Advies Raad van State inzake het voorstel van wet, houdende regels ter uitvoering van Verordening (EU) 2019/881 (Uitvoeringswet cyberbeveiligingsverordening)

Nader Rapport

’s-Gravenhage, 11 mei 2021

WJZ / 21039723

Aan de Koning

Nader rapport inzake het voorstel van wet, houdende regels ter uitvoering van Verordening (EU) 2019/881 (Uitvoeringswet cyberbeveiligingsverordening)

Blijkens de mededeling van de Directeur van Uw kabinet van 11 februari 2021, nr. 2020002535, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 11 februari 2021, nr. W18.20.0458/IV, bied ik U hierbij aan.

Het voorstel heeft de Afdeling advisering van de Raad van State (hierna: de Afdeling) aanleiding gegeven tot opmerkingen over de gestelde ambities van de regering in relatie tot de uitvoering van het voorstel, de uitvoeringsproblematiek bij certificering in geval van updates en hacks en de voorgestelde bevoegdheid tot intrekking van goedkeuring voor afgifte van een cyberbeveiligingscertificaat. De Afdeling adviseert de toelichting, en waar nodig het wetsvoorstel, aan te passen. Graag ga ik op deze opmerkingen in het navolgende in. De tekst van het advies treft u hieronder aan, met tussengevoegd de reactie daarop.

Bij Kabinetsmissive van 10 december 2020, no.2020002535, heeft Uwe Majesteit, op voordracht van de Staatssecretaris van Economische Zaken en Klimaat, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende regels ter uitvoering van Verordening (EU) 2019/881 (Uitvoeringswet cyberbeveiligingsverordening), met memorie van toelichting.

Het voorstel strekt tot uitvoering van de Europese verordening 2019/881 (cyberbeveiligingsverordening). Met de cyberbeveiligingsverordening wordt een Europees kader voor cyberbeveiligingscertificering voor ICT-producten, -diensten, en -processen ingesteld. Gelet op de rechtstreekse toepasselijkheid van de verordening maakt deze automatisch deel uit van de nationale rechtsorde. Voor de operationalisering van de verordening voorziet het voorstel in bepalingen met betrekking tot procedures, handhaving, rechtsbescherming en de aanwijzing van uitvoeringsorganen.

De Afdeling advisering van de Raad van State maakt opmerkingen over de gestelde ambities van de regering in relatie tot de uitvoering van het voorstel, de uitvoeringsproblematiek bij certificering in geval van updates en hacks en de voorgestelde bevoegdheid tot intrekking van goedkeuring voor afgifte van een cyberbeveiligingscertificaat. In verband hiermee is aanpassing wenselijk van de toelichting, en waar nodig van het wetsvoorstel.

1. Gestelde ambities in relatie tot het voorstel

De cyberveiligheidsverordening biedt de mogelijkheid om op nationaal niveau certificering verplicht te stellen. Het advies van het Agentschap Telecom om een grondslag op te nemen waarin certificering op nationaal niveau kan worden verplicht wordt echter in het wetsvoorstel niet overgenomen omdat de regering inzet op verplichte certificering op Europees niveau om fragmentatie voorkomen. De regering merkt verder op dat de Europese Commissie uiterlijk einde 2023 een eerste afweging dient te maken over verplichte certificering van groepen ICT-producten, -diensten en -processen en dat de Europese gedachtewisseling daarover nog op gang moet komen.

Nu de ontwikkeling van verplichte certificering op Europees niveau mogelijk pas over enkele jaren wordt verwacht, roept dit de vraag op hoe dit zich verhoudt tot de inzet van de regering om voortvarend certificeringschema’s te ontwikkelen en te implementeren. Ook roept dit de vraag op hoe in de tussentijd met de risico’s van de afwezigheid van certificering wordt omgegaan. De regering onderkent immers dat standaarden en certificering een belangrijke bijdrage aan de digitale veiligheid van hard- en software leveren.

De Afdeling adviseert in het voorstel nader toe te lichten hoe in afwachting van verplichte certificering op Europees niveau tegemoet wordt gekomen aan de ambitie van de regering om voortvarend certificeringsschema’s te ontwikkelen, en hoe wordt omgegaan met de gesignaleerde risico’s van de afwezigheid van certificering.

Met het wetsvoorstel wordt uitvoering gegeven aan enkele bepalingen van de Europese cyberbeveiligingsverordening. Deze verordening biedt een kader om op Europees niveau cyberveiligheidscertificeringsregelingen te ontwikkelen en certificering uit te voeren.

Het kabinet is in Europees verband betrokken en ziet toe op de voortvarende ontwikkeling van cyberbeveiligingscertificeringsregelingen. Er worden momenteel twee Europese cyberbeveiligingscertificeringsregelingen ontwikkeld voor ICT-beveiligingsproducten respectievelijk cloudcomputingdiensten. In aanvulling hierop heeft de Europese Commissie via het werkprogramma aangekondigde prioriteiten geïdentificeerd voor de ontwikkeling van cyberbeveiligingsregelingen voor een breed palet aan ICT-producten, ICT-diensten en ICT-processen. Er is dan ook veel ambitie en het kabinet zal waakzaam zijn dat deze ambitie ook daadwerkelijk gerealiseerd wordt.

Op dit moment bestaan reeds verschillende nationale en internationale certificeringsregelingen. Een belangrijk voorbeeld hiervan is het Nederlandse Schema voor Certificatie op het gebied van IT-Beveiliging. Het doel van het schema is om in Nederland ICT-producten te kunnen evalueren en certificeren volgens de zogenaamde ‘Common Criteria’, ook wel bekend als ISO-standaard 15408/18405. Het nationale schema zal vervangen worden door een Europees schema voor ICT-beveiligingsproducten. Ook bestaan reeds private certificeringsinitiatieven, zoals de certificering van clouddiensten via Zeker-OnLine. In afwachting van de Europese cyberbeveiligingscertificeringsregelingen op grond van de Europese cyberbeveiligingsverordening zal het kabinet de markt stimuleren om gebruik te blijven maken van deze bestaande certificeringstrajecten.

Daarnaast blijft het kabinet zich inzetten voor de ontwikkeling en gebruik van bestaande internationale en Europese standaarden en normen die betrekking hebben op de cyberbeveiliging (bijv. de ISO-normen) van ICT- producten, diensten, en processen.

Verder is van belang dat Nederland en Europa een integrale aanpak hebben om de digitale veiligheid te vergroten. Standaarden en certificering leveren daar een belangrijke bijdrage aan, maar op Europees niveau wordt er bijvoorbeeld ook diverse regelgeving ontwikkeld die betrekking heeft op de cyberbeveiliging van ICT-producten, diensten en processen.

Naar aanleiding van de opmerkingen van de Afdeling is de memorie van toelichting op diverse plaatsen aangevuld en verduidelijkt.

2. Certificering in geval van updates en hacks

Een cyberbeveiligingscertificaat biedt de zekerheid dat ICT-producten, -diensten en -processen voldoen aan de beveiligingsvoorschriften die bij een bepaald zekerheidsniveau passen. Noch uit de cyberbeveiligingsverordening noch uit de toelichting op het voorstel blijkt of de certificering mede betrekking heeft op de updates die de (eind)afnemer redelijkerwijs mag verwachten voor het behoud van de gebruiksfunctie en het zekerheidsniveau gedurende een bepaalde periode.

De Afdeling adviseert hier nader in de toelichting op in te gaan. Voorts wijst de Afdeling erop dat onduidelijk is welke invloed tussentijds opgetreden gegevenslekken of inbraken (hacks) en al dan niet naar aanleiding daarvan ad hoc uitgevoerde updates hebben voor het zekerheidsniveau van het betreffende ICT-product, -dienst of -proces en het daarvoor afgegeven cyberbeveiligingscertificaat.

Naar aanleiding van het advies is in de memorie van toelichting nader ingegaan op de vraag of de certificering mede betrekking heeft op de updates die redelijkerwijs mogen worden verwacht voor het behoud van de gebruiksfunctie en het zekerheidsniveau gedurende een bepaalde periode.

De cyberbeveiligingsverordening biedt een kader om Europese cyberbeveiligingscertificeringsregelingen te ontwikkelen voor ICT-producten, ICT-diensten en ICT-processen. De regels omtrent het beschikbaar stellen en uitvoeren van updates en de naleving ervan zullen een onderdeel van iedere certificeringsregeling zijn.

De op grond van de cyberbeveiligingsverordening vastgestelde certificeringsregelingen hebben onder meer als doelstelling dat ICT-producten, -diensten en -processen worden geleverd met actuele software en hardware die geen algemeen bekende kwetsbaarheden bevatten, en met mechanismen voor beveiligde updates (artikel 51, aanhef en onder j, van de cyberbeveiligingsverordening). Daarnaast zal bij de uitwerking van deze certificeringsregelingen per regeling nader ingegaan worden op onder andere de wijze waarop voorheen onopgemerkte kwetsbaarheden in de cyberbeveiliging moeten worden aangepakt (artikel 54, eerste lid, aanhef en onder m, van de cyberbeveiligingsverordening).

Zoals gezegd moet er in iedere Europese cyberbeveiligingscertificeringsregeling regels worden opgenomen die ingaan op de wijze waarop kwetsbaarheden worden aangepakt, zoals bijvoorbeeld een hack. Daarnaast dient een certificeringsregeling regels te bevatten over de gevolgen voor een gecertificeerd ICT-product, -dienst of -proces dat niet voldoet aan de voorschriften van een cyberbeveiligingscertificeringsregeling (artikel 54, eerste lid, aanhef en onder l, van de cyberbeveiligingsverordening).

De passende regels inzake updates, hacks of patches en de gevolgen van de updates, hacks of patches voor het zekerheidsniveau en het afgegeven certificaat zullen dus per afzonderlijke Europese cyberveiligheidscertificeringsregeling moeten worden bepaald. Deze en andere regels kunnen per certificeringsregeling verschillen, aangezien deze betrekking zullen hebben op verschillende categorieën van ICT-producten, -diensten en -processen.

Overigens, indien er sprake is van een hack betekent dit niet per definitie dat een ICT-product, -dienst of -proces niet aan de voorschriften van de betreffende cyberveiligheidscertificeringsregeling voldoet. Het is immers denkbaar dat de gestelde veiligheidsvoorschriften niet zien op de ‘hackbaarheid’ van een ICT-product, -dienst of -proces maar juist toezien op de aanwezigheid en werking van een proces dat kwetsbaarheden en cyberincidenten effectief aanpakt. Daarnaast kan het zo zijn dat de gestelde certificeringsvoorschriften door bijvoorbeeld nieuwe cyberdreigingen niet meer blijken te voldoen.

Bovenstaande is verduidelijkt in paragraaf 2 van de memorie van toelichting.

De Afdeling merkt verder op dat in het voorstel de (noodzakelijke) regels ontbreken over updates en hacks. Kiwa Nederland BV wijst hier in haar consultatiereactie ook op. Dat roept de vraag op waarvoor een certificaat precies geldt. Of eenzelfde certificaat blijft gelden na het vrijkomen van een update of een patch en voor welke versies het certificaat geldt. Onduidelijk is verder welk effect een hack heeft op de certificering, en volgens het huidige voorstel zijn er dan geen mogelijkheden tot intrekking van een certificaat. Dit acht de Afdeling problematisch omdat nu al voorzienbaar is dat deze problematiek onmiddellijk aan de orde zal zijn in geval van certificering. Onduidelijkheid hierover kan de uitvoerbaarheid van de verordening ernstig ondermijnen.

Volgens de regering is het niet de doelstelling van dit wetsvoorstel om dergelijke situaties in de uitvoeringswet te regelen, maar indien een Europese cyberbeveiligingscertificeringsregeling dit vereist kan dit middels een ministeriële regeling worden uitgewerkt. De Afdeling onderkent dat deze problematiek bij voorkeur op Europees niveau wordt geregeld. Dit ontslaat de regering er echter niet van initiatieven op dat vlak te ontplooien om duidelijkheid te creëren voor de uitvoeringspraktijk.

De Afdeling adviseert nader toe te lichten hoe de regering zich ervoor zal inzetten om binnen korte termijn duidelijkheid te verkrijgen hoe omgegaan dient te worden met de certificering in geval van updates en hacks.

Zoals reeds vermeld zal een Europese cyberveiligheidsregeling ook regels bevatten over de wijze waarop voorheen onopgemerkte kwetsbaarheden in de cyberbeveiliging moeten worden aangepakt (artikel 54, eerste lid, aanhef en onder m, van de cyberbeveiligingsverordening) en over de gevolgen voor een gecertificeerd ICT-product, -dienst of -proces dat niet voldoet aan de voorschriften van een Europese cyberbeveiligingscertificeringsregeling (artikel 54, eerste lid, aanhef en onder l, van de cyberbeveiligingsverordening). Dit betekent dat er ook ingegaan wordt op de gevolgen bij hacks en updates voor een certificaat. Het kabinet dat via de Europese Groep voor cyberbeveiligingscertificering betrokken is bij het opstellen van de certificeringsregelingen, zal zich inzetten dat dit per certificeringsregeling helder wordt bepaald.

Bovenstaande is verduidelijkt in paragraaf 2 van de memorie van toelichting.

3. Intrekking cyberbeveiligingscertificaten

Op grond van de cyberbeveiligingsverordening dient aan de nationale cyberbeveiligingscertificeringsautoriteit de bevoegdheid te worden toegekend om afgegeven Europese cyberbeveiligingscertificaten die niet voldoen aan de verordening of een Europese cyberbeveiligingscertificeringsregeling in te trekken. In het wetsvoorstel wordt aan deze verplichting invulling gegeven door de Minister van Economische Zaken en Klimaat de bevoegdheid toe te kennen een verleende goedkeuring op een onderzoeksrapport en bijbehorend certificaat in te trekken.

De Afdeling wijst erop dat uit het voorstel niet blijkt wat de consequenties van een dergelijke intrekking zijn voor de praktijk. Indien een cyberbeveiligingscertificaat niet voldoet aan de verordening of een Europese cyberbeveiligingscertificeringsregeling, kan dit betekenen dat een ICT-product, -dienst of -proces niet het zekerheidsniveau biedt waarvoor het certificaat is afgegeven. Niet duidelijk is hoe een eindafnemer er van op de hoogte kan zijn dat de goedkeuring van een certificaat, dat zijn leverancier eerder heeft laten zien, is ingetrokken en of dit certificaat nog wel een vermoeden van conformiteit met een bepaald zekerheidsniveau inhoudt.

De Afdeling adviseert nader toe te lichten hoe de intrekking van de goedkeuring zich verhoudt tot de afgegeven certificaten, en zo nodig het voorstel aan te passen.

Aan deze opmerking is gevolg gegeven door aan de artikelsgewijze toelichting bij artikel 11 een passage toe te voegen, waarin nader is toegelicht hoe de intrekking van de goedkeuring zich tot de afgegeven certificaten verhoudt.

De op grond van de cyberbeveiligingsverordening benodigde bevoegdheid voor de nationale cyberbeveiligingscertificeringsautoriteit om Europese cyberbeveiligingscertificaten in te trekken die niet aan de cyberbeveiligingsverordening of een Europese cyberbeveiligingscertificeringsregeling voldoen, heeft betrekking op Europese cyberbeveiligingscertificaten voor zekerheidsniveau hoog. In Nederland zal het Europees cyberbeveiligingscertificaat voor zekerheidsniveau hoog worden afgegeven door een conformiteitsbeoordelingsinstantie, nadat de nationale cyberbeveiligingscertificeringsautoriteit elk door de conformiteitsbeoordelingsinstantie af te geven individueel Europees cyberbeveiligingscertificaat heeft goedgekeurd. De bevoegdheid om de goedkeuring in te trekken kan de nationale autoriteit inzetten wanneer wordt vastgesteld dat een certificaat niet voldoet aan de Europese voorschriften voor het certificaat. Deze bevoegdheid van de nationale autoriteit om de goedkeuring in te trekken geldt niet wanneer wordt vastgesteld dat een ICT- product, -dienst of -proces niet voldoet aan de cyberbeveiligingsverordening of een Europese cyberbeveiligingscertificeringsregeling. De gevolgen daarvan zullen in de desbetreffende certificeringsregeling worden uitgewerkt (artikel 54, eerste lid, aanhef en onder l, van de cyberbeveiligingsverordening).

De Europese voorschriften voor een certificaat kunnen worden afgeleid uit de cyberbeveiligingsverordening en de Europese cyberbeveiligingscertificeringsregelingen, en zullen betrekking hebben op de procedure van de totstandkoming van het certificaat als zodanig. Denk aan de inhoud en vorm, en de maximale geldigheidsduur van een certificaat (artikel 54, eerste lid, aanhef en onder p, respectievelijk r, van de cyberbeveiligingsverordening). De nationale cyberbeveiligingscertificeringsautoriteit zal bij de beoordeling van het certificaat kijken of het aan deze Europese voorschriften voldoet. Alleen indien het certificaat aan deze voorwaarden voldoet, keurt de nationale autoriteit het certificaat goed. Indien vervolgens blijkt dat het certificaat toch niet voldoet aan de Europese voorschriften, dan kan de nationale autoriteit de goedkeuring intrekken. In een dergelijk geval zal de goedkeuring voor het certificaat door de nationale cyberbeveiligingscertificeringsautoriteit onjuist zijn afgegeven.

Opgemerkt dient te worden dat een eindafnemer via de website van Enisa informatie kan vinden over Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen die krachtens de cyberbeveiligingsverordening worden afgegeven, waaronder informatie over intrekking en verval van dergelijke Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen..

4. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.

De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.

De redactionele opmerkingen van de Afdeling zijn allemaal overgenomen. De memorie van toelichting is dienovereenkomstig verduidelijkt.

5. Overige wijzigingen

Van de gelegenheid is gebruik gemaakt om artikel 11 van het wetsvoorstel aan te passen. Dat artikel voorziet in een bevoegdheid voor de Minister om een certificaat in te trekken indien het niet voldoet aan de Europese regelgeving. Aan deze bevoegdheid wordt thans zodanig vorm gegeven dat het mogelijk wordt om gebreken van ondergeschikt belang te (laten) corrigeren, zonder dat het certificaat dient te worden ingetrokken.

