Advies Raad van State inzake het voorstel van wet, houdende regels ter bevordering van de digitale weerbaarheid van bedrijven (Wet bevordering digitale weerbaarheid bedrijven)

MEMORIE VAN TOELICHTING

A. Algemeen

1. Inleiding

Dit wetsvoorstel regelt de taken en bevoegdheden van de Minister van Economische Zaken en Klimaat (hierna: Minister van EZK) op het gebied van de verbetering van de digitale weerbaarheid van het niet-vitale bedrijfsleven in Nederland. Binnen het ministerie van Economische Zaken en Klimaat (hierna: het ministerie van EZK) is om dit doel te bewerkstelligen, in overeenstemming met de motie Hijink/Tellegen1, in 2017 het Digital Trust Center (hierna: DTC) opgericht. Aanleiding voor deze motie was de kamerbrede behoefte aan een centrum dat ‘bedrijven en maatschappelijke organisaties kan informeren en adviseren over én concrete hulp en ondersteuning kan bieden bij het verbeteren van hun cybersecurity en bij het afslaan van aanvallen door hackers’. Deze behoefte heeft zijn oorsprong onder meer in het besef dat de kansen van digitalisering alleen optimaal kunnen worden benut wanneer de digitale veiligheid op orde is. Zo niet dan kan zelfs het voortbestaan van een bedrijf in gevaar komen en de Nederlandse concurrentiepositie verzwakken. Het DTC heeft dan ook als missie bedrijven weerbaarder te maken tegen cyberdreigingen. Hiertoe zijn twee hoofdtaken geformuleerd. Ten eerste informatie en advies geven. Ten tweede samenwerking tussen bedrijven op het gebied van digitale weerbaarheid bevorderen. Het DTC is onderdeel van de Directie Digitale Economie (DDE), vallend binnen het Directoraat Generaal Bedrijfsleven en Innovatie (DGB&I) binnen het ministerie van EZK.

Vanuit het DTC wordt nu voornamelijk algemene informatie over digitale dreigingen en incidenten aan het niet-vitale bedrijfsleven gegeven. Er is echter ook behoefte om het bedrijfsleven over specifieke digitale dreigingen en kwetsbaarheden te informeren. Verwacht mag worden dat bedrijven bij een voor hen concrete bedreiging eerder naar hun digitale weerbaarheid zullen kijken waar dit nu nog uit blijft bij een meer generieke waarschuwing. Ook zal bij informatie over een specifieke dreiging door het DTC een zo praktisch mogelijk handelingsperspectief worden aangereikt zodat het bedrijf ook weet welke vervolgstap(pen) het kan nemen. Deze uitbreiding van de informatievoorziening vraagt een verdere inbedding van de taken en bevoegdheden van het DTC. Met dit wetsvoorstel worden de taken van het DTC alsook de daaraan gekoppelde bevoegdheid van een formele wettelijke grondslag voorzien. Naast de eerdergenoemde taken op het gebied van het verstrekken van algemene informatie en stimuleren van samenwerking die al op basis van de motie Hijink/Tellegen worden uitgevoerd, omvat dit ook de taak voor het delen van specifieke dreigingsinformatie. In het laatste geval kan het voorkomen dat het DTC bij het ontvangen, verwerken en delen van (dreigings)informatie, persoonsgegevens verwerkt. Door te voorzien in een formele wettelijke grondslag voor de taken en de daaraan gekoppelde bevoegdheden ontstaat tevens een expliciete wettelijke grondslag voor het DTC om in het kader van de taakuitvoering persoonsgegevens te verwerken.

Met dit wetsvoorstel ontstaat er, naast de reeds bestaande bevoegdheden op grond van de Wet beveiliging netwerk en informatiesystemen (Wbni), een nieuwe wettelijke taak voor de Minister van EZK.

