Het 31-pagina tellende document waarin de minister van JenV, mede namens de minister van EZK, de staatssecretaris Digitale Economie en Soevereiniteit, en de minister van Klimaat en Groene Groei, antwoord geeft op de vragen van de Tweede Kamer laat zien dat het kabinet mee kan gaan met de Europese voorstellen, maar ze wel langs drie vaste meetlatten legt: nationale beleidsruimte, uitvoerbaarheid en lastenverlichting. Die drie thema’s lopen als een rode draad door de Nederlandse inzet in Brussel.
Kabinet zoekt in Europese cyberonderhandelingen naar ruimte voor nationaal maatwerk
Het kabinet trekt in zijn antwoord op vragen naar aanleiding van de voorstellen voor de herziening van de Cybersecurity Act en de simplificatie van de NIS2 richtlijn een duidelijke lijn: Den Haag steunt verdere Europese samenwerking op cybersecurity, maar wil voorkomen dat Brussel te diep ingrijpt in nationale bevoegdheden, toezicht en veiligheidsafwegingen.
ENISA mag helpen, maar niet overnemen
Het kabinet staat in beginsel positief tegenover een sterkere rol voor ENISA, het Europese agentschap voor cyberveiligheid. Vooral op het gebied van kennisontwikkeling, capaciteitsopbouw en samenwerking tussen lidstaten ziet Nederland duidelijke meerwaarde. Tegelijk trekt Den Haag een duidelijke grens: ENISA mag geen operationele taken krijgen die raken aan nationale competenties of overlappen met bestaande nationale structuren, zoals CSIRT's. In de beantwoording klinkt die zorg op meerdere plaatsen door, onder meer bij voorstellen voor een early alerts-helpdesk en ondersteuning bij ransomware-incidenten. Volgens het kabinet dreigt daar overlap met nationale dienstverlening en met bestaande mandaten, bijvoorbeeld van Europol.
De bescherming van de nationale veiligheid blijft volgens het kabinet een uitsluitende verantwoordelijkheid van de lidstaten.
Daarmee kiest het kabinet voor een model waarin Europese samenwerking vooral faciliterend is en nationale instanties leidend blijven bij toezicht, handhaving en incidentrespons. Die lijn is niet alleen bestuurlijk van aard, maar ook principieel: de bescherming van de nationale veiligheid blijft volgens het kabinet een uitsluitende verantwoordelijkheid van de lidstaten.
Kritiek op ruime Commissiebevoegdheden
Een tweede spanningspunt zit in de voorgestelde bevoegdheid van de Europese Commissie om derde landen en leveranciers als hoog risico aan te wijzen. Het kabinet erkent dat de EU strategischer moet omgaan met risicovolle afhankelijkheden in vitale digitale infrastructuur, maar vindt de huidige voorstellen te generiek en te weinig uitgewerkt.
Risico's in ICT-toeleveringsketens zijn volgens het kabinet zelden generiek. Ze hangen af van het concrete ICT-onderdeel, de betrokken dienst, de te beschermen belangen en de al getroffen technische en organisatorische maatregelen. Een generieke landenaanwijzing of leverancierslabel gaat daarom volgens Den Haag al snel verder dan nodig is en kan grote economische, juridische en geopolitieke gevolgen hebben.
© Shutterstock
Nationale veiligheidsruimte moet overeind blijven
Diezelfde zorg komt terug bij de verhouding tussen Europese harmonisatie en nationale beleidsruimte. Het kabinet is positief over harmonisatie van zorgplichtmaatregelen onder de NIS2-richtlijn, zeker voor organisaties die in meerdere lidstaten actief zijn. Maar de voorgestelde maximumharmonisatie roept wel fundamentele vragen op. De vrees is dat lidstaten minder ruimte krijgen om strengere eisen te stellen wanneer hun eigen dreigingsbeeld daartoe aanleiding geeft. Dit is in de huidige voorstellen nog onduidelijk.
