36 270 Regels ter bevordering van de digitale weerbaarheid van bedrijven (Wet bevordering digitale weerbaarheid bedrijven)

Nr. 5 VERSLAG

Vastgesteld 20 januari 2023

De vaste commissie voor Economische Zaken en Klimaat, belast met het voorbereidend onderzoek van dit wetsvoorstel, heeft de eer als volgt verslag uit te brengen van haar bevindingen.

Onder het voorbehoud dat de regering op de gestelde vragen en de gemaakte opmerkingen tijdig en genoegzaam zal hebben geantwoord, acht de commissie de openbare beraadslaging over dit wetsvoorstel voldoende voorbereid.

A. Algemeen

De leden van de VVD-fractie hebben met veel interesse en waardering kennisgenomen van het onderhavige wetsvoorstel en hebben hierover nog enkele vragen en opmerkingen. Deze leden willen hier graag de noodzaak van dit wetsvoorstel onderschrijven, gezien de digitale dreiging waar Nederlandse niet-vitale bedrijven in toenemende mate dagelijks mee te maken hebben. Voornoemde leden beschouwen hun digitale veiligheid en weerbaarheid als randvoorwaardelijk voor het behoud en de groei van de Nederlandse economische belangen.

De leden van de D66-fractie hebben met interesse kennisgenomen van het onderhavige wetsvoorstel, het advies van de Afdeling advisering van de Raad van State en de reacties van diverse partijen. De leden willen de regering nog enkele vragen voorleggen.

De leden van de CDA-fractie hebben met interesse kennisgenomen van het onderhavige wetsvoorstel. Deze leden zien, samen met de regering, de noodzaak om informatie over specifieke digitale dreigingen en kwetsbaarheden te kunnen delen met het bedrijfsleven. Deze leden steunen daarom een spoedige behandeling en inwerkingtreding van het wetsvoorstel. Deze leden hebben nog enkele vragen.

De leden van de SP-fractie hebben het onderhavige wetsvoorstel gelezen en hebben hierover nog enkele vragen.

De leden van de ChristenUnie-fractie hebben kennisgenomen van het onderhavige wetsvoorstel. Zij constateren dat de wet voortkomt uit de behoefte om bedrijven en maatschappelijke organisaties beter te informeren en adviseren over én concrete hulp en ondersteuning te bieden bij het verbeteren van hun cybersecurity en bij het afslaan van aanvallen door hackers. De leden constateren dat de taken van het in 2017 opgerichte DTC uitgebreid worden van algemene informatievoorziening naar informatievoorziening over specifieke digitale dreigingen en kwetsbaarheden. Tevens constateren ze dat het DTC de mogelijkheid krijgt om handelingsperspectief aan te reiken aan bedrijven over vervolgstappen bij digitale dreigingen en kwetsbaarheden. De leden van de ChristenUnie-fractie hebben behoefte aan het stellen van enkele nadere vragen.

Het lid van de BBB-fractie heeft met belangstelling kennis genomen van het onderhavige wetsvoorstel. Het wetsvoorstel beoogt een wettelijke grondslag te bieden voor taken en bevoegdheden van de Minister van Economische Zaken en Klimaat (EZK) op het gebied van de digitale weerbaarheid van het niet-vitale bedrijfsleven in Nederland.

Het lid van de BBB-fractie onderschrijft het belang van de bevordering van digitale weerbaarheid van Nederlandse bedrijven. Hier is echter geen wet voor nodig, maar een effectief communicatie- en scholingsplan. Het lid van de BBB-fractie is het daarom ook eens met het advies van de Afdeling advisering van de Raad van State, die feitelijk aangeeft dat dit wetsvoorstel een overbodig instrument is.

