Digitale weerbaarheid – Wijziging van de Wet beveiliging netwerk- en informatiesystemen

14 juli 2022 | Blog

Op 20 april 2022 heeft de Minister van Justitie en Veiligheid (de “Minister”) een wetsvoorstel tot wijziging van de Wet Beveiliging netwerk- en informatiesystemen (het “Wetsvoorstel [1]”) bij de Tweede Kamer ingediend. Kort daarna, op 13 mei jl. stuurde de Minister een brief aan de Tweede Kamer waarin zij de Tweede Kamer informeerde voornemens te zijn in zeer uitzonderlijke gevallen te anticiperen op het Wetsvoorstel. Aanleiding genoeg om in dit bericht op hoofdlijnen de huidige Wet Beveiliging netwerk- en informatiesystemen (de “Wbni”) te bespreken en de wijzigingen te schetsen zoals opgenomen in het Wetsvoorstel. 

De Wbni

Ter implementatie van Richtlijn (EU) 2016/1148 (de “NIB-richtlijn [2]”) is de Wbni in 2018 in werking getreden. Op grond van de Wbni heeft de Minister:

  1. ter voorkoming of beperking van het uitvallen van de beschikbaarheid of het verlies van integriteit van netwerk- en informatiesystemen van vitale aanbieders en andere aanbieders die onderdeel van de rijksoverheid zijn;
  2. ter verdere versterking van de digitale weerbaarheid van de Nederlandse samenleving; en
  3. ter uitvoering van de NIB-richtlijn,

ondermeer als taak:

  • deze aanbieders en anderen in en buiten Nederland over dreigingen en incidenten te informeren en adviseren met betrekking tot de eerdergenoemde netwerk- en informatiesystemen; en
  • analyses en technisch onderzoek te verrichten ten behoeve van, onder andere, deze dreigingen en incidenten of aanwijzingen daarvoor, ter voorkoming van nadelige maatschappelijke gevolgen in en buiten Nederland (zie artikel 3 lid 1 sub d en e Wbni). 

Onder vitale aanbieders verstaat de Wbni aanbieders van essentiële diensten (bijvoorbeeld drinkwaterbedrijven of kredietinstellingen) en aanbieders van een andere dienst waarvan de continuïteit van vitaal belang is voor de Nederlandse samenleving. Een andere aanbieder die onderdeel is van de rijksoverheid is bijvoorbeeld een ministerie. Aanbieders kunnen zowel overheidsorganisaties als privaatrechtelijke rechtspersonen zijn.

Ter voorkoming van nadelige maatschappelijke gevolgen in en buiten Nederland, heeft de Minister ook tot taak de gegevens die uit de analyses en het technisch onderzoek zijn verkregen met betrekking tot dreigingen en incidenten over andere aanbieders (andere dan de vitale aanbieders en andere aanbieders die onderdeel zijn van de rijksoverheid) te verstrekken aan een (beperkt) aantal zogeheten schakelorganisaties (zie artikel 3 lid 2 Wbni). Hieronder vallen organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek daarover te informeren (“OKTT’s”, bijvoorbeeld het Cyberweerbaarheidscentrum Brainport) en computercrisisteams.  

In de praktijk worden deze taken namens de Minister uitgevoerd door het Nationaal Cyber Security Centrum (het “NCSC”). Het NCSC is het nationale expertisecentrum voor cybersecurity en heeft als doelstelling de Nederlandse samenleving digitaal weerbaarder te maken.

Verruiming bevoegdheid NCSC informatie te verstrekken

We hoeven de krant maar open te slaan of we lezen iets over een al dan niet gelukte cyberaanval. Daarnaast blijkt uit diverse onderzoeken dat cybercriminaliteit meer en meer toeneemt. 

In de memorie van toelichting bij het Wetsvoorstel (de “MvT”) wordt opgemerkt dat bij de door het NCSC verrichtte analyses en technisch onderzoek als bijvangst ook dreigings- en incidentinformatie (waaronder persoonsgegevens) verkregen kan worden met betrekking tot netwerk- en informatiesystemen van andere aanbieders. Wanneer een dergelijke andere aanbieder niet verbonden is met een van de schakelorganisaties is het het NCSC momenteel niet toegestaan om die informatie te delen met de andere aanbieder in kwestie. De MvT stelt dat dit als nadelig maatschappelijk gevolg heeft dat de beschikbaarheid of betrouwbaarheid van het netwerk- en informatiesysteem van de andere aanbieder en daarmee de continuïteit van zijn dienstverlening, in gevaar komt. De notie dat dit gevaar voorkomen of beperkt had kunnen worden wanneer het NCSC de informatie wél had mogen delen is reden om via het Wetsvoorstel de Wbni op dit punt te verruimen. 

