De Staatssecretaris heeft op 27 oktober 2015 gereageerd.

De commissie brengt bijgaand verslag uit van het gevoerde schriftelijk overleg.

De griffier van de vaste commissie voor Immigratie & Asiel / JBZ-raad, Van Dooren

BRIEF VAN DE VOORZITTER VAN DE VASTE COMMISSIE VOOR VEILIGHEID EN JUSTITIE

Aan de Staatssecretaris van Veiligheid en Justitie

Den Haag, 29 september 2015

De commissie voor Immigratie & Asiel / JBZ-raad heeft in haar vergaderingen van 7 juli 2015 en 22 september 2015 uw brief van 1 juli 2015 besproken met daarin de stand van zaken in de onderhandelingen over de richtlijn netwerk- en informatiebeveiliging3. In uw brief schrijft u over een bescheiden voortgang van de stand van zaken ten opzichte van het vorige voortgangsverslag dat is aangeboden bij brief van 19 december 2014 door de Minister van Veiligheid en Justitie. De leden van de D66-fractie wensen naar aanleiding van uw brief een aantal vragen te stellen.

Operationele en beleidsmatige samenwerking tussen lidstaten

In het vorige voortgangsverslag van 19 december 2014 schrijft de Minister van Veiligheid en Justitie dat de Raad een compromis heeft gesloten, zodat er geen sprake zou zijn van een verplichte vorm van informatiedeling tussen bevoegde autoriteiten. Uit uw brief van 1 juli jl. begrijpen de leden van de D66-fractie dat momenteel nog steeds binnen de Raad wordt gesproken over de invulling van de samenwerkingsnetwerken van de verschillende lidstaten. Tevens lezen deze leden dat de richtlijn beoogt dat «men» binnen de verschillende samenwerkingsnetwerken op structurele basis samenkomt om informatie en ervaringen uit te wisselen teneinde het vertrouwen tussen de lidstaten te vergroten. Kunt u toelichten hoe de Nederlandse inzet op een vrijwillige samenwerking tussen lidstaten zich verhoudt tot het doel van de richtlijn om te komen tot structurele samenwerking en samenkomsten van de verschillende actoren binnen de netwerken? Bent u van mening dat samenwerking op vrijwillige basis niet aan de weg zal staan aan het waarborgen van een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging en zo nee, waarom niet?

Reikwijdte

Voorts lezen de leden van de D66-fractie over de Nederlandse minderheidspositie betreffende de vaststelling van een beperkte basislijst van sectoren waarvoor de in de richtlijn bedoelde verplichtingen betrekking zullen hebben. Graag ontvangen deze leden een nadere toelichting van u over het door Nederland gebezigde standpunt rondom de reikwijdte van de richtlijn. Is het tevens niet zo dat – vanwege het uitgangspunt dat lidstaten zelf beslissen op welke organisaties binnen de in de richtlijn vermelde sectoren de verplichtingen van de richtlijn betrekking hebben – de verplichtingen voor de lidstaten op dit vlak te overzien zijn?

In uw brief van 1 juli jl. schrijft u tevens over het ten voordele van de EU aanwenden van de leidende rol van Nederland op het gebied van cybersecurity en het helpen van de Europese partners om op een hoger niveau van netwerk- en informatiebeveiliging te komen. Kunt u aangeven hoe de Nederlandse inzet op vrijwillige samenwerking en informatiedeling en de Nederlandse minderheidspositie in de Raad omtrent de reikwijdte van de richtlijn zich verhouden tot deze ogenschijnlijk conflicterende posities? De leden van de D66-fractie willen ook deze vraag graag beantwoord zien.

De commissie voor Immigratie & Asiel / JBZ-Raad ziet met belangstelling uit naar uw reactie en ontvangt deze graag binnen vier weken.

Voorzitter van de vaste commissie voor Immigratie en Asiel / JBZ-Raad, G. Markuszower

BRIEF VAN DE STAATSSECRETARIS VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den haag, 27 oktober 2015

Hierbij bied ik u de antwoorden aan op de vragen die zijn gesteld d.d. 29 september 2015, kenmerk 157513.01u, inzake de stand van zaken richtlijn netwerk- en informatiebeveiliging.

De Staatssecretaris van Veiligheid en Justitie, K.H.D.M. Dijkhoff

Vragen over de ontwerprichtlijn netwerk- en informatiebeveiliging [COM(2013)48]

Operationele en beleidsmatige samenwerking tussen lidstaten

De leden van de fractie van D66 hebben gevraagd naar de Nederlandse positie ten aanzien van de verhouding tussen de vrijwillige samenwerking tussen lidstaten en het doel van de richtlijn om te komen tot structurele samenwerking ten behoeve van het waarborgen van een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging.

Zowel op beleidsniveau als operationeel niveau heeft Nederland al jarenlang samenwerkingsrelaties met een groot aantal landen en hun nationale CERT’s4 binnen en buiten de EU. Deze relaties zijn van grote toegevoegde waarde, vanwege de nieuwe inzichten en informatie die dit oplevert. Daarom steunt Nederland het voorstel (zoals opgenomen in de concept-NIB-richtlijn) om twee groepen op te richten waarbinnen zowel beleidsmakers als de nationale CERT’s binnen de EU informatie zullen gaan uitwisselen. Het idee is dat dit zowel zal gebeuren via fysieke bijeenkomsten als tussen de bijeenkomsten door. Dit zal met name ook de lidstaten helpen die nog aan het begin staan van het opbouwen van hun cybersecurity-structuren. Ook zal dit de kleine en nieuwe nationale CERT’s in de EU helpen professioneler en deskundiger te worden. Hierdoor zal het algehele niveau van netwerk- en informatiebeveiliging in de EU stijgen.