Het lid van de BBB-fractie leest dat het wetsvoorstel de Minister van EZK een wettelijke grondslag geeft om de voor haar taakuitoefening noodzakelijke (persoons)gegevens op te vragen en te delen. Dit kan echter al via de Wet beveiliging netwerk- en informatiesystemen (Wbni). De Wbni kent de Minister van EZK al enkele bevoegdheden toe. Die hebben betrekking op aanbieders van essentiële diensten binnen de sectoren energie en digitale infrastructuur. Daarnaast voorziet een recent wetsvoorstel tot wijziging van de Wbni in een grondslag voor de verstrekking van (persoons)gegevens door het Nationaal Cyber Security Center (NCSC), ook aan niet-vitale aanbieders. De Wbni regelt dus niet alleen bevoegdheden voor de Minister van Justitie en Veiligheid (JenV), maar ook voor de Minister van EZK. Bovendien regelt het, indien het recente wetsvoorstel tot wet wordt verheven, bevoegdheden ten aanzien van het niet-vitale bedrijfsleven. Tegen die achtergrond en uit het oogpunt van harmonisatie van wetgeving ligt het in de rede om de nieuwe bevoegdheden van de Minister van EZK ten aanzien van de verwerking en verstrekking van persoonsgegevens op te nemen in de Wbni.

Het lid van de BBB-fractie verzoekt de regering dan ook met klem dit overbodige wetsvoorstel in te trekken en zo een bijdrage te leveren aan de zo gewenste vermindering van de regeldruk voor ondernemers en burgers, zoals ook in het Regeerakkoord en het Coalitieakkoord als voornemen is vastgelegd. Het lid van de BBB-fractie roept de regering op te doen wat zij zegt.

1. Hoofdlijnen van het voorstel

De leden van de VVD-fractie lezen dat het voorliggende wetsvoorstel het DTC in staat stelt om niet-vitale bedrijven te voorzien van specifieke (acute) dreigingsinformatie die relevant is voor organisaties in Nederland en om deze informatie dus actief te delen met potentiële en daadwerkelijke slachtoffers van digitale aanvallen. De leden van de VVD-fractie beschouwen dit als een zeer belangrijke en urgente taak van het DTC. Gegeven het feit dat het DTC beschikt over 23 fte en het een doelgroep behelst van 2 miljoen ondernemers maken deze leden zich zorgen over de haalbaarheid en effectieve uitvoering van voorliggende substantiële uitbreiding van informatievoorziening. In hoeverre voorziet dit wetsvoorstel ook in de additionele (personele) capaciteit die nodig is om te voldoen aan de nieuwe volwaardige taakvoorziening van het DTC en om uiteindelijk het hoofddoel van het DTC daadwerkelijk te kunnen bewerkstelligen? Wordt deze capaciteit ook gemeten en tussentijds geëvalueerd, zodat aan de eventuele toegenomen vraag tegemoet kan worden gekomen door het DTC? Zo nee, waarom niet?

De leden van de VVD-fractie willen voorts aandacht vragen voor de verscheidenheid aan ondernemers en bedrijven die onder de doelgroep van het DTC vallen. Deze leden zijn van mening dat deze verscheidenheid zorgt voor verschillende behoeftes en hulpvragen en derhalve een veelzijdige aanpak behoeft van het DTC in de uitvoering van hun taken. Zo bestaan er grote verschillen tussen de ondernemingen over het volwassenheidsniveau van cybersecurity, als tevens de aanwezigheid en beschikbaarheid van geschikt cybersecurity personeel. Op welke wijze borgt voorliggend wetsvoorstel een veelzijdige en flexibele aanpak en werkwijze van het DTC om tegemoet te komen aan de uiteenlopende behoeftes van de doelgroep? Worden er plannen gemaakt om de verschillende doelgroepen en bedrijven zo goed mogelijk te bereiken en de bekendheid van het DTC te vergroten?

De leden van de VVD-fractie willen daarnaast nader ingaan op de belangrijke taak van de Minister van EZK om de ontwikkeling van samenwerkingsverbanden tussen bedrijven op het gebied van digitale weerbaarheid te stimuleren en het aantal samenwerkingsverbanden dat momenteel is aangesloten op het DTC. Hoeveel samenwerkingsverbanden telt het DTC momenteel en om welke samenwerkingsverbanden gaat het? Klopt het dat het streven voor 2023 een uitbreiding van het aantal samenwerkingsverbanden betreft? Zo ja, om hoeveel extra samenwerkingsverbanden gaat het? In hoeverre en op welke wijze voorziet dit wetsvoorstel in de capaciteit en vereisten die deze uitbreiding behoeft? Op welke wijze worden samenwerkingsverbanden geïnventariseerd en geïnitieerd? In hoeverre wordt dit gedaan in samenwerking met bedrijven en brancheorganisaties?