2. Hoofdlijnen van het voorstel

2.1 Aanleiding

Uit jaarlijks onderzoek van het Centraal Bureau voor de Statistiek (CBS) 2 blijkt dat digitalisering ver is doorgedrongen in het Nederlandse bedrijfsleven. Echter, de digitale weerbaarheid van diezelfde bedrijven is nog geen vanzelfsprekendheid. De cijfers tonen aan dat digitalisering en de daaraan gekoppelde weerbaarheid niet alleen afhankelijk zijn van de omvang van een bedrijf. Zo zijn er voorbeelden in het grootbedrijf, bij het mkb en zzp’ers, waaruit blijkt dat zij de digitale weerbaarheid op orde hebben. Echter, uit onderzoek van het CBS blijkt dat bedrijven, ondanks hun omvang toch slachtoffer blijven van digitale verstoringen en aanvallen3. Met de verder doordringende digitalisering wordt de potentiële schade aan het bedrijfsleven, bij het achterblijven van digitale veiligheid en beveiliging, steeds groter. Digitalisering creëert ook nieuwe onderlinge afhankelijkheden bij bedrijven, niet alleen tussen digitale systemen, maar ook in de (digitale) (leveranciers)keten. Het belang van digitale veiligheid en beveiliging groeit omdat de (on)veiligheid van het ene bedrijf, via deze verbindingen invloed kan hebben op de (on)veiligheid eerder of verderop in de keten zo blijkt ook uit de waarschuwing in het Cyber Security Beeld Nederland 2021 (CSBN 2021)4. Via het CIO-platform hebben bedrijven met een brief aan de Minister van Justitie en Veiligheid (hierna: de Minister van JenV)5 gevraagd om te zorgen voor informatiedeling vanuit de overheid met bedrijven als de overheid beschikt over relevante informatie over dreigingen, kwetsbaarheden en incidenten. Op dit moment informeert de overheid door middel van de bestaande structuren, op basis van de Wbni, zowel de rijksoverheid als specifieke doelgroepen binnen het Nederlandse bedrijfsleven, zijnde de vitale bedrijven en digitale dienstverleners. Overige bedrijven kunnen op basis van dit wetsvoorstel informatie van de overheid ontvangen, in enkele gevallen zal dit in aanvulling zijn op de informatie die zij al via een schakelorganisatie ontvangen als bedoeld in artikel 3, tweede lid, Wbni. Door de (acute) dreigingsinformatie waar de overheid beschikt te verstrekken aan het niet-vitale bedrijfsleven stelt de overheid deze bedrijven in staat om op basis van deze objectieve informatie zelf te beoordelen of en in welke mate zij maatregelen moeten treffen ter mitigatie van een kwetsbaarheid, ter afwering van een dreiging of ter oplossing van een daadwerkelijke inbreuk.

De digitale weerbaarheid van bedrijven heeft zowel een economisch effect als een breder maatschappelijk effect doordat bedrijven in verbinding staan met burgers en overheidsorganisaties. Het vergroten van de digitale weerbaarheid van bedrijven levert een belangrijke bijdrage aan de Nederlandse economie. Weerbare bedrijven, dat wil zeggen bedrijven die bewuste, op risico’s gebaseerde, keuzes maken over te nemen maatregelen op het gebied van digitale beveiliging, zullen over het algemeen minder snel slachtoffer zijn van digitale verstoringen. Deze maatregelen zijn pluriform. Zo kunnen bedrijven maatregelen nemen op het gebied van voorlichting door bijvoorbeeld trainingen voor personeel, specifieke IT-beveiligingsmaatregelen, maar ook maatregelen ten behoeve van de bedrijfscontinuïteit of de inhuur van gespecialiseerde diensten. Afgewogen maatregelen zullen enerzijds een bescherming bieden tegen onbewuste verstoringen anderzijds tegen moedwillige aanvallen. Door afgewogen maatregelen te nemen zullen bedrijven en ondernemers bij een digitaal incident sneller terug kunnen keren naar hun reguliere bedrijfsvoering wat direct bijdraagt aan het verdienvermogen van het bedrijf.

