Preview document (🔗 origineel)

---

No.W16.22.0008/II 's-Gravenhage, 16 februari 2022

...................................................................................

Bij Kabinetsmissive van 28 januari 2022, no.2022000202, heeft Uwe Majesteit, op voordracht van de Minister van Justitie en Veiligheid, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet tot wijziging van de Wet beveiliging netwerk- en informatiesystemen in verband met de uitbreiding van de bevoegdheid van de Minister van Justitie en Veiligheid om dreigings- en incidentinformatie over de netwerk- en informatiesystemen van niet vitale aanbieders te verstrekken aan deze aanbieders en aan organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over dreigingen en incidenten ten behoeve van deze aanbieders, met memorie van toelichting.

Het Nationaal Cyber Security Centrum (NCSC) krijgt meer mogelijkheden om aanbieders te waarschuwen voor inbreuken op hun netwerk- en informatiesystemen, ook buiten sectoren die als vitaal zijn aangemerkt of tot de rijksoverheid behoren.

De Afdeling advisering van de Raad van State onderschrijft het belang van het voorstel, maar stelt vragen over de overlapping die kan ontstaan tussen de taken van het NCSC en het Digital Trust Center. Zij merkt daarnaast op dat onvoldoende wettelijk is gewaarborgd dat de organisaties die dreigingsinformatie van het NCSC doorgeven aan bepaalde sectoren (“schakelorganisaties”) voldoen aan eisen van beveiliging en privacy. De Afdeling adviseert met deze opmerkingen rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.

1. Organisatie van de digitale veiligheid

Op grond van de Wet beveiliging netwerk- en informatiesystemen (Wbni) heeft de Minister van Justitie en Veiligheid tot taak:

• bijstand en advies te verlenen aan “vitale aanbieders” en andere aanbieders die deel uitmaken van de rijksoverheid. Vitale aanbieders bieden diensten aan die essentieel zijn voor de instandhouding van kritieke maatschappelijke of economische activiteiten, of waarvan de continuïteit van vitaal belang is voor de Nederlandse samenleving,¹

• te reageren op incidenten die vrijwillig of verplicht worden gemeld, en

• informatie te verschaffen wanneer zich incidenten voordoen – of zich dreigen voor te doen – bij netwerk- en informatiesystemen van vitale sectoren en de rijksoverheid, maar ook bij die van andere aanbieders.²

Deze taken worden, namens de minister, uitgeoefend door het Nationaal Cyber Security Centrum (NCSC).

Sectoren zoals energie, drinkwater, internet en het betalingsverkeer zijn aangewezen als vitaal, omdat de uitval van deze voorzieningen maatschappelijk ontwrichtend kan werken.

Voor de uitvoering van zijn taak werkt het NCSC samen met twee soorten schakelorganisaties.

De eerste soort schakelorganisaties zijn organisaties die “Objectief Kenbaar Tot Taak” hebben om informatie ter voorkoming van digitale ontwrichting, onder meer verkregen via het NCSC, te delen met aangesloten organisaties (afgekort OKTT’s). Voorbeelden hiervan zijn de Stichting Cyber Weerbaarheidscentrum Brainport, die bedrijven in de hightech industrie en haar toeleveranciers verbindt, en Cyberveilig Nederland met leden van de cybersecurity markt.

Het tweede type schakelorganisaties zijn Computercrisisteams (“Computer Emergency Response Teams”). Zulke teams geven niet alleen informatie of advies, maar kunnen ook worden ingezet om de schade van een cyberprobleem te beperken en de dienstverlening zo snel mogelijk te herstellen. Voorbeelden hiervan zijn de Informatie Beveiligingsdienst waar gemeenten zich toe kunnen wenden en Z-CERT, dat zich richt op cybersecurity in de zorg.

In het voorstel krijgt het NCSC meer mogelijkheden om informatie over dreigingen en incidenten betreffende hun netwerk- en informatiesystemen te verstrekken aan aanbieders die niet horen bij de vitale sectoren of de rijksoverheid. Dat kan gaan om bedrijven, maar bijvoorbeeld ook om onderwijsinstellingen. Het NCSC kan die informatie alleen verstrekken als de dreiging of het incident aanzienlijke gevolgen heeft of kan hebben voor de continuïteit van hun dienstverlening. De verstrekking van informatie kan via een OKTT, of – als een schakelorganisatie ontbreekt – rechtstreeks aan de organisaties die mogelijk in gevaar zijn.³

