De Europese Commissie wil met deze nieuwe wetgeving de digitale veiligheid binnen de Europese Unie versterken. Het voorstel voorziet onder meer in een uitbreiding van de taken van het Europese cybersecurityagentschap, snellere en bredere certificering van ICT-producten en maatregelen om risico’s in digitale toeleveringsketens te beperken.
Kabinet nog te vaag over nieuwe Europese cybersecurityregels
De Nederlandse regering is nog onvoldoende duidelijk over haar standpunt ten aanzien van nieuwe Europese regels voor cybersecurity. Dat stelt het Adviescollege toetsing regeldruk (ATR) na bestudering van het kabinetsdocument over de herziening van de Cybersecurity Act (CSA2).
Grote gevolgen voor bedrijven
Volgens ATR kunnen de plannen grote gevolgen hebben voor bedrijven, maar is nog onvoldoende duidelijk wat die precies zijn. Zo blijkt uit het onderliggende Europese impactonderzoek dat het vervangen van zogenoemde hoogrisicoleveranciers in 5G-netwerken in de hele EU jaarlijks tussen de 3,4 en 4,3 miljard euro kan kosten gedurende een periode van drie jaar. Voor Nederland is echter nog niet in kaart gebracht wat deze kosten concreet betekenen. ATR vindt dat het kabinet dit eerst moet uitzoeken voordat het een definitief standpunt inneemt.
Ook bij de voorgestelde Europese certificering bestaat nog veel onzekerheid. Hoewel het systeem bedoeld is om administratieve lasten te verminderen doordat bedrijven niet langer in meerdere landen afzonderlijk certificaten hoeven aan te vragen, is het volgens ATR onduidelijk in hoeverre die besparing daadwerkelijk wordt gerealiseerd. Bovendien bestaat het risico dat certificering in de praktijk toch verplicht wordt, bijvoorbeeld via aanbestedingen of subsidievoorwaarden, wat de regeldruk juist kan verhogen.
Risicovolle leveranciers uitfaseren
Een belangrijk punt van zorg is daarnaast de haalbaarheid van het plan om risicovolle leveranciers uit 5G-netwerken binnen 36 maanden uit te faseren. Deze leveranciers hebben momenteel een aanzienlijk marktaandeel in Europa, naar schatting tussen de 32 en 40 procent. Volgens ATR is het daarom onzeker of deze termijn realistisch is, zeker zonder duidelijk inzicht in de gevolgen voor de Nederlandse situatie.
Verder wijst het adviescollege op de grote onzekerheid rond toekomstige uitvoeringsregels. Veel maatregelen uit het voorstel worden pas later uitgewerkt in zogeheten implementing acts. Daardoor weten bedrijven nog niet precies waar zij straks aan moeten voldoen. Deze onduidelijkheid kan leiden tot terughoudendheid bij investeringen en tot onverwachte kosten wanneer regels alsnog worden aangescherpt.
Inzicht in kosten
Het ATR concludeert dat het kabinet wel aandacht heeft voor deze risico’s, maar nog onvoldoende concreet maakt welke inzet Nederland kiest in de Europese onderhandelingen. Het adviescollege roept de regering daarom op om eerst beter inzicht te geven in de kosten, de werkbaarheid van de maatregelen en de gevolgen voor bedrijven, voordat een definitief standpunt wordt bepaald.
Daar komt bij dat ATR zijn beoordeling heeft moeten baseren op beperkte informatie. Het volledige kabinetsstandpunt was niet beschikbaar voor het advies, waardoor het college aangeeft dat het in zijn taak is belemmerd.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.