[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [🧑mijn] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Afronding 1e fase beleidscyclus vitaal SEO-rapport

Brief regering

Nummer: 2025D46669, datum: 2025-11-14, bijgewerkt: 2025-11-14 16:56, versie: 1

Directe link naar document (.docx), link naar pagina op de Tweede Kamer site.

Gerelateerde personen: Bijlagen:

Onderdeel van zaak 2025Z19897:

Preview document (🔗 origineel)

Geachte voorzitter,

Met deze brief informeer ik u over de stand van zaken van de beleidscyclus vitaal voor de financiële sector. Nederland kent al enige tijd de Aanpak vitaal.1 Deze aanpak versterkt de weerbaarheid van de vitale infrastructuur en beschermt vitale processen en instellingen tegen bestaande en nieuwe bedreigingen en risico’s. Onderdeel hiervan is de beleidscyclus vitaal. Deze beleidscyclus maakt inzichtelijk welke processen en diensten zo essentieel zijn voor de Nederlandse samenleving, dat uitval, verstoring of manipulatie daarvan kan leiden tot ernstige maatschappelijke ontwrichting, ernstige economische schade of – in het uiterste geval – een bedreiging van de nationale veiligheid.

In maart 2024 werd de Tweede Kamer geïnformeerd over het voornemen om de beleidscyclus vitaal voor de financiële sector uit te voeren, vanwege de geopolitieke ontwikkelingen.2 In deze brief informeer ik u over de processen in de financiële sector die als vitaal worden aangemerkt, mijn voornemen om vitale aanbieders van deze processen, indien passend, onder het toepassingsbereik van de Wet veiligheidstoets investeringen, fusies en overnames (Wet vifo) te brengen, en andere vervolgstappen.

Identificatie vitale processen en instellingen

Onderzoeksinstituut Stichting Economisch onderzoek (SEO) heeft op basis van objectieve criteria een advies voor een lijst met vitale processen en aanbieders in de financiële sector opgesteld. Het rapport van SEO is tot stand gekomen in samenwerking met de ministeries van Financiën, Justitie en Veiligheid, Sociale Zaken en Werkgelegenheid, De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM). Op basis van dit rapport is na overleg met toezichthouders DNB en AFM een definitieve lijst opgesteld van vitale processen en aanbieders in de financiële sector.

Het rapport en de definitieve lijst met vitale instellingen zijn vertrouwelijk, omdat dit bedrijfsvertrouwelijke informatie betreft en deze informatie dient ter bescherming van de nationale veiligheid. De vitale processen in Nederland zijn openbaar.3 Op basis van het onderzoek zijn de volgende processen in de financiële sector als vitaal geïdentificeerd: productadministratie, het beheren van de balans, innen en uitkeren, exploiteren van een handelsplatform, het betalingsverkeer (zowel giraal als chartaal) en het kapitaalmarktverkeer.4 Deze processen reflecteren belangrijke handelingen binnen de financiële sector. Zo gaat productadministratie over het beheren van betaal- en spaarrekeningen waarbij grote aantallen financiële en persoonsgegevens worden beheerd. Het beheren van de balans betreft het aantrekken en afstoten van kapitaal of het beheer van vermogen en is van belang omdat het financiële stabiliteit en winstgevendheid van instellingen moet waarborgen.

Deze processen zijn in beginsel op veel instellingen in Nederland van toepassing. Of een instelling daadwerkelijk vitaal is, wordt bepaald op basis van drempelwaardes en mogelijke impact in het geval van uitval en verstoring. Vanuit deze vitale processen zijn onder andere op basis van omvang, vermogen en aantal klanten vitale aanbieders afgeleid. Hoewel het onderliggende rapport niet openbaar gemaakt kan worden, bied ik uw Kamer desgewenst een vertrouwelijk inzage aan van het rapport.

Volgende stappen: afronden beleidscyclus vitaal en Wet vifo

De beleidscyclus vitaal bestaat in totaal uit vier stappen, waarvan de eerste nu is uitgevoerd:5

  1. het identificeren van vitale processen en de aanbieders daarbinnen;

  2. het analyseren van de risico’s en de weerbaarheid van de aanbieders en processen;

  3. het opstellen van een actieprogramma met te treffen weerbaarheidsverhogende maatregelen;

  4. het toetsen van de effectiviteit en het waar nodig bijstellen van deze maatregelen.

