Regeling van de Minister van Justitie en Veiligheid van 13 januari 2020, nr. 2775286, houdende aanwijzing van computercrisisteams als bedoeld in de Wet beveiliging netwerk- en informatiesystemen (Regeling aanwijzing computercrisisteams)

TOELICHTING

Deze regeling strekt tot aanwijzing van een viertal computercrisisteams waaraan, net als aan de in de NIB-richtlijn bedoelde Computer security incident response teams, op grond van de Wet beveiliging netwerk- en informatiesystemen (Wbni) bepaalde gegevens kunnen worden verstrekt door het Nationaal Cyber Security Centrum (NCSC) namens de Minister van Justitie en Veiligheid. Meer in het bijzonder gaat het om een aanwijzing als bedoeld in artikel 3, tweede lid, onderdeel c, artikel 16, derde lid, onderdeel b, en artikel 20, tweede lid, onderdeel b, Wbni. Artikel 3, tweede lid, onderdeel c, Wbni bepaalt dat de Minister van Justitie en Veiligheid, ter voorkoming van nadelige maatschappelijke gevolgen, (persoons- en andere) gegevens over dreigingen en incidenten met betrekking tot andere netwerk- en informatiesystemen dan die van vitale aanbieders of andere aanbieders die onderdeel zijn van de rijksoverheid, die zijn verkregen bij het verrichten van analyses en technisch onderzoek betreffende laatstgenoemde systemen, kan verstrekken aan bij ministeriële regeling aangewezen computercrisisteams. Krachtens artikel 16, derde lid, onderdeel b, Wbni kan de minister een door hem ontvangen vrijwillige melding door een organisatie, niet zijnde een vitale aanbieder of een digitale dienstverlener, van een incident met aanzienlijke gevolgen voor de continuïteit van een dienst ter behandeling doorsturen aan een bij ministeriële regeling aangewezen computercrisisteam. Artikel 20, tweede lid, onderdeel b, Wbni, ten slotte, bepaalt dat de minister, ter uitvoering van zijn taken in artikel 3 van die wet, vertrouwelijke gegevens die herleid kunnen worden tot een aanbieder, zonder diens instemming, aan een bij ministeriële regeling aangewezen computercrisisteam kan verstrekken, voor zover dat dienstig is voor het bevorderen van maatregelen ter voorkoming of beperking van een verstoring van het maatschappelijk verkeer.

Ik ben tot de conclusie gekomen dat verstrekking van de in de bovenstaande drie artikelen genoemde gegevens aan de vier in artikel 1 van deze regeling genoemde computercrisisteams (Informatiebeveiligingsdienst; Stichting Z-CERT; SURFcert, en CERT Watermanagement) gelet op de wettelijke criteria mogelijk en verantwoord is. Hierbij acht ik met name van betekenis dat deze computercrisisteams hun taken verlenen ten behoeve van duidelijk omschreven doelgroepen van aanbieders, die in hoofdzaak niet vitaal zijn en geen deel uitmaken van de rijksoverheid, dat voldoende is gebleken dat deze computercrisisteams ten behoeve van genoemde doelgroepen de gegevens van het NCSC uitsluitend zullen aanwenden voor de doelen waarvoor zij worden verstrekt, dat voorts is gebleken dat zij ten aanzien van de ontvangst en verdere verwerking van de gegevens de technische en organisatorische maatregelen ten behoeve van een veilige en vertrouwelijke omgang met deze gegevens hebben getroffen, en dat zij hun gegevens aantoonbaar verwerken met inachtneming van de terzake geldende wetgeving.

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus