf te vinden is, kiezen sommige vakministers ervoor om dit uit te besteden aan (gescreende) externen.

Momenteel bestaat er een standaard vitaalinstrumentarium, opgesteld door de Minister van Justitie en Veiligheid, dat een sectoroverstijgend uitgangspunt biedt voor de risicobeoordeling. Het huidige vitaalinstrumentarium wordt op dit moment bijgewerkt met het oog op de komst van de Wwke. In zowel het huidige instrumentarium als het nieuwe format voor de sectorale risicobeoordeling wordt ook nadrukkelijk aandacht geschonken aan de aansluiting op reeds bestaande risicoanalyses en dreigingsbeelden. De nationale (uitvoerings)strategie, bedoeld in artikel 13 Wwke, die de Minister van Justitie en Veiligheid opstelt biedt daarnaast overkoepelende kaders en richting en dient als uitgangspunt voor de sectorale risicobeoordelingen.

5.2 Aanwijzing kritieke entiteiten

De leden van de GroenLinks-PvdA-fractie merken op dat de vitaalbeoordeling gebruikt wordt voor de sectorale risicobeoordeling. Dit geldt ook voor artikel 9 van de Cbw. Daarom vragen deze leden hoe aansluiting wordt gezocht tussen de beoordelingen uitgevoerd in het kader van zowel de Cbw als het wetsvoorstel. Kunnen deze gebundeld worden tot één integrale risicobeoordeling?

Hoewel er overlap en gelijkenissen kunnen zijn tussen de risicobeoordeling op grond van de Cbw en de risicobeoordeling op grond van de Wwke, zijn er ook verschillen. Zo is het uitgangspunt van de risicobeoordeling door de kritieke entiteit, bedoeld in artikel 14 Wwke, specifiek de weerbaarheid van de essentiële dienst en is het uitgangspunt bij de Cbw de netwerk- en informatiesystemen. Dit neemt niet weg dat kritieke entiteiten in de zin van de Wwke in de praktijk veelal geen scheiding aanhouden tussen de “cyberwereld” en de “fysieke wereld” en er dus door entiteiten integraal naar risico’s en dreigingen wordt gekeken. Dit betekent in de praktijk dat er een integrale risicobeoordeling plaats kan vinden voor in dit geval de Wwke en de Cbw, mits aan alle gestelde eisen voor beide risicobeoordelingen wordt voldaan. Dit is echter geen verplichting en dus optioneel, maar kan voor bedrijven een vermindering in de administratieve lasten betekenen en onnodige regeldruk voorkomen.

De leden van de ChristenUnie-fractie merken na bestudering van artikel 5 van het wetsvoorstel op dat de Rechtspraak geen onderdeel uitmaakt van de opsomming van verscheidene overheidsinstanties die zijn uitgesloten van deze wet. Deze leden vragen de regering om toe te lichten met welke reden hiervoor gekozen is. Wat zijn in de ogen van de regering de eventuele negatieve gevolgen van deze keuze?

De Wwke is niet van toepassing op de rechtbanken, de gerechtshoven, de Hoge Raad, het College van Beroep voor het bedrijfsleven, de Centrale Raad van Beroep en de Afdeling bestuursrechtspraak van de Raad van State. Dit volgt niet uit artikel 5 Wwke, maar uit de in artikel 1 Wwke opgenomen definitie van overheidsinstantie. Die definitie volgt uit de in artikel 2, onderdeel 10, CER-richtlijn opgenomen definitie van overheidsinstantie, waarin de rechterlijke macht wordt uitgezonderd van de definitie van overheidsinstantie in de zin van de CER-richtlijn. Er is in dit verband dus geen sprake geweest van een (beleids)keuze om een organisatie al dan niet uit te sluiten van het toepassingsbereik van de Wwke, maar van een dwingend voorschrift uit de CER-richtlijn.

5.3 Risicobeoordeling door kritieke entiteiten

De leden van de GroenLinks-PvdA-fractie hebben begrip voor het laten uitvoeren van interne risicobeoordelingen door kritieke entiteiten. Het is echter van belang dat er een goede mate van onafhankelijkheid en standaardisatie is in de wijze waarop deze beoordelingen plaatsvinden. Welke voor- en nadelen ziet de regering in het beleggen van de beoordeling bij de kritieke entiteit zelf?

Artikel 12, eerste lid, CER-richtlijn schrijft dwingend voor dat lidstaten van de Europese Unie ervoor moeten zorgen dat kritieke entiteiten zelf een risicobeoordeling uitvoeren. De regering onderschrijft het belang hiervan, omdat entiteiten zelf het beste zicht hebben op hun organisatie, processen en randvoorwaarden die de essentiële dienstverlening mogelijk maken én de kwetsbaarheden die daarbij horen.

Vakministers en andere (overheids)partijen kunnen kritieke entiteiten ondersteuning bieden bij het uitvoeren van de risicobeoordeling. Daarnaast dient de vakminister op grond van artikel 9, eerste lid, Wwke ook zelf een risicobeoordeling uit te voeren voor de desbetreffende sectoren. Kritieke entiteiten moeten vervolgens op grond van artikel 14, eerste lid, Wwke rekening houden met deze sectorale risicobeoordeling bij hun eigen risicobeoordeling. Zij moeten daarnaast gebruik maken van andere relevante informatiebronnen. Daarbij kan het gaan om openbare sectorale analyses, periodieke risicoanalyses voor de vitale infrastructuur of andersoortige periodieke dreigingsbeelden. Dit zijn in ieder geval de door de Minister van Justitie en Veiligheid opgestelde of aangeboden Rijksbrede Risicoanalyse Nationale Veiligheid (RbRa) en andere relevante periodieke risicoanalyses, zoals het Cybersecuritybeeld Nederland (CSBN), het Dreigingsbeeld Statelijke Actoren (DBSA) en het Dreigingsbeeld Terrorisme Nederland (DTN). Door het voorgaande is er voldoende oog voor onafhankelijkheid en standaardisatie én voor risicogebaseerd maatwerk voor en door kritieke entiteiten.

