Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 1 juli 2015

In deze brief informeer ik uw Kamer op uw verzoek over de stand van zaken inzake de EU-richtlijn over Netwerk- en Informatiebeveiliging (NIB-richtlijn).1 In de EU-Telecomraad van 12 juni jl. is de voortgang van de onderhandelingen over de richtlijn besproken. In het bijzonder zal met deze brief worden ingegaan op de Telecomraad, de onderhandelingen in de raadwerkgroep Telecom & Informatiemaatschappij, de samenhang met nationale (wetgevings-)trajecten en de relatie met het Nederlands EU-Voorzitterschap.

Op 7 februari 2013 is de NIB-richtlijn, met als doel het waarborgen van een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging, samen met de strategie inzake cyberbeveiliging van de Europese Unie gepubliceerd. Op 15 maart 2013 is uw Kamer geïnformeerd over de Nederlandse inzet middels een BNC-fiche.2 Daarnaast is uw Kamer reeds herhaaldelijk geïnformeerd over de voortgang.3

Telecomraad

Onderhandelingen

De inbreng van Nederland tijdens de Raadswerkgroepen was in lijn met de positie zoals beschreven in het BNC-fiche over de NIB-richtlijn.

Bestaande structuren en bevoegde autoriteit

De Minister van Veiligheid en Justitie is in bovenvermelde brief van 19 december 2014 onder andere ingegaan op de invulling van nationale structuren en de rollen van de bevoegde autoriteiten. De Raad heeft daarover een compromis gesloten dat lidstaten bij de implementatie van de richtlijn, mede met het oog op reeds bestaande (nationale) structuren, meerdere bevoegde autoriteiten voor de uitoefening van de in de richtlijn bedoelde taken kunnen aanwijzen. Dit is in lijn met de Nederlandse inzet.

Operationele en beleidsmatige samenwerking tussen lidstaten

In de NIB-richtlijn is voorzien dat er twee samenwerkingsnetwerken worden opgericht, zowel op operationeel als op beleidsmatig niveau. Binnen deze netwerken zal men op structurele basis samenkomen om informatie en ervaringen uit te wisselen, teneinde het vertrouwen tussen de lidstaten te vergroten. Een dergelijk vertrouwen is essentieel voor goede en open operationele samenwerking. Momenteel wordt binnen de Raad gesproken over de invulling van de samenwerkingsnetwerken en hoe beide zich tot elkaar verhouden. Uitgangspunt voor Nederland is dat samenwerking op basis van vrijwilligheid geschiedt.

Meldplicht

Incidenten met een aanzienlijke impact dienen met de komst van de richtlijn gemeld te worden, met daarbij aandacht voor de vertrouwelijkheid van de verstrekte gegevens van de meldende partij. Over de modaliteiten van grensoverschrijdende informatie-uitwisseling na een melding wordt binnen de Raad verder gesproken. Het BNC-fiche en het concept-wetsvoorstel gegevensverwerking en meldplicht cybersecurity zijn voor Nederland uitgangspunt in de onderhandelingen gebleven.

Reikwijdte

Een voornaam openstaand discussiepunt waarover uw Kamer in bovenvermelde brief van 19 december 2014 reeds is geïnformeerd, betreft de reikwijdte van de richtlijn. Hierover bestaat verdeeldheid binnen de Raad.

Het voorzitterschap heeft aangegeven dat het uitgangspunt blijft dat lidstaten zelf beslissen op basis van de in de richtlijn vermelde lijst van sectoren, welke organisaties binnen die sectoren voldoen aan de criteria voor «operators» en waarop de in de richtlijn bedoelde verplichtingen betrekking zullen hebben. Het Europees parlement is voorstander van een uitgebreide lijst sectoren en sub-sectoren en is voorstander van het volledig schrappen van de categorie internetinfrastructuren en -diensten.

