Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 19 december 2014

Met deze brief informeer ik uw Kamer op uw verzoek over de stand van zaken inzake de EU-richtlijn voor netwerk- en informatiebeveiliging (NIB-richtlijn).1 De voortgang van de onderhandelingen over de richtlijn is in de EU Telecomraad van 27 november jl. besproken. In het bijzonder zal met deze brief worden ingegaan op de Telecomraad, en de onderhandelingen in de raadswerkgroep Telecom & Informatiemaatschappij.

De Europese Commissie wil een verdere impuls geven aan het waarborgen van een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging. Op 7 februari 2013 is daartoe de NIB-richtlijn samen met de strategie inzake cyberbeveiliging van de Europese Unie (EU cybersecurity strategie) gepubliceerd. Voor zowel de NIB-richtlijn als de EU cybersecurity strategie zijn op 15 maart 2013 BNC-fiches2 naar de Tweede Kamer gestuurd. Na de eerste bespreking in de Telecomraad op 4 juli 2013, op 5 december 2013 en op 6 juni 2014 zijn de Kamers geïnformeerd over de voortgang.3

Telecomraad

De NIB-richtlijn is regelmatig aan de orde gekomen in de raadswerkgroep Telecom & Informatiemaatschappij. Tijdens de Telecomraad heeft het Italiaanse voorzitterschap een mondelinge terugkoppeling van de voortgang over de NIB-richtlijn gegeven. Hoewel de Raadspositie nog niet volledig is geconcludeerd, is op onderdelen al wel mandaat aan het voorzitterschap verleend om de triloog met het Europees parlement (EP) en de Europese Commissie aan te vangen. De Lidstaten hebben het voorzitterschap gesteund om tot een spoedige conclusie van de raadspositie en de onderhandelingen te komen. Er waren slechts twee korte interventies.

Onderhandelingen

De inbreng van Nederland tijdens de raadswerkgroepen was in lijn met de positie zoals die in het BNC-fiche over de NIB-richtlijn is verwoord. Alle lidstaten onderschrijven de noodzaak om netwerk- en informatiebeveiliging te versterken.

Bestaande structuren en bevoegde autoriteit

In mijn brief van 20 juni 2014 ben ik onder andere ingegaan op de invulling van de nationale structuren. Meerdere lidstaten onderschreven de visie van Nederland en erkenden het onderscheid tussen de rollen van de bevoegde autoriteit en van de toezichthouders. Conform het voorstel van het Europees parlement, voelt de Raad dan ook veel voor het door de lidstaten kunnen aanwijzen van meerdere bevoegde autoriteiten voor de uitoefening van in de richtlijn bedoelde taken. Dit is ook in lijn met de Nederlandse inzet. Het is de verwachting dat dit voorstel stand zal houden.

Operationele samenwerking tussen lidstaten

Een discussiepunt waarover ik u bij brief van 20 juni ook informeerde betrof de operationele samenwerking tussen lidstaten. De raad heeft daarover een compromis gesloten dat niet tot een verplichte vorm van informatiedeling tussen bevoegde autoriteiten leidt, maar wel beoogt om verstevigde samenwerking te realiseren op operationeel en beleidsmatig niveau. Lidstaten moeten de eigen capaciteit om te reageren op incidenten vergroten of verbeteren, en tegelijkertijd zal worden gewerkt aan het vergroten van het onderlinge vertrouwen. De huidige positie van de Raad is gebaseerd op het voorstel dat Nederland eerder met enkele andere lidstaten hiervoor heeft ingebracht.

Meldplicht

De Raad heeft een positieve houding aangenomen ten aanzien van de meldplicht in de ontwerprichtlijn, waarbij het gaat om incidenten met een aanzienlijke impact. Uitgangspunt voor Nederland is hierbij het wetsvoorstel voor melding van inbreuken in elektronische informatiesystemen gebleven.