De leden van de NSC-fractie lezen dat op entiteiten die worden aangewezen als kritiek, de verplichting komt te rusten om een risicobeoordeling uit te voeren. De kritieke entiteit beoordeelt in dat kader alle relevante door de natuur en door de mens veroorzaakte risico’s die de verlening van haar essentiële dienst of diensten kunnen verstoren. Deze leden lezen in de memorie van toelichting dat een risicobeoordeling bestaat uit het proces om potentiële relevante dreigingen, kwetsbaarheden en gevaren die tot een incident kunnen leiden, in kaart te brengen en te analyseren, en de impact die een incident zou kunnen hebben op de verstoring van een essentiële dienst, in te schatten. Vervolgens moeten kritieke entiteiten indien nodig (aanvullende) maatregelen nemen in lijn met de risico’s waarmee zij geconfronteerd worden, om incidenten te voorkomen, te beperken of te beheersen, en om bescherming te bieden of bestand te zijn tegen, te reageren op of zich aan te passen aan en te herstellen van een incident. Kan de regering toelichten in hoeverre en op welke wijze kritieke entiteiten hier hulp bij (kunnen) krijgen? Hoe ver strekt de verantwoordelijkheid van de kritieke entiteit zelf bij het maken van de inschatting of bijvoorbeeld aanvullende maatregelen nodig zijn?

De primaire verantwoordelijkheid voor het nemen van maatregelen ter voldoening aan de zorgplicht (artikel 15 Wwke) en de inschatting van welke maatregelen passend en evenredig zijn, ligt bij de kritieke entiteit zelf. Door middel van de sectorale risicobeoordeling kan een vakminister sturen op welke dreigingen en risico’s een kritieke entiteit in ieder geval moet onderkennen. Het is vervolgens aan de kritieke entiteit om middels een risicobeoordeling tot passende en evenredige maatregelen te komen om de weerbaarheid van de essentiële dienst te borgen. Een vakminister en andere (overheids)partijen kunnen hierbij ondersteuning bieden, bijvoorbeeld door het aanleveren van (standaard)informatie. Denk daarbij aan de openbare producten met dreigingsinformatie, zoals het Dreigingsbeeld Statelijke Actoren (DBSA), het Cybersecuritybeeld Nederland (CSBN) en het Dreigingslandschap Vitale Infrastructuur. Waar ondersteuning sectoroverstijgend kan worden ingericht is er ook een rol weggelegd voor de Minister van Justitie en Veiligheid, vanuit zijn coördinerende rol op het beleid en door de samenwerking tussen bevoegde autoriteiten te bevorderen vanuit zijn rol als centraal contactpunt (artikel 12 Wwke). Hierbij valt te denken aan de ontwikkeling van standaard formats voor de risicobeoordeling en het faciliteren en bevorderen van informatie-uitwisseling tussen de bevoegde autoriteit en kritieke entiteiten.

De leden van de CDA-fractie lezen dat de regering als uitgangspunt heeft dat het wetsvoorstel en de Cbw zoveel mogelijk op elkaar aansluiten, zodat entiteiten niet met administratieve lasten te maken krijgen. Hierbij kan worden gedacht aan het simultaan uitvoeren van zowel de risicobeoordeling bedoeld onder het wetsvoorstel, als de risicobeoordeling bedoeld onder de Cbw. Deze leden vragen of dit inderdaad het uitgangspunt wordt of dat dit optioneel is. Op welke manier krijgen de kritieke entiteiten hierover informatie en aanbevelingen, en wat is de reden dat er niet voor gekozen is om de risicobeoordeling onder zowel de Cbw als het wetsvoorstel gelijk te trekken? Denkt de regering niet dat dit tot verwarring en/of dubbel werk kan gaan leiden?

Voor het antwoord op deze vraag wordt verwezen naar het antwoord op de vraag van de leden van de GroenLinks-PvdA-fractie over de vitaalbeoordeling in paragraaf 5.2.

5.4 Zorgplicht

De leden van de GroenLinks-PvdA-fractie vinden het onduidelijk hoe de evenredigheid van maatregelen wordt vastgesteld. Maatregelen vergen investeringen en informatietechnologiekennis die een beslag leggen op de entiteit, terwijl risico’s abstract zijn. Daardoor ontstaat mogelijk een prikkel om maatregelen als onevenredig te beoordelen. Tegelijkertijd stelt de regering dat financiële capaciteit en een beperkte omvang een entiteit niet ontslaan van haar verplichting om maatregelen te nemen. Hoe worden entiteiten ondersteund als zij aangeven noodzakelijke maatregelen niet te kunnen nemen?

Het nemen van maatregelen vergt risicogebaseerd maatwerk en kan per sector, subsector, categorie van entiteiten of zelfs entiteit verschillen. Het is in eerste instantie aan de kritieke entiteit zelf om vast te stellen of de maatregelen evenredig zijn gelet op de risico’s en dreigingen.

Indien een kritieke entiteit van mening is dat zij noodzakelijke maatregelen vanwege onevenredigheid niet kan nemen, kan allereerst van deze entiteit verlangd worden dat zij in overleg treedt met de vakminister om te bezien of met de beschikbare ondersteuning de onevenredigheid van de maatregelen weggenomen kan worden. Daarnaast zal de kritieke entiteit desgevraagd gemotiveerd bij de instantie, waarvan de ambtenaren door de vakminister zijn belast met toezicht op de naleving van de verplichtingen uit de Wwke, moeten aangeven waarom de evenredigheid in de weg staat aan het treffen van de maatregelen. Die instantie kan deze omstandigheden van het geval in het bredere licht van de uitgevoerde risicobeoordelingen meenemen in haar beoordeling van de naleving van de zorgplicht door de betreffende entiteit.

De leden van de VVD-fractie vragen hoe wordt getoetst of een maatregel passend is, gelet op het feit dat maatregelen dienen te worden afgestemd op de risico’s in relatie tot de entiteit en de specifieke context en dus per entiteit kunnen verschillen. Tevens vragen deze leden hoe de coherentie en consistentie van maatregelen tussen entiteiten binnen dezelfde sector wordt geborgd.

Het is in eerste instantie aan de kritieke entiteit zelf om vast te stellen of de maatregelen in het kader van de zorgplicht (artikel 15 Wwke) passend en evenredig zijn gelet op de risico’s en dreigingen. De bevoegde autoriteit zal uiteindelijk toetsen of de genomen of juist niet genomen maatregelen in verhouding staan tot de risico’s en dreigingen. Hierbij dient uiteraard de sectorale, alsook de entiteitspecifieke context te worden meegewogen.