Dit beeld wordt ondersteund door het rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) ‘Voorbereiden op digitale ontwrichting’6 en is tevens benoemd door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in het CSBN 2020 en CSBN 20217 8. In beide rapporten wordt de verregaande digitalisering en de daaraan gerelateerde risico’s voor de Nederlandse samenleving benoemd. Door het informeren en adviseren van bedrijven in zijn algemeenheid en specifiek over kwetsbaarheden en dreigingen wordt gewerkt aan een weerbaar bedrijfsleven. Ook de Cyber Security Raad (CSR) adviseert de overheid om, indien zij beschikt over acute dreigingsinformatie die relevant is voor organisaties in Nederland, deze informatie actief te delen met potentiële en daadwerkelijke slachtoffers9. Dit wordt ook nog eens bevestigd door het onderzoeksrapport ‘Informatie-uitwisseling landelijk dekkend stelsel cybersecurity’ uitgevoerd door Dialogic in opdracht van het WODC10. Volgens dit WODC-rapport heeft de Minister van EZK een centrale rol in de informatievoorziening over de digitale weerbaarheid van ondernemend Nederland. Het WODC-advies is overgenomen in het coalitieakkoord ‘Omzien naar elkaar, vooruitkijken naar de toekomst’11 en zegt over het DTC het volgende: ‘We beschermen onze bedrijven, vitale infrastructuur en economisch kapitaal beter door centraal gecoördineerde structurele samenwerking tussen o.a. het NCSC, het DTC, overheden, bedrijven en wetenschappen. Zij kunnen sneller en makkelijker informatie delen over digitale kwetsbaarheden en hacks’. Hierin wordt expliciet het bestaan van het DTC en de intensieve samenwerking met het Nationaal Cyber Security Center (NCSC) en andere partijen aangehaald.

2.2 Wettelijke grondslag voor taken en gegevensverwerking Minister van EZK

De Minister van EZK is beleidsverantwoordelijke voor de bevordering van de digitalisering van ondernemers en heeft al stappen ondernomen om de digitale weerbaarheid van het niet-vitale bedrijfsleven te vergroten. Ten behoeve van de versteviging van deze rol voorziet dit wetsvoorstel in een vastlegging van de taken van de Minister van EZK op het terrein van digitale weerbaarheid van het niet-vitale bedrijfsleven, zoals het verwerken en verspreiden van informatie over kwetsbaarheden, dreigingen en incidenten en het samenwerken met andere bestuursorganen en organisaties (artikel 2). In het kader van deze taakuitoefening mogen persoonsgegevens worden verwerkt.

Voorts voorziet dit wetsvoorstel in een wettelijke grondslag om bijvoorbeeld bij andere (publiekrechtelijke) organisaties de voor bovengenoemde taakuitoefening noodzakelijke gegevens te vragen en in de mogelijkheid van die derden om in reactie daarop zo nodig ook persoonsgegevens te verstrekken aan de Minister van EZK (artikel 3). Ook voorziet dit wetsvoorstel in de voorwaarden waaronder vertrouwelijke gegevens die bij de Minister van EZK, verstrekt mogen worden aan derden (artikel 4). Ten slotte regelt dit wetsvoorstel een rechtstreekse informatie-uitwisseling tussen het DTC en onder meer andere overheidsorganisaties die zich met digitale beveiliging bezighouden (artikel 2, 4 en 5).

Het belangrijkste doel is de versterking van de digitale weerbaarheid van bedrijven (zie de aanhef van artikel 2, eerste lid). Ten behoeve van dat doel heeft de Minister van EZK verschillende taken. Het gaat hierbij allereerst om het analyseren en het onderzoeken van gegevens over kwetsbaarheden, dreigingen en incidenten met betrekking tot netwerk- en informatiesystemen van bedrijven, het informeren en adviseren van bedrijven over voor hun bedrijven relevante kwetsbaarheden, dreigingen en incidenten, én om het verstrekken van informatie over kwetsbaarheden, dreigingen en incidenten gerelateerd aan individuele bedrijven. Deze taken zijn vastgelegd in artikel 2, eerste lid. Op deze manier wordt het mogelijk om specifieke informatie en advies te verwerken en te delen binnen en buiten de overheid. Deze informatie wordt kosteloos aangeboden.

De taken van de Minister van EZK bestaan enerzijds uit het verstrekken van informatie en advies, direct of via samenwerkingsverbanden, en anderzijds uit het verstrekken van actuele dreigingsinformatie en vertrouwelijke informatie aan bedrijven en intermediaire organisaties. In deze zijn intermediaire organisaties vertegenwoordigers van een bepaalde groep aan bedrijven. Denk hierbij aan sector en brancheorganisaties, regionale samenwerkingsverbanden, maar ook sector overstijgende belangenbehartigers van ondernemend Nederland.