Binnen deze structurele samenwerkingsverbanden moet zorgvuldig worden gekeken naar welke informatie op welke manier gedeeld kan worden. Zo betreft bijvoorbeeld veel informatie van CERT’s gevoelige operationele informatie, zoals bedrijfsgevoelige informatie, waarvan moet worden voorkomen dat deze op de verkeerde plek terecht komt. Kleine en/of nieuwe CERT’s beschikken niet vanzelfsprekend over de hiervoor benodigde ervaring en deskundigheid. Tevens is niet alle informatie even relevant voor alle CERT’s. Daarnaast kan informatie over incidenten bijvoorbeeld (nog) niet deelbaar zijn vanwege een lopend politieonderzoek. Om deze redenen is het niet wenselijk dat de NIB-richtlijn in detail gaat voorschrijven welke informatie gedeeld moet worden.

Naarmate lidstaten in de EU langer met elkaar binnen de NIB-context samenwerken zal het onderlinge vertrouwen groeien. Ook het niveau van voorzieningen in lidstaten om de vertrouwelijkheid van informatie afdoende te waarborgen zal naar verwachting stijgen, waardoor op den duur bijvoorbeeld meer gedetailleerde operationele informatie gedeeld zal kunnen worden.

Reikwijdte

De leden van de D66-fractie ontvangen graag een nadere toelichting op het Nederlandse standpunt rondom de reikwijdte van de richtlijn en willen helderheid over de verhouding tot het uitgangspunt dat lidstaten zelf beslissen op welke organisaties binnen de in de richtlijn vermelde sectoren de verplichtingen van de richtlijn betrekking zullen hebben.

Nederland stelt zich op het standpunt dat de richtlijn zich in beginsel zou moeten beperken tot de sectoren waarbinnen de uitval van de daartoe behorende processen als gevolg van een ict-incident zou kunnen leiden tot maatschappelijke ontwrichting, oftewel de zogenaamde vitale infrastructuur. Ook stelt Nederland zich op het standpunt dat het zo veel als mogelijk aan de lidstaten moet worden gelaten om te bepalen welke organisaties binnen de in de richtlijn genoemde minimumlijst van sectoren als de zogenaamde «operators of essential services» worden aangewezen.

Momenteel wordt in de raadswerkgroep Telecom en Informatiemaatschappij onderhandeld over de in de richtlijn op te nemen criteria waaraan door lidstaten getoetst moet worden welke organisaties als «operators of essential services» worden aangewezen. De Nederlandse inzet is om deze criteria zo algemeen mogelijk van aard te laten zijn, zodat de lidstaten hierbij voldoende ruimte houden. Omdat naar verwachting wel gespecificeerd zal worden binnen welke (sub)sectoren in elk geval voornoemde criteria moeten worden doorlopen, zet Nederland in op een zo beperkt mogelijke minimumlijst van dergelijke (sub)sectoren.

In weerwil van het bovenstaande lijkt thans de uitkomst van de onderhandelingen te worden dat de richtlijn ook gaat gelden voor bedrijven die internetdiensten aanbieden, zoals zoekmachines. In Nederlandse ogen zijn dat op zich geen «operators of essential services» en weegt hun maatschappelijke belang niet op tegen de extra lasten en regeldruk. Derhalve heeft het niet de voorkeur van de Nederlandse overheid om deze internetdiensten onder de richtlijn te laten vallen. Nederland streeft er in elk geval in de onderhandelingen naar om de gevolgen voor lidstaten en bedrijven van het toevoegen van deze internetdiensten in de richtlijn zo veel mogelijk te beperken. Vanwege het inherent grensoverschrijdende karakter van internetdiensten zal er overigens naar verwachting voor deze sector een grotere rol zijn voor de Europese Commissie bij het bepalen van de organisaties waarop daarbinnen de richtlijn van toepassing zal zijn. Uw Kamer zal hierover in de eerstkomende brief over de stand van zaken betreffende de onderhandelingen over de richtlijn nader worden geïnformeerd.

De leden van de D66-fractie vragen tenslotte een toelichting op het verband tussen enerzijds het streven naar het bevorderen van cybersecurity en het helpen van Europese partners om een hoger niveau van netwerk- en informatiebeveiliging te realiseren en anderzijds de Nederlandse positie ten aanzien van de vrijwilligheid van samenwerking en informatiedeling en de reikwijdte van de richtlijn.

Zoals hierboven aangegeven is Nederland voorstander van structurele samenwerking binnen de samenwerkingsgroepen, die door de richtlijn in het leven worden geroepen, teneinde mede daardoor een hoger niveau van netwerk- en informatiebeveiliging binnen de in de richtlijn genoemde sectoren te realiseren. Nederland heeft zowel op beleidsniveau als op CERT-niveau veel kennis en expertise op cybersecuritygebied. Deze expertise zal uiteraard ook worden ingezet in genoemde samenwerkingsgroepen.