De leden van de VVD-fractie willen tevens stilstaan bij de te vormen nieuwe organisatie waarin onder andere het DTC en het NCSC zullen worden samengebracht. Deze leden ondersteunen deze voorgenomen samensmelting van harte, gezien het belang van het snel en zorgvuldig delen van dreigingsinformatie bij het adequaat omgaan met cyberaanvallen. Welke mogelijkheden voor het onderhavige wetsvoorstel ziet de regering om de voorgenomen eenwording te faciliteren en waar mogelijk te kunnen versnellen? Welke stappen is de regering hiervoor bereid te zetten? Kan de regering deze stappen toelichten aan de hand van het voorliggende tijdspad behorend bij de voorgenomen integratie van het DTC, NCSC en het Computer Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP)?

De leden van de CDA-fractie vragen of de regering wil reageren op de berichten dat één op de vijf bedrijven het risico loopt gehackt te worden en dat met name het midden- en kleinbedrijf (mkb) kwetsbaar is. Deze leden vragen of de regering de mening deelt dat het mkb in het algemeen minder goed voorbereid is op een digitale dreiging en dat er daarom extra aandacht voor het mkb moet zijn. Deze leden vragen welke stappen de regering zet om ervoor te zorgen dat het Digital Trust Center (DTC) voldoende toegerust is om het kwetsbare mkb te informeren en helpen bij digitale dreigingen.

1.1 Wettelijke grondslag voor taken en gegevensverwerking Minister van EZK

De leden van de SP-fractie vragen waarom het volgens de regering noodzakelijk is dat de Minister van EZK ook een bevoegdheid krijgt ten aanzien van het verwerken van gegevens rondom digitale veiligheid van bedrijven, nu deze bevoegdheid ook door de wet bij de Minister van JenV is belegd. Hoewel deze leden begrijpen dat de regering hier een verschil in rollen ziet, vragen zij of het desondanks niet meer voor de hand ligt dat de taken die met dit voorstel bij de Minister van EZK komen te liggen ook worden belegd bij de Minister van JenV. Dit voorkomt immers dat er onnodig gegevens worden gedeeld tussen onderdelen van de verschillende ministeries en er onduidelijkheid optreedt welk ministerie waar precies verantwoordelijk voor is.

1.2 Motivering instrumentkeuze

De leden van de CDA-fractie lezen dat de Afdeling advisering van de Raad van State heeft geadviseerd om de nieuw voorgestelde grondslag niet vast te leggen in een zelfstandige wet, maar in de Wbni. Deze leden danken de regering voor de toelichting op de noodzaak van een zelfstandige wet en hebben hierover nog een vraag. Deze leden zijn van mening dat het in dit geval belangrijk is om vanuit de praktijk te bezien hoe de wettelijke grondslag het beste vormgegeven kan worden. Deze leden vragen daarom of en, zo ja, welke praktische problemen er kunnen ontstaan en of er bedrijven in de knel kunnen komen als onderhavige grondslag wordt opgenomen in de Wbni.

1.3 Verhouding DTC – NCSC

De leden van de D66-fractie vinden digitalisering binnen het bedrijfsleven van groot belang. Er worden hierbij grote stappen gemaakt en het is belangrijk dat deze transitie gezond versneld kan worden, waarbij er extra oog is voor het mkb, dat nog niet voldoende kan meekomen. De veiligheid en digitale weerbaarheid van bedrijven in deze transitie is cruciaal. Deze leden merken op dat er binnen de overheid twee verschillende loketten zijn waar bedrijven terecht kunnen met hun veiligheidsvraagstukken omtrent digitalisering. Deze leden maken zich zorgen dat het niet duidelijk is wat de taakverdeling tussen het NCSC en het DTC is. Kan de regering verduidelijken wat de wisselwerking tussen deze loketten is en of hierbij overlap ontstaat? Is het voor ondernemers duidelijk tot welk contactpunt zij behoren? Bestaat er risico’s dat bedrijven niet eenduidig geïnformeerd worden of dat er verzuimd wordt om een bedrijf te informeren, doordat er onduidelijkheden bestaan over de informatievoorziening?