Daarnaast heeft de Minister van EZK als taak om de ontwikkeling van samenwerkingsverbanden tussen bedrijven op het gebied van digitale weerbaarheid te stimuleren, samen te werken met bestuursorganen en rechtspersonen, én om indien relevant de in het kader van analyses en onderzoeken verkregen gegevens aan de Minister van JenV, ten behoeve van de taken van de laatstgenoemde minister, bedoeld in artikel 3, eerste lid, van de Wbni, en aan het CSIRT voor digitale diensten te verstrekken (artikel 2, tweede lid).

De Wbni bevat de taken en bevoegdheden van de Minister van JenV op het terrein van cybersecurity, die in de praktijk worden uitgevoerd door het NCSC. Artikel 3, eerste lid, van die wet regelt als primaire taak van de Minister van JenV de verlening van bijstand bij digitale dreigingen en incidenten aan vitale aanbieders en andere aanbieders die onderdeel zijn van de rijksoverheid. Ook is de Minister van JenV belast met de taak van CSIRT voor een categorie vitale aanbieders (aanbieders van essentiële diensten). Daarnaast regelt artikel 3, tweede lid, van de Wbni dat dreigings- en incidentinformatie met betrekking tot netwerk- en informatiesystemen van andere aanbieders, die in het kader van de primaire taakuitoefening is verkregen, door de Minister van JenV kan worden verstrekt aan de in dat lid bedoelde schakelorganisaties (zoals CSIRT’s, computercrisisteams, en organisaties die ‘objectief kenbaar tot taak’ hebben om andere organisaties of het publiek te informeren over dreigingen en incidenten (OKTT’s). Daarnaast voorziet de Wbni ook in de regeling van een CSIRT voor digitale diensten. Deze laatste taak is reeds toegekend aan de Minister van EZK.

Met de vorming van de in dit wetsvoorstel opgenomen grondslag ontstaat er de taak en de bevoegdheid voor de Minister van EZK om de voormelde (vertrouwelijke) informatie en adviezen, kwetsbaarheden en dreigingen te verwerken en te delen. Daarmee wordt, naast het bestaande regime van de Wbni, voorzien in taken en bevoegdheden voor de Minister van EZK, die aldus een plaats krijgt naast de Minister van JenV, het CSIRT voor digitale diensten en krachtens de Wbni als zodanig aangewezen computercrisisteams en OKTT’s, waarmee het stelsel van (overheids)organisaties met een rol in de digitale weerbaarheid van Nederland verder wordt bevorderd.

In de artikelen 3, tweede lid, en 20, tweede lid, van de Wbni zijn organisaties genoemd waarmee het NCSC de in deze artikelleden genoemde gegevens mag delen. In artikel 21, tweede lid, van de Wbni zijn organisaties genoemd waarmee het CSIRT voor digitale diensten de in dit artikellid genoemde gegevens mag delen. Met de in artikel 5 voorgestelde wijziging van de Wbni wordt de Minister van EZK hieraan toegevoegd, waardoor een rechtstreekse informatie-uitwisseling door genoemde overheidsorganisaties aan het DTC mogelijk wordt gemaakt. In samenhang hiermee wordt in de voorgestelde artikelen 2, tweede lid, en 4 geregeld dat ook informatie-uitwisseling mogelijk is tussen het DTC enerzijds en het NCSC en het CSIRT voor digitale diensten anderzijds.

Met deze wettelijke bepalingen worden de onderscheidenlijke rollen en verantwoordelijkheden van de Minister van EZK en de Minister van JenV uitdrukkelijk in beide wetten benoemd. Daarnaast wordt hiermee voorzien in een wettelijke grondslag om elkaar ten behoeve van de onderscheidenlijke taken te voorzien van voor de uitoefening van die taken relevante informatie over digitale dreigingen, kwetsbaarheden en incidenten. Voor zover daar onduidelijk over zou bestaan, beide ministers bedienen hiermee gescheiden doelgroepen. Het NCSC staat voor haar doelgroep de Rijksoverheid en vitale organisaties, het CSIRT voor digitale diensten voor digitale dienstverleners en het DTC voor de overige bedrijven die niet onder de voorgaande categorieën vallen.

