'Dat loket geldt voor meldingen onder de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten', gaf de minister van Justitie en Veiligheid David van Weel maandag aan tijdens een debat met de Kamercommissie Justitie en Veiligheid. Daarnaast onderzoekt het kabinet of er ook nog een nationaal loket kan komen voor andere cybermeldingen ‘binnen andere wettelijke kaders’ – die gaat dan wel buiten de Cyberbeveiligingswet om, zo benadrukte Van Weel. Kamerlid Kathmann (GL-PvdA) wilde weten hoe dat dan in zijn werk gaat. Van Weel: ‘Je belt als organisatie of bedrijf naar een punt en dan leiden wij dat verder door.’
Van Weel zegt toe: Er komt één loket voor melding cyberincidenten
Na vragen van diverse Kamerleden zegde minister Van Weel toe dat er één loket wordt ingericht voor meldingen van cyberincidenten. Het meldpunt komt bij het Nationaal Cybersecurity Centrum. ‘Je belt als organisatie naar een punt en dan leiden wij dat verder door.’
Vrij gedetailleerd
e bewindspersoon van VVD-huize ging ruim zes uur en vrij gedetailleerd in gesprek met de commissieleden over twee wetsvoorstellen, de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten. Het doel van de Cyberbeveiligingswet – de Nederlandse uitwerking van de NIS2-richtlijn van de Europese Unie – is om Nederlandse organisaties beter te beschermen tegen cyberaanvallen en ervoor te zorgen dat zij daartegen serieuze maatregelen nemen. Daarnaast is er voor organisaties ook een zorg- en meldplicht in het geval van ‘significante cyberincidenten’.
Het is de bedoeling dat beide wetten nog dit voorjaar van kracht worden
De nieuwe wet verplicht ook gemeenten tot bijvoorbeeld strenger risicomanagement, een steviger incidentmeldproces en strengere eisen aan leveranciersketens. Van Weel bevestigde dat nog eens tijdens het debat: ‘Het is niet zo dat gemeenten er extra taken bij krijgen, dat we dat naar hen toeschuiven. Nee, ze vallen als entiteiten ook onder de nieuwe wetgeving. Daaraan moeten ze voldoen.’ Hij zegt de gemeenten daarbij te ondersteunen. ‘Daar hebben we ook de middelen voor’, aldus Van Weel, zonder daar dieper op in te gaan.
De Wet weerbaarheid kritieke entiteiten, voortkomend uit de EU-richtlijn Critical Entities Resilience (CER), richt zich aanvullend op de fysieke en organisatorische weerbaarheid van organisaties die essentieel zijn voor de samenleving en waarbij uitval ernstige maatschappelijke gevolgen heeft. Het gaat bijvoorbeeld om transport, energie en de gezondheidszorg. Van Weel: ‘De impact van de wetsvoorstellen is aanzienlijk en daarom heb ik de omzetting van de richtlijnen zorgvuldig aangepakt.’
Vertraging en uitstel
Het klonk bijna als een verkapte verontschuldiging tegenover de Kamerleden. De implementatie van beide Europese richtlijnen had nogal wat voeten in de aarde. In de aanloop naar dit debat liep het hele proces en de omzetting naar de nationale context immers flinke vertraging op. In mei 2024 meldde de toenmalige minister van Justitie dat de wet ter verbetering van de cyberveiligheid en weerbaarheid ergens rond de zomer van het volgende jaar in werking zou treden, waarmee de deadline van de EU niet werd gehaald. Maar dat werd dus alsnog flink wat later. Het is nu de bedoeling dat beide wetten nog dit voorjaar van kracht worden. Vandaar dat ze in gezamenlijkheid werden behandeld. En ook omdat ze elkaar – in de woorden van Van Weel – in hoge mate raken. Hij roept organisaties op om alvast aan de slag te gaan. De nood is hoog: ‘Onze vitale processen en digitale infrastructuur worden steeds vaker geconfronteerd met een stapeling van dreigingen, ook onder druk van toenemende geopolitieke spanningen.’