Door middel van de sectorale risicobeoordeling kan een vakminister sturen op welke dreigingen en risico’s een kritieke entiteit in ieder geval moet onderkennen bij het nemen van maatregelen. Hierbij beziet de vakminister de overkoepelende risico’s binnen de desbetreffende sector, om zodoende zoveel mogelijk de coherentie en consistentie van maatregelen binnen eenzelfde sector te borgen.

De leden van de NSC-fractie lezen dat kritieke entiteiten de zorgplicht hebben om passende en evenredige technische, beveiligings- en organisatorische maatregelen te nemen om een weerbare entiteit te creëren. Volgens het wetsvoorstel en de memorie van toelichting is het in eerste instantie aan kritieke entiteiten zelf om vast te stellen welke maatregelen passend en evenredig zijn om de risico’s, waarmee zij geconfronteerd worden, te kunnen beheersen. Deze leden verwachten dat het voor entiteiten lastig kan zijn om te bepalen wanneer hun aanpak passend en evenredig is, ook al staan er aanknopingspunten in het wetsvoorstel en de memorie van toelichting. In het concept van het Besluit weerbaarheid kritieke entiteiten staan verschillende bepalingen ter invulling van de zorgplicht. Kan een kritieke entiteit er in beginsel van uitgaan dat aan de zorgplicht wordt voldaan als conform al die bepalingen wordt gehandeld? Zo nee, kan de regering nadere aanknopingspunten bieden?

Welke concrete maatregelen in het kader van de zorgplicht passend en evenredig zijn, is maatwerk gebaseerd op de risico’s en dreigingen én de entiteitspecifieke omstandigheden. Het is de intentie van de regering om, gelet op artikel 10 Wwke, ondersteuning te bieden aan kritieke entiteiten bij het nemen van maatregelen ter uitvoering van de zorgplicht. Hierbij kan bijvoorbeeld gedacht worden aan regulier contact met de vakminister waar dat gewenst is of het opstellen van handreikingen voor een duiding van bepaalde dreigingen.

Voorts is in dit kader relevant om te vermelden dat op dit moment door de Europese Commissie voor alle lidstaten van de Europese Unie een richtsnoer wordt ontwikkeld om kritieke entiteiten te ondersteunen bij het nemen van passende en evenredige technische, beveiligings- en organisatorische maatregelen.

Ten aanzien van de uitwerking van de zorgplicht in het Besluit weerbaarheid kritieke entiteiten (hierna: Bwke) wordt opgemerkt dat het besluit maatregelen noemt die de kritieke entiteit ten minste dient te nemen ter uitvoering de zorgplicht. Dit laat de algemeen geformuleerde zorgplicht in artikel 15, eerste lid, Wwke die rechtstreeks voortvloeit uit de CER-richtlijn onverlet.

5.5 Meldplicht

De leden van de GroenLinks-PvdA-fractie vragen om duidelijkheid over hoe drempelwaarden worden vastgesteld. Een relatief klein incident kan immers uitgroeien tot een groter probleem of onvoorziene gevolgen hebben. Daarom achten deze leden het van belang dat er een relatief lage drempelwaarde is. Onderschrijft de regering dat?

De drempelwaarden worden door de vakministers vastgesteld, na overleg met de betrokken sector. Voor het vaststellen van de drempelwaarden is door de Minister van Justitie en Veiligheid een gemeenschappelijk beleidskader opgesteld, dat als een gezamenlijk vertrekpunt dient voor het bepalen van de drempelwaarden. Uiteindelijk worden alle drempelwaarden in overleg met de Minister van Justitie en Veiligheid vastgesteld.

Bij het vaststellen van de drempelwaarden zal telkens oog zijn voor het balans tussen enerzijds grote of onvoorziene gevolgen en anderzijds de doelmatigheid en administratieve lasten. Het belangrijkste uitgangspunt hierbij is uiteraard dat de weerbaarheid van de kritieke entiteit zo goed mogelijk wordt geborgd.

De leden van de VVD-fractie lezen dat ten aanzien van vertrouwelijke informatie bij een melding ook kan worden gedacht aan concrete informatie over de entiteit die door een dreiging of incident is getroffen, waarbij verdere verspreiding van die informatie tot gevolg heeft dat die entiteit daarvan nadeel ondervindt, bijvoorbeeld omdat de commerciële belangen van die entiteit daardoor kunnen worden geschaad. In dat licht vragen deze leden of kritieke entiteiten ook gehouden zijn om klanten, afnemers of andere partners die mogelijk schade ondervinden van het incident, actief te informeren en welke bevoegdheden de bevoegde autoriteit heeft om een dergelijke informatieverstrekking te bevorderen of af te dwingen.

Kritieke entiteiten zijn hiertoe op grond van de Wwke niet gehouden, omdat de CER-richtlijn een dergelijk voorschrift niet bevat. De bevoegde autoriteit heeft geen bevoegdheden om een dergelijke informatieverstrekking te bevorderen of af te dwingen.

5.6 Centraal contactpunt

De leden van de GroenLinks-PvdA-fractie vragen welke organisatie namens de minister van Justitie en Veiligheid zal fungeren als centraal contactpunt.

In de praktijk zal de Nationaal Coördinator Terrorismebestrijding en Veiligheid (hierna: NCTV) namens de Minister van Justitie en Veiligheid fungeren als centraal contactpunt in de zin van de Wwke.

De leden van de CDA-fractie lezen dat de minister van Justitie en Veiligheid medeverantwoordelijk is vanuit zijn rol als coördinerend bewindspersoon voor de bescherming van de weerbaarheid in Nederland en de nationale veiligheid. Dat is een van de redenen waarom deze minister wordt aangewezen als het centrale contactpunt, ook met andere Europese lidstaten. Deze leden vragen aan de regering op welke manier de informatie-uitwisseling tussen verschillende lidstaten wordt ingericht en welke belemmeringen hiervoor nog moeten worden weggenomen.

De inrichting van de informatie-uitwisseling tussen verschillende lidstaten van de Europese Unie wordt vormgegeven door de Europese Commissie. Een belangrijk gremium hiervoor is de Groep voor de weerbaarheid van kritieke entiteiten, zoals geregeld in artikel 19 CER-richtlijn. De NCTV is verantwoordelijk voor de overkoepelende beleidsaanpak, de Aanpak vitaal, en zal namens de Minister van Justitie en Veiligheid fungeren als centraal contactpunt. Deze organisatie neemt namens de regering deel aan de Groep voor de weerbaarheid van kritieke entiteiten. Vanuit haar rol als centraal contactpunt is zij zowel verantwoordelijk voor de onderlinge samenwerking tussen bevoegde autoriteiten, als voor de samenwerking en informatie-uitwisseling met andere lidstaten van de Europese Unie. Eén van de aandachtspunten voor een goede informatie-uitwisseling is de vertrouwelijkheid van informatie en een betrouwbaar en veilig proces voor het borgen van deze vertrouwelijkheid. De regering kaart dit ook aan bij de Europese Commissie.

