2021D38761 INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

De leden van de VVD-fractie hebben kennisgenomen van het voorstel tot oprichting van een Joint Cyber Unit (JCU), maar hebben nog enkele vragen en opmerkingen met betrekking tot de meerwaarde van het op te richten platform.

De leden van de VVD-fractie lezen dat de Joint Cyber Unit geen nieuwe instantie zal worden, maar een virtueel en fysiek platform zal betreffen voor het versterken van de samenwerking tussen de in de aanbeveling geïdentificeerde operationele en ondersteunende deelnemers. Deze leden vragen dan ook welke (nieuwe) rol het JCU zal gaan vervullen in het digitaal veilig houden van lidstaten. Welk mandaat zal het JCU precies krijgen? Op basis van welke probleemanalyse is men tot dit mandaat gekomen?

De leden van de VVD-fractie constateren voorts dat het JCU zich onder andere zal gaan bezighouden met het delen van informatie afkomstig uit verschillende cybersecuritygemeenschappen. Welke bevoegdheden zijn hierbij voorzien voor het JCU om ook deze informatie te kunnen ophalen en delen met andere partijen? Wordt hierbij een wettelijke grondslag voor informatiedeling tussen het JCU en andere organisaties geborgd? Zo nee, hoe zal het JCU dan in de praktijk dreigingsinformatie kunnen ophalen en delen? Kan de Minister ook toelichten wat wordt beoogd met cybersecuritygemeenschappen? Betreft het hier nationale samenwerkingsverbanden, waarbij bijvoorbeeld ook het Nederlandse Nationaal Cyber Security Centrum in de praktijk informatie kan gaan delen met het JCU of transnationale samenwerkingsverbanden? De Europese Unie kent meerdere reeds bestaande cybersecurityinitiatieven zoals het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA) en CERT-EU (Computer Emergency Response Team voor de EU). Wat zijn precies hun taken? Welke knelpunten worden geïdentificeerd bij het uitvoeren van deze taken? In hoeverre is het voorzien dat het JCU op deze knelpunten acteert? Met andere woorden: hoe zal het JCU zich gaan verhouden qua takenpakket tot de bestaande initiatieven zoals ENISA en CERT-EU?

De leden van de VVD-fractie lezen dat een van de doelstellingen van de JCU is om te zorgen voor een gecoördineerde reactie binnen de Europese Unie op grootschalige cyberdreigingen en dat de Europese Commissie voorstelt om EU Cybersecurity Rapid Reaction Teams op te richten om de inzet te coördineren. Overwegende dat de NAVO al in 2012 een Rapid Reaction Team heeft opgezet om cyberaanvallen af te wenden, hoe zal het JCU zich gaan verhouden tot het Rapid Reaction Team van de NAVO? Hoe vaak is het Rapid Reaction Team tot nu toe ingezet? In hoeverre zijn er mogelijkheden om de JCU te laten samenwerken met het Rapid Reaction Team van de NAVO om cyberaanvallen op lidstaten tegen te gaan? Ook is het voor deze leden nog onduidelijk welke kosten komen kijken bij het oprichten van het JCU. Wat is de begroting die hoort bij het oprichten van het JCU? Kan er een inschatting worden gemaakt in hoeverre deze kosten budgettaire gevolgen zullen hebben voor Nederland?

De leden van de VVD-fractie menen dat de oprichting van de JCU louter (financieel) te rechtvaardigen is wanneer de JCU daadwerkelijk een toevoeging vormt op de bestaande bevoegdheden en taakstellingen van eerdergenoemde bestaande diensten en daarmee van toegevoegde waarde is in het tegengaan van cyberaanvallen op lidstaten. Deelt de Minister deze mening? Zo ja, is de Minister bereid dit onder de aandacht te brengen bij de onderhandelingen? Zo nee, waarom niet?

