33 602 EU-voorstel: Netwerk- en informatiebeveiliging in de Unie COM(2013)481

C BRIEF VAN DE MINISTER VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 20 juni 2014

In deze brief informeer ik uw Kamer op uw verzoek over de stand van zaken inzake de EU-richtlijn voor netwerk- en informatiebeveiliging (NIB-richtlijn).2 De voortgang van de onderhandelingen over de richtlijn wordt in de EU Telecomraad besproken. De Telecomraad heeft op 5 december 2013 en op 6 juni 2014 plaatsgevonden. In het bijzonder zal met deze brief worden ingegaan op de Telecomraden, het proces tot op heden en de onderhandelingen in de raadswerkgroep Telecom & Informatiemaatschappij.

De Europese Commissie wil een verdere impuls geven aan het waarborgen van een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging. Op 7 februari 2013 is daartoe de NIB-richtlijn samen met de strategie inzake cyberbeveiliging van de Europese Unie (EU cybersecurity strategie) gepubliceerd. In de EU cybersecurity strategie wordt verwezen naar de NIB-richtlijn. Voor zowel de NIB-richtlijn als de EU cybersecurity strategie zijn op 15 maart 2013 BNC-fiches3 naar de Tweede Kamer gestuurd. Naar aanleiding van vragen door de leden van de commissie voor Immigratie & Asiel / JBZ-raad van 5 juni 2013, heb ik bij brief van 4 juli 2013 uw Kamer nader geïnformeerd.4

Voortgang

De NIB-richtlijn is in totaal veertien maal aan de orde gekomen in de raadswerkgroep Telecom & Informatiemaatschappij. Gedurende het Litouws voorzitterschap kwam de richtlijn zes maal aan de orde en is de gehele tekst voor de eerste keer door de lidstaten behandeld. Tijdens het Grieks voorzitterschap is in zes raadswerkgroepen nader ingegaan op de uitgangspunten voor de verschillende hoofdstukken.

Tijdens de Telecomraden hebben respectievelijk het Litouwse en Griekse voorzitterschap voortgangsrapportages over de NIB-richtlijn gepresenteerd. Waar het Litouws voorzitterschap een weergave betrof van de standpunten van verschillende lidstaten, betrof de voortgangsrapportage van het Grieks voorzitterschap een overzicht van de openstaande discussiepunten, en identificeert de rapportage de punten waar lidstaten overeenstemming over hebben bereikt. Daarnaast heeft in maart 2014 het Europees Parlement (EP) haar eerste lezing afgerond en daarbij 138 amendementen op het voorstel van de Commissie aangenomen.5

De onderhandelingen over het voorstel zullen in raadsverband onder Italiaans voorzitterschap worden voortgezet. De verwachting is dat in de raadswerkgroep een aanvang zal worden gemaakt met de eerste tekstvoorstellen die het Grieks voorzitterschap aan het Italiaans voorzitterschap zal overdragen.

Onderhandelingen

De inbreng van Nederland tijdens de raadswerkgroepen was in lijn met de positie zoals die in het BNC-fiche over de NIB-richtlijn is verwoord. Daarmee komt de Nederlandse positie in hoofdlijnen en op afzonderlijke punten overeen met de positie van meerdere lidstaten. Het merendeel van de lidstaten is overwegend positief ten aanzien van een NIB-richtlijn, maar kritisch ten aanzien van meerdere aspecten van het tekstvoorstel van de Europese Commissie. Er zijn gedurende het Litouws voorzitterschap veel vervolgvragen gesteld over onder andere de invulling van definities, het samenwerkingsnetwerk, de zorg- en meldplicht en het toepassingsbereik van de richtlijn. Alle lidstaten onderschrijven de noodzaak om netwerk- en informatiebeveiliging te versterken. Het Griekse voorzitterschap is er dan ook in geslaagd om aanzienlijke voortgang te boeken met de uitgangspunten van de Raad voor de verschillende hoofdstukken. Er is nog geen behandeling van tekstuele amendementen geweest. Hieronder zal ik nader ingaan op de discussiepunten en zal ik tevens een appreciatie geven van de relevante amendementen van het EP.