Tevens zijn nog enkele redactionele onvolkomenheden in de memorie van toelichting weggenomen.

De vice-president van de Raad van State,

Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no.W18.20.0458/IV

  • In de artikelsgewijze toelichting de toelichting bij artikel 8 en 9 van het voorstel toevoegen.

  • In de toelichting aangeven hoe tegemoet zal worden gekomen aan de verplichting voor elke lidstaat om op grond van artikel 23(1) van de cyberbeveiligingsverordening één vertegenwoordiger voor het netwerk van nationale verbindingsfunctionarissen aan te wijzen.

  • De summiere transponeringstabel van de cyberbeveiligingsverordening volledig aanvullen, uitgesplitst naar artikellid. Ook per artikellid uitsplitsen dat ofwel rechtstreekse werking volstaat, ofwel de bepaling al is geïmplementeerd, ofwel er sprake is van feitelijke uitvoering, ofwel met het voorstel wordt uitgevoerd. Als bestaand recht van toepassing is, concrete verwijzingen naar het bestaande recht opnemen.

  • In de transponeringstabel, uitgesplitst naar artikellid, bij alle toepasselijke artikelen waarin beleidsruimte wordt gelaten aan de lidstaten toelichten of daar wel of geen gebruik van wordt gemaakt en wat de motivatie hiertoe is. Zie onder meer artikel 53, vierde lid, artikel 54, vierde lid en artikel 56, tweede lid van de cyberbeveiligingsverordening.]

Ik moge U verzoeken het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.

De Staatssecretaris van Economische Zaken en Klimaat, M.C.G. Keijzer.

Advies Raad van State

No. W18.20.0458/IV

’s-Gravenhage, 10 februari 2021

Aan de Koning

Bij Kabinetsmissive van 10 december 2020, no.2020002535, heeft Uwe Majesteit, op voordracht van de Staatssecretaris van Economische Zaken en Klimaat, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende regels ter uitvoering van Verordening (EU) 2019/881 (Uitvoeringswet cyberbeveiligingsverordening), met memorie van toelichting.

Het voorstel strekt tot uitvoering van de Europese verordening 2019/8811 (cyberbeveiligingsverordening). Met de cyberbeveiligingsverordening wordt een Europees kader voor cyberbeveiligingscertificering voor ICT-producten, -diensten, en -processen ingesteld. Gelet op de rechtstreekse toepasselijkheid van de verordening maakt deze automatisch deel uit van de nationale rechtsorde. Voor de operationalisering van de verordening voorziet het voorstel in bepalingen met betrekking tot procedures, handhaving, rechtsbescherming en de aanwijzing van uitvoeringsorganen.

De Afdeling advisering van de Raad van State maakt opmerkingen over de gestelde ambities van de regering in relatie tot de uitvoering van het voorstel, de uitvoeringsproblematiek bij certificering in geval van updates en hacks en de voorgestelde bevoegdheid tot intrekking van goedkeuring voor afgifte van een cyberbeveiligingscertificaat. In verband hiermee is aanpassing wenselijk van de toelichting, en waar nodig van het wetsvoorstel.

1. Gestelde ambities in relatie tot het voorstel

De cyberveiligheidsverordening biedt de mogelijkheid om op nationaal niveau certificering verplicht te stellen. Het advies van het Agentschap Telecom om een grondslag op te nemen waarin certificering op nationaal niveau kan worden verplicht wordt echter in het wetsvoorstel niet overgenomen omdat de regering inzet op verplichte certificering op Europees niveau om fragmentatie voorkomen.2 De regering merkt verder op dat de Europese Commissie uiterlijk einde 2023 een eerste afweging dient te maken over verplichte certificering van groepen ICT-producten, -diensten en -processen en dat de Europese gedachtewisseling daarover nog op gang moet komen.3

Nu de ontwikkeling van verplichte certificering op Europees niveau mogelijk pas over enkele jaren wordt verwacht, roept dit de vraag op hoe dit zich verhoudt tot de inzet van de regering om voortvarend certificeringschema’s te ontwikkelen en te implementeren.4 Ook roept dit de vraag op hoe in de tussentijd met de risico’s van de afwezigheid van certificering wordt omgegaan. De regering onderkent immers dat standaarden en certificering een belangrijke bijdrage aan de digitale veiligheid van hard- en software leveren.5

De Afdeling adviseert in het voorstel nader toe te lichten hoe in afwachting van verplichte certificering op Europees niveau tegemoet wordt gekomen aan de ambitie van de regering om voortvarend certificeringsschema’s te ontwikkelen, en hoe wordt omgegaan met de gesignaleerde risico’s van de afwezigheid van certificering.

2. Certificering in geval van updates en hacks

Een cyberbeveiligingscertificaat biedt de zekerheid dat ICT-producten, -diensten en -processen voldoen aan de beveiligingsvoorschriften die bij een bepaald zekerheidsniveau passen.6 Noch uit de cyberbeveiligingsverordening noch uit de toelichting op het voorstel blijkt of de certificering mede betrekking heeft op de updates die de (eind)afnemer redelijkerwijs mag verwachten voor het behoud van de gebruiksfunctie en het zekerheidsniveau gedurende een bepaalde periode.7

De Afdeling adviseert hier nader in de toelichting op in te gaan. Voorts wijst de Afdeling erop dat onduidelijk is welke invloed tussentijds opgetreden gegevenslekken of inbraken (hacks) en al dan niet naar aanleiding daarvan ad hoc uitgevoerde updates hebben voor het zekerheidsniveau van het betreffende ICT-product, -dienst of -proces en het daarvoor afgegeven cyberbeveiligingscertificaat.

De Afdeling merkt verder op dat in het voorstel de (noodzakelijke) regels ontbreken over updates en hacks. Kiwa Nederland BV wijst hier in haar consultatiereactie ook op. Dat roept de vraag op waarvoor een certificaat precies geldt. Of eenzelfde certificaat blijft gelden na het vrijkomen van een update of een patch en voor welke versies het certificaat geldt. Onduidelijk is verder welk effect een hack heeft op de certificering, en volgens het huidige voorstel zijn er dan geen mogelijkheden tot intrekking van een certificaat. Dit acht de Afdeling problematisch omdat nu al voorzienbaar is dat deze problematiek onmiddellijk aan de orde zal zijn in geval van certificering. Onduidelijkheid hierover kan de uitvoerbaarheid van de verordening ernstig ondermijnen.

Volgens de regering is het niet de doelstelling van dit wetsvoorstel om dergelijke situaties in de uitvoeringswet te regelen, maar indien een Europese cyberbeveiligingscertificeringsregeling dit vereist kan dit middels een ministeriële regeling worden uitgewerkt.8 De Afdeling onderkent dat deze problematiek bij voorkeur op Europees niveau wordt geregeld. Dit ontslaat de regering er echter niet van initiatieven op dat vlak te ontplooien om duidelijkheid te creëren voor de uitvoeringspraktijk.

De Afdeling adviseert nader toe te lichten hoe de regering zich ervoor zal inzetten om binnen korte termijn duidelijkheid te verkrijgen hoe omgegaan dient te worden met de certificering in geval van updates en hacks.

3. Intrekking cyberbeveiligingscertificaten

Op grond van de cyberbeveiligingsverordening dient aan de nationale cyberbeveiligingscertificeringsautoriteit de bevoegdheid te worden toegekend om afgegeven Europese cyberbeveiligingscertificaten die niet voldoen aan de verordening of een Europese cyberbeveiligingscertificeringsregeling in te trekken.9 In het wetsvoorstel wordt aan deze verplichting invulling gegeven door de Minister van Economische Zaken en Klimaat de bevoegdheid toe te kennen een verleende goedkeuring op een onderzoeksrapport en bijbehorend certificaat in te trekken.10

De Afdeling wijst erop dat uit het voorstel niet blijkt wat de consequenties van een dergelijke intrekking zijn voor de praktijk. Indien een cyberbeveiligingscertificaat niet voldoet aan de verordening of een Europese cyberbeveiligingscertificeringsregeling, kan dit betekenen dat een ICT-product, -dienst of -proces niet het zekerheidsniveau biedt waarvoor het certificaat is afgegeven. Niet duidelijk is hoe een eindafnemer er van op de hoogte kan zijn dat de goedkeuring van een certificaat, dat zijn leverancier eerder heeft laten zien, is ingetrokken en of dit certificaat nog wel een vermoeden van conformiteit met een bepaald zekerheidsniveau inhoudt.

De Afdeling adviseert nader toe te lichten hoe de intrekking van de goedkeuring zich verhoudt tot de afgegeven certificaten, en zo nodig het voorstel aan te passen.

4. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.

De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.

De vice-president van de Raad van State, Th.C. de Graaf.

Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no.W18.20.0458/IV

  • In de artikelsgewijze toelichting de toelichting bij artikel 8 en 9 van het voorstel toevoegen.

  • In de toelichting aangeven hoe tegemoet zal worden gekomen aan de verplichting voor elke lidstaat om op grond van artikel 23(1) van de cyberbeveiligingsverordening één vertegenwoordiger voor het netwerk van nationale verbindingsfunctionarissen aan te wijzen.

  • De summiere transponeringstabel van de cyberbeveiligingsverordening volledig aanvullen, uitgesplitst naar artikellid. Ook per artikellid uitsplitsen dat ofwel rechtstreekse werking volstaat, ofwel de bepaling al is geïmplementeerd, ofwel er sprake is van feitelijke uitvoering, ofwel met het voorstel wordt uitgevoerd. Als bestaand recht van toepassing is, concrete verwijzingen naar het bestaande recht opnemen.

  • In de transponeringstabel, uitgesplitst naar artikellid, bij alle toepasselijke artikelen waarin beleidsruimte wordt gelaten aan de lidstaten toelichten of daar wel of geen gebruik van wordt gemaakt en wat de motivatie hiertoe is. Zie onder meer artikel 53, vierde lid, artikel 54, vierde lid en artikel 56, tweede lid van de cyberbeveiligingsverordening.

Tekst zoals toegezonden aan de Raad van State: Regels ter uitvoering van Verordening (EU) 2019/881 (Uitvoeringswet cyberbeveiligingsverordening)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Allen, die deze zullen zien of horen lezen, saluut! doen te weten:

Alzo Wij in overweging genomen hebben, dat het noodzakelijk is Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PbEU 2019, L151) uit te voeren, en dat het wenselijk is de hiervoor noodzakelijke bepalingen vast te stellen;

Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:

HOOFDSTUK 1 ALGEMENE BEPALINGEN

Artikel 1 (begripsbepalingen)

In deze wet en de daarop berustende bepalingen wordt verstaan onder:

conformiteitsbeoordeling:

conformiteitsbeoordeling als bedoeld in artikel 2, onderdeel 17, van de cyberbeveiligingsverordening;

conformiteitsbeoordelingsinstantie:

conformiteitsbeoordelingsinstantie als bedoeld in artikel 2, onderdeel 18, van de cyberbeveiligingsverordening;

cyberbeveiligingsverordening:

verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening (PbEU 2019, L151);

EU-conformiteitsverklaringen:

EU-conformiteitsverklaring afgegeven met inachtneming van artikel 53 van de cyberbeveiligingsverordening;

Europees cyberbeveiligingscertificaat:

Europees cyberbeveiligingscertificaat als bedoeld in artikel 2, onderdeel 11, van de cyberbeveiligingsverordening;

Europese cyberbeveiligingscertificeringsregeling:

Europese cyberbeveiligingscertificeringsregeling als bedoeld in artikel 2, onderdeel 9, van de cyberbeveiligingsverordening, die door de Europese Commissie is vastgesteld op grond van artikel 49, zevende lid, van de cyberbeveiligingsverordening;

ICT-dienst:

ICT-dienst als bedoeld in artikel 2, onderdeel 13, van de cyberbeveiligingsverordening;

ICT-proces:

ICT-proces als bedoeld in artikel 2, onderdeel 14, van de cyberbeveiligingsverordening;

ICT-product:

ICT-product als bedoeld in artikel 2, onderdeel 12, van de cyberbeveiligingsverordening;

Onze Minister:

Onze Minister van Economische Zaken en Klimaat;

zekerheidsniveau hoog:

zekerheidsniveau als bedoeld in artikel 2, onderdeel 21, in samenhang met artikel 52, zevende lid, van de cyberbeveiligingsverordening.

HOOFDSTUK 2 NATIONALE CYBERBEVEILIGINGSCERTIFICERINGSAUTORITEIT

Artikel 2 (aanwijzing nationale cyberbeveiligingscertificeringsautoriteit)
  • 1. Onze Minister is de nationale cyberbeveiligingscertificeringsautoriteit, bedoeld in artikel 58, eerste lid, van de cyberbeveiligingsverordening.

  • 2. De Wet openbaarheid van bestuur is niet van toepassing op gegevens inzake cyberbeveiligingscertificaten voor zekerheidsniveau hoog die de nationale cyberbeveiligingscertificeringsautoriteit verkrijgt in het kader van de uitvoering van de in artikel 58, zevende lid, onderdelen a en h, van de cyberbeveiligingsverordening aan de nationale cyberbeveiligingscertificeringsautoriteit opgedragen taken, behalve voor zover die gegevens milieu-informatie inhouden als bedoeld in artikel 19.1a van de Wet milieubeheer. De eerste volzin geldt ook als de gegevens bij een ander overheidsorgaan berusten na verstrekking in het kader van deze taken.

HOOFDSTUK 3 CYBERBEVEILIGINGSCERTIFICERING ZEKERHEIDSNIVEAU hoog

Artikel 3 (melding)
  • 1. Een conformiteitsbeoordelingsinstantie die voornemens is een conformiteitsbeoordeling van een ICT-product, ICT-dienst of een ICT-proces voor zekerheidsniveau hoog uit te voeren, meldt dit aan Onze Minister bij het aangaan van de certificatieovereenkomst.

  • 2. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld ter uitvoering van het eerste lid, waaronder regels over:

    • a. de wijze waarop een melding als bedoeld in het eerste lid wordt gedaan;

    • b. de gegevens die ter uitvoering van het eerste lid worden verstrekt.

  • 3. Artikel 2, tweede lid, is van overeenkomstige toepassing op gegevens als bedoeld in het tweede lid, onderdeel b.

Artikel 4 (goedkeuring onderzoeksplan)
  • 1. Een conformiteitsbeoordelingsinstantie die de conformiteitsbeoordeling van een ICT-product, ICT-dienst of een ICT-proces voor zekerheidsniveau hoog uitvoert, stelt een onderzoeksplan op waaruit blijkt op welke wijze wordt getoetst of het ICT-product, de ICT-dienst of het ICT-proces voldoet aan de in een Europese cyberbeveiligingscertificeringsregeling aan dat product, die dienst of dat proces gestelde eisen voor zekerheidsniveau hoog.

  • 2. Het in het eerste lid bedoelde onderzoeksplan behoeft goedkeuring van Onze Minister, behoudens in bij ministeriële regeling bepaalde gevallen.

  • 3. Onze Minister verleent op aanvraag goedkeuring aan het onderzoeksplan indien het in overeenstemming is met de in de cyberbeveiligingsverordening en in de desbetreffende Europese cyberbeveiligingscertificeringsregeling gestelde eisen voor zekerheidsniveau hoog.

  • 4. Onze Minister beslist binnen acht weken na ontvangst van de aanvraag. Deze termijn kan eenmaal met ten hoogste zes weken worden verlengd.

  • 5. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld ter uitvoering van het derde lid.

  • 6. Artikel 2, tweede lid, is van overeenkomstige toepassing op gegevens verstrekt in het kader van de in het derde lid bedoelde aanvraag.

Artikel 5 (goedkeuring onderzoeksrapport en het bijbehorende Europese cyberbeveiligingscertificaat)
  • 1. Een conformiteitsbeoordelingsinstantie die op grond van artikel 4, derde lid, goedkeuring van het onderzoeksplan heeft verkregen, voert certificering overeenkomstig het onderzoeksplan uit.

  • 2. Een conformiteitsbeoordelingsinstantie stelt een onderzoeksrapport op waaruit volgt dat het ICT-product, de ICT-dienst of het ICT-proces voldoet aan de in een Europese cyberbeveiligingscertificeringsregeling aan dat product, die dienst of dat proces op zekerheidsniveau hoog gestelde eisen voor zekerheidsniveau hoog.

  • 3. Het in het tweede lid bedoelde onderzoeksrapport alsmede het bijbehorende Europese cyberbeveiligingscertificaat behoeft goedkeuring van Onze Minister.

  • 4. Onze Minister verleent op aanvraag de in het derde lid bedoelde goedkeuring indien het onderzoeksrapport en het bijbehorende Europese cyberbeveiligingscertificaat in overeenstemming zijn met de in de cyberbeveiligingsverordening en in de desbetreffende Europese cyberbeveiligingscertificeringsregeling gestelde eisen voor zekerheidsniveau hoog.

  • 5. Onze Minister beslist binnen acht weken na ontvangst van de aanvraag. Deze termijn kan eenmaal met ten hoogste zes weken worden verlengd.

  • 6. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld ter uitvoering van het vierde lid.

  • 7. Artikel 2, tweede lid, is van overeenkomstige toepassing op gegevens verstrekt in het kader van de in het vierde lid bedoelde aanvraag.

Artikel 6 (verlening Europees cyberbeveiligingscertificaat voor zekerheidsniveau ‘hoog’)

Een conformiteitsbeoordelingsinstantie geeft een Europees cyberbeveiligingscertificaat voor zekerheidsniveau hoog niet eerder af dan nadat Onze Minister de in artikel 5, vierde lid, bedoelde goedkeuring heeft verleend.