Naast de samenwerking binnen de overheid en met formele partners zoals benoemd in de Wbni, zal de Minister van EZK ook samenwerkingen aangaan met andere organisaties binnen en buiten de rijksoverheid. Denk hierbij aan andere vakdepartementen, decentrale overheden, maatschappelijke organisaties, onderzoeksinstituten, onderwijsinstellingen, cybersecurity bedrijven of onafhankelijke cybersecurity onderzoekers.

Het onderwerp digitalisering van ondernemers is ook belegd bij de Minister van EZK. In het verlengde hiervan en in combinatie met de huidige taak van de Minister van EZK om ondernemerschap te versterken, innovatievermogen te vergroten en randvoorwaarden voor economische groei te borgen is ervoor gekozen om de bredere taak en bevoegdheden van de Minister van EZK vast te leggen in een zelfstandige wet.

2.3 Motivering instrumentkeuze

Het verwerken en verspreiden van informatie (waaronder persoonsgegevens) door de overheid ten behoeve van de verbetering van de digitale weerbaarheid van niet-vitale bedrijven kan, conform het legaliteitsbeginsel, alleen als er een wettelijke taak aan ten grondslag ligt. Er is gekozen om de bevoegdheid van de Minister van EZK in deze vast te leggen in een formele wet. Hiermee wordt het bestaande stelsel van taken en bevoegdheden van de rijksoverheid uitgebreid. Dit nieuwe wetsvoorstel staat naast de Wbni. Waar de Wbni, zoals eerder gezegd, zich richt op de rijksoverheid, vitale bedrijven en digitale dienstverleners zoals bedoeld volgens de Europese NIB-richtlijn, en schakelorganisaties, richt dit wetsvoorstel zich op het niet-vitale bedrijfsleven. In de Wbni zijn de taken van de Minister van JenV vastgelegd ten aanzien van organisatie die deel uitmaken van de rijksoverheid en vitale aanbieders en zijn de vakministers primair verantwoordelijk gemaakt voor het toezicht op de naleving van verplichtingen in de Wbni ten aanzien van onder hen vallende specifieke sectoren. Voor de Minister van EZK zijn deze taken naast het genoemde toezicht op de naleving van de Wbni, ook het voorzien in de CSIRT-functie voor digitale dienstverleners. In het verlengde van de brede economische taak van de Minister van EZK valt ook het informeren van het Nederlandse niet-vitale bedrijfsleven over digitale dreigingen en incidenten. Met het onderhavige wetsvoorstel wordt deze informatietaak thans ondergebracht bij de Minister van EZK. Dit laat onverlet dat de vakministers (in navolging van de Wbni) verantwoordelijk blijven voor het stellen van eisen aan en het toezicht op de naleving daarvan door niet-vitale aanbieders in onder hen vallende branches en sectoren.

Een tweede praktische reden om een specifieke wet op te stellen is dat de Wbni primair de bevoegdheden van de Minister van Justitie en Veiligheid bevat. Vanuit het wetgevingsstelsel is dit wetsvoorstel daarmee minder geschikt om daarin de bevoegdheden van de Minister van EZK te verwerken. Door de bevoegdheden te scheiden is er duidelijkheid over de taken van beide ministers en kunnen beide zich richten op het verbeteren van de digitale veiligheid van de onder hun verantwoordelijkheid vallende doelgroep(en). In de praktijk zal hierbij uiteraard nauw worden samengewerkt door beide ministeries en uitvoerende organisatieonderdelen te weten het NCSC en het DTC.

2.4 Toepassing in Caribisch Nederland

De taken en bevoegdheden van de Minister van EZK zoals omschreven in het onderhavige wetsvoorstel gelden voor Nederland inclusief Caribisch Nederland (zijnde Bonaire, Saba en Sint-Eustatius). Ook bij het bedrijfsleven in deze drie bijzondere gemeentes is er een behoefte aan informatiedeling over digitale dreigingen.