Nederland is voorstander van een beperkte basislijst van sectoren en de mogelijkheid voor lidstaten om die lijst zo nodig verder uit te breiden. Nederland heeft een minderheidspositie. Daardoor bestaat het risico dat een bredere lijst van sectoren zal gaan gelden dan Nederland wenselijk acht, waarbinnen door lidstaten beoordeeld zal worden aan de hand van bovenbedoelde criteria op welke organisaties de in de richtlijn bedoelde verplichtingen betrekking zullen hebben. Ten aanzien van internetdiensten en internetinfrastructuren is een groot aantal lidstaten, waaronder Nederland, geen voorstander van het opnemen van alle internetdiensten in de lijst met sectoren, maar uitsluitend van een beperkt aantal aanbieders van vitale internetinfrastructuren.

Samenhang lopende trajecten

Graag ga ik ten slotte in op de samenhang tussen de NIB-richtlijn van de EU, het traject inzake de Rijksbrede herijking van de vitale infrastructuur en het al genoemde wetsvoorstel. Zeer onlangs heb ik de Koning verzocht om het wetsvoorstel ter advisering voor te leggen aan de Afdeling advisering van de Raad van State.

Het wetsvoorstel introduceert voor vitale organisaties («vitale aanbieders») een plicht tot melding van ICT-incidenten bij het NCSC. Conform eerdere toezeggingen en zoals uiteen is gezet in bovenvermelde brief d.d. 19 december 2014, is ervoor gekozen niet te wachten met de verdere voorbereiding van het wetsvoorstel tot vaststelling van de NIB-richtlijn, gezien de steeds groter wordende afhankelijkheid van de samenleving van elektronische informatiesystemen. Dit doet ook recht aan de aanvaarding van de motie-Hennis-Plasschaert c.s., die de concrete aanleiding voor het opstellen van het wetsvoorstel vormt.5

In de voortgangsbrief nationale veiligheid d.d. 12 mei 2015 heb ik u geïnformeerd over de herijking en bescherming van de vitale infrastructuur voor Nederland.6 Hoewel in de concept-NIB-richtlijn momenteel een groter aantal sectoren benoemd wordt, hebben Nederland en andere EU-lidstaten bij de vaststelling van de Raadspositie bedongen dat lidstaten de ruimte behouden om aan de hand van bovenbedoelde criteria («operators») op nationaal niveau de afweging te maken welke bedrijven en processen binnen de in de richtlijn opgenomen lijst met sectoren, in het licht van cybersecurity, als vitaal worden aangemerkt en waarop daarmee de in de richtlijn bedoelde verplichtingen betrekking zullen hebben.

De NIB-richtlijn kent een breder scala aan onderwerpen dan het wetsvoorstel. Hierbij valt te denken aan de verplichting tot het treffen van maatregelen ter waarborging van de continuïteit van informatiesystemen en de handhaving van die eisen en van de meldplicht. In het kader van de implementatie van deze richtlijn zal worden bezien in welke zin Nederlandse wetgeving in verband hiermee aanvulling behoeft.

Relatie met het Nederlands EU-voorzitterschap

Zoals bekend zal Nederland per 1 januari 2016 het voorzitterschap van de Raad van de Europese Unie op zich nemen. Indien de onderhandelingen over de NIB-richtlijn in de eerste helft van 2016 nog lopen, zal Nederland zich inspannen om ze zo snel mogelijk af te ronden. Indien de onderhandelingen nog in 2015 worden afgerond, zal Nederland gedurende het voorzitterschap, naast de implementatie van de richtlijn in eigen land, zo veel als mogelijk een spoedige implementatie van de richtlijn in andere lidstaten bevorderen. Dit laatste zal Nederland in staat stellen om zijn leidende rol op het gebied van cybersecurity in te zetten ten voordele van de EU, en de Europese partners mee te helpen om op een hoger niveau van netwerk- en informatiebeveiliging te komen.

Tot slot

De eerstvolgende Telecomraad is voorzien voor december 2015. Uw Kamer wordt binnen een maand na deze Telecomraad, of, indien eerder een finaal besluit is genomen over de richtlijn, zo spoedig mogelijk, schriftelijk geïnformeerd over de stand van zaken.

De Staatssecretaris van Veiligheid en Justitie, K.H.D.M. Dijkhoff