Artikel 7 (nadere regels uitvoering cyberbeveiligingsverordening en uitvoeringshandelingen)

Onze Minister kan bij ministeriële regeling regels stellen indien en voor zover dat nodig is voor een goede uitvoering van de cyberbeveiligingsverordening, de Europese cyberbeveiligingscertificeringsregelingen en de door de Europese Commissie op grond van artikel 61, vijfde lid, van de cyberbeveiligingsverordening vastgestelde uitvoeringshandelingen.

HOOFDSTUK 4 HANDHAVING

Artikel 8 (verboden)

Het is verboden in strijd te handelen met bij ministeriële regeling aangewezen voorschriften van de cyberbeveiligingsverordening en de Europese cyberbeveiligingscertificeringsregelingen.

Artikel 9 (aanwijzing toezichthouders)
  • 1. Met het toezicht op de naleving van het bepaalde bij of krachtens deze wet zijn belast de bij besluit van Onze Minister aangewezen personen.

  • 2. Van een besluit als bedoeld in het eerste lid wordt mededeling gedaan door plaatsing in de Staatscourant.

Artikel 10 (bindende aanwijzing)

Onze Minister kan degene die niet voldoet aan het bepaalde bij of krachtens deze wet, de cyberbeveiligingsverordening, of de Europese cyberbeveiligingscertificeringsregelingen, door middel van het geven van een aanwijzing verplichten om binnen een daarbij gestelde redelijke termijn de daarbij omschreven maatregelen te nemen.

Artikel 11 (intrekking goedkeuring Europese cyberbeveiligingscertificaten voor zekerheidsniveau hoog)

Onze Minister kan de in artikel 5, derde lid, bedoelde goedkeuring intrekken indien het cyberbeveiligingscertificaat niet voldoet aan de cyberbeveiligingsverordening of een Europese cyberbeveiligingscertificeringsregeling.

Artikel 12 (last onder bestuursdwang)

Onze Minister is bevoegd tot oplegging van een last onder bestuursdwang ter handhaving van het bepaalde bij of krachtens deze wet, artikel 5:20, eerste lid, van de Algemene wet bestuursrecht, de cyberbeveiligingsverordening, en de Europese cyberbeveiligingscertificeringsregelingen.

Artikel 13 (bestuurlijke boete)
  • 1. Onze Minister kan aan de overtreder een bestuurlijke boete opleggen in geval van overtreding van het bepaalde bij of krachtens deze wet, de cyberbeveiligingsverordening, de Europese cyberbeveiligingscertificeringsregelingen en artikel 5:20, eerste lid, van de Algemene wet bestuursrecht.

  • 2. De boete bedraagt ten hoogste € 900.000 per overtreding.

Artikel 14 (vergoedingen)
  • 1. De kosten samenhangend met de werkzaamheden of diensten die Onze Minister verricht ingevolge het bepaalde bij of krachtens deze wet, de cyberbeveiligingsverordening of de Europese cyberbeveiligingscertificeringsregelingen kunnen door Onze Minister ten laste worden gebracht van degene ten behoeve van wie deze werkzaamheden worden verricht. Bij of krachtens algemene maatregel van bestuur worden hierover regels gesteld.

  • 2. Bij het vaststellen van de vergoeding kunnen mede worden betrokken kosten, verband houdend met het toezicht op de naleving van het bepaalde bij of krachtens deze wet of van de cyberbeveiligingsverordening ten aanzien van de desbetreffende werkzaamheden of diensten.

HOOFDSTUK 5 SLOTBEPALINGEN

Artikel 15 (mededeling bindende EU-rechtshandelingen)

Onze Minister doet in de Staatscourant mededeling van de titel, de vindplaats en de datum van inwerkingtreding van de Europese cyberbeveiligingscertificeringsregelingen, alsmede van wijzigingen daarvan.

Artikel 16 (wijziging Algemene wet bestuursrecht)

Bijlage 2 bij de Algemene wet bestuursrecht wordt als volgt gewijzigd:

a. In artikel 7 wordt in de alfabetische volgorde ingevoegd Uitvoeringswet cyberbeveiligingsverordening;

b. In artikel 11 wordt in de alfabetische volgorde ingevoegd: Uitvoeringswet cyberbeveiligingsverordening.

Artikel 17 (samenloop met wetsvoorstel Wet open overheid)

1. Als het bij geleidende brief van 5 juli 2012 aanhangig gemaakte voorstel van wet van de leden Snels en Van Weyenberg houdende regels over de toegankelijkheid van informatie van publiek belang (Wet open overheid) (Kamerstukken 33 328) tot wet is of wordt verheven, wordt in de alfabetische rangschikking van de bijlage bij artikel 8.8 van die wet ingevoegd

  • Uitvoeringswet cyberbeveiligingsverordening: de artikelen2, tweede lid, 3, derde lid, 4, zesde lid, en 5, zevende lid.

2. Als het in het eerste lid genoemde voorstel van wet tot wet is of wordt verheven en artikel 10.1 van die wet in werking treedt, wordt in artikel 2, tweede lid, van deze wet ‘Wet openbaarheid van bestuur’ vervangen door ‘Wet open overheid’.

Artikel 18 (inwerkingtreding)

De artikelen van deze wet treden in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.

Artikel 19 (citeertitel)

Deze wet wordt aangehaald als: Uitvoeringswet cyberbeveiligingsverordening.

Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en dat alle ministeries, autoriteiten, colleges en ambtenaren die zulks aangaat, aan de nauwkeurige uitvoering de hand zullen houden.

De Staatssecretaris van Economische Zaken en Klimaat,

MEMORIE VAN TOELICHTING

I. Algemeen

1. Inleiding

Dit wetsvoorstel strekt tot uitvoering van Verordening (EU) nr. 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (hierna: de cyberbeveiligingsverordening). De cyberbeveiligingsverordening is op 27 juni 2019 in werking getreden.

Een Europese verordening werkt rechtstreeks en lidstaten van de Europese Unie zijn verplicht om alle maatregelen te nemen die nodig zijn voor de volledige verwezenlijking van een verordening. Gelet op het rechtstreekse karakter, maakt een verordening automatisch deel uit van de nationale rechtsorde en is het verboden om bepalingen ervan in het nationale recht over te nemen. Wel kan het en in dit geval is het voor de operationalisering van een verordening nodig om bepalingen met betrekking tot procedures, handhaving, rechtsbescherming en aanwijzing van uitvoeringsorganen op te nemen in nationale regelgeving. Daarin voorziet dit wetsvoorstel, waarbij het uitgangspunt van de rechtstreekse werking van de verordening en minimumomzetting wordt gerespecteerd.

Een transponeringstabel is opgenomen in hoofdstuk III van deze memorie van toelichting.

2. De hoofdlijnen van de cyberbeveiligingsverordening

De cyberbeveiligingsverordening is een Europese verordening, die enerzijds het mandaat van Enisa versterkt en anderzijds een Europees kader introduceert op het gebied van cyberbeveiligingscertificering. Het doel van de cyberbeveiligingsverordening is om door middel van een geharmoniseerde certificatiesystematiek de cyberbeveiliging in de Europese Unie te vergroten en de (digitale) interne markt te versterken.

Cyberbeveiliging is gedefinieerd als de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen, en andere personen die getroffen worden door cyberdreigingen, te beschermen. Europese regelingen voor cyberbeveiligingscertificering moeten tot doel hebben te waarborgen dat ICT-producten, -diensten en -processen die door middel van een dergelijke regeling zijn gecertificeerd, aan gespecificeerde voorschriften voldoen met als doel de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of de daaraan gerelateerde diensten die via die producten, diensten en processen, worden aangeboden of toegankelijk zijn, gedurende hun levenscyclus te beschermen.

De cyberbeveiligingsverordening maakt het mogelijk om op Europees niveau cyberbeveiligingscertificeringsregelingen (in de praktijk ook wel aangeduid als ‘certificatieschema’s’) vast te stellen voor categorieën van ICT-producten, -diensten en -processen.

a) Reikwijdte

De cyberbeveiligingsverordening bestaat uit een tweetal onderdelen.

De cyberbeveiligingsverordening richt zich allereerst op de versterking van het mandaat van Enisa (Titel II van de cyberbeveiligingsverordening). Enisa verkrijgt een permanent en meer uitgebreid mandaat op het gebied van cyberbeveiliging. De verordening beschrijft uitvoerig haar mandaat, de taken, de organisatie, de werkwijze en de wijze van budgettering. Enisa heeft de taak om lidstaten te ondersteunen bij beleidsontwikkeling inzake cyberbeveiliging en biedt ondersteuning bij de implementatie van de Europese richtlijn inzake netwerk- en informatiebeveiliging. Ook heeft Enisa een aantal operationele taken verkregen en speelt het een belangrijke en centrale rol in het Europese cyberbeveiligingscertificatiekader.

De cyberbeveiligingsverordening richt zich daarnaast op het bewerkstellingen van een Europees kader voor de vaststelling van cyberbeveiligingscertificeringsregelingen van ICT-producten, -diensten en -processen (Titel III van de cyberbeveiligingsverordening). Ook gaat de cyberbeveiligingsverordening nader in op de conformiteitsbeoordeling en de inrichting van het toezicht op de verordening.

Een ICT-product is een element of groep van elementen van een netwerk- of informatiesysteem (artikel 2, twaalfde lid, van de cyberbeveiligingsverordening). Een ICT-dienst is een dienst die volledig of hoofdzakelijk bestaat in de verzending, opslag, opvraging of verwerking van data door middel van netwerk- en informatiesystemen (artikel 2, dertiende lid, van de cyberbeveiligingsverordening). Een ICT-proces is een reeks activiteiten die wordt uitgevoerd om een ICT-product of ICT-dienst te ontwerpen, ontwikkelen, leveren of onderhouden (artikel 2, veertiende lid, van de cyberbeveiligingsverordening).

De Europese Commissie wordt bevoegd om Europese cyberbeveiligingscertificeringsregelingen voor categorieën van ICT-producten, -diensten en -processen vast te stellen. De verordening somt de minimumvereisten en -elementen op waaraan cyberbeveiligingscertificeringsregelingen moeten voldoen. Dit zijn vereisten op het gebied van beschikbaarheid, integriteit, vertrouwelijkheid en authenticiteit van producten, processen en diensten.

Een geharmoniseerd kader voor het ontwikkelen van certificeringsregelingen voorkomt fragmentatie en vergroot de weerbaarheid van de Europese digitale interne markt. Dit leidt tot een verbetering van het vertrouwen in de beveiliging in ICT-producten, -diensten en -processen. De ICT-producten, -diensten en -processen die zijn gecertificeerd op basis van een vastgestelde Europese cyberbeveiligingscertificeringsregeling worden weerbaar geacht tegen acties gericht op het aantasten van de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van data en/of functionaliteiten.

Het onderhavige Uitvoeringswetsvoorstel richt zich op de uitvoering van de wettelijke bepalingen uit titel III van de cyberbeveiligingsverordening.

De cyberbeveiligingsverordening heeft geen betrekking op bevoegdheden van lidstaten betreffende de activiteiten inzake openbare beveiliging, defensie, nationale veiligheid en strafrecht. Deze thema’s vallen immers onder de nationale competenties van de lidstaten. De verordening laat lidstaten hiermee vrij om aanvullende maatregelen te nemen om het gebruik van de in beginsel voor de commerciële markt bedoelde gecertificeerde ICT-producten, -diensten en -processen in de voornoemde domeinen te beperken, te verbieden of hieraan aanvullende eisen te stellen.

b) Nationale cyberbeveiligingscertificeringsautoriteit

De cyberbeveiligingsverordening stelt dat iedere lidstaat een (of meerdere) nationale cyberbeveiligingscertificeringsautoriteit(en) moet aanwijzen die met toezichthoudende taken wordt belast. Het voornemen is om in Nederland één nationale cyberbeveiligingscertificeringsautoriteit (hierna ook: nationale autoriteit) aan te wijzen. De werkzaamheden van de nationale autoriteit in het kader van toezicht dienen organisatorisch strikt gescheiden te zijn van de werkzaamheden in kader van de uitgifte van cyberbeveiligingscertificaten (zie paragraaf d voor een toelichting) en onafhankelijk van elkaar verricht te worden (artikel 58, vierde lid, van de cyberbeveiligingsverordening).

Artikel 58 van de cyberbeveiligingsverordening gaat nader in op de taken en bevoegdheden van de nationale cyberbeveiligingscertificeringsautoriteit. De taken van de nationale autoriteit staan nader omschreven in artikel 58, zevende lid, van de cyberbeveiligingsverordening. Deze taken houden het volgende in:

  • De nationale autoriteiten zien toe op en handhaven in cyberbeveiligingscertificeringsregelingen opgenomen regels voor toezicht op de conformiteit van ICT-producten, -diensten en -processen met de voorschriften van de cyberbeveiligingscertificaten die zijn afgegeven binnen hun respectieve grondgebieden.

  • De nationale autoriteiten monitoren en handhaven de naleving van verplichtingen van op hun grondgebieden gevestigde fabrikanten of aanbieders ten aanzien van de conformiteitszelfbeoordelingen.

  • De nationale autoriteiten verlenen bijstand en ondersteuning aan de nationale accreditatie-instanties bij de monitoring van en het toezicht op de werkzaamheden van de conformiteitsbeoordelingsinstanties.

  • Indien van toepassing, monitoren de nationale autoriteiten en houden zij toezicht op de werkzaamheden van de overheidsinstanties als bedoeld in artikel 56, vijfde lid, van de cyberbeveiligingsverordening.

  • De nationale autoriteiten laten – indien van toepassing – conformiteitsbeoordelingsinstanties toe.

  • De nationale autoriteiten behandelen klachten van natuurlijke personen of rechtspersonen over de afgegeven Europese cyberbeveiligingscertificaten, of over afgegeven EU-conformiteitsverklaringen.

  • De nationale autoriteiten stellen een jaarverslag op.

  • De nationale cyberbeveiligingscertificeringsautoriteiten werken samen met andere nationale autoriteiten voor cyberbeveiligingscertificering of andere overheidsinstanties, door informatie uit te wisselen over de mogelijke non-conformiteit van ICT-producten, -diensten en -processen met de voorschriften van de cyberbeveiligingsverordening of met voorschriften van specifieke Europese cyberbeveiligingscertificeringsregelingen.

  • De nationale autoriteiten volgen de ontwikkelingen op het gebied van cyberbeveiligingscertificering.

Op grond van artikel 58, achtste lid, van de cyberbeveiligingsverordening beschikt elke nationale autoriteit ten minste over de volgende bevoegdheden:

  • het verzoeken van conformiteitsbeoordelingsinstanties, houders van Europese cyberbeveiligingscertificaten en afgevers van EU-conformiteitsverklaringen om alle informatie te verstrekken die zij nodig heeft voor de uitvoering van haar taken;

  • het verrichten van onderzoeken, in de vorm van audits, naar conformiteitsbeoordelingsinstanties, houders van Europese cyberbeveiligingscertificaten en afgevers van EU-conformiteitsverklaringen om hun naleving van deze titel te verifiëren;

  • het nemen van passende maatregelen, overeenkomstig het nationale recht, om ervoor te zorgen dat conformiteitsbeoordelingsinstanties, houders van Europese cyberbeveiligingscertificaten en afgevers van EU-conformiteitsverklaringen deze verordening of een Europese regeling voor cyberbeveiligingscertificering naleven;

  • het overeenkomstig het Europese of nationale procesrecht toegang krijgen tot de gebouwen en terreinen van een conformiteitsbeoordelingsinstantie of houders van Europese cyberbeveiligingscertificaten voor het verrichten van onderzoeken;

  • het verkrijgen van toegang tot de gebouwen en terreinen van een conformiteitsbeoordelingsinstantie of houders van Europese cyberbeveiligingscertificaten voor het verrichten van onderzoeken overeenkomstig het procesrecht van de Unie of lidstaat;

  • het overeenkomstig nationaal recht intrekken van door de nationale autoriteit of overeenkomstig artikel 56, zesde lid, van de cyberbeveiligingsverordening door conformiteitsbeoordelingsinstanties afgegeven Europese cyberbeveiligingscertificaten die niet voldoen aan de verordening of een Europese cyberbeveiligingscertificeringsregeling;

  • de oplegging overeenkomstig nationaal recht van sancties en het eisen dat onmiddellijk een einde wordt gemaakt aan de niet-nakoming van de verplichtingen van de cyberbeveiligingsverordening.

De nationale cyberbeveiligingscertificeringsautoriteiten van de lidstaten moeten ten minste eens per 5 jaar een collegiale toetsing ondergaan, hiermee wordt getracht om meer gelijkwaardige normen te creëren ten aanzien van cyberbeveiligingscertificaten en EU-conformiteitsverklaringen. Artikel 59 van de cyberbeveiligingsverordening gaat nader in op de wijze van toetsing. Collegiale toetsing omvat procedures voor het toezicht op de conformiteit van ICT-producten, -diensten en -processen van Europese cyberbeveiligingscertificaten, op de verplichtingen van fabrikanten en aanbieders van ICT-producten, -diensten en -processen die een conformiteitszelfbeoordeling doen, op conformiteitsbeoordelingsinstanties, evenals op de relevantie van de expertise van het personeel van de organen die cyberbeveiligingscertificaten voor zekerheidsniveau hoog afgeven. De Europese Commissie kan, door middel van een uitvoeringshandeling, een plan voor collegiale toetsing dat een periode van ten minste vijf jaar beslaat opstellen, alsmede criteria en methoden vastleggen voor de werking van het systeem van collegiale toetsing.

c) Europese cyberbeveiligingscertificeringsregelingen

De verordening richt ook een EU-breed kader op, waarbinnen de vaststelling van Europese cyberbeveiligingscertificeringsregelingen tot stand moet gaan komen, waarbij de Europese Commissie, Enisa en stakeholders (inclusief lidstaten) een belangrijke rol vervullen.