2.5 Monitoring en evaluatie

Het effect van het beleid wordt jaarlijks gemeten door het CBS als onderdeel van de meting ‘ICT-gebruik bedrijven’12. Ook wordt er door het CBS-onderzoek gedaan naar de stand van cybersecurity in Nederland via de Cybersecuritymonitor.13

3. Verhouding tot andere nationale wetgeving

Dit wetsvoorstel regelt de informatiedeling door de rijksoverheid met het Nederlandse bedrijfsleven dat niet valt onder de werking van de Wbni. Daarmee richt het zich op bedrijven die vallen in de categorie niet-vitaal en geen digitale dienstverleners zijn. Deze groep bedrijven strekt zich uit van éénmansbedrijven (zzp) tot het grootbedrijf. Het wetsvoorstel heeft een directe relatie met de Wbni. Deze relatie zit in het feit dat het enerzijds de Minister van EZK de taak geeft de digitale weerbaarheid van niet-vitale bedrijven te verhogen door het informeren en adviseren over digitale dreigingen en incidenten en ten behoeve daarvan informatie te verwerken én daarnaast informatie die relevant is voor aanbieders in de doelgroepen van twee overheidsorganisaties genoemd in de Wbni, namelijk de Minister van JenV (uitgevoerd door het NCSC) en de Minister van EZK (als CSIRT voor digitale diensten), met die organisaties te delen. Anderzijds zorgt dit wetsvoorstel ervoor dat voornoemde organisaties, het NCSC en het CSIRT voor digitale diensten, informatie over digitale dreigingen en incidenten, die relevant is voor aanbieders in de doelgroep van het DTC, met inbegrip van vertrouwelijke informatie (persoonsgegevens, etc.), mogen delen met de Minister van EZK. In dit wetsvoorstel is derhalve ook een wijziging van de Wbni opgenomen (artikel 5).

De benodigde maatregelen die bedrijven kunnen treffen ter bescherming van de gegevens, zoals bijvoorbeeld die geformuleerd in artikel 32 van de AVG, schrijven voor dat de verwerker en verwerkingsverantwoordelijke passende technische en organisatorische maatregelen dienen te treffen ter bescherming van persoonsgegevens. Als gevolg van dit wetsvoorstel zal de Minister van EZK het bedrijfsleven beter kunnen voorzien van praktische handvatten waarmee deels invulling kan worden gegeven door bedrijven aan de hiervoor genoemde technische en/of organisatorische maatregelen. Bedrijven zijn uiteraard zelf primair verantwoordelijk als het gaat om het treffen van maatregelen aangaande de beveiliging van hun systemen.

4. Gevolgen (m.u.v. financiële gevolgen)

Dit wetsvoorstel regelt de taak van de Minister van EZK om vertrouwelijke informatie, kwetsbaarheden en dreigingen (inclusief persoonsgegevens) te verwerken ten behoeve van het niet-vitale bedrijfsleven in Nederland. In dit hoofdstuk worden de verschillende gevolgen van het wetsvoorstel behandeld per onderwerp.

4.1 Regeldruk

Er is geen regeldruk voorzien voor het Nederlandse bedrijfsleven. Er ontstaat geen verplichting voor bedrijven in Nederland om gebruik te maken van de informatie van het ministerie van EZK.

In het voorstel heeft de Minister van EZK de mogelijkheid om bedrijven te vragen om informatie te delen. Het delen van informatie op basis van een dergelijk verzoek is volledig vrijwillig. Mocht een bedrijf hier toch aan mee willen werken dan wordt de regeldruk die hiermee in potentie ontstaat verwaarloosbaar geacht, aangezien er op een dergelijk verzoek geen vormvereiste geldt en omdat dit om een incidentele en vrijwillige activiteit gaat.

Het Adviescollege Toetsing Regeldruk (ATR) heeft geen aanleiding gezien om een formeel advies uit te brengen en heeft het voorstel ambtelijk afgedaan.

4.2 Markt en overheid

Met dit wetsvoorstel is er geen impact op de verhouding markt en overheid. In het kader van het namens de minister van EZK met het oog op het bevorderen van de digitale weerbaarheid van bedrijven uitoefenen van de taken, zoals die zijn opgenomen in dit wetsvoorstel, beperkt het DTC zich tot het informeren van bedrijven over digitale kwetsbaarheden en dreigingen voor zover zij beschikt over die informatie. Een belangrijke scheidslijn in deze wet is dat de taken en bevoegdheden niet verder gaan dan wat nodig is om deze publieke taak uit te voeren, namelijk het informeren van bedrijven. Het ministerie van EZK zal, zoals al eerder gememoreerd, niet optreden als een ‘digitale brandweer’. Het oplossen van incidenten en het nemen van preventieve maatregelen is aan bedrijven zelf. Het ministerie van EZK ziet hierin ook een belangrijke rol weggelegd voor marktpartijen die dit voor bedrijven kunnen faciliteren. Sterker nog, met het bewust worden van bedrijven over de kwetsbaarheden waarmee zij te maken hebben, is het de verwachting van het ministerie van EZK dat de markt voor ICT-dienstverlening ter bevordering van de digitale weerbaarheid zal groeien.

