Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 3 december 2015

In deze brief informeer ik uw Kamer over de stand van zaken inzake de EU-richtlijn over Netwerk- en Informatiebeveiliging (NIB richtlijn).

De Raad en het Europees Parlement hebben de ambitie om de onderhandelingen over de richtlijn nog voor het einde van dit jaar af te ronden onder Voorzitterschap van Luxemburg. Thans wordt in trilogen en technische bijeenkomsten gesproken over compromisteksten. Op 7 december a.s. is een volgende triloog voorzien. Indien de partijen er bij die gelegenheid uitkomen, zullen de Ministers tijdens de Telecomraad op 11 december a.s. (Kamerstuk 21 501-33, nr. 570) worden gevraagd hun principeakkoord te geven op het compromis. Indien partijen er niet uitkomen zullen de trilogen na de Telecomraad worden voortgezet. Omdat de uiteindelijke richtlijn, naar verwachting, op onderdelen zal afwijken van de Nederlandse inzet,1 informeer ik uw Kamer voorafgaand aan de Telecomraad, in plaats van, zoals gebruikelijk, na afloop van die Raad.

Hieronder zal verder worden ingegaan op de ontwikkelingen in de onderhandelingen sinds mijn vorige voortgangsbrief van 1 juli 2015,2 in het bijzonder op de stand van zaken omtrent de meld- en zorgplicht voor de vitale infrastructuur en de aanbieders van digitale diensten in de richtlijn en de consequenties.

Relevante ontwikkelingen

De lidstaten hebben op 13 november jl. in het Comité van Permanente Vertegenwoordigers (Coreper) een mandaat gegeven aan het Luxemburgs voorzitterschap voor een vijfde triloog met het Europees Parlement en de Europese Commissie op 17 november jl. Tijdens deze triloog werd zowel door het Voorzitterschap als de Raad benadrukt dat ze de ambitie hebben om een politiek akkoord te bereiken voor het einde van dit jaar. Hoewel overeenstemming werd bereikt op een aantal artikelen zijn onder meer de lijsten met aanbieders in de vitale sectoren en aanbieders van digitale diensten nog onderwerp van discussie.

Stand van zaken vitale infrastructuur

Nederland heeft zich tot dusverre op het standpunt gesteld dat de richtlijn zich in beginsel zou moeten beperken tot de sectoren waarbinnen de uitval van processen als gevolg van een incident zou kunnen leiden tot maatschappelijke ontwrichting, oftewel de zogenaamde vitale processen. De thans voorliggende lijst van sectoren die onder het toepassingsbereik van de richtlijn komen te vallen, is ruimer dan de lijst van Nederlandse vitale processen. Laatstgenoemde lijst is beschreven in de voortgangsbrief nationale veiligheid d.d. 12 mei 2015 waarin ik u onder anderen heb geïnformeerd over de bescherming van de vitale infrastructuur van Nederland.4 Lidstaten behouden echter wel de vrijheid om binnen de in de richtlijn opgenomen sectoren zelf, aan de hand van in de richtlijn vermelde criteria, te bepalen welke specifieke organisaties onder de bepalingen van de richtlijn vallen. Voorts staat het een lidstaat vrij om, met het oog op het in de richtlijn vermelde uitgangspunt van minimum harmonisatie, de verplichtingen als bedoeld in de richtlijn ook van toepassing te verklaren op processen die niet vallen onder de in de richtlijn genoemde sectoren, maar door die lidstaat wél als vitaal worden aangemerkt.

Stand van zaken aanbieders van digitale diensten

In het oorspronkelijke commissievoorstel was ook een aantal aanbieders van digitale diensten opgenomen, zoals online platforms voor elektronische handel en cloud computing diensten. Een aantal categorieën van aanbieders van digitale diensten zijn ook in de compromisvoorstellen van het Luxemburgs Voorzitterschap onder de reikwijdte van de richtlijn gebracht. Wel geldt nu voor deze aanbieders van digitale diensten daarbinnen een apart regime.

De Nederlandse inzet was erop gericht dat de richtlijn beperkt zou worden tot sectoren waarbij uitval van dienstverlening tot maatschappelijke ontwrichting zou kunnen leiden. Een ruime meerderheid van de lidstaten is echter voorstander van het opnemen van aanbieders van digitale diensten omdat aanbieders van openbare elektronische communicatienetwerken en -diensten bijvoorbeeld op grond van nationale implementaties van Europese wetgeving in veel gevallen al meldplichtig zijn («level playing field»).5

Anders dan ten aanzien van sectoren die in de NIB richtlijn onder de noemer vitale infrastructuur vallen, hebben lidstaten aangaande de digitale diensten niet de bevoegdheid om op basis van de in de richtlijn vermelde criteria te bepalen welke specifieke aanbieders onder de in de richtlijn bedoelde verplichtingen komen te vallen. Vanwege onder meer hun grensoverschrijdende karakter zullen deze digitale diensten worden gedefinieerd in de richtlijn. In het huidige voorstel worden bij de digitale diensten de micro- en kleine bedrijven uitgesloten. Voorts is voor digitale dienstverleners geregeld dat zij alleen onder de jurisdictie vallen van het EU-land waarin zij hun hoofdvestiging hebben of zich laten vertegenwoordigen. Alleen in dat land zullen zij dus bijvoorbeeld incidenten moeten melden.

Voor aanbieders van digitale diensten gaat volgens het voorliggende voorstel een lichter regime gelden dan voor vitale aanbieders. Toezicht en handhaving geschieden bijvoorbeeld enkel reactief (ex post), net zoals het geval is bij niet-gekwalificeerde verleners van vertrouwensdiensten zoals bedoeld in de Europese verordening over elektronische identificatie en vertrouwensdiensten (e-IDAS).6

Consequenties

Zoals hiervoor is opgemerkt wijkt de huidige compromistekst op enkele punten af van de oorspronkelijke Nederlandse inzet. Nederland zet zich in om de consequenties van de voorgestelde reikwijdte, waar mogelijk, zo beperkt mogelijk te houden.

Indien het voorstel in zijn huidige vorm, met bovengenoemde ruime reikwijdte, zal worden aangenomen, zal dit consequenties, bijvoorbeeld administratieve lasten, met zich meebrengen voor meer sectoren en aanbieders dan op basis van de Nederlandse inzet het geval zou zijn.7

Daarnaast zal als gevolg van bovengenoemde reikwijdte in ruimere mate bijvoorbeeld in de regeling van toezicht en functionaliteiten van een Computer Security Incident Response Team, zoals het Nederlandse NCSC, moeten worden voorzien. Bij het omzetten van de verplichtingen uit de NIB richtlijn in nationale wetgeving zal het kabinet bezien wat de beste vorm is om de verplichtingen uit de richtlijn in wetgeving te implementeren, waarbij de implicaties voor zowel het bedrijfsleven als de overheid zoveel mogelijk beperkt zullen worden en zoveel mogelijk zal worden aangesloten bij de bestaande Nederlandse situatie.

De Staatssecretaris van Veiligheid en Justitie, K.H.D.M. Dijkhoff