De Europese Commissie stelt in haar voortschrijdend werkprogramma (artikel 47 van de cyberbeveiligingsverordening) de strategische prioriteiten vast voor toekomstige Europese cyberbeveiligingscertificeringsregelingen. Het voortschrijdend werkprogramma wordt opgesteld door de Europese Commissie. Daarbij houdt de Europese Commissie rekening met de adviezen van de Europese Groep voor cyberbeveiligingscertificering (de „EGC’, een adviesgremium bestaande uit de lidstaten) en de Groep van belanghebbenden (een stakeholdersadviesgremium) bij cyberbeveiligingscertificering. Vervolgens publiceert de Europese Commissie het werkprogramma.

Aan de hand van het werkprogramma zullen cyberbeveiligingscertificeringsregelingen worden vastgesteld. Ook de EGC kan Enisa hierom verzoeken. De Europese Commissie doet voor het opstellen van een certificeringsregeling een verzoek aan Enisa. Bij de uitwerking van de certificeringsregelingen vindt nauwe samenwerking plaats met de EGC, zie de artikelen 49 en 62 van de cyberbeveiligingsverordening. Ook wordt bij de ontwikkeling van een certificeringsregeling een ad-hoc werkgroep ingericht (artikel 49 van de cyberbeveiligingsverordening). Vervolgens stelt de Europese Commissie de certificeringsregelingen vast door middel van uitvoeringshandelingen (artikel 49, zevende lid, van de cyberbeveiligingsverordening). Enisa evalueert ten minste om de vijf jaar elke vastgestelde Europese cyberbeveiligingscertificeringsregeling.

De cyberbeveiligingsverordening regelt de beveiligingsdoelstellingen van de regelingen (artikel 51 van de cyberbeveiligingsverordening) en ook de elementen die de regelingen ten minste moeten omvatten (artikel 54 van de cyberbeveiligingsverordening). De cyberbeveiligingsverordening introduceert een onderscheid tussen cyberbeveiligingscertificering op drie zekerheidsniveaus: basis, substantieel en hoog. Het zekerheidsniveau is een basis voor vertrouwen dat een ICT-product, -dienst of -proces aan de beveiligingsvoorschriften van een specifieke Europese cyberbeveiligingscertificeringsregeling voldoet. Het zekerheidsniveau geeft aan op welk niveau een betrokken ICT-product, -dienst, of -proces is geëvalueerd, maar is als zodanig geen maatstaf voor de beveiliging van het betrokken ICT-product, -dienst of -proces; Deze zekerheidsniveaus staan in verhouding tot het niveau van het risico dat verbonden is aan het gebruik van het ICT-product, -dienst, of -proces. Een certificeringsregeling kan één of meerdere zekerheidsniveaus bevatten (artikel 52 van de cyberbeveiligingsverordening).

Deelname van fabrikanten en aanbieders aan de cyberbeveiligingscertificeringsregelingen is vooralsnog vrijwillig. De Europese Commissie kan echter een regeling verplicht stellen. De Europese Commissie beoordeelt regelmatig de efficiëntie en het gebruik van de vastgestelde Europese cyberbeveiligingscertificeringsregelingen en beoordeelt of er door middel van het relevante Unierecht een specifieke Europese cyberbeveiligingscertificeringsregeling verplicht moet worden gesteld. De eerste zulke beoordeling vindt uiterlijk op 31 december 2023 plaats en daaropvolgende beoordelingen vinden ten minste om de twee jaar daarna plaats (artikel 56, derde lid, van de cyberbeveiligingsverordening).

d) Verstrekking van Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen:

De cyberbeveiligingscertificeringsregelingen vormen de basis van de uitgifte van de cyberbeveiligingscertificaten en EU-conformiteitsverklaringen. Deze uitgifte geschiedt nationaal. Cyberbeveiligingscertificaten met zekerheidsniveaus basis en substantieel worden in beginsel afgegeven door een daartoe geaccrediteerde en – indien van toepassing – toegelaten conformiteitsbeoordelingsinstantie, nadat deze een succesvolle conformiteitsbeoordeling van een ICT-product, -dienst, of -proces heeft uitgevoerd (artikel 56, vierde lid, van de cyberbeveiligingsverordening). Een conformiteitsbeoordeling is een procedure waarbij wordt geëvalueerd of aan gespecificeerde (technische) voorschriften voor een ICT-product, -dienst of -proces is voldaan.

Daarnaast is er de mogelijkheid van een conformiteitszelfbeoordeling, waarbij de conformiteitsbeoordeling niet wordt verricht door een conformiteitsbeoordelingsinstantie, maar door een fabrikant of aanbieder (artikel 2 van de cyberbeveiligingsverordening). Met een conformiteitszelfbeoordeling verklaart de fabrikant of aanbieder dat er aan de voorschriften van de certificeringsregeling is voldaan. De fabrikant of aanbieder is verantwoordelijk voor de conformiteit van het ICT-product, de ICT-dienst of het ICT-proces met de in die regeling bepaalde voorschriften (artikel 53, tweede lid, van de cyberbeveiligingsverordening) en geeft daarover een EU-conformiteitsverklaring af. Het toezichthoudende kader is onverkort van toepassing op dergelijke EU-conformiteitsverklaringen. De mogelijkheid van conformiteitszelfbeoordeling wordt bepaald in een Europese cyberbeveiligingscertificeringsregeling en wordt uitsluitend toegestaan voor ICT-producten, -diensten en -processen met een laag risico of voor Europese cyberbeveiligingscertificeringsregelingen met zekerheidsniveau basis.

Voor cyberbeveiligingscertificaten voor zekerheidsniveau hoog geldt een zwaarder conformiteitsbeoordelingsregime. Uitgangspunt is dat de nationale cyberbeveiligingscertificeringsautoriteit dit type certificaten zelf verstrekt. De lidstaat kan er echter ook voor kiezen om de cyberbeveiligingscertificaten te laten verstrekken door een conformiteitsbeoordelingsinstantie in de volgende twee gevallen:

  • een conformiteitsbeoordelingsinstantie verstrekt het cyberbeveiligingscertificaat, maar voor ieder individueel af te geven certificaat dient zij goedkeuring te hebben van de nationale autoriteit; of

  • de conformiteitsbeoordelingsinstantie is in algemene zin gedelegeerd door de nationale autoriteit om cyberbeveiligingscertificaten te verstrekken.

Voor cyberbeveiligingscertificaten voor zekerheidsniveaus basis en substantieel kan in gemotiveerde gevallen in een cyberbeveiligingscertificeringsregeling worden bepaald dat een nationale autoriteit zelf deze cyberbeveiligingscertificaten verstrekt (artikel 56, vijfde lid, van de cyberbeveiligingsverordening).

Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen worden in alle lidstaten wederzijds erkend.

e) Conformiteitsbeoordelingsinstanties

Een conformiteitsbeoordelingsinstantie is een onafhankelijke derde partij, die niet de fabrikant of de aanbieder van de geëvalueerde ICT-producten, -diensten of -processen is. Conformiteitsbeoordelingsinstanties dienen op grond van artikel 60, eerste lid, van de cyberbeveiligingsverordening geaccrediteerd te zijn door de betreffende nationale accreditatie-instantie. De cyberbeveiligingsverordening bevat een bijlage waarin de vereisten vermeld staan waaraan een conformiteitsbeoordelingsinstantie moet voldoen om te worden geaccrediteerd om Europese cyberbeveiligingscertificaten op grond van deze verordening te kunnen verstrekken.

Artikel 54, eerste lid 1, onderdeel f, van de cyberbeveiligingsverordening brengt mee dat een cyberbeveiligingscertificeringsregeling ook aanvullende vereisten kan stellen aan conformiteitsbeoordelingsinstanties, om zo te garanderen dat zij beschikken over de benodigde technische bekwaamheid.

Artikel 61 van de cyberbeveiligingsverordening brengt met zich mee dat iedere conformiteitsbeoordelingsinstantie aangemeld moet worden bij de Europese Commissie. De aanmelding betreft een administratieve handeling.

f) Fabrikanten/aanbieders

Fabrikanten of aanbieders van ICT-producten, -diensten of -processen worden middels de cyberbeveiligingsverordening aangespoord om beveiligingsmaatregelen te nemen. Met Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen kunnen zij het beveiligingsniveau van hun ICT-producten, -diensten of -processen aantonen. Artikel 55 van de cyberbeveiligingsverordening bepaalt dat de fabrikant of aanbieder van ICT-producten, -diensten en -processen met een cyberbeveiligingscertificaat of een EU-conformiteitsverklaring bepaalde aanvullende cyberbeveiligingsinformatie openbaar moeten maken.

g) Rechtsbescherming

Natuurlijke personen en rechtspersonen hebben op grond van de cyberbeveiligingsverordening het recht om een klacht in te dienen bij een conformiteitsbeoordelingsinstantie. Indien de klacht verband houdt met een Europees cyberbeveiligingscertificaat met zekerheidsniveau hoog, moet de klacht worden ingediend bij de nationale cyberbeveiligingscertificeringsautoriteit. De conformiteitsbeoordelingsinstantie respectievelijk nationale autoriteit neemt de klacht in behandeling. De natuurlijke persoon of rechtspersoon die de klacht heeft ingediend dient hierbij goed geïnformeerd te worden over de behandeling en uitkomst, en dient tevens gewezen te worden op eventuele rechtsmiddelen. Tegen de (besluiten in het kader van) afhandeling van de klacht dient een doeltreffende voorziening in rechte open te staan.

3. Hoofdlijnen van het wetsvoorstel

Met de inwerkingtreding van de cyberbeveiligingsverordening wordt certificering van cyberbeveiliging in het publieke domein gebracht. Het betreft een nieuw beleidsterrein, waarvoor nog geen nationale wet- en regelgeving is. Er is daarom gekozen voor de uitvoering van de cyberbeveiligingsverordening vorm te geven in een nieuwe nationale wet: de Uitvoeringswet Cyberbeveiligingsverordening.

Het onderhavige wetsvoorstel geeft waar nodig uitvoering aan de cyberbeveiligingsverordening en regelt de aanwijzing van de nationale cyberbeveiligingscertificeringsautoriteit, de verstrekking van Europese cyberbeveiligingscertificaten met zekerheidsniveau hoog en een kader voor de handhaving en toezicht op de verordening, cyberbeveiligingscertificeringsregelingen, de uitvoeringswet en de lagere regelgeving. Voor zover er op grond van de cyberbeveiligingsverordening ruimte is om keuzes te maken hebben deze keuzes als doelstelling om een aantrekkelijk en kwalitatief hoogwaardig klimaat op het gebied van cyberbeveiligingscertificering in te richten in Nederland. Hierbij gaat het in bijzonder om de beleidskeuzes die gemaakt zijn voor het stelsel van de verstrekking van cyberbeveiligingscertificaten met zekerheidsniveau hoog.

a) Nationale cyberbeveiligingscertificeringsautoriteit

Artikel 58, eerste lid, van de cyberbeveiligingsverordening verplicht iedere lidstaat om een nationale cyberbeveiligingscertificeringsautoriteit aan te wijzen. Met de onderhavige Uitvoeringswet wordt de Minister van Economische Zaken en Klimaat aangewezen als nationale cyberbeveiligingscertificeringsautoriteit. De minister van Economische Zaken en Klimaat is voornemens om de uitvoering van de genoemde taken onder te brengen bij Agentschap Telecom.

Vanuit het oogpunt van effectiviteit en efficiëntie wordt de nationale autoriteit ondergebracht bij een bestaande organisatie die geruime ervaring heeft met zowel uitvoerende als, afdoende daarvan gescheiden, toezichthoudende werkzaamheden binnen het digitale domein.

b) Conformiteitsbeoordelingsinstantie en accreditatie

Conformiteitsbeoordelingsinstanties dienen op grond van de cyberbeveiligingsverordening geaccrediteerd te zijn. In Nederland worden de conformiteitsbeoordelingsinstanties geaccrediteerd door de Raad voor Accreditatie (RvA). De RvA opereert geheel onafhankelijk. Middels een accreditatie geeft de RvA aan dat een conformiteitsbeoordelingsinstantie voor het specifieke onderwerp waarvoor accreditatie is afgegeven competent is om onafhankelijk Europese cyberbeveiligingscertificaten te verstrekken aan opdrachtgevers (fabrikanten/leveranciers). De Raad voor Accreditatie heeft enkel een verhouding tot conformiteitsbeoordelingsinstanties. De accreditatie van conformiteitsbeoordelingsinstanties voor de activiteiten waarop de cyberbeveiligingsverordening ziet, vergt geen aanvullende wijziging van nationale wet- en regelgeving. Ook fabrikanten en aanbieders gevestigd in andere lidstaten en derde landen kunnen een conformiteitsbeoordeling laten uitvoeren in Nederland. De Nederlandse conformiteitsbeoordelingsinstanties dienen in Nederland geaccrediteerd te zijn.

c) Verstrekking van Europese cyberbeveiligingscertificaten met zekerheidsniveau hoog: het nationale stelsel

Voor verstrekking van Europese cyberbeveiligingscertificaten voor zekerheidsniveau hoog geldt een zwaarder regime. Zoals in Hoofdstuk 2 uiteen is gezet, kunnen lidstaten kiezen uit drie opties. Nederland heeft gekozen voor een model waarin het Europees cyberbeveiligingscertificaat wordt afgegeven door een conformiteitsbeoordelingsinstantie, nadat de nationale cyberbeveiligingscertificeringsautoriteit elk door de conformiteitsbeoordelingsinstantie af te geven individueel Europees cyberbeveiligingscertificaat heeft goedgekeurd (artikel 56, zesde lid, onderdeel a, van de cyberbeveiligingsverordening). De nationale autoriteit zal goedkeuring geven, indien de conformiteitsbeoordeling en het cyberbeveiligingscertificaat voldoen aan de voorliggende cyberbeveiligingscertificeringsregeling. Deze systematiek van voorafgaande goedkeuring door de nationale autoriteit wordt hier ook wel het goedkeuringsmodel genoemd.

Bij dit goedkeuringsmodel zijn zowel de markt als de nationale autoriteit actief betrokken bij de conformiteitsbeoordeling. De reden voor de keuze van dit model is als volgt. Binnen dit goedkeuringsmodel geven conformiteitsbeoordelingsinstanties de Europese cyberbeveiligingscertificaten af. Het voordeel van het benutten van conformiteitsbeoordelingsinstanties is dat deze efficiënt kunnen inspelen op behoeftes van fabrikanten en leveranciers en wegens hun deskundigheid in staat zijn om de meest recente ontwikkelingen op het gebied van cyberbeveiliging bij te houden. Daarbij werkt dit kostenbesparend ten aanzien van het overheidsbudget: de conformiteitsbeoordelingsinstanties verrichten immers de conformiteitsbeoordeling en geven het certificaat af. Nederland heeft goede ervaringen met modellen waarbij de markt ingezet wordt. Tegelijkertijd blijft de overheid betrokken binnen dit model, aangezien de nationale autoriteit goedkeuring verleent aan een conformiteitsbeoordelingsinstantie om een cyberbeveiligingscertificaat te verstrekken. De betrokkenheid van de overheid wordt nodig geacht wegens de hoge cyberbeveiligingsrisico’s die er kleven aan ICT-producten, -diensten of -processen bij zekerheidsniveau hoog. Dergelijke cyberbeveiligingsrisico’s kunnen aanzienlijke schadelijke gevolgen teweeg brengen, die de gehele maatschappij en economie kunnen raken. Nederland heeft dan ook dit goedkeuringsmodel gekozen, omdat het een goede balans biedt van zowel het benutten van de markt als betrokkenheid van de overheid.

Nederland heeft het goedkeuringsmodel nader uitgewerkt, waarbij is gekozen voor het opzetten van een systeem van stapsgewijze goedkeuring door de nationale autoriteit. In de invulling van dit model hebben de belangen van opdrachtgevers (de fabrikanten en leveranciers) en de uitvoerbaarheid voor alle betrokken partijen, inclusief de nationale autoriteit, een belangrijke rol gespeeld. Opdrachtgevers en conformiteitsbeoordelingsinstanties hebben belang bij zo veel mogelijk zekerheid en voorspelbaarheid in het certificatietraject voor zekerheidsniveau hoog. Het certificatietraject voor zekerheidsniveau hoog is doorgaans een langdurig en kostbaar traject, waarbij aanzienlijke investeringen van de opdrachtgevers worden gevraagd. Gelet hierop is gekozen voor een model dat een hoge mate van zekerheid aan opdrachtgevers biedt dat het cyberbeveiligingscertificaat verstrekt zal worden, dan wel in een zo vroeg mogelijk stadium duidelijk wordt dat dit niet het geval zal zijn en het traject om die reden kan worden afgebroken. Op deze manier kunnen onnodige kosten worden beperkt. Deze hoge mate van zekerheid en voorspelbaarheid wordt bereikt door de nationale autoriteit een actieve rol te geven gedurende het traject van de conformiteitsbeoordeling voor zekerheidsniveau hoog. Als er geen tussentijdse rol van de nationale autoriteit zou zijn, dan zouden de conformiteitsbeoordelingsinstanties en opdrachtgevers mogelijk pas aan het einde van het certificatietraject horen dat geen goedkeuring wordt gegeven voor het afgeven van een certificaat. Het Nederlandse model met stapsgewijze goedkeuring stelt de nationale autoriteit bovendien in staat om informatie te ontvangen en kennis rondom de betreffende conformiteitsbeoordeling op te bouwen, waardoor de nationale autoriteit aan het einde van de conformiteitsbeoordelingsprocedure sneller en goed geïnformeerd een goedkeuringsbesluit kan nemen, dan wanneer de nationale autoriteit pas aan het einde van het traject de informatie zou ontvangen. Artikel 56, zesde lid, van de cyberbeveiligingsverordening biedt de ruimte aan lidstaten om het goedkeuringsmodel op een dergelijke wijze in te vullen.