5.7 Bevoegde autoriteit

De leden van de GroenLinks-PvdA-fractie vragen de regering om, indien mogelijk, inzichtelijk te maken welke organisaties als bevoegde autoriteit zullen worden aangewezen.

Bevoegde autoriteit	Sector	Subsector	Toezichthoudende instantie
Minister van Binnenlandse Zaken en Koninkrijksrelaties	overheid		Beveiligingsautoriteit Rijk
Minister van Economische Zaken	digitale infrastructuur		*
Minister van Economische Zaken	ruimtevaart		Rijksinspectie Digitale Infrastructuur
Minister van Financiën	bankwezen		*
Minister van Financiën	infrastructuur voor de financiële markt		*
Minister van Infrastructuur en Waterstaat	vervoer	lucht	Inspectie Leefomgeving en Transport
		spoor
		water
		weg
		openbaar vervoer
	drinkwater
	afvalwater
Minister van Klimaat en Groene Groei	energie	elektriciteit	Rijksinspectie Digitale Infrastructuur en Staatstoezicht op de Mijnen¹¹
		stadsverwarming en -koeling
		olie
		gas
		waterstof
Minister van Landbouw, Visserij, Voedselzekerheid en Natuur	productie, verwerking en distributie van levensmiddelen		Nederlandse Voedsel- en Warenautoriteit
Minister van Volksgezondheid, Welzijn en Sport	gezondheidszorg		Inspectie Gezondheidszorg en Jeugd

De bovenstaande tabel biedt geen uitputtende lijst van sectoren en toezichthoudende instanties. Na de inwerkingtreding van de Wwke kunnen de bevoegde autoriteiten (vakministers) namelijk ervoor kiezen om aanvullende sectoren aan te wijzen, conform artikel 7 Wwke. De vakministers zullen dan ook voor die aanvullende sectoren bij besluit de ambtenaren aanwijzen die zijn belast met het toezicht op de naleving van het bepaalde bij of krachtens de Wwke.

* Kritieke entiteiten in de sectoren digitale infrastructuur, bankwezen en infrastructuur voor de financiële markt zijn uitgezonderd van de verplichting tot het uitvoeren van een risicobeoordeling, de zorgplicht, de meldplicht, de verplichting tot het aanwijzen van een verbindingsfunctionaris, de verplichting uit artikel 20 Wwke (over de kennisgeving over de verlening van essentiële diensten aan of in zes of meer lidstaten van de Europese Unie) en de verplichting die is neergelegd in artikel 22 Wwke (over kritieke entiteiten van bijzonder Europees belang). Dit is geregeld in artikel 23 Wwke.

5.8 Ondersteuning aan kritieke entiteiten

De leden van de GroenLinks-PvdA-fractie vragen de regering om enkele voorbeelden te noemen van bestaande (crisis)structuren waarop de ondersteuning aan kritieke entiteiten zal worden aangesloten.

Elk ministerie neemt maatregelen op het eigen beleidsterrein om crises aan te pakken. Daarvoor heeft ieder ministerie een Departementaal Crisiscoördinatiecentrum. Het Ministerie van Justitie en Veiligheid heeft daarnaast een Nationaal Crisiscentrum, ondergebracht bij de NCTV. Dit centrum is een 24/7-informatieloket en ondersteunt de nationale crisisstructuur en de daarbij betrokken partijen.

Het Nationaal Handboek Crisisbeheersing legt op hoofdlijnen de rollen, taken, verantwoordelijkheden en bevoegdheden vast van de belangrijkste partijen binnen de nationale crisisstructuur. In deze crisisstructuur hebben de Departementale Crisiscoördinatiecentra een belangrijke rol. Bij het vormgeven van de ondersteuning aan kritieke entiteiten wordt nadrukkelijk aansluiting gezocht bij deze bestaande structuren, bijvoorbeeld waar het gaat om gezamenlijke (crisis)oefeningen en trainingen. Daarnaast wordt er ingezet op één gezamenlijk meldportaal voor meldingen van incidenten onder de Cbw en de Wwke. Dit meldportaal zal door het Nationaal Cyber Security Centrum (NCSC) worden beheerd. Door bij de bestaande praktijk aan te sluiten en één portaal te bieden vergemakkelijkt dit het doen van meldingen onder beide wettelijke kaders voor bedrijven.

5.9 Handhaving

De leden van de GroenLinks-PvdA-fractie vragen de regering om toe te lichten welke eisen er worden gesteld aan de audits die verplicht kunnen worden.

De Wwke stelt als eis dat wanneer de bevoegde autoriteit een kritieke entiteit verplicht om een audit te laten uitvoeren, dat deze auditpartij een onafhankelijke en gekwalificeerde deskundige dient te zijn. Hierbij is het uitgangspunt dat zoveel mogelijk wordt aangesloten bij de sectorale kaders en de praktijk omtrent, waar mogelijk vergelijkbare, audits. De auditverplichting kan zien op alle aspecten van de naleving van de Wwke en bepaalde uitvoeringshandelingen die voortvloeien uit de CER-richtlijn. De audit kan daarbij betrekking hebben op de gehele entiteit of specifieke processen en verplichtingen van de entiteit. Daarom is niet op voorhand te zeggen welke eisen door de bevoegde autoriteit aan de audit worden gesteld, omdat dit samenhangt met het doel en de reikwijdte van de betreffende audit, evenals de sectorale context.

5.10 Toepassing in Caribisch deel van het Koninkrijk

De leden van de GroenLinks-PvdA-fractie vinden het teleurstellend dat de reikwijdte van het wetsvoorstel niet strekt over het hele Koninkrijk. Deze leden achten het van belang dat alle Nederlanders een gelijke mate van veiligheid en weerbaarheid genieten. Kan de regering toelichten waarom er geen aanvullende maatregelen worden genomen om het wetsvoorstel, of soortgelijke afspraken, toe te passen op Bonaire, Sint Eustatius en Saba? Onder welke voorwaarden kan het wetsvoorstel wél van kracht worden in het Caribisch deel van het Koninkrijk en wat doet de regering eraan om aan die voorwaarden te voldoen?