4.3 Privacy

De persoonlijke levenssfeer in algemene zin wordt beschermd door artikel 10, eerste lid, van de Grondwet, artikel 8 van de Europese verklaring voor de rechten van de mens (EVRM), artikel 17 van het Internationaal verdrag inzake burgerlijke en politieke rechten (IVBPR) en artikel 7 van het Handvest van de gronden van de EU (Handvest). Bescherming van persoonsgegevens wordt daarnaast in het bijzonder beschermd door artikel 16, eerste lid, van het Verdrag betreffende de werking van de Europese Unie (VWEU), artikel 8 van het Handvest en artikel 10, tweede en derde lid, van de Grondwet. Ook in de Algemene verordening gegevensbescherming (AVG) staat de bescherming van persoonsgegevens centraal. De AVG werkt als verordening rechtstreeks in de Nederlandse rechtsorde.

Voor een goede uitvoering van de taken en bevoegdheden van de Minister van EZK, die met dit wetsvoorstel worden vastgelegd ter bevordering van de digitale weerbaarheid van bedrijven, zal het in voorkomende gevallen noodzakelijk zijn om persoonsgegevens te verwerken. Daarvan kan sprake zijn bij het doen van analyses om met name specifieke dreigingen te kunnen achterhalen en bij het verstrekken van informatie daarover aan bedrijven. De bedrijfsgegevens die het hierbij betreft kunnen in sommige gevallen herleidbaar zijn tot een individu. Dat kan bijvoorbeeld het geval zijn bij een eenmansbedrijf of contactpersoon van een bedrijf. Hierbij gaat het om ‘gewone’ persoonsgegevens waarbij niet meer gegevens worden verwerkt dan strikt noodzakelijk, en deze niet voor andere doeleinden worden gebruikt dan waarvoor zij oorspronkelijk zijn verzameld.

Op 25 oktober 2021 heeft de Autoriteit Persoonsgegevens (AP), per brief met kenmerk z2021 -1394514, aangegeven geen opmerkingen te hebben over dit wetsvoorstel.

5. Uitvoering

Ter uitvoering van de in dit wetsvoorstel genoemde algemene taken van informatiedeling en stimulering van samenwerking, is er voor een specifieke taak waarvoor het nodig is om middelen en processen waarmee informatie gedistribueerd kan worden in te richten. Hiertoe is een zogenaamde informatiedienst ingericht. Deze informatiedienst zal ingericht worden om informatie van binnen en buiten de overheid te ontvangen, beoordelen, verwerken en verspreiden voor zover relevant voor de doelgroep van dit wetsvoorstel. De informatiedienst zal hierbij zoveel mogelijk gebruik gaan maken van digitale systemen en processen. Voor de uitvoering van alle taken zullen de binnen de Rijksoverheid geldende richtlijnen en kaders zoals de Baseline Informatiebeveiliging Overheid (BIO) worden gehanteerd.

6. Toezicht en handhaving

Er is geen direct toezicht en handhaving op basis van dit wetsvoorstel voorzien. Ondernemen is risico’s afwegen en risico’s nemen, bedrijven zijn dan ook, behoudens wettelijke kaders, autonoom om beslissingen te nemen over hun bedrijfsvoering.

7. Financiële gevolgen

Voor de in dit wetsvoorstel beschreven taken en bevoegdheden van de Minister van EZK is structureel € 1 mln aanvullende financiering nodig voor het DTC. Kosten uiten zich voornamelijk in het werven van nieuw personeel. De aanvullende financiering wordt geleverd vanuit de EZK-begroting. Op de EZK-begroting is reeds € 2,5 mln structureel beschikbaar voor het DTC. Met een totaal structureel beschikbare bedrag € 3,5 mln voor het DTC is er in de basis financiële dekking voor zowel de personeelsuitgaven als de materiële uitgaven voor wat betreft het verstrekken van algemene en specifieke dreigingsinformatie aan de doelgroep en het stimuleren van de ontwikkeling van de samenwerkingsverbanden.