De goedkeuringsprocedure houdt in de kern in dat het Europees cyberbeveiligingscertificaat wordt afgegeven door een conformiteitsbeoordelingsinstantie, nadat de nationale cyberbeveiligingscertificeringsautoriteit elk door de conformiteitsbeoordelingsinstantie afgegeven individueel Europees cyberbeveiligingscertificaat heeft goedgekeurd (artikel 56, zesde lid, onderdeel a, van de cyberbeveiligingsverordening). In het Nederlandse model is dit opgedeeld in meerdere stappen. De conformiteitsbeoordelingsinstantie (1) doet melding bij de nationale autoriteit dat een certificeringstraject wordt gestart, (2) legt de conformiteitsbeoordelingsinstantie – behoudens in bij ministeriële regeling bepaalde gevallen – het onderzoeksplan ter goedkeuring voor aan de nationale autoriteit en (3) legt het onderzoeksrapport en het bijhorende Europese cyberbeveiligingscertificaat dat de conformiteitsbeoordelingsinstantie voornemens is af te geven aan het einde van het traject ter goedkeuring voor aan de nationale autoriteit. Na goedkeuring door de nationale autoriteit, kan de conformiteitsbeoordelingsinstantie het Europese cyberbeveiligingscertificaat afgeven. Het gaat hierbij om een beperkt aantal cruciale momenten in de conformiteitsbeoordeling. De eerste stap is een melding. De tweede en derde stap betreffen momenten waarbij de conformiteitsbeoordelingsinstantie een besluit vraagt aan de nationale autoriteit. Om op de aanvraag te kunnen beslissen ontvangt de nationale autoriteit de nodige informatie van de conformiteitsbeoordelingsinstantie omtrent onderdelen van de conformiteitsbeoordeling. De besluiten van de nationale autoriteit zijn besluiten in de zin van de Algemene wet bestuursrecht, waartegen bezwaar en beroep open staat. Hieronder volgt een toelichting op de verschillende stappen.

De manier waarop de nationale autoriteit zal gaan toetsen dient voorspelbaar, zorgvuldig en transparant te zijn. Het inhoudelijk toetsingskader van de nationale autoriteit is de betreffende cyberbeveiligingscertificeringsregeling en de cyberbeveiligingsverordening. Dit betekent dat de nationale autoriteit beoordeelt of de conformiteitsbeoordelingsinstantie in overeenstemming handelt met de voorschriften van de betreffende certificeringsregeling en de cyberbeveiligingsverordening. De nationale autoriteit controleert of er sprake is van een onvolkomenheid, te weten een handeling, interpretatie of nalaten van een conformiteitsbeoordelingsinstantie, welke niet in overeenstemming is met de betreffende cyberbeveiligingscertificeringsregeling of de cyberbeveiligingsverordening.

Als eerste stap in het proces, is een conformiteitsbeoordelingsinstantie op grond van deze Uitvoeringswet verplicht om aan de nationale cyberbeveiligingscertificeringsautoriteit te melden dat zij voornemens is om een conformiteitsbeoordeling uit te voeren. De conformiteitsbeoordelingsinstantie verricht deze melding nadat opdrachtgever en conformiteitsbeoordelingsinstantie een certificatieovereenkomst hebben gesloten. De nationale autoriteit wordt met deze melding geïnformeerd dat er een certificatietraject zal gaan starten en kan het traject procedureel voorbereiden.

Bij de tweede stap in het goedkeuringsproces legt de conformiteitsbeoordelingsinstantie het onderzoeksplan ter goedkeuring voor aan de nationale autoriteit. Hiermee wordt aangesloten bij de gebruikelijke procedure voor conformiteitsbeoordeling. Een conformiteitsbeoordelingsinstantie stelt een onderzoeksplan op als onderdeel van het proces bij een conformiteitsbeoordeling, en deelt dit onderzoeksplan met de opdrachtgever. Dit is een cruciaal moment in het proces, omdat het onderzoeksplan (1) goed de relatie weergeeft tussen de eisen uit de cyberbeveiligingscertificeringsregeling en de eigenschappen van het ICT-product, -dienst of -proces, en (2) beschrijft op welke wijze wordt getoetst of het ICT-product, de ICT-dienst of het ICT-proces voldoet aan de in een Europese cyberbeveiligingscertificeringsregeling aan dat product, die dienst of dat proces gestelde eisen. Het onderzoeksplan vormt de grondslag voor de uitvoering van de conformiteitsbeoordeling. De nationale autoriteit toetst of het voorliggende onderzoeksplan voor de evaluatie van het product, proces of dienst voldoet aan de voorliggende cyberbeveiligingscertificeringsregeling en de cyberbeveiligingsverordening. Indien de nationale autoriteit besluit dat het onderzoeksplan niet voldoet, dan wijst de autoriteit de aanvraag tot goedkeuring af. De conformiteitsbeoordelingsinstantie kan een nieuwe aanvraag doen en wederom ter goedkeuring voorleggen aan de nationale autoriteit. De uitvoeringswet geeft een grondslag om bij ministeriële regeling te bepalen dat in bepaalde gevallen een onderzoeksplan geen goedkeuring behoeft.

Bij de derde en laatste stap in het goedkeuringsproces legt de conformiteitsbeoordelingsinstantie het onderzoeksrapport en het Europese cyberbeveiligingscertificaat dat de conformiteitsbeoordelingsinstantie voornemens is af te geven ter goedkeuring voor aan de nationale cyberbeveiligingscertificeringsautoriteit. Een conformiteitsbeoordelingsinstantie stelt op grond van de voor hem geldende vereisten van betreffende certificeringsregeling een onderzoeksrapport op als onderdeel van het proces bij een conformiteitsbeoordeling, en deelt dit onderzoeksrapport met de opdrachtgever. In het Nederlandse model legt de conformiteitsbeoordelingsinstantie dit onderzoeksrapport ter goedkeuring voor aan de nationale autoriteit, samen met het Europese cyberbeveiligingscertificaat dat de conformiteitsbeoordelingsinstantie voornemens is te verstrekken. Dit is een cruciaal moment in het proces, omdat het onderzoeksrapport de resultaten van het onderzoek samenvat, en de onderbouwing bevat waarom het ICT-product, -dienst, of -proces voldoet aan de voorschriften van de cyberbeveiligingscertificeringsregeling en de cyberbeveiligingsverordening. Enkel het concept-certificaat en de conclusie dat het ICT-product, -dienst, of -proces voldoet zou onvoldoende zijn voor de nationale autoriteit om dit goed te kunnen beoordelen. De nationale autoriteit toetst of het onderzoek is uitgevoerd conform het goedgekeurde plan, en of de conclusies herleidbaar zijn naar de onderzoeksbevindingen en of het daarmee voldoet aan de voorliggende cyberbeveiligingscertificeringsregeling. Indien er geen onvolkomenheden zijn, dan moet de nationale autoriteit besluiten om goedkeuring te verlenen aan het onderzoeksrapport en het concept-certificaat, waarop de conformiteitsbeoordelingsinstantie het cyberbeveiligingscertificaat zal verstrekken aan de opdrachtgever. Indien de nationale autoriteit besluit om geen goedkeuring te verlenen wegens geconstateerde onvolkomenheden, dan kan de conformiteitsbeoordelingsinstantie een nieuwe aanvraag doen en wederom ter goedkeuring voorleggen aan de nationale autoriteit.

Het is mogelijk dat er per Europese certificeringsregeling verschillende voorschriften worden gesteld aan de vormvereisten en procedurele vereisten voor de melding, het onderzoeksplan en het onderzoeksrapport. Het wetsvoorstel maakt het dan ook mogelijk dat deze vereisten, indien nodig, verder uitgewerkt kunnen worden via lagere regelgeving.

De nationale autoriteit kan ten behoeve van haar besluitvorming advies vragen van andere (overheids-)organisaties. Dit advies is niet-bindend van aard. De nationale autoriteit zal in ieder geval in overleg treden met de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) over mogelijke advisering. Vanuit haar wettelijke taakstelling heeft de AIVD specifieke technische expertise op het gebied van beveiligingsaspecten van ICT-producten. De AIVD benut deze expertise in het gerubriceerde domein en in de vitale sectoren, en deze kan nuttig zijn bij de beoordeling van aanvragen tot goedkeuring van cyberbeveiligingscertificaten voor zekerheidsniveau hoog.

Tenslotte bevat de uitvoeringswet regels over het waarborgen van de vertrouwelijkheid van gegevens die worden aangeleverd bij de nationale autoriteit. Deze gegevens die de autoriteit in het kader van het goedkeuringsproces en het uitoefenen van een beperkt aantal toezichthoudende taken (artikel 58, zevende lid, onder a en h van de Verordening) verkrijgt met betrekking tot cyberbeveiligingscertificaten voor zekerheidsniveau hoog zijn uitgezonderd van de toepassing van de Wet openbaarheid van bestuur. De redenen daarvoor zijn gelegen in de bescherming van de openbare veiligheid. De ICT-producten, -processen en -diensten die gecertificeerd zijn voor zekerheidsniveau hoog dienen op grond van de verordening aan hoge beveiligingsvereisten te voldoen wegens de veiligheidsrisico’s die er kleven bij het gebruik van dergelijke producten, processen en diensten. Zo dienen dergelijke ICT-producten, -processen en -diensten onder meer weerbaar te zijn tegen geavanceerde cyberaanvallen van statelijke actoren. Dergelijke veiligheidsinformatie dient daarom beschermd te worden tegen misbruik door derden. Daarnaast speelt het zo veel mogelijk voorkomen van schade bij fabrikanten en aanbieders en benadeling van de concurrentiepositie in het Europese speelveld een rol. Overigens bestaat de mogelijkheid dat gegevens waarop de Wet openbaarheid van bestuur wel van toepassing is, op grond van artikel 10 eerste of tweede lid, evenmin openbaar gemaakt kunnen worden.

De nationale autoriteit verkrijgt via zowel het goedkeuringsproces als de uitoefening van toezichthoudende taken genoemd in artikel 58, zevende lid, onder a en h van de verordening vertrouwelijke informatie over de ICT-producten, -diensten en -processen van opdrachtgevers. Onder het verkrijgen van deze gegevens wordt ook verstaan het in het kader van de uitoefening van deze bevoegdheden gegenereerde gegevens. Deze gegevens zullen naar verwachting informatie bevatten over de werkingen en de cyberbeveiliging van ICT-producten, -diensten of -processen. In het bijzonder gaat het om informatie in hoeverre de ICT-producten, -diensten en -processen aan de hoge beveiligingsvereisten van de betreffende cyberbeveiligingscertificeringsregeling (voor zekerheidsniveau hoog) voldoen.

De cyberbeveiligingsverordening noopt tot het bijdragen aan een groter vertrouwen in ICT-producten, -diensten en -processen die zijn gecertificeerd. Door certificering wordt onder meer bijgedragen aan het vertrouwen in een digitaal veilige infrastructuur en het weerbaar maken van de maatschappij tegen cyberrisico’s, zoals de georganiseerde cybermisdaad en ongewenste inmenging van buitenlandse diensten.

Certificering is vooralsnog op basis van vrijwilligheid, zodat fabrikanten en partijen niet verplicht zijn de conformiteitsbeoordeling (in Nederland) te doen om ICT-producten, -diensten of -processen op de markt aan te bieden. In verband met het eerder aangehaalde doel en het daaruit voortvloeiende effect betreffende cyberveiligheid, digitale weerbaarheid en de toenemende digitalisering is het wenselijk dat fabrikanten en aanbieders zich conformeren aan de cyberbeveiligingseisen en zij daar vervolgens de erkenning middels een Europees cyberbeveiligingscertificaat voor krijgen. Hierdoor kan een positieve marktwerking ontstaan, waarbij gestreefd kan worden naar een gecertificeerd product.

Bij de conformiteitsbeoordeling zullen fabrikanten en aanbieders gegevens aanleveren, waardoor een inzicht ontstaat in de werking, technische (beveiligings-)informatie en cyberkwetsbaarheden van de betreffende ICT-producten, -diensten en -processen. De nationale autoriteit kan deze gegevens verkrijgen in verband met de toezichthoudende taak, dan wel haar uitvoerende taak bij de goedkeuring van certificaten met zekerheidsniveau hoog. Zoals reeds is aangehaald, gaat het bij deze groep om ICT-producten, -diensten en -processen met hoge cyberbeveiligingsrisico’s welke, bij de verwezenlijking daarvan, aanzienlijke schadelijke gevolgen teweeg brengen en die de gehele maatschappij en economie kunnen raken.

Bij de conformiteitsbeoordeling zal een fabrikant of aanbieder geschaad kunnen worden door openbaarmaking van de gegevens, welke technische (beveiligings-)informatie en kwetsbaarheden kunnen bevatten. Voor fabrikanten en aanbieders zal openbaarmaking, alsmede het risico daarop, een afschrikwekkende werking kunnen hebben. Een risico op openbaarmaking van deze informatie zou ertoe kunnen leiden dat fabrikanten en aanbieders minder geneigd zijn om hun ICT-producten, -diensten of -processen in Nederland te laten certificeren, en eerder zouden kiezen voor een andere lidstaat. Dat is niet in het belang van de Nederlandse positie op het gebied van cyberveiligheid, gelet op de bijdrage die certificering daaraan levert en de kwaliteit van de certificering in Nederland.

De openbare veiligheid kan in het geding komen bij openbaarmaking van deze veiligheidsinformatie omtrent ICT-producten, ICT-processen en ICT-diensten die aan hoge beveiligingsvereisten behoren te voldoen. Wanneer aanbieders terughoudend worden met het delen van vertrouwelijke informatie, kan dat de beoogde ontwikkeling van veilige ICT-producten, -diensten en -processen benadelen.

In het kader van de uitoefening van de toezichthoudende taken kan de nationale autoriteit gegevens op het gebied van de cyberbeveiliging verkrijgen. Zo houdt de nationale autoriteit toezicht op en handhaaft in cyberbeveiligingscertificeringsregelingen opgenomen regels voor toezicht op de conformiteit van ICT-producten, -diensten en -processen met de voorschriften van de cyberbeveiligingscertificaten die zijn afgegeven binnen Nederland (artikel 58, zevende lid onder a van de Verordening). De nationale autoriteit wisselt verder informatie uit over de mogelijke niet-conformiteit van ICT-producten, -diensten en -processen met autoriteiten uit andere lidstaten (artikel 58, zevende lid onder h van de Verordening). Het is van belang dat de vertrouwelijkheid van de gegevens gewaarborgd blijft, voor zover er bij de uitoefening van deze toezichthoudende taken informatie omtrent de cyberbeveiliging gemoeid gaat.

Hoewel een weigering om deze gegevens op grond van de Wet openbaarheid van bestuur openbaar te maken, naar verwachting wel bij de rechter in stand blijft, zijn de veiligheidsinformatie uit de conformiteitsbeoordeling en de bij de uitoefening van de toezichthoudende taken verkregen gegevens uitgezonderd van de toepassing van de Wet openbaarheid van bestuur om genoemde vertrouwelijkheid buiten twijfel te stellen.

Bij de uitoefening van alle overige toezichthoudende taken met betrekking tot cyberbeveiligingscertificaten met zekerheidsniveau hoog genoemd in artikelen 58, zevende lid, onderdelen b (toezicht op de zelfconformiteitsbeoordeling), c (ondersteunen van nationale accreditatie-instanties), d (indien van toepassing monitoren en toezicht op overheidsinstanties), e (toelaten conformiteitsbeoordelingsinstanties), f (behandeling klachten), g (jaarverslagen opstellen) en i (volgen ontwikkelingen inzake cyberbeveiligingscertificering) van de cyberbeveiligingsverordening, is de Wet openbaarheid van bestuur wel van toepassing. Ook is de Wet openbaarheid van bestuur onverkort van toepassing op alle toezichthoudende taken inzake cyberbeveiligingscertificaten met zekerheidsniveaus basis en substantieel.

d) Toezicht en handhaving

De cyberbeveiligingsverordening kent een limitatieve opsomming van de toezichthoudende taken die de nationale cyberbeveiligingscertificeringsautoriteit moet verrichten. Om deze taken te kunnen verrichten geeft de verordening de nationale autoriteit een aantal bevoegdheden. Het merendeel van deze bevoegdheden heeft rechtstreekse werking en vereist geen nadere omzetting. De inspecteurs van Agentschap Telecom zullen gebruik maken van de handhavingsmogelijkheden van hoofdstuk 5 van de Algemene wet bestuursrecht. De cyberbeveiligingsverordening bevat echter een aantal bevoegdheden die via nationaal recht nader uitgewerkt moet worden.

Het gaat hierbij om de bevoegdheid om passende maatregelen te nemen die zorgdragen voor de naleving van de verordening en de cyberbeveiligingscertificeringsregelingen (artikel 58, achtste lid, onderdeel c, van de cyberbeveiligingsverordening). Om aan deze bepaling invulling te geven in het nationale recht, krijgt de nationale autoriteit de bevoegdheid om bindende aanwijzingen te geven in het geval dat de cyberbeveiligingsverordening, de regelingen of de onderhavige uitvoeringswet niet worden nageleefd.

Verder wordt er een grondslag voorzien voor de nationale autoriteit om het goedkeuringsbesluit voor de verstrekking van het Europese cyberbeveiligingscertificaat met zekerheidsniveau hoog weer in te trekken indien het certificaat niet voldoet aan de cyberbeveiligingsverordening of de voorliggende cyberbeveiligingscertificeringsregeling (artikel 58, achtste lid, onderdeel e, van de cyberbeveiligingsverordening).