Bestaande structuren en bevoegde autoriteit

Nederland pleit voor het behouden van reeds bestaande structuren van bevoegdheden en verantwoordelijkheden, op nationaal en Europees niveau. Nederland uit ook haar zorg over de invulling van de rol van de bevoegde autoriteit zoals beschreven in artikel 6. Nederland is voorstander van een beleidsmatige, sturende, randvoorwaardelijke rol voor de bevoegde autoriteit, en een operationele rol die belegd wordt bij de nationale CERTs. Meerdere andere lidstaten onderschrijven deze visie en erkennen tevens het onderscheid tussen de rollen van de bevoegde autoriteit en van de toezichthouders. De rol van een ministerie als beleidsbepaler is verschillend van die als (overheidsbrede) uitvoerder/hulpverlener en de rol van toezicht is vaak belegd bij sectorale toezichthouders, mede vanwege de vrijwillige informatie-deling. Het EP heeft ook amendementen voorgesteld voor meerdere bevoegde autoriteiten en een enkel contactpunt. Samen met Nederland kunnen vele lidstaten dit voorstel grotendeels onderschrijven.

Operationele samenwerking

In de raadswerkgroepen werd duidelijk dat Nederland en een aantal andere lidstaten sceptisch zijn over het geven van vroegtijdige waarschuwingen en het informatie-uitwisselingsnetwerk voor risico’s en incidenten. Daarnaast is Nederland voorstander van het niet meer dan noodzakelijk opvragen van informatie bij de lidstaten. Enkele lidstaten pleitten voor een aanpak op basis van vrijwilligheid en andere lidstaten stonden met name kritisch tegenover het delen van (zeer) gevoelige informatie. Nederland pleitte voor inzet van de bevoegde autoriteit en gecoördineerde reactie louter in het geval van ernstige incidenten met een grensoverschrijdend of pan-Europees karakter. Overige incidenten blijven zodoende belegd bij de CERTs. Dit is in lijn met het streven om bevoegde autoriteiten geen al te operationele rol te geven, zoals ook verwoord in het BNC-fiche over de NIB-richtlijn.

Tijdens de Telecomraad van 6 juni jl. heeft een aanzienlijke groep lidstaten gepleit voor het opnemen van verplichtingen op het gebied van operationeel samenwerken, zoals het delen van gevoelige informatie en het gezamenlijk reageren op incidenten. Hier tegenover staat een groep van lidstaten, waaronder Nederland, die tegen bindende regels is en vooralsnog alleen op vrijwillige basis operationeel wil samenwerken. Eerst zullen lidstaten de eigen capaciteit om te reageren op incidenten moeten vergroten of verbeteren waardoor het onderlinge vertrouwen vergroot wordt. Nederland ziet wel ruimte voor de doorontwikkeling van operationele samenwerking. Eurocommissaris Kroes gaf aan blij te zijn met de steun voor in ieder geval strategische samenwerking.

Het EP heeft onder andere voorstellen gedaan om te waarborgen dat informatie-deling veilig verloopt, dat marktpartijen worden geïnformeerd en dat geen publicatie plaatsvindt zonder instemming van het contactpunt. Daarnaast handhaaft het EP grotendeels de voorstellen voor een beveiligde infrastructuur en het early-warning respons model. Nederland heeft met een groep van gelijkgezinden in de Raad hierover een voorstel ingebracht om vanuit strategische en beleidsmatige samenwerking te groeien naar meer operationele samenwerking zonder deze nu al verplicht te stellen. Dit wijkt af van de EP voorstellen. Er is, conform de discussie in de Telecomraad van 6 juni nog geen overeenstemming in de Raad bereikt. Voor samenwerking op het operationele vlak moet gezocht worden naar een compromis, dat een tijdspad en duidelijke doelen kan bevatten en zoveel mogelijk bij bestaande structuren aan zal moeten sluiten.

