Preview document (🔗 origineel)

---

No.W16.17.0371/II	's-Gravenhage, 4 januari 2018

Bij Kabinetsmissive van 20 november 2017, no.2017001997, heeft Uwe
Majesteit, op voordracht van de Minister van Justitie en Veiligheid, bij
de Afdeling advisering van de Raad van State ter overweging aanhangig
gemaakt het voorstel van wet houdende regels ter implementatie van
Richtlijn 2016/1148/EU (Cybersecuritywet), met memorie van toelichting.

De voorgestelde Cybersecuritywet (hierna: Csw) strekt ter uitvoering van
richtlijn 2016/1148 over netwerk en informatiebeveiliging (hierna:
Nib-richtlijn). De samenleving is in grote mate afhankelijk van
elektronische informatiesystemen, die bovendien onderling verweven zijn.
Om het economisch welzijn te bevorderen, is het van belang dat
aanbieders van essentiële diensten en digitale dienstverleners
maatregelen nemen om de kans op incidenten te minimaliseren en de impact
van eventuele incidenten te mitigeren. De Nib-richtlijn ziet daarom op
het brengen van eenheid en samenhang in het Europees beleid voor
netwerk- en informatiebeveiliging, door het vergroten van de digitale
paraatheid en het verkleinen van de gevolgen van cyberincidenten.

De Afdeling advisering van de Raad van State adviseert het voorstel aan
de Tweede Kamer te zenden, maar acht aanpassing van het voorstel
aangewezen wat de verstrekking van vertrouwelijke gegevens door
Nederlandsche Bank N.V. (hierna: DNB) betreft. 

1.	Verstrekking van vertrouwelijke gegevens door DNB

Het wetsvoorstel wijst de DNB aan als bevoegde autoriteit in de zin van
de Nib-richtlijn voor de sectoren bankwezen en infrastructuur voor
financiële markten. Als bevoegde autoriteit is DNB verantwoordelijk
voor het toezicht op de naleving van de Csw voor die sectoren. Uit de
toelichting blijkt dat daartoe bij DNB een bijzonder (afgescheiden)
organisatieonderdeel zal worden ingericht (hierna: DNB-Cybertoezicht).
Andere organisatieonderdelen van DNB houden toezicht op naleving van de
Wet op het financieel toezicht (Wft), samen met de Stichting Autoriteit
Financiële Markten (AFM).

Het wetsvoorstel wijzigt de Wft zodanig, dat de toezichthouders op de
Wft gegevens die uit hoofde van de toezichtstaak worden verkregen kunnen
delen met DNB-Cybertoezicht en de Minister van Justitie en Veiligheid
(Minister van JenV). Het gaat daarbij om gegevens die dienstig zijn voor
de uitoefening van de taken die de Minister van JenV of
DNB-Cybertoezicht hebben op grond van de Csw. 

In de Csw zelf wordt voorgesteld dat DNB de bij haar beschikbare
toezichtsinformatie kan delen met de Minister van JenV. Daarbij gaat het
om informatie die verkregen is in het kader van zowel het toezicht op de
Wft als op de Csw, en “dienstig is aan het bevorderen van maatregelen
ter voorkoming of beperking van een verstoring van het maatschappelijk
verkeer”. Daarnaast regelt de Csw dat DNB onder omstandigheden
incidenten openbaar kan maken als publieke bewustwording noodzakelijk
wordt geacht. De Afdeling merkt hierover het volgende op. 

a. 	Geheimhoudingsplichten van AFM en DNB

In de Wft is een groot aantal richtlijnen en verordeningen
geïmplementeerd. In die richtlijnen en verordeningen worden beperkingen
gesteld aan de mogelijkheid om aan derden vertrouwelijke gegevens te
verstrekken die toezichthouders bij het toezicht op de naleving van die
richtlijnen en verordeningen hebben verkregen. De richtlijnen en
verordeningen gaan uit van een gesloten systeem van publicatie van
gegevens. Vertrouwelijke gegevens worden door de toezichthouder geheim
gehouden, behalve in de in die regelingen met name genoemde
uitzonderingsgevallen. In die gevallen mag de toezichthouder de
vertrouwelijke informatie niet verdergaand of anders gebruiken, of
daaraan verder of anders bekendheid geven, dan voor de uitvoering van
zijn taak in het kader van het toezicht op de naleving van die
verordeningen en richtlijnen is vereist. De richtlijnen bepalen voorts
dat slechts geaggregeerde informatie openbaar mag worden gemaakt,
waarbij die informatie niet tot individuele instellingen herleidbaar mag
zijn. 

De Nib-richtlijn bepaalt dat informatie die “krachtens uniale en
nationale voorschriften als vertrouwelijk worden beschouwd”
uitsluitend met de Commissie en andere autoriteiten worden uitgewisseld,
indien die uitwisseling noodzakelijk is voor de toepassing van de
Nib-richtlijn. Dergelijke uitwisseling mag alleen indien die beperkt is
tot hetgeen relevant is voor en evenredig is met het doel van de
uitwisseling; de vertrouwelijkheid van de informatie wordt gewaarborgd,
evenals veiligheids- en commerciële belangen. 