In het Wetsvoorstel wordt daarom voorgesteld aan artikel 3 lid 2 Wbni een sub e toe te voegen. Het toevoegen van sub e betekent een verruiming van de taak van de Minister. Het staat het NCSC toe om aan andere aanbieders rechtstreeks gegevens te verstrekken over dreigingen en incidenten wanneer:

  1. een dreiging of incident aanzienlijke gevolgen heeft of kan hebben voor de continuïteit van de dienstverlening van die andere aanbieder; én
  2. voor de verstrekking van de gegevens een schakelorganisatie (zoals bedoeld in artikel 3 lid 2 sub a tot en met c Wbni) ontbreekt die deze informatie met die aanbieder zou kunnen delen.

Deze twee vereisten zijn cumulatief, alleen wanneer aan beide vereisten is voldaan kan de dreigings- en incidentinformatie die de NCSC als bijvangst heeft verkregen worden gedeeld met de relevante andere aanbieder.

Delen van herleidbare gegevens over aanbieders met OTTK’s

Artikel 20 lid 2 Wbni bepaalt dat het NCSC zonder toestemming van een aanbieder vertrouwelijke gegevens die herleid kunnen worden tot een aanbieder alleen mag verstrekken voor zover dit dienstig is aan het bevorderen van maatregelen ter voorkoming of beperking van een verstoring van het maatschappelijk verkeer. Daarnaast bepaalt lid 2 dat deze gegevens slechts verstrekt mogen worden aan de daarin genoemde organisaties. Dit zijn de in lid 2 genoemde computercrisisteams en inlichtingen- en veiligheidsdiensten zoals bedoeld in de Wet op de inlichtingen- en veiligheidsdiensten 2017. Van deze beperkte groep maken OTTK’s momenteel geen deel uit. 

In de MvT wordt opgemerkt dat in de praktijk gebleken is dat OTTK’s in belangrijke mate een vergelijkbare rol hebben als de computercrisisteams. Zij kunnen deze rol slechts beperkt uitvoeren indien zij niet ook over de vertrouwelijke herleidbare gegevens mogen beschikken, met alle mogelijke nadelige gevolgen van dien. 

Om die reden stelt het Wetsvoorstel een wijziging voor van artikel 20 lid 2 Wbni die inhoudt dat OTTK’s worden toegevoegd aan de beperkte kring van organisaties waaraan vertrouwelijke herleidbare gegevens mogen worden verstrekt zonder toestemming van een aanbieder. 

OTTK’s aanwijzen bij ministeriële regeling

De derde en laatste wijziging die het Wetsvoorstel bevat is het voorstel om OTTK’s voortaan aan te wijzen bij ministeriële regeling. Momenteel worden zij nog aangewezen op grond van een ministeriële aanwijzing. Daarentegen worden computercrisisteams aangewezen bij ministeriële regeling. De MvT stelt dat voor het verschil in aanwijzing inmiddels geen aanleiding meer bestaat. Daarnaast wordt opgemerkt dat de eisen en voorwaarden die gesteld worden aan de aanwijzing van een organisatie als OTTK of als computercrisisteam nauwelijks van elkaar verschillen. 

Daarom wordt in het Wetsvoorstel voorgesteld artikel 3 en 20 Wbni zodanig te wijzigen dat OTTK’s na inwerkingtreding van het Wetsvoorstel ook bij ministeriële regeling worden aangewezen. Volgens de MvT leidt dit in de praktijk niet tot veranderingen voor de OTTK’s, anders dan de (juridische) wijze waarop zij worden aangewezen. 

Wetsvoorstel bevordering digitale weerbaarheid

In het kader van het digitaal weerbaar maken van Nederland heeft de ministerraad begin april ook ingestemd het wetsvoorstel bevordering digitale weerbaarheid (de “Bdw”) door de minister van Economische Zaken en Klimaat (de “Minister EZK”) te laten voorbereiden. Het nieuwsbericht van de Rijksoverheid vermeldt dat wetsvoorstel het de Minister EZK mogelijk beoogt te maken om niet alleen vitale aanbieders, maar ook het niet-vitale bedrijfsleven gericht te informeren en te adviseren over kwetsbaarheden, dreigingen en incidenten. Een tweede taak die de Minister EZK zou krijgen is het stimuleren van de ontwikkeling van samenwerkingsverbanden tussen bedrijven op het gebied van digitale weerbaarheid. In het geval van de Minister EZK betekent dit in de praktijk dat het Digital Trust Center (het “DTC”) deze taken zal uitvoeren. 

In de MvT wordt ingegaan op de verhouding tussen het NCSC en het DTC. Duidelijk is dat het NCSC en het DTC ieder hun eigen doelgroep hebben, kortgezegd, de vitale respectievelijk de niet-vitale aanbieders. Daarbij verleent het DTC bij incidenten geen overige bijstand aan de niet-vitale aanbieders. Het NCSC verleent aan haar doelgroep wél bijstand bij het treffen van maatregelen om incidenten te voorkomen en te verhelpen. 