Daarnaast wordt er een bevoegdheid voorzien voor de nationale autoriteit om (1) sancties op te kunnen leggen en (2) te eisen dat onmiddellijk een einde wordt gemaakt aan de niet-nakoming van de verplichtingen van deze verordening (artikel 58, achtste lid, onderdeel f, en artikel 65 van de cyberbeveiligingsverordening). De Uitvoeringswet geeft immers een grondslag voor de nationale autoriteit om een last onder bestuursdwang, last onder dwangsom en een bestuurlijke boete op te leggen. De boete kan ten hoogste 900.000 Euro bedragen. Door Onze Minister de bevoegdheid toe te kennen bestuursdwang toe te passen, kan indien de situatie daar aanleiding toe geeft, ogenblikkelijk worden opgetreden.

e) Uitvoeringshandelingen

Zoals in Hoofdstuk 2 is vermeld, worden de Europese cyberbeveiligingscertificeringsregelingen door middel van uitvoeringshandelingen vastgesteld. In de cyberbeveiligingsverordening zijn de verplichte en facultatieve elementen van een cyberbeveiligingscertificeringsregeling niet-limitatief opgesomd (artikel 54, eerste lid, van de cyberbeveiligingscertificeringsverordening). In deze Europese cyberbeveiligingscertificeringsregelingen zullen de aspecten rondom specifieke certificeringen nader worden ingevuld. De cyberbeveiligingscertificeringsregelingen zullen naar verwachting rechtstreekse werking hebben en technisch en gedetailleerd van aard zijn. Hierdoor zal naar verwachting bij de uitvoering van de cyberbeveiligingscertificeringsregelingen weinig tot geen ruimte zijn voor het maken van beleidsmatige keuzes. Het is tevens te verwachten dat deze cyberbeveiligingscertificeringsregelingen snel in werking zullen treden. Dit wetsvoorstel bevat daarom een rechtsgrondslag om bepaalde zaken naar aanleiding van de cyberbeveiligingscertificeringsregelingen uit te werken in lagere regelgeving.

Verder kunnen er op grond van artikel 61, vijfde lid, van de cyberbeveiligingsverordening uitvoeringshandelingen vastgesteld worden voor de aanmelding door de nationale autoriteit van conformiteitsbeoordelingsinstanties bij de Europese Commissie. Dit wetsvoorstel bevat daarom een rechtsgrondslag om dergelijke zaken uit te (kunnen) werken in nadere regelgeving.

f) Rechtsbescherming

Zoals hierboven is toegelicht, kent het Nederlandse model twee procedures voor de uitgifte van Europese cyberbeveiligingscertificaten. De eerste procedure is dat cyberbeveiligingscertificaten met zekerheidsniveau basis of substantieel worden uitgegeven door een conformiteitsbeoordelingsinstantie. De tweede procedure is dat cyberbeveiligingscertificaten met zekerheidsniveau hoog worden uitgegeven door een conformiteitsbeoordelingsinstantie na goedkeuring door de nationale autoriteit.

Derhalve zijn er ook twee klachtenprocedures te onderscheidenwaarbij natuurlijke personen en rechtspersonen de klacht kunnen richten tot de conformiteitsbeoordelingsinstantie of de nationale autoriteit welke belast is met de uitgifte van het certificaat waarover de klacht zich richt.

Een klacht, welke verband houdt met de uitgifte van een cyberbeveiligingscertificaat met zekerheidsniveau ‘basis’ of ‘substantieel’ dient bij de conformiteitsbeoordelingsinstantie ingediend te worden. Conform de cyberbeveiligingsverordening dient deze instantie de mogelijkheid te bieden een klacht in te dienen en te behandelen.

Tevens kan een klacht over het handelen van een conformiteitsbeoordelingsinstantie bij de uitgifte van certificaten met zekerheidsniveau basis of substantieel, volgens reeds bestaande procedures, middels een melding worden ingediend bij de Raad voor Accreditatie. Op gelijke wijze kan bij de Raad voor Accreditatie een klacht worden ingediend indien het gaat om de uitgifte van een cyberbeveiligingscertificaat met zekerheidsniveau hoog, maar slechts voor zover zij een klacht over de beoordeling van de conformiteitsbeoordelingsinstantie betreft of een geschil betreft over het handelen van een conformiteitsbeoordelingsinstantie.

Een klacht, welke verband houdt met de uitgifte van een cyberbeveiligingscertificaat van een Europees cyberbeveiligingscertificaat met zekerheidsniveau hoog, dient bij de nationale autoriteit ingediend te worden voor zover deze klacht verband houdt met een besluit welke betrekking heeft op de uitgifte van een certificaat of nadat het goedkeuringsbesluit is genomen. Zoals reeds uiteengezet is, zijn goedkeuringsbesluiten van de nationale autoriteit besluiten in de zin van de Algemene wet bestuursrecht. Indien een klacht is gericht tegen een besluit van de nationale autoriteit, dient de klacht ingediend en behandeld te worden als bezwaar of beroep in de zin van de Algemene wet bestuursrecht.

Voorts schrijft de cyberbeveiligingsverordening voor om, onverminderd de bestuurlijke of buitengerechtelijke rechtsmiddelen, een doeltreffende voorziening te bieden voor klachten die verband houden met de (onjuiste) afgifte van een certificaat, en voor het verzuim om gevolg te geven aan deze klachten. In Nederland bestaan reeds deze mogelijkheden in het civiele recht.

Voor de afhandeling van klachten door een conformiteitsbeoordelingsinstantie geldt het civiele recht. Conformiteitsbeoordelingsinstanties zijn op grond van de voor hen geldende normen voor accreditatie verplicht een klachtenprocedure in te richten.1

Besluiten van de nationale autoriteit zijn besluiten in de zin van de Algemene wet bestuursrecht, waartegen bezwaar en beroep open zal staan. Indien bij de nationale autoriteit klachten worden ingediend over het ten onrechte wel of niet afgeven van een certificaat op zekerheidsniveau hoog kan dit worden aangemerkt als een bezwaar tegen het goedkeuringsbesluit van de nationale autoriteit of de weigering daarvan. Daarnaast kan door een ieder een klacht, ook buiten de termijn voor bezwaar en beroep worden ingediend, welke een signalerende werking kan hebben en kan nopen tot het verrichten van nader onderzoek door de autoriteit. Deze klacht zal worden beschouwd als een handhavingsverzoek.

Geschillen, welke vatbaar zijn voor beroep worden voorgelegd aan de bestuursrechter in de Rechtbank Rotterdam en in hoger beroep aan het College van Beroep voor het bedrijfsleven. De nationale autoriteit stelt de klager binnen een redelijke termijn in kennis van de voortgang en het resultaat van het onderzoek.

4. Regeldruk

Zoals hierboven reeds is toegelicht, is hier sprake van de implementatie van een Europese verordening, waarbij de nationale beleidsruimte beperkt is. In hoofdstuk III is de transponeringstabel opgenomen.

Met de cyberbeveiligingsverordening en onderhavige Uitvoeringswet wordt een Europees kader voor cyberbeveiligingscertificering voor ICT-producten, -diensten, en -processen opgericht. De verordening richt ook een EU-breed kader op, waarbinnen de vaststelling van Europese cyberbeveiligingscertificeringsregelingen tot stand moet gaan komen, en waarbij de Europese Commissie, Enisa en stakeholders (inclusief lidstaten) een rol vervullen. Op dit moment zijn er nog geen Europese cyberbeveiligingscertificeringsregelingen vastgesteld, en is het nog niet duidelijk hoe veel Europese cyberbeveiligingscertificeringsregelingen er zullen komen, op welke ICT-producten, -processen, of -diensten deze cyberbeveiligingscertificeringsregelingen betrekking zullen hebben, of hoe deze regelingen er uit zullen zien, en hoe veel er gebruik van zal worden gemaakt. Deze regeldruktoets richt zich op de regeldrukeffecten van de uitvoeringswet en het kader voor cyberbeveiligingscertificering binnen Nederland. Indien er lagere regelgeving wordt vastgesteld, onder meer naar aanleiding van Europese cyberbeveiligingscertificeringsregelingen, zullen daarbij de regeldrukeffecten in kaart worden gebracht.

De cyberbeveiligingsverordening en onderhavige Uitvoeringswet leidt niet tot extra regeldruk voor burgers. Voor bedrijven ligt dat iets anders. De cyberbeveiligingsverordening gaat in eerste instantie uit van certificering op basis van vrijwilligheid. Als bedrijven er voor kiezen hun ICT-producten, -diensten en -processen te laten certificeren, dan is daar wel tijd en geld mee gemoeid.

Het aantal bedrijven (en daarmee de totale kosten voor bedrijven) dat ICT-producten, -diensten en -processen in Nederland zal laten certificeren is op dit moment niet realistisch te schatten. Afhankelijk van de te ontwikkelen Europese cyberbeveiligingscertificeringsregelingen zijn de partijen die hun ICT-producten, -diensten of -processen kunnen laten certificeren in potentie zeer uiteenlopend. Het kunnen onder meer fabrikanten, importeurs of gebruikersorganisaties zijn van uiteenlopende groepen ICT-producten, -diensten en -processen. Deze aanbieders kunnen in Nederland gevestigd zijn, of in een andere lidstaat of buiten de Europese Unie. Daarnaast kunnen deze aanbieders kiezen voor certificering conform de uitvoeringsregelingen in een willekeurige lidstaat. Dus een Nederlandse aanbieder kan kiezen voor certificering in Nederland of in een andere lidstaat.

De specifieke kosten voor een certificering voortkomend uit de inschakeling van een conformiteitsbeoordelingsinstantie zijn niet op voorhand in te schatten. Deze kosten zijn afhankelijk de nog te ontwikkelen cyberbeveiligingscertificeringsregelingen en de aard en complexiteit van het te certificeren ICT-product, -dienst en -proces. Wel kan per certificering een indicatie worden gegeven van de kosten die voortkomen uit de generieke verplichtingen die de cyberbeveiligingsverordening oplegt. Overigens is ook bij de impact assessment op Europees niveau gekozen voor een kwalitatieve beschrijving van de impact.

a) Aanbieders

Op het moment dat een aanbieder kiest voor een cyberbeveiligingscertificaat van ICT-producten, -diensten en -processen, zijn er verplichtingen waaraan hij moet voldoen. Een deel van de verplichtingen komt mogelijk bovenop verplichtingen waar de aanbieder bij certificeringen in een ander kader aan moet voldoen.

Op grond van artikel 55 van de cyberbeveiligingsverordening dienen aanbieders de volgende informatie rondom hun ICT-producten, -diensten en -processen openbaar te maken:

  • a) richtsnoeren en aanbevelingen om eindgebruikers te helpen met de beveiligde configuratie, installatie, inzet, exploitatie en onderhoud van de ICT-producten of -diensten;

  • b) de periode gedurende welke beveiligingsondersteuning zal worden aangeboden aan eindgebruikers, met name wat betreft de beschikbaarheid van actualiseringen in verband met cyberbeveiliging;

  • c) contactgegevens van de fabrikant of aanbieder en aanvaarde methoden voor het ontvangen, van eindgebruikers en beveiligingsonderzoekers, van kwetsbaarheidsinformatie;

  • d) een verwijzing naar online registers van openbaar gemaakte kwetsbaarheden met betrekking tot het ICT-product, de ICT-dienst of het ICT-proces en met betrekking tot relevante cyberbeveiligingsadviesorganen.

Deze informatie wordt in elektronische vorm beschikbaar gesteld, blijft beschikbaar en wordt indien nodig bijgewerkt, ten minste tot het verstrijken van het overeenkomstige Europese cyberbeveiligingscertificaat of de overeenkomstige EU-conformiteitsverklaring. Aangenomen mag worden dat de aanbieder reeds beschikt over de bedoelde informatie en de extra handelingen de gestructureerde publicatie ervan betreft. De tijdsbesteding hiervan wordt ingeschat op 24 uur voor het eerste product en voor alle volgende producten 8 uur. Uitgaande van een standaarduurtarief (volgens het Handboek Meting Regeldrukkosten) van € 54,– komt dit neer op € 1.296,– voor het eerste product en € 432,– per volgend product. Aangezien het niet te voorspellen is hoeveel producten die aanbieders jaarlijks laten certificeren, kan geen schatting gemaakt worden van de totale kosten per aanbieder.

Ten behoeve van de Europese geldigheid van een Europees cyberbeveiligingscertificaat zijn aanbieders verplicht om na het voltooien van een traject voor certificering, het uitgereikte Europese cyberbeveiligingscertificaat of EU-conformiteitsverklaring aan te melden bij Enisa. Enisa registreert en publiceert namens de Europese Commissie het Europese cyberbeveiligingscertificaat of de EU-conformiteitsverklaring. Uitgaande van het idee dat aanmelding online via een e-formulier tezamen met het uploaden van een kopie-certificaat of EU-conformiteitsverklaring zal plaats vinden, wordt verwacht dat deze melding aan Enisa niet meer dan een uur in beslag neemt. Bij een standaarduurtarief (volgens het Handboek Meting Regeldrukkosten) van € 54,– komt dit neer op € 54,– per aanmelding. Aangezien het niet voorspelbaar is hoeveel producten die aanbieders jaarlijks laten certificeren kan geen schatting gemaakt worden van de totale kosten per aanbieder.

De nationale cyberbeveiligingscertificeringsautoriteit ziet toe op de naleving van eisen door de certificaathouders. Dit betekent dat de aanbieder, naast de activiteiten die een conformiteitsbeoordelingsinstantie normaliter en periodiek uitvoert in het kader van een certificering, te maken kan krijgen met verzoeken van de nationale autoriteit tot verantwoording en eventuele inspecties. De mate van deze toezichtlast is afhankelijk van het doel van de inspectie, het aantal Europese cyberbeveiligingscertificaten dat wordt gehouden en de complexiteit van het gecertificeerde ICT-product, -dienst of -proces. De omvang van deze toezichtlast voor de aanbieder kan daarom variëren van een halve werkdag tot meerdere werkdagen. Bij een standaarduurtarief (volgens het Handboek Meting Regeldrukkosten) van € 54,– komt dit neer op een last variërend van € 216,– tot € 2.160,– per inspectie. Aangenomen wordt dat er onder normale omstandigheden niet meer dan één keer per jaar een inspectie bij een aanbieder plaatsvindt, waarmee dit ook de totale lasten per jaar per aanbieder betreft.

Aan de hand van voorbeelden kan een indicatie worden gegeven van de mogelijke bandbreedtes van kosten van een individuele certificering ten aanzien van aanbieders. Daarbij moet worden opgemerkt dat de aanbieder de kosten van certificering doorgaans opneemt in de kosten van het aanbod en dat de afnemers van dit aanbod zich ook grotendeels buiten Nederland en Europa zullen bevinden. Daarbij geldt ook de verwachting dat naarmate het aanbod meer afnemers kent, het kostenverhogende effect per afnemer lager zal worden. Immers, het aanbod is onderhevig aan de normale marktwerking.

Aan de hand van de huidige praktijk rondom certificering van ICT-beveiligingsproducten kan er op basis van enkele aannames een grove inschatting gemaakt worden van de kosten van een individuele certificering van een ICT-product op de zekerheidsniveaus substantieel en hoog. Deze aannames zijn gebaseerd op ervaringen met certificeringen conform het huidig Nederlandse Schema voor de Certificatie van IT-beveiliging (NSCIB). NSCIB is erop gericht om in Nederland IT-producten te evalueren en certificeren volgens de zogenaamde internationale ‘Common Criteria’, ook wel bekend als ISO-standaard 15408/18405. De certificering van ICT-beveiligingsproducten aan de hand van NSCIB kan worden vergeleken met de certificering van ICT-producten met zekerheidsniveaus substantieel en hoog van de verordening. Het gaat om de volgende grove inschatting:

  • 20% van de certificatietrajecten zijn van het niveau substantieel en minder complex. De kosten daarvan variëren van € 100.000 tot € 250.000.

  • 80% van de certificatietrajecten zijn van het niveau hoog en complexer. De kosten daarvan variëren van € 250.000 tot € 500.000.

Er is een opwaartse ontwikkeling zichtbaar van het aantal certificeringen dat in Nederland wordt uitgevoerd.

Een ander voorbeeld voor een indicatie van de mogelijke bandbreedtes van kosten van een individuele certificering door aanbieders van clouddiensten. Hier worden de aannames gebaseerd op de Nederlandse praktijk, waarbij sinds 2016 een vrijwillig keurmerk voor clouddiensten (een particulier initiatief) is. Er zijn op dit moment 10 aanbieders met een keurmerk en er is nog geen duidelijke groei. Hoewel de verwachting is dat de Europese cyberbeveiligingsregeling onder de cyberbeveiligingsverordening zal afwijken van het Nederlandse keurmerk, is de verwachting ook dat er belangrijke elementen worden overgenomen en op grond hiervan een inschatting van de kosten van het certificatietraject kan worden gemaakt. Het is de verwachting dat de kosten van een certificeringstraject voor een clouddienst beduidend lager uitvallen dan de hiervoor beschreven certificering van ICT-beveiligingsproducten met zekerheidsniveau substantieel en hoog.

De kosten van een certificeringstraject van een clouddienst zijn afhankelijk van meerdere factoren, waaronder de complexiteit van de dienst, de omvang van de organisatie van de aanbieder en het volwassenheidsniveau van de organisatie ten aanzien van externe verantwoording.

Interne kosten zijn inspanningen die de organisatie moet leveren om bewijs te leveren van conformiteit en zijn voornamelijk afhankelijk van de omvang van een organisatie en het volwassenheidsniveau van de organisatie ten aanzien van externe verantwoording. Deze interne kosten laten zich in algemene zin berekenen. Wel is de verwachting dat een certificatietraject voor zekerheidsniveau substantieel lagere interne kosten met zich mee zal brengen dan voor het certificatietraject voor zekerheidsniveau hoog. De verwachting is daarom dat het merendeel van de aanbieders van clouddiensten zal kiezen voor een certificaat met zekerheidsniveau substantieel.

Het is op dit moment niet met zekerheid te zeggen of en in welke mate de externe kosten zullen verschillen voor een certificaat met zekerheidsniveau substantieel en een certificaat met zekerheidsniveau hoog. Voor het inschatten van de kosten kan daarom alleen gekeken worden naar complexiteit van de dienst. Het type onderzoek dat wordt gedaan door de conformiteitsbeoordelingsinstantie is naar verwachting enigszins vergelijkbaar met het onderzoek van de relevante ICT-omgeving in het kader van de jaarrekening van organisaties.

Een zachte raming van de externe certificeringskosten is gebaseerd op ervaringen betreffende vergelijkbare trajecten en op de volgende grove inschattingen:

  • 80% van de certificeringen betreft minder complexe clouddiensten (zekerheidsniveau substantieel). De externe kosten van een initiële- en her-certificering van een eenvoudige clouddienst bedragen € 15.000 tot € 25.000.