De leden van de D66-fractie hebben met interesse kennisgenomen van de BNC-fiches met betrekking tot de Europese Joint Cyber Unit. Deze leden hebben kennisgenomen van de inzet van het kabinet op meer Europese samenwerking tussen bestaande organisaties die niet hoeft te leiden tot extra schakels maar tot effectievere samenwerking. Deze leden hebben nog enkele vragen.

De leden van de D66-fractie lezen dat de Europese cybereenheid uiterlijk 30 juni 2022 de operationele fase moet ingaan. Deze leden vragen de Minister toe te lichten welke volgende stappen vanuit het kabinet ondernomen zullen worden met betrekking tot de uitwerking van de Joint Cyber Unit. Deze leden lezen dat de noodzaak en urgentie van een Europese cybereenheid wordt ondersteund, maar wel bewaakt zal worden dat lidstaten zelf primair verantwoordelijk blijven voor het reageren op grote cyberveiligheidsincidenten en crises. De leden vragen de Minister toe te lichten wat de competentieverdeling zal zijn tussen de Europese Unie en de lidstaten in het geval van een cyberaanval. Onder welke omstandigheden zal Nederland zelf handelen? Welke maatstaf zal de Europese Commissie gebruiken voor de definitie van grote incidenten?

De leden van de D66-fractie constateren dat er via een Joint Cyber Unit veel kennis en tools gedeeld zullen worden binnen de Europese Unie. De leden vragen de Minister toe te lichten hoe er gewaarborgd zal worden dat belangrijke informatie beschermd zal blijven, bijvoorbeeld van externe mogendheden. Kan de Minister toelichten hoe het kabinet zal toezien op een hoog niveau van beveiliging van dit virtuele en fysieke platform? Deze leden vragen de Minister of er nog afwegingen gemaakt worden tussen welke lidstaten er wel of niet gedeeld wordt. Krijgen lidstaten die niet actief bijdragen aan de Joint Cyber Unit ook toegang tot alle kennis en tools die andere lidstaten delen?

De leden van de D66-fractie constateren dat middels de Europese cybereenheid, belangrijke informatie en kennis van Nederlandse organisaties richting het coördinatiepunt zal gaan. Deze leden vragen de Minister te specifiëren welke Nederlandse organisaties verbonden zullen zijn aan dit Europese netwerk.

De leden van de D66-fractie lezen dat de aanbeveling van de Joint Cyber Unit onderdeel is van een grotere EU Cybersecuritystrategie, onder andere een Europese wet op de cyberweerbaarheid. De leden vragen de Minister toe te lichten of er eventuele raakpunten of conflicten zijn tussen deze wetsvoorstellen en de Nederlandse wetten rondom cyberveiligheid, en welke uitdagingen hij hier ziet.

De leden van de D66-fractie lezen dat uit de IOB Cybersecurity evaluatie van juni 2021 blijkt dat ambtenaren van het Ministerie van Buitenlandse Zaken vaak werken met verouderde en onveilige middelen, waardoor de communicatie niet goed verloopt. Welke stappen zijn er sindsdien genomen om dit recht te zetten? Deze leden concluderen dat het voorstel vooral gaat om het delen van kennis en tools binnen de Europese Unie. Deze leden vragen de Minister of deze Europese Cybereenheid ook zal samenwerken met landen die geen lidstaat zijn, en welke extra kansen een sterkere Europese samenwerking biedt tot meer mondiale samenwerking. Deze leden horen specifiek graag van de Minister op welke manier dit voorstel samenkomt en een aanvulling vormt met het door de Europese Commissie aangekondigde Cyber Resilience Act en daarnaast met de door de Verenigde Staten aangekondigde verbond tegen ransomware, het Counter-Ransomware Initiative.

De leden van de D66-fractie lezen dat de Joint Cyber Unit gebaseerd is op inbreng van lidstaten op vrijwillige basis. Deze leden lezen dat onder andere de inbreng van een nationaal cybersecurity incident- en crisisresponsplan alleen vrijwillig kan gebeuren. Acht de Minister het wenselijk dat er eventueel grote verschillen tussen lidstaten ontstaan met betrekking tot digitale veiligheid?