De CER-richtlijn is alleen van toepassing op Europees Nederland en niet op Caribisch Nederland. Conform het principe van comply or explain dient te worden bepaald of en hoe de Wwke van toepassing moet worden verklaard voor Caribisch Nederland. Het kabinet heeft ervoor gekozen Caribisch Nederland niet direct te betrekken bij de implementatie van de CER‑richtlijn. Zoals in paragraaf 5.10 van de memorie van toelichting op het wetsvoorstel is aangegeven, is de toepassing van de Wwke in Caribisch Nederland op dit moment niet uitvoerbaar voor onder meer de openbare lichamen. Er wordt op dit moment nog uitvoering gegeven aan een aantal randvoorwaarden voor het versterken van de weerbaarheid in Caribisch Nederland. In het kader van de Veiligheidsstrategie van het Koninkrijk wordt gewerkt aan het in kaart brengen welke processen in Caribisch Nederland mogelijk maatschappelijk ontwrichtende effecten hebben, zodat duidelijk is welke processen betere bescherming behoeven. Het is denkbaar dat vanuit de uitvoering van deze randvoorwaarden in de toekomst (sectorale) wetgeving voortvloeit waarmee de bescherming van bepaalde infrastructuur in Caribisch Nederland tegen fysieke risico’s wordt gewaarborgd. Voor nu komt het volledig van toepassing verklaren van de Wwke op Caribisch Nederland nog te vroeg.

6. Verhouding tot hoger recht

De leden van de NSC-fractie hebben kennisgenomen van de mogelijkheden tot gegevensverwerking en gegevensuitwisseling op grond van dit wetsvoorstel. Deze leden begrijpen in algemene zin de conclusie van de regering dat de verwerking van persoonsgegevens door de vakministers en de toezichthoudende instantie mogelijk moet kunnen zijn met het oog op het versterken van de weerbaarheid van kritieke entiteiten en dat de bevoegde autoriteiten noodzakelijke gegevens moeten kunnen uitwisselen. Kan de regering wel toelichten hoe onnodige gegevensuitwisseling zo veel mogelijk kan worden voorkomen? Hoe zal dit in de praktijk worden geborgd? Kan de regering hierbij het principe van ‘minimale gegevensverwerking’ uit artikel 5 van de Algemene verordening gegevensbescherming betrekken?

Het principe van minimale gegevensverwerking, bedoeld in artikel 5 Algemene verordening gegevensbescherming, houdt onder meer in dat gegevens niet langer worden bewaard dan nodig is. In artikel 33 Wwke is (onder meer) om die reden een grondslag opgenomen om bij algemene maatregel van bestuur regels te stellen over de bewaartermijn van persoonsgegevens. In artikel 19 Bwke is vervolgens bepaald dat persoonsgegevens niet langer worden bewaard dan noodzakelijk en uiterlijk binnen 60 maanden (120 maanden voor verwerkingen in het kader van toezicht) na de eerste verwerking worden verwijderd.

Ten overvloede wordt opgemerkt dat voorgenoemde termijnen uiterlijke en daarmee maximale bewaartermijnen betreffen. Dit laat onverlet dat conform de Wwke, het Bwke en de Algemene verordening gegevensbescherming de verwerkingsverantwoordelijke de persoonsgegevens nooit langer dan noodzakelijk voor de taakuitvoering op grond van de wet mag bewaren, wat korter kan zijn dan de uiterlijk gestelde termijn.

7. Gevolgen

7.1 Gevolgen voor burgers en bedrijven

De leden van de NSC-fractie lezen in de memorie van toelichting dat kritieke entiteiten die reeds passende en evenredige maatregelen hebben genomen, naar verwachting weinig tot geen inhoudelijke nalevingskosten zullen ervaren. Kritieke entiteiten die deze maatregelen (deels) nog niet hebben genomen, kunnen echter een aanzienlijke regeldruk ervaren bij het implementeren van de zorgplichtmaatregelen, zo lezen deze leden. Kan de regering toelichten of volgens haar sprake is van realistische eisen die in het wetsvoorstel aan kritieke entiteiten worden gesteld, binnen de in het wetsvoorstel gestelde termijnen? En hoe wordt gewaarborgd dat kleine maar kritieke entiteiten niet disproportioneel worden belast met dure maatregelen?

Zodra een entiteit is aangewezen als kritieke entiteit in de zin van de Wwke, geldt voor die kritieke entiteit na negen maanden de verplichting om een risicobeoordeling uit te voeren (artikel 14, derde lid, Wwke). De zorgplicht en de meldplicht gelden na tien maanden na de aanwijzing als kritieke entiteit (de artikelen 15, vijfde lid, en 17, zevende lid, Wwke). Hiermee worden kritieke entiteiten in staat gesteld om zich voor te bereiden op de hiervoor genoemde wettelijke verplichtingen.

In de praktijk zullen veel entiteiten die aangewezen zullen worden als kritieke entiteit nu al beleidsmatig zijn aangemerkt als vitale aanbieder. Deze partijen zijn reeds in contact met hun vakminister over het verhogen van hun weerbaarheid. Voor de entiteiten die niet zijn aangemerkt als vitale aanbieder en die na de inwerkingtreding van de Wwke worden aangewezen als kritieke entiteit, is de verwachting dat de hiervoor genoemde negen maanden voorbereidingstijd voor de verplichting tot het uitvoeren van een risicobeoordeling en tien maanden voor de zorgplicht en de meldplicht, voldoende voorbereidingstijd zal zijn.

Na uitvoering van het regeldrukonderzoek en de mkb-toets kan geconcludeerd worden dat de risicogebaseerde aanpak van de Wwke voor kleinere bedrijven ruimte biedt voor maatwerk. Daarnaast blijkt uit deze onderzoeken ook dat veel bedrijven zich al bewust zijn van de bijzondere relevantie die zij hebben en de mogelijke dreigingen die daarbij komen kijken. Veel van de in het kader van die onderzoeken geïnterviewde bedrijven heeft daarom al beleid op het gebied van de fysieke weerbaarheid van de organisatie om de continuïteit van de bedrijfsprocessen zoveel mogelijk te borgen.