Lidstaten moeten aanvullende maatregelen kunnen blijven nemen
Het kabinet zet daarom in de onderhandelingen in op behoud van voldoende nationale beleidsruimte. Lidstaten moeten aanvullende maatregelen kunnen blijven nemen, zowel via sectorspecifieke eisen als via nationale interventiebevoegdheden, bijvoorbeeld om entiteiten te verbieden producten of diensten van specifieke leveranciers te gebruiken als dat nodig is voor de nationale veiligheid.
Lastenverlichting, maar wel onder toezicht
Op het punt van lastenverlichting is de Nederlandse lijn pragmatisch. Het kabinet onderschrijft het streven naar vereenvoudiging van NIS2 en ziet in verschillende voorstellen aanknopingspunten om de regeldruk voor bedrijven en toezichthouders te verlagen. Ook certificering kan volgens het kabinet helpen om naleving aan te tonen en toezichtslasten te verminderen. Maar juist daar ligt volgens Den Haag ook een risico. Certificering mag geen papieren exercitie worden en zeker geen vervanging voor feitelijke cyberweerbaarheid. Nationale toezichthouders moeten daarom audit- en inspectiebevoegdheden behouden, ook wanneer een organisatie over een certificaat beschikt. Certificering moet volgens het kabinet ondersteunend zijn, niet vervangend.
Minder regels, maar niet meer complexiteit
Opvallend is dat het kabinet vereenvoudiging niet automatisch gelijkstelt aan minder complexiteit. Juist als Europese certificering bovenop bestaande nationale toezichtsystemen komt te staan, dreigt volgens Den Haag een extra laag in plaats van een vereenvoudiging. Daarom zet Nederland in op samenhang tussen certificering en toezicht, het voorkomen van dubbele verplichtingen en praktische uitvoerbaarheid voor organisaties die in meerdere lidstaten actief zijn.
Die zorg over uitvoerbaarheid speelt ook breder. Het kabinet vindt dat certificeringsschema’s pas verplicht mogen worden als zij daadwerkelijk beschikbaar, uitgewerkt en uitvoerbaar zijn. Bedrijven mogen niet in een situatie belanden waarin zij moeten voldoen aan verplichtingen terwijl de bijbehorende schema’s of certificeringscapaciteit nog ontbreken.
Het kabinet pleit voor een realistische implementatietermijn
Ook over de implementatietermijn voor de NIS2-wijzigingen is Nederland kritisch. Een termijn van twaalf maanden acht het kabinet niet haalbaar; in Brussel wordt daarom gepleit voor een realistischere termijn van minimaal achttien maanden, om te voorkomen dat snelheid ten koste gaat van uitvoerbaarheid en naleving.
Strategische autonomie, maar met maatwerk
Den Haag wil voorkomen dat de Cybersecurity Act verwordt tot een breed economisch beschermingsinstrument. Verboden voor leveranciers en certificeringsschema’s moeten volgens het kabinet steeds gekoppeld blijven aan concrete cyberbeveiligingsrisico’s. Voor bredere doelen, zoals het stimuleren van Europese alternatieven, ziet het kabinet eerder een rol voor industriebeleid, innovatiebeleid, marktontwikkeling en publieke inkoop.
Daarmee kiest Den Haag voor een middenpositie. Het kabinet steunt Europese strategische autonomie waar het gaat om kritieke digitale infrastructuur, maar wil dat die autonomie risico gestuurd, proportioneel en juridisch houdbaar wordt ingevuld. Strategische autonomie mag in die benadering niet uitmonden in nieuwe lock-ins of in het simpelweg verschuiven van afhankelijkheden van de ene naar de andere leverancier.
Nederlandse lijn: pro-Europees, maar niet blanco
Wie de beantwoording als geheel leest, ziet vooral een kabinet dat zich pro-Europees opstelt, maar niet blanco instemt met centralisering. De Nederlandse inzet is in essentie dat Europese samenwerking nodig is vanwege het grensoverschrijdende karakter van cyberdreigingen, maar dat die samenwerking ondersteunend moet blijven aan nationale verantwoordelijkheden.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.