  • 20% van de certificeringen betreft een complexere clouddienst (zekerheidsniveau hoog). De externe kosten van een initiële- en her-certificeringen voor een meer complexe dienst bedragen € 25.000,– tot € 35.000,–.

  • De kosten van een tussenliggende audit bedragen ongeveer de helft van een initiële certificering.

Er is nog geen uitspraak te doen over de mate waarin de markt gebruik zal gaan maken van een Europese cyberbeveiligingscertificeringsregeling inzake clouddiensten.

De twee voorbeelden geven aan dat de kosten per certificering sterk kunnen verschillen. De daadwerkelijke kosten van een certificering worden bepaald door de eisen die een cyberbeveiligingscertificeringsregeling bevat per zekerheidsniveau, de complexiteit van een product, dienst of het proces dat wordt gecertificeerd, de aard van het product, dienst of proces dat moet worden gecertificeerd en de geldigheidsduur van een certificaat.

b) Conformiteitsbeoordelingsinstanties

De nationale keuze voor het goedkeuringsmodel (artikel 56, zesde lid, onderdeel a, van de cyberbeveiligingsverordening), voegt voor certificeringen op het zekerheidsniveau hoog enige verplichtingen voor een conformiteitsbeoordelingsinstantie toe.

In het goedkeuringsmodel doet de conformiteitsbeoordelingsinstantie (1) melding bij de nationale cyberbeveiligingscertificeringsautoriteit dat een certificeringstraject wordt gestart, (2) legt de conformiteitsbeoordelingsinstantie het onderzoeksplan ter goedkeuring voor aan de nationale autoriteit en (3) legt de conformiteitsbeoordelingsinstantie aan het einde van het traject het onderzoeksrapport en het bijhorende Europese cyberbeveiligingscertificaat dat zij voornemens is te verstrekken ter goedkeuring voor aan de nationale cyberbeveiligingscertificeringsautoriteit. Op deze momenten moet door de conformiteitsbeoordelingsinstantie bijbehorende en voor de goedkeuring noodzakelijke informatie worden verstrekt. Dit is echter informatie die gangbaar is voor een willekeurig certificeringstraject en dus niet specifiek voor die momenten moet worden vergaard of geproduceerd. Uitgaande van het idee dat de melding en de verzoeken om goedkeuring online via een e-formulier tezamen met het uploaden van de noodzakelijke informatie plaats zal vinden, zullen deze momenten ieder afzonderlijk naar verwachting niet meer dan een 1 uur in beslag nemen. Bij een standaarduurtarief (volgens het Handboek Meting Regeldrukkosten) van € 54,– komt dit neer op € 54,– per aanmelding en per verzoek om goedkeuring. Voor een volledig certificeringstraject komt dat neer op € 162,–.

Daarnaast wordt verwacht dat het in sommige gevallen noodzakelijk zal zijn om een conformiteitsbeoordelingsinstantie om toelichting te vragen op het onderzoeksrapport. Uitgaande van een gemiddelde over alle certificeringen op zekerheidsniveau hoog van 2 uur toelichting inclusief reistijd door de conformiteitsbeoordelingsinstantie per onderzoeksrapport en bij een standaarduurtarief (volgens het Handboek Meting Regeldrukkosten) van € 54,– komt dit neer op € 108,– per onderzoeksrapport.

De totale extra last voor een conformiteitsbeoordelingsinstantie wordt dan bij certificeringen op zekerheidsniveau hoog € 270,–. Het is een keuze van de conformiteitsbeoordelingsinstantie om deze kosten aan de aanbieder door te berekenen.

5. Advies en consultatie
5.1 Internetconsultatie:

Een eerdere versie van dit wetsvoorstel is opengesteld voor consultatie op www.internetconsultatie.nl en voor commentaar toegezonden aan belanghebbende organisaties. Hieronder volgt een globale bespreking van de reacties.

Goedkeuringsprocedure

Een aantal organisaties hadden een aantal opmerkingen over de goedkeuringsprocedure. Hieronder worden de opmerkingen op hoofdlijnen behandeld.

Een organisatie stelt dat artikel 3 van de uitvoeringswet, de melding, geen toegevoegde waarde heeft en tot vertraging kan leiden. In reactie hierop wil het kabinet benadrukken dat de nationale autoriteit met deze melding voorbereidingen kan treffen voor de stapsgewijze goedkeuringsprocedure en dat dit naar verwachting ten goede komt aan de doorlooptijd van de goedkeuringsprocedure.

Een organisatie stelt voor om de nationale autoriteit het onderzoeksplan a priori te laten goedkeuren, en pas na het uitbrengen van de conformiteitsverklaring te laten toetsen. Het kabinet acht aanpassing van het ontwerpwetsvoorstel hierop niet wenselijk. In het wetsvoorstel is bewust gekozen voor het goedkeuringsmodel met stapsgewijze goedkeuring, waarbij de nationale autoriteit het onderzoeksplan niet zonder beoordeling goedkeurt. Het gaat immers om ICT-producten, -diensten, en -processen met hoge veiligheidsrisico’s. Dit neemt niet weg dat er voor bepaalde categorieën ICT-producten, -diensten, en -processen omstandigheden kunnen zijn die aanleiding kunnen geven om van deze hoofdregel af te wijken. Dit dient bij ministeriële regeling geregeld te worden (artikel 4 lid 2 van de uitvoeringswet).

Kiwa Nederland BV ziet toegevoegde waarde in de procedure rondom het goedkeuringsbesluit, de autoriteit kan immers, indien nodig, tijdig interveniëren in het certificatietraject. Kiwa Nederland BV suggereert om vormvereisten verder te regelen in artikel 4 van de uitvoeringswet. Het kabinet merkt op dat het de voorkeur heeft om vormvereisten niet in een formele wet, maar in lagere regelgeving te regelen. Dit komt onder meer tot uitdrukking in artikel 4, vijfde lid van de uitvoeringswet. Tevens kunnen vormvereisten rechtstreeks uit een Europese cyberbeveiligingscertificeringsregeling volgen.

Twee organisaties merken op dat de beslistermijnen van de goedkeuringsprocedure (artikelen 4 en 5 van de uitvoeringswet) tot onnodige vertraging zullen leiden. Hierdoor kan mogelijk negatieve marktwerking in Nederland optreden. Daarbij roepen de organisaties op om voor bepaalde categorieën van ICT-producten, -diensten en -processen standaardprocedures te ontwikkelen met een vlotte doorlooptijd. Met betrekking tot de beslistermijnen merkt het kabinet op dat de gekozen termijnen maximale termijnen betreffen. De Awb stelt dat een besluit binnen een redelijke termijn genomen dient te worden en dat een termijn van acht weken als een redelijke termijn beschouwd kan worden. De nationale autoriteit dient binnen de gestelde termijn een besluit te nemen. Dit betekent dat de autoriteit eerder een besluit kan nemen. Het is daarbij de insteek dat de besluitvormingsprocessen binnen de autoriteit niet tot onnodige vertraging zullen gaan leiden. Verder zal de autoriteit standaardprocedures ontwikkelen, voor zover dit mogelijk is gelet op de betreffende certificeringsregeling.

Een organisatie vraagt of er gedurende de goedkeuringsprocedure contact kan plaatsvinden tussen de conformiteitsbeoordelingsinstantie en de nationale autoriteit. Hierop geeft het kabinet mee dat het mogelijk moet zijn dat een conformiteitsbeoordelingsinstantie en de nationale autoriteit informeel contact kunnen hebben.

Overig

Kiwa Nederland BV stelt dat artikel 7 van de uitvoeringswet zou moeten worden aangevuld met aanvullende regels waarbij wordt vastgesteld hoe er omgegaan wordt met bepaald situaties, zoals updates, hacks of patches. Het kabinet acht aanpassing van de uitvoeringswet niet wenselijk. Het is niet de doelstelling om dergelijke situaties in de uitvoeringswet te regelen, maar indien een Europese cyberbeveiligingscertificeringsregeling dit vereist kan dit middels een ministeriële regeling. Ook brengt Kiwa Nederland BV op dat hoofdstuk 4 van de uitvoeringswet niet ingaat op concepten zoals continuous compliance en market surveillance activities. Ten aanzien hiervan merkt het kabinet op dat de cyberbeveiligingsverordening de nationale autoriteit niet beperkt in haar methodiek omtrent toezicht. De nationale autoriteit zal dan ook onverkort de hedendaagse methodes kunnen toepassen.

Cyberveilig Nederland merkt op dat de nationale autoriteit over voldoende personele middelen dient te beschikken. Ook merkt Cyberveilig Nederland op dat kwaliteitseisen aan certificaten zoveel mogelijk in wet- en regelgeving vastgelegd moeten worden. Daarnaast dient certificering van zekerheidsniveau hoog verplicht te worden. Met betrekking tot personele middelen spant het kabinet zich in om de nationale autoriteit over voldoende capaciteit te laten beschikken. De kwaliteitseisen van certificaten zullen naar verwachting volgen uit de betreffende Europese cyberbeveiligingscertificeringsregelingen. Verder zal het kabinet in Europees verband zich ertoe inspannen dat de betreffende cyberbeveiligingscertificeringsregelingen een verplicht karakter krijgen. Hierbij moet opgemerkt worden dat de Europese Commissie ook eerder dan 31 december 2023 certificeringsregelingen verplicht kan stellen.

5.2 Advies van het Adviescollege Toetsing Regeldruk:

Het Adviescollege Toetsing Regeldruk (ATR) heeft advies uitgebracht. ATR heeft geadviseerd om de regeldrukberekening voor fabrikanten en leveranciers aan te vullen. De regeldrukparagraaf is hierop aangepast.

Daarnaast heeft ATR geadviseerd om aan de hand van scenario’s een indicatie van de totale regeldrukgevolgen in kaart te brengen van verplichte certificering van ICT-producten, -diensten en -processen. Ten aanzien hiervan merkt het kabinet ten eerste op dat de Europese Commissie uiterlijk einde 2023 een eerste afweging dient te maken over verplichte certificering van groepen ICT-producten, -diensten en -processen. De Europese gedachtewisseling daarover moet nog op gang komen. In Europees verband zal het kabinet zich ertoe inspannen dat de betreffende certificeringsregelingen zo lastenluw mogelijk zullen worden vormgegeven. Verder dient opgemerkt te worden dat het in deze fase niet mogelijk is om de totale regeldrukgevolgen van verplichte certificering in kaart te brengen wegens een groot aantal onbekende variabelen. Zo is onder meer de reikwijdte van de cyberbeveiligingscertificeringsregelingen die ontwikkeld worden nog niet bekend, zodat het niet mogelijk is om aan te geven welke ICT-producten, -diensten en -processen hieronder vallen of welke aanbieders hier gebruik van zullen maken.

De cyberbeveiligingsverordening maakt het mogelijk om cyberbeveiligingscertificeringsregelingen te ontwerpen voor alle ICT-producten, -diensten en -processen. Dit betekent dat de verordening betrekking kan hebben op alle aanbieders van ICT-producten, -diensten en -processen met commerciële activiteiten op het grondgebied van de Europese Unie, nu en in de toekomst.

5.3 Advies van de Raad voor de rechtspraak:

De Raad voor de rechtspraak heeft advies uitgebracht. De Raad heeft geen zwaarwegende bezwaren, maar verzoekt om verduidelijking van enkele onderdelen op het gebied van rechtsbescherming. Kort samengevat vraagt de Raad verduidelijking over welke rechter wanneer bevoegd is, waarover de rechter een oordeel dient te vellen (de rechtsgrond), en wat het toepasselijke toetsingskader is.

De paragraaf rechtsbescherming in het wetsvoorstel is aangepast om dit te verduidelijken voor de civielrechtelijke en bestuursrechtelijke rechtsbescherming.

5.4 Uitvoering- en handhaafbaarheidstoets van Agentschap Telecom:

Agentschap Telecom (AT), de beoogde autoriteit, heeft het voorstel getoetst op uitvoerbaarheid en handhaafbaarheid. AT acht het voorstel uitvoerbaar en handhaafbaar. AT merkt op dat het noodzakelijk is dat het wetsvoorstel een bepaling bevat waarin wordt bepaald dat die de informatie welke de autoriteit verkrijgt in het kader van haar taakuitvoering niet onder de Wet openbaarheid van bestuur en Wet Open Overheid valt. Het wetsvoorstel is daarop aangepast. De uitzondering op de Wet Openbaarheid van Bestuur en de Wet Open Overheid is beperkt tot documenten verkregen op grond van de taakuitvoering voor certificaten met zekerheidsniveau ‘hoog’. Tevens adviseert AT een grondslag op te nemen waarin certificering op nationaal niveau kan worden verplicht. Dit voorstel wordt niet overgenomen. Ten aanzien hiervan dient opgemerkt te worden dat Nederland inzet op verplichte certificering op Europees niveau, hiermee wordt fragmentatie voorkomen.

II. Artikelen

Artikel 1

De begrippen conformiteitsbeoordelingsinstantie, Europees cyberbeveiligingscertificaat en Europese cyberbeveiligingscertificeringsregeling hebben dezelfde betekenis als in de cyberbeveiligingsverordening. Hoewel de verordening rechtstreeks werkt en dus ook de uitleg van de begrippen bij toepassing van de verordening rechtstreeks werkt, is, omdat deze begrippen zelfstandig in dit wetsvoorstel worden gebruikt en om misverstanden te voorkomen, aangegeven dat de uitleg dezelfde is als in de cyberbeveiligingsverordening.

Onder conformiteitsbeoordelingsinstantie verstaat de cyberbeveiligingsverordening een conformiteitsbeoordelingsinstantie als gedefinieerd in artikel 2, punt 13, van Verordening (EG) nr. 765/2008. In de laatstgenoemde verordening is het begrip conformiteitsbeoordelingsinstantie gedefinieerd als ‘een instantie die conformiteitsbeoordelingsactiviteiten verricht, zoals onder meer ijken, testen, certificeren en inspecteren. Conformiteitsbeoordelingen zijn beoordelingen van producten, processen, diensten, systemen, personen en instanties aan de hand van vastgestelde eisen’ (artikel 2, punt 12, van Verordening (EG) nr. 765/2008).

Onder Europees cyberbeveiligingscertificaat verstaat de cyberbeveiligingsverordening ‘een door een bevoegde instantie afgegeven document waarin wordt bevestigd dat is geëvalueerd of een bepaald ICT-product, een bepaalde ICT-dienst of een bepaald ICT-proces voldoet aan de specifieke, in een Europese cyberbeveiligingscertificeringsregeling vastgestelde beveiligingsvoorschriften’ (artikel 2, onderdeel 11, van de cyberbeveiligingsverordening).

Onder Europese cyberbeveiligingscertificeringsregeling verstaat de cyberbeveiligingsverordening ‘een uitvoerige reeks voorschriften, technische vereisten, normen en procedures die door een nationale overheidsinstantie zijn ontwikkeld en vastgesteld en die van toepassing zijn op de certificering of conformiteitsbeoordeling van ICT-producten, -diensten en -processen die onder het toepassingsgebied van de specifieke regeling vallen’. Europese cyberbeveiligingscertificeringsregelingen zullen door de Europese Commissie als uitvoeringshandelingen worden vastgesteld op grond van artikel 49, zevende lid, van de cyberbeveiligingsverordening.

Artikel 2

Onze Minister van Economische Zaken en Klimaat wordt aangewezen als nationale cyberbeveiligingscertificeringsautoriteit in Nederland. Zie hoofdstuk I, punt 2, paragraaf b, voor nadere toelichting over de taken en bevoegdheden van een nationale cyberbeveiligingscertificeringsautoriteit.

Artikelen 3 tot en met 6

Zoals eerder toegelicht in hoofdstuk 1, punt 3, paragraaf c, is in Nederland gekozen voor de afgifte van Europese cyberbeveiligingscertificaten voor zekerheidsniveau hoog door de conformiteitsbeoordelingsinstanties nadat elk individueel certificaat door de nationale autoriteit is goedgekeurd (artikel 56, zesde lid, onderdeel a, van de cyberbeveiligingsverordening). In het wetsvoorstel wordt de verantwoordelijkheid voor de goedkeuring van cyberbeveiligingscertificaten voor zekerheidsniveau hoog gelegd bij Onze Minister van Economische Zaken en Klimaat. De artikelen 3 tot en met 6 hebben betrekking op diverse aspecten van de goedkeuring van een af te geven Europees cyberbeveiligingscertificaat door Onze Minister van Economische Zaken en Klimaat.

De artikelen 3 tot en met 5 bevatten de grondslag om, indien nodig, nadere regels te stellen ter uitvoering van de goedkeuringsprocedure.

Artikel 4, tweede lid, geeft een grondslag om bij ministeriële regeling te bepalen dat in bepaalde gevallen een onderzoeksplan geen goedkeuring behoeft. Van deze bevoegdheid zal gebruik worden gemaakt wanneer uit de Europese cyberbeveiligingscertificeringsregeling al ondubbelzinnig volgt hoe de aanpak van het onderzoek eruit moet zien. Het goedkeuren van het onderzoeksplan heeft dan geen toegevoegde waarde en zorgt voor onnodige vertraging.

Met artikel 6 wordt uitvoering gegeven aan artikel 56, zesde lid, onderdeel a, van de cyberbeveiligingsverordening.

Artikel 7

De cyberbeveiligingsverordening geeft de Europese Commissie de bevoegdheid om door middel van uitvoeringshandelingen Europese cyberbeveiligingscertificeringsregelingen vast te stellen en de omstandigheden, vormen en procedures vast te leggen waarmee de nationale cyberbeveiligingscertificeringsautoriteiten de Commissie in kennis moeten stellen van de conformiteitsbeoordelingsinstanties die geaccrediteerd en, waar nodig, toegelaten zijn om Europese cyberbeveiligingscertificaten af te geven. Dit artikel voorziet in een delegatiegrondslag voor regels ter uitvoering van deze uitvoeringshandelingen indien en voor zover dat nodig is voor een goede uitvoering van de cyberbeveiligingsverordening of een Europese cyberbeveiligingscertificeringsregeling.