De leden van de CDA-fractie lezen dat de entiteiten waar onderhavige regeling op van toepassing is – naar schatting 500 – te maken zullen krijgen met een stijging van de regeldruk. Deze leden vragen op welke manier de regering voorkomt dat de entiteiten te maken krijgen met overlappende verplichtingen vanuit het wetsvoorstel, de Cbw en overige sectorspecifieke regels. Deze leden vragen daarnaast ook of bij het bepalen van de regeldruk rekening is gehouden met de omvang van de entiteit en wat dat voor met name de kleinere kritieke entiteiten betekent.

In de systematiek van de Wwke is gekozen voor een risicogebaseerde aanpak en is ervoor gekozen om de invulling van bepaalde verplichtingen, zoals de vorm van de risicobeoordeling, bij de kritieke entiteiten zelf te laten. Dit betekent dat kritieke entiteiten ervoor kunnen kiezen om de invulling van de risicobeoordeling te laten samenvallen met andere (sectorale) wettelijke verplichtingen. Entiteiten kunnen hierdoor bijvoorbeeld zelf kiezen welke systematiek of methode ze gebruiken bij het in kaart brengen van hun risico’s. Hierdoor kunnen entiteiten overlappende verplichtingen onder verschillende (sectorale) wettelijke kaders, zoals de risicobeoordeling onder de Cbw en de Wwke, met elkaar combineren waardoor zij minder administratieve handelingen hebben. Doordat de maatregelen die kritieke entiteiten in het kader van de zorgplicht moeten nemen, passend en evenredig moeten zijn, kunnen kleinere entiteiten de afweging maken tussen de risico’s die zij geïdentificeerd hebben voor het verlenen van hun essentiële dienst en bijvoorbeeld de grootte van het bedrijf. Ook is bij de implementatie van de CER-richtlijn gekozen voor een decentrale inrichting van het systeem, waarbij de bevoegde autoriteit voor elke sector onder de Wwke de vakminister is die beleidsverantwoordelijkheid draagt voor deze sector. Daardoor wordt geborgd dat de meeste kennis over sectorale wet- en regelgeving meegewogen wordt in de uitwerking van bijvoorbeeld de zorgplicht en de drempelwaarden in lagere regelgeving.

8. Advies en consultatie

8.1 Advies AP

De leden van de NSC-fractie hebben kennisgenomen van het advies van de Autoriteit Persoonsgegevens (hierna: AP), waarin de AP concludeert dat uit het wetsvoorstel niet blijkt welke persoonsgegevens uitgewisseld kunnen worden in het kader van de samenwerking tussen verschillende instanties. Ook ontbreekt een dwingende delegatiegrondslag om dit in nadere regelgeving te bepalen, terwijl dit volgens de AP wel noodzakelijk is. Deze leden lezen dat de regering het advies niet opvolgt, omdat niet op voorhand duidelijk is welke persoonsgegevens verwerkt zullen gaan worden. Als op voorhand bepaalde categorieën persoonsgegevens limitatief worden opgesomd, kan dit volgens de regering de instanties belemmeren in hun taakuitoefening. Deze leden kunnen zich vinden in het advies van de AP. Is de regering bereid om, als tussenoplossing, in het wetsvoorstel wel een delegatiegrondslag op te nemen, zodat in een later stadium nog lagere regels kunnen worden opgesteld hieromtrent?

De regering houdt vast aan de noodzaak om niet op voorhand bepaalde categorieën van persoonsgegevens limitatief op te sommen. Het is immers niet op voorhand duidelijk welke persoonsgegevens in het kader van de uitoefening van de taken uit de Wwke verwerkt zullen worden. Als op voorhand bepaalde categorieën van persoonsgegevens limitatief moeten worden opgesomd, kan dit de verschillende instanties belemmeren in hun taakuitoefening. Door die belemmering kunnen de doelen van de Wwke in het geding komen.

8.2 Advies ATR

De leden van de VVD-fractie lezen dat het ATR¹² waarschuwt voor een toename van onnodige regeldruk en administratieve lasten door het wetsvoorstel. Hoe beoordeelt de regering deze kritiek en welke maatregelen worden overwogen om de onnodige regeldruk en administratieve lasten voor bedrijven te verminderen zonder afbreuk te doen aan de effectiviteit van het wetsvoorstel?

Bij het vormgeven van dit wetsvoorstel is nadrukkelijk oog geweest voor de administratieve lasten die bedrijven zullen ondervinden als gevolg van de Wwke, ook vanuit andere (sectorale) wettelijke kaders. Mede hierom is in de systematiek van de Wwke gekozen voor een risicogebaseerde aanpak en is ervoor gekozen om de invulling van bepaalde verplichtingen, zoals de vorm van de risicobeoordeling, bij de kritieke entiteiten zelf te laten. Dit betekent dat kritieke entiteiten ervoor kunnen kiezen om de invulling van de risicobeoordeling te laten samenvallen met andere (sectorale) wettelijke verplichtingen. Bedrijven die worden aangewezen als kritieke entiteit kunnen hierdoor bijvoorbeeld zelf kiezen welke systematiek of methode ze gebruiken bij het in kaart brengen van hun risico’s. Hierdoor kunnen deze bedrijven overlappende verplichtingen onder verschillende (sectorale) wettelijke kaders, zoals de verplichting tot het uitvoeren van de risicobeoordeling onder de Cbw en onder de Wwke, met elkaar combineren waardoor zij minder administratieve handelingen hebben.

De regering heeft kennisgenomen van de punten van het Adviescollege toetsing regeldruk (ATR) en heeft daar in de uitwerking van het Bwke expliciet rekening mee gehouden. De regeldruk die bedrijven, die worden aangewezen als kritieke entiteit, door de Wwke ervaren is alleen van toepassing op die bedrijven die een dergelijke cruciale rol in de continuïteit van de Nederlandse samenleving spelen, en wordt daarom door de regering proportioneel geacht. In het algemeen beschouwt de regering daarom dat de ervaren administratieve lasten in verhouding staan tot de eventuele incidenten die met deze maatregelen voorkomen of gemitigeerd kunnen worden.