De Afdeling begrijpt de wens om te regelen dat het NCSC deze aanbieders kan benaderen wanneer het over informatie beschikt die aanzienlijke gevolgen kan hebben voor hun dienstverlening. Naast de grote schade voor de getroffen aanbieder is immers het onderscheid tussen vitale en niet vitale sectoren relatief. Ook wanneer aanbieders in niet-vitale sectoren worden gehackt, kan dat leiden tot maatschappelijke ontwrichting.⁴ Zo werden vorig jaar bijna honderd notarissen getroffen door een digitale aanval. Ook aanbieders in de voedselvoorziening en de gezondheidszorg, die niet het etiket ‘vitaal’ hebben, zijn van groot belang voor het functioneren van de samenleving.⁵ Daarnaast kunnen kwaadwillenden proberen binnen te dringen bij vitale aanbieders door eerst binnen te dringen bij (niet-vitale) leveranciers van zulke aanbieders (“cascade-effecten”).⁶

2. Afbakening van taken

De Afdeling heeft vragen over de verhouding tussen de taakstelling van het NCSC en het Digital Trust Center (DTC) dat onder verantwoordelijkheid van de minister van Economische Zaken en Klimaat is opgericht. Het DTC ondersteunt en informeert ondernemers die niet tot de vitale aanbieders behoren om digitaal weerbaar te zijn en hun digitale veiligheid op orde te brengen.

Het wetsvoorstel voorziet erin dat het NCSC zich meer dan tot nu toe zal gaan bezighouden met het informeren van niet-vitale aanbieders over specifieke kwetsbaarheden, waaronder aanbieders waar ook het DTC contacten mee onderhoudt.

De informatie van het NCSC kan via een OKTT worden doorgegeven of direct wanneer een schakelorganisatie ontbreekt. Het DTC heeft in september 2021 van het NCSC de OKTT-status gekregen, waardoor deze kan fungeren als schakelorganisatie voor de informatie van het NCSC. In de consultatie is naar voren gekomen dat er een overlapping kan ontstaan met het DTC, zodat het voor bedrijven onduidelijk kan worden bij welk loket zij moeten zijn en met wie zij in tijden van crisis in verbinding kunnen staan. Juist tijdens een crisis mag daarover geen enkele twijfel bestaan. Bovendien is het van belang om dubbel werk bij NCSC en DTC tegen te gaan.

De vraag naar de taakafbakening raakt ook een wetsvoorstel dat in voorbereiding is op het Ministerie van Economische Zaken en Klimaat en dat beoogt om het DTC te belasten met een eigen wettelijke taak om bedrijven te informeren over concrete bedreigingen en specifieke kwetsbaarheden waar het nu vooral algemene informatie over dreigingen verspreidt.⁷ Bij het uitoefenen van deze nieuwe taak lijkt nauwe samenwerking met het NCSC in de rede te liggen.

De Afdeling adviseert in de toelichting in te gaan op de taakafbakening tussen het NCSC en het DTC, en op verwachte toekomstige ontwikkelingen,⁸ en daarbij ook nader in te gaan op de rol en relevantie van het onderscheid tussen vitale en niet-vitale aanbieders daarin. Zo nodig dient het wetsvoorstel te worden aangepast.

3. Regulering van en toezicht op schakelorganisaties

In het stelsel van de Wbni spelen schakelorganisaties een belangrijke rol. Zij ontvangen dreigingsinformatie en hebben de taak⁹ die door te geven aan de aanbieders die bij hen zijn aangesloten. Het kan daarbij gaan om vertrouwelijke gegevens die herleid kunnen worden tot een specifieke organisatie, indien nodig zonder toestemming van die organisatie.¹⁰ Als die gegevens terechtkomen in de handen van kwaadwillenden, kunnen ze die gebruiken om binnen te dringen in kwetsbare informatiesystemen.

OKTT’s kunnen daarnaast informatie doorgeven aan het publiek. In de wet zoals die nu luidt kan het alleen gaan om algemene informatie, maar in het voorstel kunnen zij ook vertrouwelijke gegevens die herleid kunnen worden tot een specifieke organisatie aan het publiek doorgeven.¹¹

De overheid is verantwoordelijk voor de bescherming van die gegevens. Daarom is het van belang dat de schakelorganisaties voldoen aan beveiligingseisen en privacynormen.¹²

Wanneer de minister organisaties aanwijst als schakelorganisatie, toetst hij of die organisaties daaraan voldoen; bij OKTT’s doet hij dat met behulp van een beleidsregel, de Handreiking OKTT. Vanzelfsprekend moeten de OKTT’s daarnaast ook voldoen aan de verplichtingen van de Algemene verordening gegevensbescherming. Die verplichtingen gelden echter voor alle soorten en vormen van gegevensverwerking die zich waar dan ook voordoen en vormen alleen de grootste gemene deler. OKTT’s hoeven niet te voldoen aan de veel concretere en specifiekere eisen die bij en krachtens hoofdstuk 4 van de Wbni gelden voor aanbieders van essentiële diensten en digitaledienstverleners. Daardoor vallen zij ook niet onder het stelsel van toezicht en handhaving van hoofdstuk 6 van de Wbni.