Meldplicht

Lidstaten zijn verdeeld over de mate van vrijwilligheid of een verplichting tot melden bij een groot incident voor overheden en marktdeelnemers. Nederland gaf tijdens de bespreking van hoofdstuk 4 aan voorstander te zijn van een notificatie plicht die aansluit bij bestaande meld- en zorgplichten. In artikel 14 van het voorstel gaat het om incidenten met een aanzienlijke impact. In de Telecomraad van 6 juni jl. werd door enkele lidstaten aangegeven dat het huidige voorstel van het voorzitterschap nog nadere bespreking vergt, omdat de voorwaarden voor notificatie, de mate van vrijwilligheid en de ruimte voor lidstaten om te bepalen hoe op nationaal niveau gerapporteerd moet worden nog niet tot overeenstemming hebben geleid. Nederland is voorstander van afspraken over de voorwaarden die moeten leiden tot melding (zoals parameters om de impact van een incident te bepalen) ten behoeve van een gelijk speelveld voor marktpartijen. Uitgangspunt voor Nederland is hierbij het wetsvoorstel Melding inbreuken elektronische informatiesystemen, zoals in 2013 in consultatie is gebracht en waarover de Tweede Kamer laatstelijk op 12 december 2013 is geïnformeerd.6

Met betrekking tot het vaststellen welke incidenten een aanzienlijke impact hebben stelt het EP voor om een aantal criteria te gebruiken om de ernst van een incident vast te kunnen stellen. Nederland is in principe voorstander van het vaststellen van criteria. Hoe invulling aan deze criteria wordt gegeven moet nog nader besproken worden in de Raad. Verder heeft het EP enkele amendementen opgenomen ten behoeve van een sterke bescherming van persoonsgegevens wanneer een notificatie persoonsgegevens bevat. Nederland kan zich aansluiten bij het standpunt van het EP en pleit voor een zo goed mogelijke bescherming van persoonsgegevens.

Reikwijdte

Ook besprak de raadswerkgroep de lijst van marktdeelnemers. Enkele lidstaten willen de lijst zien als slechts indicatief. Nederland en een aantal andere lidstaten zijn van mening dat nader gekeken moet worden naar een kortere basislijst van vitale partijen waar een aanzienlijke Europese impact is te verwachten indien deze uitvallen. Deze basislijst zou vervolgens door lidstaten uitgebreid kunnen worden met de voor de betreffende lidstaat relevante vitale partijen. De Raad heeft nog geen overeenstemming bereikt over de reikwijdte van de richtlijn, zoals de vraag of internetdienstverleners eronder moeten vallen. Het EP heeft voorgesteld de lijst van marktdeelnemers in te perken voor wat betreft de internetdiensten, en aan te passen voor wat betreft de vitale sectoren. Nederland kan zich vinden in de inperking van de lijst ten aanzien van internetdienstverleners, maar kan niet aansluiten bij de voorgestelde lijst van vitale sectoren. Nederland wil aansluiten bij de sectoren zoals genoemd in het wetsvoorstel Melding inbreuken elektronische informatiesystemen.

Enkele lidstaten hebben, evenals het EP, bezwaar tegen toepassing van de richtlijn op overheidspartijen. Dit moet worden meegenomen bij de verdere behandeling van de reikwijdte van de richtlijn. Nederland is voorstander van toepassing op overheidspartijen.

Overig

Naar aanleiding van vragen van meerdere lidstaten moet nog worden gekeken naar de juridische basis voor een geamendeerde tekst van de Raad. Dit zal in het volgend voorzitterschap na ontvangst van een rapport van de Juridische Dienst van de Raad nader besproken worden.

Tot slot

De eerstvolgende Telecomraad staat op 27 november 2014 gepland. Binnen een maand na deze Telecomraad zal ik uw Kamer nader schriftelijk informeren over de voortgang van de onderhandelingen over de NIB-richtlijn.

De Minister van Veiligheid en Justitie, I.W. Opstelten

X Noot
1

Zie E130011.op www.europapoort.nl.

X Noot
2

Voorstel voor een Richtlijn van het Europees Parlement en de Raad houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen, COM (2013) 48 final, 2013/0027 (COD), 7 februari 2013.

X Noot
3

Vergaderjaar 2012–2013, Kamerstuk 22 112, nr. GB.

X Noot
4

Vergaderjaar 2012–2013, Kamerstuk 33 602, nr. A.

X Noot
5

2013/0027(COD) – 13/03/2014 text adopted first reading, P7_TA(2014)0244

X Noot
6

Vergaderjaar 2013–2014, Kamerstuk 26 643 nr. 297

Naar boven