De leden van de D66-fractie lezen dat het kabinet als prioriteit heeft om vertrouwen en veilige informatie-wisseling op te bouwen tussen deelnemers. Deze leden vragen de Minister om voorbeelden van voorstellen om het vertrouwen tussen lidstaten op te bouwen wat betreft digitale veiligheid. Ziet de Minister kansen om lidstaten aan te moedigen zich aan te sluiten bij de Europese Cyber Unit? Zo ja, op welke manier gaat de Minister zich hiervoor inzetten? Deze leden constateren dat het kabinet vervolggesprekken met alle betrokkenen wenst over uitwerking van randvoorwaarden van informatie-uitwisseling en het garanderen van de vertrouwelijkheid van informatie. Deze leden vragen de Minister om toe te lichten wat de inzet is van het kabinet om zoveel mogelijk te waarborgen dat de informatie vertrouwelijk is en blijft tegenover derde landen.

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van het fiche over de Joint Cyber Unit. Deze leden lezen dat het kabinet het uitgangspunt om te streven naar versterkte informatie-uitwisseling steunt, maar dat over vervolggesprekken met alle betrokkenen over de uitwerking en randvoorwaarden er nog veel vragen zijn. Deze leden lezen weinig over de concrete inzet van het kabinet bij deze gesprekken. Zij hopen dat de Minister daar verder over kan uitweiden. In het bijzonder welke punten er absoluut onacceptabel zullen zijn.

De leden van de CDA-fractie hebben begrip voor de inzet van het kabinet op behoud van eigen autonomie waar het gaat om crisisbeheersing. Deze leden merken wel op dat cyberdreigingen grens overstijgend zijn en dat informatiedeling cruciaal is. Op nationaal niveau is de informatiedeling ook nog niet waar het zou moeten zijn en in dat kader vragen deze leden of de Minister wel in Europees verband gaat inzetten op adequate deling van dreigingsinformatie tussen lidstaten.

De leden van de CDA-fractie vragen naar de uitsluitende verantwoordelijkheid en de opvatting van het kabinet dat de plannen rondom het JCU daarmee op gespannen voet kunnen staan. Deze leden vragen welke ideeën de Minister heeft om de samenwerking te bevorderen. Ook vragen deze leden wat er gedaan kan worden wanneer andere lidstaten hun cyberveiligheid niet op orde hebben en op welke wijze er dan gehandeld moet worden door andere lidstaten. Tot slot vragen deze leden op dit punt onder welke omstandigheden en in welke gevallen Nederland aan zet dient te zijn en in welke gevallen er sprake zou moeten zijn van een Europese aanpak.

De leden van de CDA-fractie zien een logica in de voorstellen van de Europese Commissie wat betreft de wijze waarop zij de structuur willen vormgeven. Deze leden vragen naar de structuur van signalering van cyberdreigingen in eigen land en wat er geleerd kan worden van de Europese plannen. Functioneert de huidige structuur afdoende. Deze leden vragen welke organisaties vanuit Nederland verbonden zullen zijn aan de Joint Cyber Unit.

De leden van de Volt-fractie hebben met interesse kennisgenomen van het Fiche «aanbeveling opbouw Joint Cyber Unit» van de demissionair Minister van Buitenlandse Zaken. Deze leden zijn uiteraard voorstander van betere Europese samenwerking op het gebied van cyberveiligheid.