Reikwijdte

Momenteel staat er nog een belangrijk punt open in de raadspositie, en dat betreft de reikwijdte van de richtlijn, meer in het bijzonder de lijst van sectoren die daaronder komen te vallen. Het EP heeft voorgesteld de lijst van marktdeelnemers in te perken voor wat betreft de internetdiensten, en aan te passen voor wat betreft de essentiële sectoren. Nederland wil aansluiten bij de sectoren zoals genoemd in de toelichting bij het wetsvoorstel, maar heeft een minderheidspositie en daarom is het waarschijnlijk dat de lijst in de annex nog uitgebreid wordt met andere sectoren. De internetdienstverleners worden mogelijk verdeeld in dienstverleners en infrastructuren.

Implementatie

Omdat vragen bestaan over de samenhang tussen de Netwerk- en Informatie Beveiligingsrichtlijn van de EU, het traject voor de Rijksbrede herijking van vitale infrastructuur, en het Nederlandse wetsvoorstel dat momenteel in voorbereiding is om te komen tot een wettelijke meldplicht, de security breach notification n.a.v. de motie Hennis-Plasschaert c.s.4, ga ik daar hierbij alvast op in.

Allereerst maak ik het voorbehoud dat de implementatie van de richtlijn dient te worden bezien wanneer de richtlijn definitief is. Daarop kan en wil ik niet vooruitlopen. De hiervoor genoemde trajecten zullen echter hierbij zeker in acht worden genomen. In de richtlijn is bijvoorbeeld sprake van criteria waaraan «operatoren» zullen moeten voldoen om onder het bereik van de richtlijn te worden geschaard. Tot deze criteria valt ook de relevantie voor nationale veiligheid. In Nederland geldt dat de nationale veiligheid in het geding is als vitale belangen van onze staat en/of onze samenleving zodanig bedreigd worden dat sprake is van – potentiële – maatschappelijke ontwrichting. Nederland en andere EU lidstaten hebben bij de vaststelling van de raadspositie bedongen dat lidstaten de ruimte behouden om gelet hierop op nationaal niveau de afweging te maken wat tot de vitale bedrijven, processen en locaties wordt gerekend. Dit wordt verder uitgewerkt in het traject voor een Rijksbrede herijking van de vitale infrastructuur.

Het verdient tenslotte aandacht dat de NIB-richtlijn op beperkte onderdelen mogelijk zal afwijken van, en bovendien een breder scala aan onderwerpen kent dan het Nederlandse wetsvoorstel dat thans in voorbereiding is. Wat dat laatste betreft valt bijvoorbeeld te denken aan het stellen van beveiligingseisen aan informatiesystemen en aan de handhaving van die eisen en van de meldplicht. In lijn met mijn brief van 6 juli 2012 inzake de meldplicht en interventiemogelijkheden,5 zullen die onderwerpen worden geregeld in sectorale wetten.

Het Nederlandse wetsvoorstel zal in januari in internetconsultatie worden gebracht. Ombouw van het nu in voorbereiding zijnde wetsvoorstel tot implementatiewetsvoorstel zou waarschijnlijk leiden tot een forse vertraging van het tijdstip waarop de meldplicht in werking kan treden. Er wordt dan ook niet gewacht tot de EU richtlijn is aangenomen met de verdere voorbereiding van het wetsvoorstel. Dit conform de toezegging aan uw Kamer om, gezien het belang van het melden van ICT-inbreuken, naar aanleiding van de motie Hennis-Plasschaert c.s. te komen tot een wettelijke meldplicht.

Tot slot

De eerstvolgende Telecomraad staat in juni 2015 gepland. Binnen een maand na deze Telecomraad, of, indien eerder een finaal besluit is genomen over de richtlijn, zo spoedig mogelijk daaropvolgend, zal ik uw Kamer opnieuw schriftelijk informeren over de stand van zaken.

De Minister van Veiligheid en Justitie, I.W. Opstelten