De Csw maakt informatiedeling door de financiële toezichthouders met
onder andere de Minister van JenV mogelijk. Die informatiedeling kan ook
betrekking hebben op gegevens die financiële toezichthouders verkrijgen
bij de uitvoering van het financieel toezicht. Daarnaast kan DNB het
publiek over incidenten informeren. Het wetsvoorstel sluit niet uit dat
het hierbij gaat om informatie die op grond van de Wft vertrouwelijk is,
bijvoorbeeld omdat zij herleidbaar is tot individuele financiële
instellingen. Uit het wetsvoorstel blijkt niet dat de voorgestelde
informatiedeling van financiële toezichthouders met de
Csw-toezichthouder en het centraal contactpunt beperkt wordt tot
uitsluitend dat wat “relevant is voor en evenredig is met het doel van
die uitwisseling”. Ook is niet bepaald dat daarbij de
vertrouwelijkheid, evenals veiligheids- en commerciële belangen,
gewaarborgd blijven.

De Afdeling adviseert de artikelen 22 en 31 van het voorstel
overeenkomstig het voorgaande aan te passen.

Onverminderd het voorgaande merkt de Afdeling het volgende op. 

b. 	Uitvoering van twee uiteenlopende bepalingen over informatiedeling

De hiervoor genoemde bepaling in de Csw en de voorgestelde wijziging van
de Wft zien beide op het delen van informatie met de Minister van JenV.
In zoverre regelt het wetsvoorstel in zowel de Wft als de Csw dezelfde
materie. De wijziging van de Csw en de wijziging van Wft stroken echter
niet geheel met elkaar. In de Wft wordt geregeld dat DNB informatie mag
delen enkel voor zover dat “dienstig is voor de Minister bij diens
uitvoering van de Csw”. In de Csw wordt geregeld dat DNB informatie
mag delen als dat “dienstig is voor de Minister bij het voorkomen of
beperken van verstoring van het maatschappelijk verkeer”. Niet wordt
toegelicht waarom dit onderscheid is aangebracht, of op welke wijze DNB
gelijktijdig uitvoering aan deze verschillende bepalingen dient te
geven. 

De Afdeling adviseert in de toelichting in te gaan op het vorenstaande
en het wetsvoorstel zo nodig aan te passen.

2.	De Afdeling verwijst naar de bij dit advies behorende redactionele
bijlage.

De Afdeling advisering van de Raad van State geeft U in overweging het
voorstel van wet te zenden aan de Tweede Kamer der Staten-Generaal,
nadat met het vorenstaande rekening zal zijn gehouden.

De vice-president van de Raad van State,

Redactionele bijlage bij het advies van de Afdeling advisering van de
Raad van State betreffende no.W16.17.0371/II

Artikel 1, achtste gedachtestreepje wijzigen in:

- digitaledienstverlener: rechtspersoon die een digitale dienst aanbiedt
en gelet op artikel 18, eerste en tweede lid, van de NIB-richtlijn onder
de jurisdictie van Nederland valt;  

Artikel 20, tweede lid, onder c en artikel 21, tweede lid, onder c:
voorzie in een samenloopbepaling voor het geval de Wet op de
Inlichtingen en Veiligheidsdiensten 2017 (Stb. 2017, 317) later in
werking treedt dan deze wet;

In de transponeringstabel de richtlijnbepalingen (eerste kolom)
uitsplitsen naar artikelleden en onderdelen daarvan. 

 	Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6
juli 2016 houdende maatregelen voor

	een hoog gemeenschappelijk niveau van beveiliging van netwerk- en
informatiesystemen in de Unie (PbEU 2016, L 194).

 	Artikel 4, eerste lid, van het wetsvoorstel.

 	Zie artikel 1:1 van de Wft.

 	Artikel 31, van het wetsvoorstel.

 	Artikel 31, van het wetsvoorstel.

 	Artikel 22, derde lid, van het wetsvoorstel.

 	Zie artikel 23, van het wetsvoorstel. 

 	Zie ook Kamerstukken II 2017/18, 34 769, nr. 4, blz. 3 e.v. Het gaat
om bijvoorbeeld: richtlijnen 2013/36/EU (CRD IV), 2009/138/EG (Solvency
II), 2002/47/EG, 2002/92/EG, 2004/109/EG, 2003/71/EG, 2007/64/EG,
2002/87/EG, 2013/34/EU, 2014/17/EU, 2009/65/EG, 2011/61/EU, 2014/92/EU,
2014/59/EU, 2014/65/EU (MiFID), en verordeningen 575/2013, 596/2014
(Verordening marktmisbruik) en 909/2014. Zie voor implementatie artikel
89 e.v., van de Wft.

 	Zie bijvoorbeeld artikel 68 Solvency II, artikel 56 en 57 CRD IV,
artikel 81 Mifid en artikel 27, tweede lid, Verordening marktmisbruik.

 	Artikel 1, vijfde lid, van de Nib-richtlijn.

 	Zie artikel 31 Csw. 

 	Artikel 1, vijfde lid, van de Nib-richtlijn.

 PAGE   1 

  PAGE  2 

 PAGE   I 

........................................................................
...........

AAN DE KONING