Artikel 10

Met dit artikel wordt uitvoering gegeven aan artikel 58, achtste lid, onderdeel c, van de cyberbeveiligingsverordening. Op grond daarvan moet de nationale autoriteit over de bevoegdheid beschikken om passende maatregelen te nemen om ervoor te zorgen dat conformiteitsbeoordelingsinstanties, houders van Europese cyberbeveiligingscertificaten en afgevers van EU-conformiteitsverklaringen de cyberbeveiligingsverordening of een Europese cyberbeveiligingscertificeringsregeling naleven.

Artikel 11

Met dit artikel wordt uitvoering gegeven aan artikel 58, achtste lid, onderdeel e, van de cyberbeveiligingsverordening, door Onze Minister van Economische Zaken en Klimaat bevoegd te maken voor de intrekking van de op grond van artikel 5, derde lid, door de Minister afgegeven goedkeuring indien het certificaat niet voldoen aan de cyberbeveiligingsverordening of de een Europese cyberbeveiligingscertificeringsregeling.

Artikel 12

Met dit artikel wordt uitvoering gegeven aan artikel 58, achtste lid, onderdeel f, van de cyberbeveiligingsverordening.

Artikel 13

Met dit artikel wordt uitvoering gegeven aan artikel 65 van de cyberbeveiligingsverordening en ook een boetemogelijkheid opgenomen voor overtreding van de medewerkingsplicht van artikel 5:20 van de Algemene wet bestuursrecht.

Het tweede lid bepaalt dat de boete ten hoogste € 900.000 per overtreding bedraagt. Als doelstelling geldt dat de hoogte van de boete evenredig is aan de ernst van de gepleegde overtreding en voldoende afschrikwekkend is voor zowel de overtreder (specifieke preventie) als andere potentiële overtreders (generieke preventie). De hoogte van de boete wordt, voor zover van toepassing, in ieder geval afgestemd op de ernst van de overtreding, de mate waarin deze aan de overtreder kan worden verweten, en de omstandigheden waaronder de overtreding is gepleegd.

Het wettelijk boetemaximum van € 900.000 geldt op dit moment voor overtredingen van de Wet handhaving consumentenbescherming en de Telecommunicatiewet (waaronder ook essentiële eisen voor radioapparaten), welke kunnen worden gezien als aangrenzende rechtsgebieden, die net als de cyberbeveiligingsverordening betrekking hebben op de bescherming van de consumentenbelangen, en veiligheid van producten, diensten, en processen. Om eenheid in de hoogte van geldboetes te waarborgen is in dit wetsvoorstel gekozen voor een absoluut boetemaximum van € 900.000.

Artikel 14

Onze Minister van Economische Zaken en Klimaat wordt in het wetsvoorstel aangewezen als nationale autoriteit en is daarmee verantwoordelijk voor het vervullen van in de cyberbeveiligingsverordening aan die autoriteit toegekende taken. In het eerste lid wordt voorgesteld om ten aanzien van de werkzaamheden of diensten die de Minister ter uitvoering van de cyberbeveiligingsverordening verricht de mogelijkheid bieden om een vergoedingsregeling in leven te kunnen roepen. In aanvulling hierop wordt in het tweede lid voorgesteld om kosten van het toezicht op de naleving van deze wet en gerelateerde lagere regelgeving en de verordening te kunnen doorberekenen. Beide bepalingen zijn facultatief. Vooralsnog worden deze bepalingen niet geeffectueerd om daadwerkelijk kosten door te berekenen. Het facultatieve karakter maakt het echter mogelijk om na een evaluatie hier wel toe over te gaan.

Het voorgestelde artikel 14 biedt een algemeen kader om bij of krachtens algemene maatregel van bestuur regels te stellen over de vergoeding die is verschuldigd door degene ten behoeve van wie werkzaamheden of diensten zijn verricht. In lijn met het rapport Maat Houden dient de vergoeding verband te houden met de desbetreffende werkzaamheden of diensten.2 Voor de uitvoering van het onderhavige wetsvoorstel is doorberekening van toelatings- en handhavingskosten van aanmerkelijk belang. Een belangrijk argument hiervoor is dat mag worden verwacht dat een bedrijf een zeker belang of voordeel zal hebben bij de door de overheid te verrichten toelatings- of handhavingsactiviteiten.

Het rapport Maat Houden maakt een onderscheid tussen het doorberekenen van kosten op het vlak van toelatingsactiviteiten en toezicht op de niet-naleving. Het goedkeuren van een certificaat kan ook als toelatingsactiviteit beschouwd worden. Voor toelatingskosten geldt dat deze bij particulieren in rekening kunnen worden gebracht, omdat er sprake is van een individueel toerekenbaar voordeel. Ook in het voorgestelde eerste lid van artikel 14 wordt hiervan uitgegaan.

Het tweede lid heeft betrekking op het doorberekenen van de kosten van het toezicht op naleving. In het algemeen wordt gesteld dat dergelijke kosten niet doorberekend kunnen worden. Echter, op grond van het profijtbeginsel kan er sprake zijn van een uitzondering hierop waardoor handhavingsactiviteiten toch doorberekend kunnen worden. Er is onder meer sprake van profijt wanneer de handhavingsactiviteiten leidt tot een groter vertrouwen in de producten, processen en diensten van de ondertoezichtgestelden. Dit vertrouwen leidt ertoe dat de producten, processen en diensten ook daadwerkelijk worden afgenomen. Hiervan profiteert een beperkt aantal partijen.

Daarnaast leiden de handhavingsactiviteiten ook tot een onderling sterker vertrouwen onder de ondertoezichtgestelden: de aanbieders, fabrikanten en conformiteitsbeoordelingsinstanties. Er is immers sprake van een vrijwillig certificeringsstelsel, aanbieders en fabrikanten kunnen producten, diensten of processen vrijwillig laten certificeren. De toepassing van handhavingsactiviteiten leiden ertoe dat er meer vertrouwen ontstaat in het stelsel.

Indien er sprake is van toepassing van het profijtbeginsel, en er op basis van een voldoende zorgvuldige onderbouwing wordt besloten tot (gedeeltelijke) doorberekening van kosten dan worden hierbij de uitgangspunten uit het rapport Maat Houden gehanteerd.

Via lagere regelgeving dient de mogelijkheid om kosten door te berekenen verder uitgewerkt te worden. Zoals opgemerkt zal er vooralsnog geen lagere regelgeving op dit terrein ontwikkeld worden. Er zal vooralsnog dan ook geen sprake zijn van doorberekening. Op dit moment is er ook geen aanleiding of noodzaak om dit te doen. Deze bepaling geeft echter een optie om alsnog hiertoe over te gaan indien het nodig blijkt om kosten door te berekenen (bijvoorbeeld na evaluatie).

Artikel 16

In artikel 7 van bijlage 2 bij de Algemene wet bestuursrecht wordt de rechtbank Rotterdam aangewezen als bevoegde rechtbank voor beroep in eerste instantie. In artikel 11 van die bijlage wordt het College van Beroep voor het bedrijfsleven aangewezen als hoger beroepsinstantie. De reden om één bevoegde rechtbank aan te wijzen, is dat er specifieke kennis is vereist voor de toepassing van de bepalingen uit dit wetsvoorstel en de cyberbeveiligingsverordening. Naar verwachting zal het aantal (hoger) beroepen op grond van deze wetgeving te beperkt zijn om bij elke rechtbank in Nederland voldoende specialisatie te verkrijgen en te behouden, en eenheid in de gerechtelijke uitspraken te waarborgen. Er is voor de rechtbank Rotterdam gekozen, omdat deze rechtbank reeds op verschillende terreinen van het economisch publiekrecht als de bevoegde bestuursrechter is aangewezen. Daarbij kan bijvoorbeeld worden gedacht aan de bevoegdheid in het kader van de Wet handhaving consumentenbescherming, de Telecommunicatiewet, en de Wet beveiliging netwerk- en informatiesystemen. In lijn met deze reeds bestaande bevoegdheid is de rechtbank Rotterdam een voor de hand liggende keuze. Tegen een uitspraak van de rechtbank Rotterdam staat om diezelfde reden hoger beroep open bij het College van Beroep voor het bedrijfsleven.

Artikel 18

Gelet op toepasselijkheid van de Cyberbeveiligingsverordening vanaf 28 juni 2021 voor de artikelen waar uitvoering aan wordt gegeven door middel van de onderhavige wet, kan het beleid inzake vaste verandermomenten niet worden gevolgd, zowel ten aanzien van het moment van inwerkingtreding als het moment van publicatie.

III. Implementatietabel

Verordening 2019/881/EU

Bepaling in implementatieregeling of bestaande regeling

Omschrijving beleidsruimte

Toelichting op de keuze(n) bij de invulling van de beleidsruimte

Artikelen t/m 46

Rechtstreekse werking volstaat.

   

Artikel 47

De bepaling richt zich tot de Europese Commissie.

   

Artikel 48

De bepaling richt zich tot de Europese Commissie.

   

Artikel 49, eerste tot en met zesde lid, achtste lid, eerste volzin

De bepalingen richten zich tot ENISA.

   

Artikel 49, zevende lid en achtste lid, tweede volzin

De bepalingen richten zich tot de Europese Commissie.

Lid 7: via ministeriële regeling op grond van artikel 7

   

Artikel 50

De bepaling richt zich tot ENISA.

   

Artikel 51

Rechtstreekse werking volstaat. OF De bepaling richt zich tot de Europese Commissie en ENISA?

   

Artikel 52, eerste lid

Rechtstreekse werking volstaat. OF De bepaling richt zich tot de Europese Commissie en ENISA?

   

Artikel 53, eerste tot en met derde lid

Rechtstreekse werking volstaat.

   

Artikel 53, vijfde lid

Feitelijke uitvoering. Waarborging naleving op basis van Wet Naleving Europese regelgeving publieke entiteiten.

   

Artikel 54,

Rechtstreekse werking volstaat.

   

Artikel 55

Rechtstreekse werking volstaat.

   

Artikel 56, eerste, tweede, vierde lid

Rechtstreekse werking volstaat.

   

Artikel 56, derde lid

De bepalingen richten zich tot de Europese Commissie.

   

Artikel 56, vijfde

Rechtstreekse werking volstaat.

   

Artikel 56, zesde lid

Artikelen 3 t/m 6

De lidstaat dient een keuze te maken voor een model voor de afgifte van een Europees cyberbeveiligingscertificaat met zekerheidsniveau hoog. De lidstaat kiest voor a) afgegeven door een nationale cyberbeveiligingscertificeringsautoriteit, of, (b) door een conformiteitsbeoordelingsinstantie nadat de nationale cyberbeveiligingscertificeringsautoriteit elk door de conformiteitsbeoordelingsinstantie afgegeven individueel Europees cyberbeveiligingscertificaat heeft goedgekeurd, of (c) door een conformiteitsbeoordelingsinstantie op basis van een algemene delegatie.

Zie ook hoofdstuk I, punt 3, paragraaf c

Artikel 56, zevende, achtste, negende lid

Rechtstreekse werking volstaat.

   

Artikel 56, tiende lid

Feitelijke uitvoering. Waarborging naleving op basis van Wet Naleving Europese regelgeving publieke entiteiten

   

Artikel 57, eerste, tweede en vierde lid

Feitelijke uitvoering. Waarborging naleving op basis van Wet Naleving Europese regelgeving publieke entiteiten.

   

Artikel 57, derde lid

Rechtstreekse werking volstaat.

   

Artikel 58, eerste, lid

Artikel 2

Iedere lidstaat wijst één of meer nationale cyberbeveiligingscertificeringsautoriteiten op zijn grondgebied aan, of wijst, in onderlinge overeenstemming met een andere lidstaat, één of meer in die andere lidstaat gevestigde nationale cyberbeveiligingscertificeringsautoriteiten aan die verantwoordelijk zijn voor de toezichthoudende taken in de aanwijzende lidstaat.

Zie ook hoofdstuk I, punt 3, paragraaf a

Artikel 58, tweede, drie, vierde, vijfde, zesde en negende lid

Feitelijke uitvoering. Waarborging naleving op basis van Wet Naleving Europese regelgeving publieke entiteiten.

   

Artikel 58, zevende lid, onder a en b, d, e, f

Rechtstreekse werking volstaat

   

Artikel 58, zevende lid, onder c, g, h en i

Rechtstreekse werking volstaat.

   

Artikel 58, achtste lid, onder a

rechtstreekse werking volstaat.

   

Artikel 58, achtste lid, onder b

rechtstreekse werking volstaat.

   

Artikel 58, achtste lid, onder c

Artikel 10

Elke nationale cyberbeveiligingscertificeringautoriteit beschikt ten minste over de volgende bevoegdheden: het nemen van passende maatregelen, overeenkomstig het nationale recht, om ervoor te zorgen dat conformiteitsbeoordelingsinstanties, houders van Europese cyberbeveiligingscertificaten en afgevers van EU-conformiteitsverklaringen deze verordening of een Europese regeling voor cyberbeveiligingscertificering naleven;

Zie ook hoofdstuk I, punt 2, paragraaf b

Artikel 58, achtste lid, onder d

Artikel 5:15, Algemene wet bestuursrecht

   

Artikel 58, achtste lid, onder e

Artikel 11

Elke nationale cyberbeveiligingscertificeringautoriteit beschikt ten minste over de volgende bevoegdheden: het overeenkomstig nationaal recht intrekken van door de nationale cyberbeveiligingscertificeringsautoriteit of overeenkomstig artikel 56, lid 6, door conformiteitsbeoordelingsinstanties afgegeven Europese cyberbeveiligingscertificaten die niet voldoen aan deze verordening of een Europese cyberbeveiligingscertificeringsregeling;

Zie ook hoofdstuk I, punt 2, paragraaf b

Artikel 58, achtste lid, onder f

Artikelen 12 en 13

Elke nationale cyberbeveiligingscertificeringautoriteit beschikt ten minste over de volgende bevoegdheden: de oplegging overeenkomstig nationaal recht van in artikel 65 bedoelde sancties en het eisen dat onmiddellijk een einde wordt gemaakt aan de niet-nakoming van de verplichtingen van deze verordening.

Zie ook hoofdstuk I, punt 2, paragraaf b

Artikel 58, negende lid

Rechtstreekse werking volstaat.

   

Artikel 59

Rechtstreekse werking volstaat.

   

Artikel 60,

Rechtstreekse werking volstaat.

   

Artikel 61, eerste lid, vierde lid, eerste volzin

Feitelijke uitvoering. Waarborging naleving op basis van Wet Naleving Europese regelgeving publieke entiteiten.

   

Artikel 61, tweede en derde lid, vierde lid, tweede volzin, en vijfde lid

De bepalingen richten zich tot de Europese Commissie.

Lid 5: via ministeriële regeling op grond van artikel 7

   

Artikel 62

De bepalingen richten zich tot de Europese Groep voor cyberbeveiligingscertificering en de Europese Commissie.

   

Artikel 63, eerste lid

Rechtstreekse werking volstaat.

   

Artikel 63, tweede lid

Rechtstreekse werking volstaat.

Of

De bepaling is reeds geïmplementeerd door middel van bestaand recht (Algemene wet bestuursrecht en Wetboek van Burgerlijke Rechtsvordering, Eerste boek)

   

Artikel 64

Feitelijke uitvoering

   

Artikel 65, eerste en tweede volzin

Artikel 13

De lidstaten stellen voorschriften vast betreffende sancties voor inbreuken op deze titel en voor inbreuken op Europese cyberbeveiligingscertificeringsregelingen en treffen alle nodige maatregelen om ervoor te zorgen dat die sancties worden toegepast. De vastgestelde sancties zijn doeltreffend, evenredig en afschrikkend.

Zie ook hoofdstuk I, punt 3, paragraaf d

Artikel 65, derde volzin

Rechtstreekse werking volstaat.

   

Bijlage

Rechtstreekse werking volstaat.

   

De Staatssecretaris van Economische Zaken en Klimaat,


X Noot
1

Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (cyberbeveiligingsverordening), PbEU 2019, L 151.

X Noot
2

Paragraaf 5.4 Uitvoering- en handhaafbaarheidstoets van Agentschap Telecom, voorstel.

X Noot
3

Paragraaf 5.2 Advies van het Adviescollege Toetsing Regeldruk, voorstel.

X Noot
4

Zie de Nederlandse Cyber Security Agenda, Nederland digitaal veilig, 21 april 2018, p. 27 – 28 en Voortgang Nederlandse Cyber Security Agenda, 18 juli 2019, p. 3.

X Noot
5

Idem.

X Noot
6

Artikel 52 van de cyberbeveiligingsverordening.

X Noot
7

Vergelijk de subjectieve en objectieve conformiteitsvereisten bij levering aan consumenten van ICT-producten of -diensten: artikelen 7, onderdeel d, en 8, leden 2 en 3, van Richtlijn (EU) 2019/770 van het Europees Parlement en de Raad van 20 mei 2019 betreffende bepaalde aspecten van overeenkomsten voor de levering van digitale inhoud en digitale diensten, PbEU 2019, L 136, blz. 1, alsmede artikelen 6, onderdeel d, en 7, leden 3 en 4, van Richtlijn (EU) 2019/771 van het Europees Parlement en de Raad van 20 mei 2019 betreffende bepaalde aspecten van overeenkomsten voor de verkoop van goederen, PbEU 2019, L 136, blz. 28.

X Noot
8

Paragraaf 5.1 Internetconsultatie, voorstel.

X Noot
9

Artikel 58, achtste lid, onderdeel e, van de cyberbeveiligingsverordening.

X Noot
10

Artikel 11 voorstel.

X Noot
1

De verplichting voor een CBI en testlaboratorium om een klachtenprocedure in te richten is als gemeenschappelijke ISO/CASCO-element in de relevante normen die voor accreditatie worden gebruikt (w.o., EN-ISO/IEC 17065, EN-ISO/IEC 17021-1 en EN-ISO/IEC 7025) opgenomen.

Naar boven