De Afdeling merkt op dat hiermee onvoldoende wettelijk is gewaarborgd dat schakelorganisaties het vereiste niveau van beveiliging en privacybescherming hebben op het moment dat zij worden aangewezen, en dat zij aan dat niveau blijven voldoen.

De Afdeling adviseert hierop in de toelichting in te gaan en het voorstel aan te vullen.

4. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.

De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.


De vice-president van de Raad van State,

Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no.W16.22.0008/II

• In artikel I, onderdeel A, onder 1, en onderdeel B, de toevoeging niet invoegen na “informeren”, maar na “organisaties”. Datzelfde geldt voor artikel II.

• In artikel I, onderdeel A, onder 2, “vitale aanbieders of andere aanbieders die onderdeel zijn” wijzigen in: een vitale aanbieder of een andere aanbieder die onderdeel is. Datzelfde geldt voor artikel II.

• In artikel I, onderdeel B, het nieuw in te voegen onderdeel invoegen als onderdeel a (in dezelfde volgorde als in artikel 3, tweede lid).

---

1. Artikel 5, tweede lid, van de NIB-richtlijn (richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194)); artikel 1 Wbni (definitie van “vitale aanbieder”).↩︎

2. Artikel 3, 10 tot en met 16 en 20 van de Wet beveiliging netwerk- en informatiesystemen (Wbni).↩︎

3. Wijziging van de artikel 3 en 20 Wbni in artikel I, onderdelen A en B.↩︎

4. Zie bijvoorbeeld de consultatiereacties op het voorstel van VNO-NCW en MKB-Nederland en van de Stichting Digitale Infrastructuur Nederland, https://www.internetconsultatie.nl/wijzigingwbni/reacties.↩︎

5. De Afdeling advisering heeft hier aandacht voor gevraagd in haar advies van 25 november 2020, W16.20.0357, Staatscourant 2021, nr. 16521. Uit het nader rapport blijkt dat het aanwijzen van processen in de zorg als vitale processen in onderzoek is. Vitale aanbieders zijn aangewezen in de artikelen 2 en 3 van het Besluit beveiliging netwerk- en informatiesystemen. De daarbij gehanteerde criteria zijn te vinden in Overzicht vitale processen | Vitale infrastructuur | Nationaal Coördinator Terrorismebestrijding en Veiligheid (nctv.nl).↩︎

6. Wetenschappelijke Raad voor het Regeringsbeleid, Voorbereiden op digitale ontwrichting, Den Haag 2019, p. 86.↩︎

7. Voorstel van Wet bevordering digitale weerbaarheid bedrijven. Dat voorstel is van 28 juni tot en met 23 augustus in internetconsultatie geweest (https://www.internetconsultatie.nl/wbdwb), tegelijk met het aanhangige voorstel, maar is nog niet bij de Afdeling advisering aanhangig gemaakt. Er is al voorzien in samenloopbepalingen tussen de twee voorstellen (in het aanhangige voorstel: artikel II).↩︎

8. Zoals het voorstel voor een nieuwe richtlijn betreffende een hoog gezamenlijk niveau van cyberbeveiliging (COM(2020) 823), waarin de NIB-richtlijn wordt ingetrokken, en het voorstel voor een nieuwe richtlijn over de veerkracht van “kritieke entiteiten” (COM(2020) 829).↩︎

9. Artikel 3, tweede lid, onderdeel a; voorgesteld artikel 20, tweede lid, onderdeel d, Wbni.↩︎

10. Artikelen 3, tweede lid, en 20, tweede lid, Wbni.↩︎

11. Artikel 3, tweede lid, onderdeel a; voorgesteld artikel 20, tweede lid, onderdeel d, Wbni. Deze taak wordt impliciet toegekend, namelijk door een definitiebepaling.↩︎

12. In het navolgende beperkt de Afdeling zich tot de schakelorganisaties, genoemd in artikel 20, tweede lid, Wbni (zoals gewijzigd in het voorstel) die vertrouwelijke en herleidbare informatie kunnen ontvangen. In dat artikel worden ook de inlichtingen- en veiligheidsdiensten genoemd, maar die zijn geen schakelorganisatie en hebben een heel eigen wettelijk regime. Daarom blijven die buiten beschouwing.↩︎