Toezicht
En dan was er nog dat ene hete hangijzer dat wel vaker terugkomt bij de behandeling van digitale onderwerpen: het versnipperde toezichtslandschap. Diverse Kamerleden vroegen zich af of dat wel goed gaat komen en vooral ook wie de coördinatie in handen heeft. Diverse sectorale toezichthouders zullen toezicht houden op de Cyberbeveiligingswet en dat kan voor verwarring gaan zorgen, vindt CDA-Kamerlid Zwinkels. Zo geeft de Autoriteit Persoonsgegevens (AP) aan dat niet duidelijk is wie voorgaat in het opleggen van een eventuele boete: is dat de NIS2-toezichthouder of de AP? 'Daarom vraag ik aan de minister: hoe ziet de coördinatie van de diverse toezichthouders er precies uit? En wie is het aanspreekpunt voor organisaties?' aldus Zwinkels. Ook JA21-Kamerlid Van den Berg waarschuwt voor dubbel toezicht, dat in tijden van crises weinig efficiënt is en zelfs gevaarlijk is. 'Sectorale toezichthouders hebben slechts zicht op hun eigen terrein, terwijl de AP het hele veld kan overzien.'
De evaluatietermijn wordt verkort van vijf naar twee jaar na invoering van de Cyberbeveiligingswet
Van Weel wilde de Kamer ook hierin tegemoetkomen, al was die toezegging nog wel wat vaag. Hij zet in op ‘samenwerkingsafspraken’ die worden gemaakt tussen de verschillende directeuren van de toezichthouders. ‘Die samenwerkingsafspraken gaan helderheid scheppen, met name voor die bedrijven en organisaties die tussen de verschillende toezichthouders in opereren.’ De minister deelt die afspraken met de Kamer, zonder daarbij een termijn te geven.
Evaluatie
De Kamer kon nog een succes(je) bijschrijven: er komt een snellere evaluatie van de nieuwe wetten. Op die manier kunnen fouten eruit worden gehaald en een en ander worden bijgesteld, bijvoorbeeld wat betreft de regeldruk – de bureaucratische last voor organisaties – vooral belangrijk voor de PVV en JA21. Na enig aandringen ging minister Van Weel overstag bij het verkorten van de evaluatietermijn van vijf naar twee jaar na invoering van de Cyberbeveiligingswet. 'En daarbij neem ik dan ook de regeldruk mee'
Regeldruk
Van een scherp debat was verder niet echt sprake, ook omdat Van Weel er dikwijls behendig de angel uit wist te halen. Alleen de PVV kwam, in de eerste termijn, onder vuur te liggen. Twee Kamerleden vaardigde de partij af: Marjolein Faber (voor kritische entiteiten) en Emiel van Dijk (cyberveiligheid). Die laatste keerde zich tegen "overmatige regeldruk uit Brussel" en daarmee onomwonden ook tegen de twee Europese richtlijnen. Volgens het PVV-Kamerlid kunnen we dit prima nationaal af, met onze eigen soevereine wetgeving. CDA’er Zwinkels kon die redenering niet helemaal volgen. Ze haalde daarbij het voorbeeld van Odido aan, het telecombedrijf dat onlangs slachtoffer werd van een omvangrijke hack. 'Deze nieuwe wetten zijn vooral bedoeld om iets dergelijks als bij Odido in de toekomst te voorkomen. Europese wetgeving uniform implementeren is juist een goede zaak; dan weten we waar we aan toe zijn. Dat leidt juist tot minder regeldruk.' Maar Van Dijk was niet te vermurwen. 'Odido heeft zich niet aan bestaande wetgeving gehouden (met betrekking tot het bewaren van gegevens, red). Dus waarom moeten er dan nieuwe wetten komen?'
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.