De leden van de Volt-fractie merken allereerst in algemene zin op dat het demissionair kabinet op een groot aantal onderwerpen van het voorstel eerst nadere uitwerking en duidelijkheid vereist. De demissionair Minister noemt daarbij een aantal onderdelen. Om welke onderdelen gaat het, anders dan de onderdelen die worden genoemd op pagina 5 van het fiche? Waar gaat de demissionair Minister specifiek op letten bij deze uitwerking? Hoe gaat de demissionair Minister de verdere uitwerking van een JCU concreet bewaken? Hoe zal de demissionair Minister bewerkstelligen dat de oprichting en ontwikkeling van een JCU in een gedegen en gefaseerd proces zal verlopen en er tegelijkertijd op wordt toegezien dat er geen onnodige vertraging optreedt? Hoe gaat het demissionair kabinet zich ervoor inzetten dat lidstaten in het gehele proces van verdere uitwerking en het operationeel maken van een JCU vertegenwoordigd zijn? Op welke momenten en op welke wijze zal de demissionair Minister deze Kamer daarbij betrekken? Welke gemeenschappelijke doelen als bedoeld op pagina 5 ziet de demissionair Minister op dit moment voor zich bij het oprichten van een JCU?

De leden van de Volt-fractie merken op dat de demissionair Minister in de brief noemt dat het demissionair kabinet zich actief inzet bij de verschillende Europese gremia die tot doel hebben de digitale weerbaarheid te vergroten. Om welke gremia gaat het anders dan de organisaties genoemd in voetnoot 15? Op welke manier zet de demissionair Minister zich in bij deze organisaties? Wat is daarbij de Nederlandse inzet en met welke andere lidstaten trekt Nederland in dit verband op? Welke andere ministeries zijn betrokken bij de voorbereiding van een JCU? Op welke manier gaat de demissionair Minister samenwerken met de andere betrokken ministeries? Welke ministeries dragen daarbij welke verantwoordelijkheden?

De leden van de Volt-fractie vragen met het oog op de doelstellingen genoemd op pagina 4 van het fiche hoe deze doelstellingen volgens de demissionair Minister zouden moeten worden uitgewerkt. Op welke manier moet de samenwerking volgens de demissionair Minister moeten worden vormgegeven? Hoe ziet de demissionair Minister de rol van Nederland in een JCU?

De leden van de Volt-fractie vragen of de demissionair Minister dan ruimte ziet om de samenwerking verplicht te stellen, voor zover samenwerking binnen een JCU niet op vrijwillige basis tot stand komt (zoals genoemd op pagina 5). Zo ja, op welke grond? Zo nee, waarom niet? De demissionair Minister merkt op dat ten aanzien van een groot aantal van de cybersecurityincidenten al in de praktijk samenwerking bestaat tussen de lidstaten binnen reeds bestaande netwerken. Om welke samenwerkingsverbanden gaat het? Welke landen en organisaties zijn daarbij betrokken en om wat voor samenwerking gaat het? Voor welke specifieke (categorieën van) cases, waar op dit moment nog onvoldoende samenwerking tussen de verschillende lidstaten en EU-instellingen tot stand komt, ziet de demissionair Minister met name meerwaarde voor een JCU? Waar plaatst de demissionair Minister een JCU ten opzichte van andere cybersecurity samenwerkingsverbanden? Hoe ziet een «virtueel en fysiek platform», wat het JCU zou moeten worden, er volgens de demissionair Minister uit? Hoe verschilt een «virtueel en fysiek platform» volgens de demissionair Minister van een instelling? Hoe gaat de demissionair Minister er in concrete zin voor zorgen dat duplicatie met bestaande structuren waarbinnen reeds samenwerking plaatsvindt wordt voorkomen?

De leden van de Volt-fractie vragen op basis waarvan de demissionair Minister verwacht dat diverse lidstaten aandacht zullen vragen voor de rol en mate van invloed van lidstaten in het totstandkomingsproces en de activiteiten van een JCU, en de onderdelen van de aanbeveling die op gespannen voet staan met de uitsluitende verantwoordelijkheid van de lidstaten op het terrein van nationale veiligheid (als bedoeld op pagina 5). Om welke onderdelen van de aanbeveling gaat het? Om welke lidstaten gaat het? Met welke lidstaten heeft de demissionair Minister hierover contact en wat is de inhoud van dat contact?