De leden van de CDA-fractie vragen of de regering een toelichting wil geven op het onderscheid tussen het vitale en niet-vitale bedrijfsleven, dat in wet- en regelgeving op het gebied van digitale veiligheid vaak wordt gebruikt. Deze leden vragen of dit onderscheid niet achterhaald dreigt te raken, gezien de toenemende vervlechting van de digitale infrastructuur in Nederland. Deze leden vragen of door het NCSC en DTC ook een prioriteitsafweging wordt gemaakt die ziet op het meewegen van bijvoorbeeld ketenafhankelijkheid, kritische processen en het volwassenheidsniveau op het gebied van cybersecurity bij organisaties.

De leden van de ChristenUnie-fractie vragen hoe voorliggend voorstel zich verhoudt tot de aanstaande samenvoeging van het NCSC en het DTC en de nieuwe Europese richtlijnen die de komende jaren zullen worden geïmplementeerd.

De leden van de ChristenUnie-fractie maken zich zorgen of de extra taak voor het DTC, naast de taken die het NCSC en de organisaties die «objectief kenbaar tot taak» hebben om andere organisaties of het publiek te informeren over dreigingen en incidenten met betrekking tot andere netwerken informatiesystemen (OKTT’s) reeds vervullen, het delen van dreigingsinformatie niet juist inefficiënter maakt. Zou het niet verstandiger zijn het delen van dreigingsinformatie meer te concentreren? Hoe weegt de regering hierbij ook de consultatie-inbreng van Cyberveilig Nederland? Genoemde leden maken zich zorgen dat voorliggend voorstel leidt tot versplintering van informatie en dat dit juist een averechts effect kan hebben.

De leden van de ChristenUnie-fractie vragen de regering in elk geval in gesprek te gaan met het bedrijfsleven over hoe de informatievoorziening richting bedrijven zo kan worden gestroomlijnd dat voornoemde risico’s zo veel als mogelijk worden voorkomen bijvoorbeeld middels een loketfunctie. Hierbij kunnen genoemde leden zich ook voorstellen dat richtlijnen worden opgesteld omtrent het delen van vertrouwelijke informatie.

De leden van de SP-fractie vrezen dat er in praktijk straks veel onduidelijkheid zal bestaan over welk ministerie voor welke taak verantwoordelijk is. Daarbij is er een risico dat de twee instanties, de DTC en de NCSC, taken dubbel of niet uitvoeren, omdat het onduidelijk is welke instantie waar verantwoordelijk voor is. Kan de regering daarbij ook nader ingaan op de kritiek van de Afdeling advisering van de Raad van State?

2. Uitvoering

De leden van de D66-fractie vinden het van groot belang dat bedrijven zich digitaal weerbaar kunnen maken. Laagdrempeligheid staat hierbij centraal. Deze leden vragen in hoeverre het DTC niet-vitale bedrijven van informatie voorziet omtrent de overgang naar digitale middelen in bedrijfsvoering en de risico’s die hierbij ontstaan. Bestaat hierbij een verschil in de grote van bedrijven? Kunnen bedrijven hiervoor bij het DTC terecht? Zijn hieruit al best-practices gekomen die actief naar ondernemers kunnen worden gecommuniceerd? Spelen ondernemersorganisaties een rol bij het verbeteren van digitale informatievoorziening? Zo niet, ziet de regering voor deze organisaties een rol, zodat kennis laagdrempelig en toegankelijk naar bedrijven die in de digitale transitie zitten kan worden gecommuniceerd?

B. Artikelen

Artikel 4 (Verstrekking van vertrouwelijke gegevens door de Minister van EZK)

De leden van de D66-fractie nemen kennis van het delen van dreigingsinformatie en de kans die daarbij bestaat om juist gevoelige informatie te lekken, wanneer de digitale beveiliging van een bedrijf onvoldoende op orde is. De leden verzoeken de regering toe te lichten hoe dit voorkomen kan worden. Zet de regering hier instrumenten voor in en, zo ja, welke?

De voorzitter van de commissie, Agnes Mulder

De adjunct-griffier van de commissie, Van Dijke

Naar boven