II. Artikelsgewijze toelichting

Artikel 7 (aanwijzing sector, subsector en categorie van entiteiten)

De leden van de NSC-fractie lezen dat de lijst van essentiële diensten in de richtlijn niet uitputtend is en dat lidstaten de lijst kunnen aanvullen met andere essentiële diensten op nationaal niveau. Kan de regering aangeven of de sectoren ‘telecommunicatie’ en ‘afvalinzameling en -verwerking’ onder de wet vallen? Zo ja, kan de regering toelichten via welke weg en, zo nee, kan de regering toelichten waarom niet en is zij voornemens dit te heroverwegen?

De Wwke is van toepassing op kritieke entiteiten in de sector digitale infrastructuur. Onder deze sector vallen onder meer aanbieders van openbare elektronische communicatienetwerken en aanbieders van elektronische communicatiediensten. De regering verwijst hierbij naar de opname van deze sector en aanbieders in de bijlage van de Wwke.

De bijlage van de Wwke bevat niet de sector afvalinzameling en -verwerking, omdat de CER-richtlijn hier niet in voorziet. Dit betekent dus ook dat de Wwke niet van toepassing is op deze sector. Wel kan de minister die beleidsverantwoordelijk is voor deze sector, te weten de Minister van Infrastructuur en Waterstaat, op grond van artikel 7, eerste lid, Wwke deze sector aanwijzen waarbinnen kritieke entiteiten kunnen worden aangewezen. Er loopt momenteel een verkenning om te bepalen of de sector afvalstoffenbeheer toegevoegd zal worden als sector onder de Wwke.

III. Overig

De leden van de VVD-fractie vragen in hoeverre bestuurders van kritieke entiteiten hoofdelijk aansprakelijk kunnen worden gesteld bij het niet-naleven van verplichtingen uit het wetsvoorstel. Bestaat er een mogelijkheid dat bestuurders persoonlijk aansprakelijk worden gehouden in het geval van nalatigheid of onvoldoende zorgplicht met betrekking tot de weerbaarheid van de entiteit? En, zo ja, op basis van welke wettelijke bepalingen zou dit kunnen plaatsvinden en hoe verhoudt zich dit tot bestaande aansprakelijkheidsregimes in het bestuurs- en civiel recht?

In dit verband benadrukt de regering allereerst dat het wetsvoorstel niet voorziet in nieuwe regels over de aansprakelijkheid van leden van het bestuur voor de naleving van de verplichtingen uit het wetsvoorstel. Het bestaande aansprakelijkheidsregime (zowel bestuurs- als civielrechtelijk) is dan ook onverkort van toepassing en wordt hierna nader toegelicht.

In artikel 5:1, eerste lid, Algemene wet bestuursrecht (hierna: Awb) is bepaald dat in de Awb wordt verstaan onder een overtreding: een gedraging die in strijd is met het bepaalde bij of krachtens enig wettelijk voorschrift. In artikel 5:1, tweede lid, Awb is bepaald dat onder overtreder wordt verstaan: degene die de overtreding pleegt of medepleegt. Artikel 5:1, derde lid, Awb bepaalt dat overtredingen kunnen worden begaan door natuurlijke personen en rechtspersonen en dat artikel 51, tweede en derde lid, Wetboek van Strafrecht van overeenkomstige toepassing is. Artikel 51, tweede lid, Wetboek van Strafrecht bepaalt dat indien een strafbaar feit wordt begaan door een rechtspersoon, de strafvervolging kan worden ingesteld en de in de wet voorziene straffen en maatregelen kunnen worden uitgesproken tegen die rechtspersoon, dan wel tegen de opdrachtgever of feitelijk leidinggevende, dan wel tegen de hiervoor genoemden tezamen. In artikel 51, derde lid, Wetboek van Strafrecht wordt voor de toepassing van het tweede lid met de rechtspersonen gelijkgesteld: de vennootschap zonder rechtspersoonlijkheid, de maatschap, de rederij en het doelvermogen.

Door de schakelbepaling in artikel 5:1, derde lid, Awb is het mogelijk om in het geval dat een overtreding is gepleegd of medegepleegd door een rechtspersoon, een bestuurlijke boete of een last onder bestuursdwang of dwangsom op te leggen aan degenen die tot de door de rechtspersoon begane overtreding opdracht hebben gegeven of daaraan feitelijk leiding hebben gegeven. De bevoegde autoriteit kan bij een overtreding van een verplichting uit de Wwke dus handhavend optreden tegen de entiteit die de overtreding begaat, maar ook tegen degenen die worden aangemerkt als opdrachtgever van de door de entiteit begane overtreding en degenen die feitelijke leiding hebben gegeven aan de verboden gedraging.¹³ Dit kunnen zowel natuurlijke personen als rechtspersonen zijn. Meer specifiek kan het in het eerste geval gaan om een bestuurder van een entiteit. Bij het laatste geval kan bijvoorbeeld gedacht worden aan een moedermaatschappij die als feitelijke leidinggevende of opdrachtgever kwalificeert van een overtreding bij een dochteronderneming.

Voor wat betreft de aansprakelijkheid van bestuurders wordt voorts gewezen op artikel 2:9 Burgerlijk Wetboek. In dit artikel is onder meer bepaald dat elke bestuurder tegenover de rechtspersoon gehouden is tot een behoorlijke vervulling van zijn taak (eerste lid), dat elke bestuurder de verantwoordelijkheid voor de algemene gang van zaken draagt en dat een bestuurder voor het geheel aansprakelijk is voor onbehoorlijk bestuur, tenzij – kort gezegd – hem geen verwijt kan worden gemaakt en hij niet nalatig is geweest (tweede lid).

De leden van de VVD-fractie lezen verder dat ministers de bevoegdheid krijgen om bedrijven te verplichten leveranciers uit risicolanden te weren of producten van hen te verwijderen. Zij vragen welke wettelijke waarborgen en criteria worden ingebouwd om te voorkomen dat bijvoorbeeld de continuïteit van essentiële diensten in gevaar komt.

De in artikel 13, eerste lid, Bwke opgenomen bevoegdheid kan door de vakminister alleen worden ingezet als hij van oordeel is dat dat noodzakelijk is om incidenten bij een kritieke entiteit die de nationale veiligheid raken te voorkomen, te beperken of te beheersen. De bevoegdheid ziet dus nadrukkelijk op het voorkomen, beperken of beheersen van incidenten die de nationale veiligheid raken. De vakminister kan geen gebruik maken van de bevoegdheid als er geen sprake is van het mogelijk raken van de nationale veiligheid.

