26 643 Informatie- en communicatietechnologie (ICT)

Nr. 896 BRIEF VAN DE MINISTER VAN ECONOMISCHE ZAKEN EN KLIMAAT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 4 juli 2022

Op 5 juli 2021 heeft de toenmalige Staatssecretaris van Economische Zaken en Klimaat uw Kamer geïnformeerd over twee onderzoeksrapporten in het kader van de veiligheid en continuïteit van de Nederlandse digitale infrastructuur (Kamerstuk 26 643, nr. 772). Deze onderzoeken betroffen datacenters en DNS-dienstverleners.

Mede op basis van deze onderzoeken en gesprekken met de sectoren, heb ik beoordeeld of bepaalde aanbieders als vitaal aangemerkt moeten worden en onder de toepasselijkheid van de Wet beveiliging netwerk- en informatiesystemen (Wbni) dienen te vallen, om de digitale weerbaarheid van Nederland te verhogen en de gevolgen van (cyber)incidenten te beperken.

Het Domain Name System (DNS) is een essentieel onderdeel van de infrastructuur van het internet. Het DNS zorgt ervoor dat domeinnamen bereikbaar zijn. Allerlei digitale processen zijn hiervan afhankelijk. DNS-dienstverleners vallen reeds onder de toepasselijkheid van de Wbni en de achterliggende Europese Netwerk- en informatiebeveiliging (NIB)-richtlijn.1 Verschillende partijen spelen een rol in het DNS. Er is reden om in Nederland meer DNS-dienstverleners als essentieel te zien dan nu het geval is.2 Het gaat dan om aanbieders zoals hostingbedrijven die DNS-diensten leveren aan een groot aantal klanten, bijvoorbeeld in het mkb. Een incident bij een aanbieder kan leiden tot honderdduizenden onbereikbare websites, e-mailsystemen, enzovoorts. Ik ben voornemens om dergelijke omvangrijke aanbieders3 aan te merken als vitale aanbieder en hen bij ministerieel besluit aan te wijzen als aanbieders van essentiële diensten.4 Voor deze aanbieders gaan dan de zorg- en meldplicht uit de Wbni gelden. Dat betekent dat zij ernstige incidenten moeten melden bij zowel het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid als bij de toezichthouder (meldplicht) en dat zij passende maatregelen moeten treffen ter beveiliging van hun netwerk- en informatiesystemen (zorgplicht). Het Agentschap Telecom zal toezicht houden op de naleving hiervan. Ook kunnen aanbieders terecht bij het NCSC voor advies en ondersteuning bij digitale dreigingen en incidenten.

In datacenters staan servers opgesteld die vele digitale processen bij bedrijven, overheden en organisaties ondersteunen. Uit het onderzoeksrapport dat uw Kamer eerder heeft ontvangen, blijkt de kans reëel dat in datacenters processen lopen die bij langdurige uitval risico opleveren van maatschappelijke ontwrichting. Het gaat dan onder meer om datacenters met meerdere gebruikers (multi-tenant of colocatie, dus bijvoorbeeld niet een hyperscale datacenter van een groot techbedrijf voor eigen gebruik) die «te groot zijn om te falen». Uitval of verstoring van dergelijke omvangrijke datacenters kan resulteren in cascade-effecten en een langdurige periode van mindere redundantie in Nederland. Minder redundantie betekent verminderde beschikbaarheid van de digitale infrastructuur. Bij cascade-effecten leidt verstoring of uitval van een datacenter tot verstoring van de digitale processen van haar gebruikers en daarmee andere (mogelijk vitale) maatschappelijke en economische processen.

De continuïteit van datacenters acht ik van vitaal belang voor het functioneren van de digitale (internet-)infrastructuur. Ik ben daarom voornemens om datacenterdiensten als vitaal proces aan te merken en om, binnen dat proces, multi-tenant datacenters vanaf een bepaalde omvang aan te merken als vitale aanbieder.5 Zij zullen krachtens de Wbni in het Besluit beveiliging netwerk- en informatiesystemen worden aangewezen als «andere vitale aanbieder». Voor deze aanbieders gaat hierdoor een meldplicht bij het NCSC gelden. Ook kunnen zij bij het NCSC terecht voor advies en ondersteuning bij digitale dreigingen en incidenten. In de toekomst zullen datacenterdiensten onder de herziene NIB-richtlijn komen te vallen en daarmee onder meer een zorgplicht krijgen en onder het toezicht gaan vallen. Dit zal naar verwachting in de loop van 2024 werking krijgen. Ik vind het verstandig om vooruitlopend daarop bepaalde datacenters nu al aan te wijzen, zodat zij ernstige ICT-incidenten moeten melden bij het NCSC.

Voor de DNS-dienstverleners en de datacenters zullen op korte termijn de bovenbedoelde aanwijzingen van aanbieders krachtens de Wbni worden geconsulteerd, zodat betreffende partijen hun zienswijze kunnen geven. Ik blijf hierover in gesprek met betrokkenen uit beide sectoren. Tot slot geeft de vitale status aanleiding om met partijen in overleg te treden over de vraag of aanvullende afspraken nodig zijn om de weerbaarheid te borgen.

De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens

X Noot
1

Richtlijn (EU) 2016/1148 van het Europees parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194).

X Noot
2

Op dit moment zijn in Nederland bepaalde DNS-dienstverleners al aangewezen als vitale aanbieder namelijk beheerders van een register voor topleveldomeinnamen, zoals het.nl domein, vanaf een zekere omvang.

X Noot
3

Daarbij wordt gedacht aan aanbieders die ten behoeve van 400.000 of meer.nl-domeinnamen «authoritative» DNS-diensten verlenen.

X Noot
4

Krachtens de Wbni worden als vitaal aangemerkte aanbieders die hun diensten verlenen in sectoren die zijn genoemd in de NIB-richtlijn aangewezen als «aanbieders van essentiële diensten».

X Noot
5

Daarbij wordt gedacht aan aanbieders van wie de multi-tenant datacenters tezamen een stroomcapaciteit hebben van meer dan 50 megawatt. Deze aanbieders vallen ook onder de Wet ongewenste zeggenschap telecommunicatie (Wozt) vanwege hun rol in het functioneren van het internet in Nederland.

Naar boven