De volgende stap is om te onderzoeken of er aanvullende maatregelen nodig zijn om de weerbaarheid van de (nieuwe en bestaande) vitale instellingen te vergroten. Ik ben voornemens om dit voor de zomer van 2026 af te ronden. De geïdentificeerde vitale instellingen hebben over het algemeen al een hoog niveau van weerbaarheid. Het grootste deel van de instellingen valt momenteel onder wetgevende kaders, zoals het Europese raamwerk ten aanzien van digitale weerbaarheid (Digital Operational Resilience Act, DORA). Daarnaast maken de vitale instellingen binnen het betalings- en kapitaalmarktverkeer nu ook al deel uit van een operationele crisismanagementstructuur van AFM, DNB en het ministerie van Financiën.

Een maatregel die ik op korte termijn voornemens ben te treffen is om de nieuwe vitale aanbieders, voor wie dit logisch en passend is, onder het toepassingsbereik van de Wet veiligheidstoets investeringen, fusies en overnames (Wet vifo) te brengen. De Wet vifo geldt op dit moment binnen de financiële sector voor significante banken, grote handelsplatformen en centrale tegenpartijen.

De Wet vifo bevat de verplichting om een veiligheidstoets uit te voeren bij investeringen in, en fusies en overnames van, vitale aanbieders, die leiden tot een wijziging in de zeggenschap van een organisatie die een risico kunnen vormen voor de nationale veiligheid. Vitale aanbieders moeten voorgenomen verwervingsactiviteiten laten toetsen door het Bureau Toetsing Investeringen (BTI) van het ministerie van Economische Zaken. Deze veiligheidstoets moet onder andere voorkomen dat vitale onderdelen, kennis en gevoelige persoonsgegevens belanden bij landen met hoge veiligheids- en spionagerisico’s.6

Een nieuw Europees wettelijk weerbaarheidskader

In december 2022 zijn twee Europese richtlijnen in werking getreden die zijn gericht op het versterken van de fysieke, digitale en economische weerbaarheid van Europese lidstaten: de Network and Information Security 2 (NIS2) richtlijn, en de Critical Entities Resilience (CER) richtlijn. Deze richtlijnen worden op dit moment door de minister van Justitie en Veiligheid in Nederland geïmplementeerd in de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Deze richtlijnen zijn van toepassing op banken en financiële marktinfrastructuren. Daarnaast is sinds begin 2025 de DORA-verordening van toepassing. In DORA zijn eisen op het terrein van cyberveiligheid opgenomen, specifiek ten aanzien van financiële instellingen. DORA is lex specialis op de NIS2- en CER-richtlijnen, wat betekent dat de eisen in DORA voorgaan op de richtlijnen.

Het overgrote deel van de financiële instellingen met een vergunning van AFM of DNB valt onder DORA. Dit geldt echter niet voor alle partijen in de financiële sector die als vitaal worden aangemerkt. Ik ga daarom onderzoeken of het passend en nodig is om deze instellingen onder de reikwijdte van de Cbw en Wwke te brengen. Dit ga ik doen in samenspraak met de toezichthouders AFM en DNB, en het Nationaal Cyber Security Centrum (NCSC). Zodra een instelling onder de Wet vifo valt of onder de reikwijdte van de NIS2- en CER-richtlijnen wordt gebracht, moeten deze zich houden aan nieuwe wettelijke eisen. Ik ga ervoor zorgen dat de betreffende partijen in de komende maanden op heldere wijze hierover worden geïnformeerd. Hierbij moet rekening worden gehouden met de gevoeligheid en vertrouwelijkheid van de informatie en bescherming van vitale instellingen.

De recente geopolitieke ontwikkelingen vereisen een weerbare samenleving. Het streven van het kabinet is om de weerbaarheid van onze samenleving te verhogen. Een weerbare financiële sector is daarbij onmisbaar omdat de samenleving en de financiële sector een grote verwevenheid kennen. De verschillende stappen die ik in deze brief beschrijf zorgen voor een betere bescherming van vitale processen en instellingen in de financiële sector. Dit draagt bij aan de weerbaarheid van de Nederlandse samenleving als geheel.

Hoogachtend,

de minister van Financiën,
E. Heinen

  1. Kamerstukken II, 2022/2023, 30821 nr. 175.↩︎

  2. Kamerstukken II 2023/2024, nr. 30821, nr. 207.↩︎

  3. Te raadplegen via: https://www.nctv.nl/onderwerpen/vitale-infrastructuur/overzicht-vitale-processen↩︎

  4. Zo gaat balance sheet management bij financiële instellingen bijvoorbeeld over het beheren van activa en passiva om financiële stabiliteit en winstgevendheid te waarborgen. Instellingen zijn pas vitaal bij een bepaalde omvang van de balans.↩︎

  5. Kamerbrief over de nationale veiligheid Kamerstukken II 2022/23,

    30821, nr. 182.↩︎

  6. Kamerstukken II 2022/23, 32013, nr. 267. Aangenomen 4 april 2023 (Handelingen II 2022/23, nr. 69, item 10).↩︎