Met betrekking tot de continuïteit wijst de regering op het volgende. Het zal voor een kritieke entiteit niet altijd mogelijk zijn om per direct gevolg te geven aan de op grond van artikel 13, eerste lid, Bwke op te leggen verplichting, zonder hiermee de continuïteit van de essentiële dienst in gevaar te brengen, als de entiteit de in de beschikking genoemde producten of diensten van een specifieke leverancier nog in gebruik heeft. In zo’n geval zal de vakminister op grond van artikel 13, tweede lid, Bwke, in het belang van de continuïteit van de essentiële dienstverlening, in de beschikking een termijn opnemen voor de vervanging of beëindiging van die in gebruik zijnde producten of diensten.

De leden van de NSC-fractie wijzen op de aangenomen motie-Six Dijkstra over zonnepanelen, omvormers, laadpalen en warmtepompen niet door buitenlandse leveranciers aan en uit laten zetten (Kamerstuk 30821, nr. 288). In deze motie werd de regering verzocht in wetgeving expliciet op te nemen dat zonnepanelen, omvormers, laadpalen, warmtepompen en vergelijkbare (consumenten)apparatuur niet door leveranciers uit het buitenland aan- en uitgezet mogen kunnen worden. Kan de regering toelichten hoe en wanneer aan deze motie uitvoering zal worden gegeven en of onderhavig wetsvoorstel dit (deels) regelt?

Kritieke entiteiten in de zin van de Wwke zijn van rechtswege ook essentiële entiteit in de zin van de Cbw. Dit is geregeld in artikel 8, eerste lid, onderdeel i, Cbw. Dit heeft tot gevolg dat alle kritieke entiteiten vanwege hun kwalificatie als essentiële entiteit in de zin van de Cbw op basis van een risicogebaseerde aanpak ook moeten zorgen voor de beveiliging van hun netwerk- en informatiesystemen. Bij het overwegen van passende en evenredige maatregelen moeten zij rekening houden met de specifieke kwetsbaarheden van hun rechtstreekse leveranciers en dienstverleners en met de algemene kwaliteit van de producten en de cyberbeveiligingspraktijken van hun leveranciers en dienstverleners.

Op de Europese markt is het al verboden om (heimelijk) functionaliteit in te bouwen (zowel software en hardware) die niet in de technische documentatie is beschreven. Mochten er concrete risico’s zijn met betrekking tot bepaalde producten of diensten, dan kan de vakminister ingrijpen. In zowel het Bwke (artikel 13) als het Cyberbeveiligingsbesluit (artikel 18) is namelijk een bevoegdheid voor de vakministers opgenomen om in het kader van de zorgplicht in bepaalde gevallen, en als laatste redmiddel, bedrijven te kunnen verplichten specifieke producten en diensten van specifieke leveranciers te weren.

Uw Kamer zal binnenkort worden geïnformeerd over de uitvoering van de in de vraagstelling genoemde motie van het lid Six Dijkstra.

De leden van de NSC-fractie vragen de regering toe te lichten op welke wijze de communicatie en voorlichting omtrent het wetsvoorstel is vormgegeven. Op welke wijze is geborgd dat entiteiten vroegtijdig op de hoogte zijn van verplichtingen die mogelijk in een later stadium voor hen zullen gaan gelden?

In het traject van de implementatie van de CER-richtlijn in nationale wet- en regelgeving is continu oog voor de communicatie met partijen die mogelijk als kritieke entiteit in de zin van de Wwke aangewezen zullen worden. Zo is er in een vroegtijdig stadium uitgebreide informatie op de website van de NCTV geplaatst, is er een informatiefilmpje ontwikkeld waarin de rechten en plichten van een kritieke entiteit worden uitgelegd, worden netwerkbijeenkomsten georganiseerd en is er via werkgeversorganisaties en brancheverenigingen voorlichting, inspraak en contact geweest. Ook worden vakministers aangemoedigd om in hun communicatie naar de huidige vitale aanbieders stil te staan bij een mogelijke aanwijzing als kritieke entiteit onder de Wwke nadat de Wwke in werking is getreden.

De leden van de NSC-fractie zien dat de Afdeling aandacht heeft gevraagd voor de vraag of het toezicht op de sector ‘overheid’ wel in voldoende mate onafhankelijk is, aangezien de minister van Binnenlandse Zaken en Koninkrijksrelaties voor die sector de bevoegde autoriteit is. De regering gaf aan dat het toezicht op de sector ‘overheid’ inderdaad voorzien moet zijn van de nodige waarborgen om voldoende onafhankelijkheid te garanderen. Deze leden lezen dat de regering zou gaan onderzoeken welke maatregelen getroffen moeten worden om het gewenste niveau van onafhankelijkheid te waarborgen. Kan de regering inmiddels aangeven wat de uitkomsten zijn van dit onderzoek? Zo nee, wanneer kan de Kamer deze ontvangen?

De Minister van Justitie en Veiligheid,

PbEU 2022, L 333.↩︎
Dit overzicht is te vinden op https://eur-lex.europa.eu/legal-content/EN/NIM/?uri=CELEX:32022L2557.↩︎
Dit geldt ook voor de bestuursrechtelijke handhaving van het bepaalde in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat van de Europese Unie. Zie artikel 8, derde lid, onderdeel b, Wwke.↩︎
Artikel 5:11 Awb spreekt in deze context over “toezichthouder”.↩︎
Dit overzicht is te vinden op https://eur-lex.europa.eu/legal-content/EN/NIM/?uri=CELEX:32022L2557.↩︎
Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (PbEU 2022, L 333).↩︎
Dit geldt ook voor de bestuursrechtelijke handhaving van het bepaalde in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat van de Europese Unie. Zie artikel 8, derde lid, onderdeel b, Wwke.↩︎
Artikel 5:11 Awb spreekt in deze context over “toezichthouder”.↩︎
Dit geldt ook voor de bestuursrechtelijke handhaving van het bepaalde in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat van de Europese Unie. Zie artikel 8, derde lid, onderdeel b, Wwke.↩︎
Artikel 5:11 Awb spreekt in deze context over “toezichthouder”.↩︎
Voor het toezicht op kritieke entiteiten in de sector energie worden momenteel afspraken gemaakt tussen de Rijksinspectie Digitale Infrastructuur en het Staatstoezicht op de Mijnen.↩︎
Adviescollege toetsing regeldruk.↩︎
Dit geldt ook voor een overtreding van het bepaalde in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover daarin is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat van de Europese Unie.↩︎