Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 24 juni 2016

Met deze brief informeer ik beide Kamers der Staten-Generaal over de stand van zaken inzake de EU-richtlijn over netwerk- en informatiebeveiliging (NIB-richtlijn). Deze brief is conform toezegging om beide Kamers halfjaarlijks te informeren1 en conform toezegging aan het Eerste Kamerlid Duthler om de Eerste Kamer te informeren over de stand van zaken met betrekking tot de NIB-richtlijn.2 Tevens wordt naar aanleiding van de motie-Tellegen ingegaan op de aandacht voor legacyproblematiek (verouderde technologie).3

De Raad en het Europees parlement hebben tijdens de triloog van 7 december 2015 een politiek akkoord bereikt, wat op 18 december 2015 is bevestigd door het Comité van Permanente Vertegenwoordigers (Coreper). Vervolgens is in de afgelopen maanden gewerkt aan technisch-juridische en taalkundige kwesties. Het formele akkoord is verkregen op 17 mei 2016 in de Raad voor Landbouw en Visserij. Plenaire stemming in het Europees parlement volgt, naar verwachting, in juli van dit jaar. Wanneer het Europees parlement akkoord gaat met de huidige tekst, volgt plaatsing in het Publicatieblad van de Europese Unie. Twintig dagen na die publicatie treedt de richtlijn in werking, waarna de lidstaten 21 maanden hebben om de richtlijn om te zetten in nationale wetgeving. Voor de in bijlage II van de richtlijn genoemde sectoren hebben de lidstaten een additionele zes maanden om de aanbieders van essentiële diensten aan te wijzen waarvoor de verplichtingen van de richtlijn gaan gelden.

De reikwijdte van de richtlijn is sinds mijn vorige voortgangsbrief van 3 december 20154 niet gewijzigd en daarmee, zoals in deze brief aangegeven breder dan de Nederlandse inzet.5 Lidstaten behouden echter de vrijheid om binnen de in bijlage II van de richtlijn genoemde sectoren zelf, aan de hand van in de richtlijn vermelde criteria, te bepalen welke specifieke aanbieders onder de bepalingen van de richtlijn vallen. Bij de Nederlandse aanwijzing van de aanbieders van essentiële diensten zal de lijst van Nederlandse vitale processen, zoals opgenomen in de voortgangsbrief nationale veiligheid van 12 mei 2015, nadrukkelijk betrokken worden.6

Thans is van start gegaan met de interdepartementale werkgroep inzake implementatie van de NIB-richtlijn. De verplichtingen uit de NIB-richtlijn waarvoor nationale wetgeving nodig is, zijn onder meer het nemen van passende beveiligingsmaatregelen en het melden van ICT-incidenten. Bij de implementatie daarvan zal ook aandacht worden besteed aan de problematiek rondom verouderde technologie. Het wetsvoorstel ter implementatie van de NIB-richtlijn zal voor het einde van dit jaar in consultatie worden gebracht.

De Staatssecretaris van Veiligheid en Justitie, K.H.D.M. Dijkhoff