Het DTC is aangewezen als OTTK en ontvangt uit dien hoofde van het NCSC incidenten- en dreigingsinformatie voor niet-vitale aanbieders. Voor zover een aanbieder tot de doelgroep van het DTC behoort zal de in het Wetsvoorstel voorgestelde toevoeging van sub e aan artikel 3 lid 2 Wbni niet tot overlap leiden, aldus de MvT.  

Volgens de MvT zal de Bdw de afbakening van taken van NCSC en het DTC verder verduidelijken. De tekst van de Bdw zal openbaar worden op het moment van indiening bij de Tweede Kamer. 

Gevolgen Wetsvoorstel

Terug naar het Wetsvoorstel. Door de beoogde verruiming van de groep aanbieders aan wie het NCSC (rechtstreeks) informatie mag verstrekken en de verruiming van de aard van gegevens die het NCSC aan OTTK’s mag verstrekken, zullen deze partijen meer dreigings- en incidenteninformatie ontvangen. In dat kader wordt in de MvT opgemerkt dat het deze partijen vrijstaat te bepalen hoe zij omgaan met deze informatie en of zij naar aanleiding van de ontvangen informatie (extra) maatregelen treffen om incidenten te voorkomen of de gevolgen ervan te beperken. 

Nu het Wetsvoorstel aan deze partijen geen verplichtingen oplegt, zal van toezicht en handhaving geen sprake zijn. 

De brief van de Minister

Kort na de indiening van het Wetsvoorstel informeerde de Minister de Tweede Kamer over haar voornemen om in de periode dat het Wetsvoorstel in behandeling is bij de Tweede en Eerste Kamer in zeer uitzonderlijke gevallen te anticiperen op het Wetsvoorstel. Concrete aanleiding voor deze ongebruikelijke stap was, aldus de Minister, de oorlog in de Oekraïne. Vanwege deze oorlog zou er sprake zijn van een reële digitale dreiging die ook voor de dienstverlening van andere aanbieders mogelijk grote gevolgen kan hebben. De Minister hield de Tweede Kamer in haar brief voor dat als die dreiging zich daadwerkelijk verwezenlijkt dit een grote impact en daarmee grote maatschappelijke consequenties voor de Nederlandse samenleving heeft. Dit was voor de Minister een argument om te anticiperen op het Wetsvoorstel. Door het NCSC alvast de ruimere bevoegdheden uit het Wetsvoorstel te laten uitoefenen, zouden de gevolgen kunnen worden voorkomen, beperkt of verholpen. De Minister erkende in haar brief dat hiertegen in kan worden gebracht dat gehandeld wordt zonder wettelijke grondslag. 

De pro-en contra’s afwegend, waren voor de Minister de pro’s doorslaggevend. Zij liet weten dat voor de beantwoording van de vraag of er sprake is van een zeer uitzonderlijk geval, een vast afwegingskader is opgesteld. Daarnaast zegde de Minister in de brief toe de Tweede Kamer vertrouwelijk te zullen informeren wanneer van een zeer uitzonderlijk geval sprake is geweest.

Commissiedebat

Op 25 mei jl. voerde de vaste commissie voor Digitale Zaken overleg met de Minister over de inhoud van de brief. Hierbij gaven een aantal Kamerleden aan bedenkingen te hebben bij of, sterker nog, het niet eens te zijn met het voornemen van de Minister om te anticiperen op het Wetsvoorstel. Uit het verslag van het commissiedebat blijkt dat de uitkomst van het debat was dat de Tweede Kamer de Minister het vertrouwen geeft in zeer uitzonderlijke gevallen te anticiperen op het Wetsvoorstel. 

Inwerkingtreding

Gelet op de urgentie is door de Minister bij de Tweede Kamer aangedrongen op een snelle behandeling van het Wetsvoorstel. De Tweede Kamer heeft toegezegd dit te zullen doen. Het volgende wetgevingsoverleg van de commissie waar het Wetsvoorstel zal worden besproken vindt eind september 2022 plaats. Wanneer het Wetsvoorstel daadwerkelijk in werking zal treden is op dit moment onduidelijk.  

 

[1] Voorstel van Wet – Wijziging van de Wet beveiliging netwerk- en informatiesystemen in verband met de uitbreiding van de bevoegdheid van de Minister van Justitie en Veiligheid om dreigings- en incidentinformatie over de netwerk- en informatiesystemen van niet-vitale aanbieders te verstrekken aan deze aanbieders en aan organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over dreigingen en incidenten ten behoeve van deze aanbieders, Kamerstukken 36 084 nr. 2

[2] Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 16 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194)

Meld u aan voor onze nieuwsbrieven