8. (Internet) consultatie

Het wetsvoorstel is van 28 juni tot en met 23 augustus 2021 geconsulteerd15. Gedurende de periode van acht weken hebben een negental organisaties gereageerd en deze zijn publiekelijk beschikbaar via de website: www.internetconsultatie.nl/wbdwb.

In dit hoofdstuk wordt in zijn algemeenheid ingegaan op de reacties en zullen specifieke onderdelen en suggesties alsmede de eventuele opvolging worden behandeld.

8.1 Algemeen beeld

Veel organisaties onderschrijven het belang van digitale weerbaarheid van ondernemend Nederland ten behoeve van het verdienvermogen van het Nederlandse bedrijfsleven. Tevens wordt door enkele organisaties het belang benadrukt van de rol die de overheid heeft op het domein van veiligheid. De reacties van respondenten zijn ingedeeld naar de volgende thema’s: afbakening doelgroep, relatie met het voorstel van de Europese Commissie voor de herziening van de Richtlijn inzake de beveiliging van netwerk- en informatiesystemen16 (hierna: NIB 2- richtlijn), samenhang van overheidsinitiatieven en reacties over de AVG en vertrouwelijkheid. Naast deze thema’s zijn er ook specifieke punten die door slechts één organisatie zijn genoemd. Dit zijn: de relatie van het wetsvoorstel met de Wet markt en overheid, het delen van Indicators of Compromise (IOC’s) en mogelijke gevolgen voor digitale zorgplicht. Deze punten komen aan de orde in de laatste paragraaf.

8.2 Afbakening doelgroep van het wetsvoorstel

Een aantal respondenten vraagt in hoeverre de taken van de Minister van EZK samenhangen met de vorming van het landelijk dekkend stelsel (LDS) en hoe die zich verhouden tot de taken van het NCSC.

Het ministerie van EZK maakt met het DTC onderdeel uit van het LDS en draagt actief bij aan de vorming van het LDS, ten aanzien waarvan de coördinerende verantwoordelijkheid bij de Minister van JenV ligt. Het DTC draagt bij door de stimulering van samenwerkingsverbanden en door het verstrekken van subsidie aan initiatieven ten behoeve van de digitale weerbaarheid van bedrijven. Het actuele overzicht van samenwerkingsverbanden is terug te vinden op de samenwerkingspagina van het DTC17.

Enkele respondenten vragen aandacht voor de onwenselijkheid van het dubbel verstrekken van dezelfde informatie door de overheid waarbij expliciet is gerefereerd aan de rolverdeling tussen het NCSC en het DTC. De verdeling van de taken is wat betreft het ministerie van EZK helder: het NCSC heeft het primair als taak om vitale aanbieders en (andere) aanbieders die deel uitmaken van de rijksoverheid te informeren en adviseren over hen aangaande digitale dreigingen en incidenten. Het DTC bedient het niet-vitale bedrijfsleven, voor zover zij ook niet onder de verantwoordelijkheid van het CSIRT voor digitale diensten vallen. Het NCSC en DTC hebben dus duidelijk onderscheidenlijke doelgroepen, maar werken daarnaast desalniettemin samen om het risico van onder meer dubbele informatieverstrekking te vermijden. De Memorie van Toelichting is hier in paragraaf 2.2 op aangescherpt.

Sommige respondenten stellen vragen over de omvang van de doelgroep ten opzichte van de beschikbare capaciteit op het ministerie van EZK om deze taken en bevoegdheden uit te voeren. In de financiële paragraaf van deze memorie worden de minimale eisen voor wat betreft de financiering en bezetting benoemd. Het DTC zal in de uitvoering van de taken en bevoegdheden zoveel als mogelijk efficiëntie en effectiviteit nastreven en gebruik maken van digitale processen. Het ministerie van EZK zet in op een geleidelijk groeimodel waarin periodiek zal worden geëvalueerd of de inzet van mensen en budgetten gelijklopen met de vraag en de taken van het ministerie.

8.3 Verhouding met NIB 2- richtlijn

Respondenten vragen aandacht voor het verband tussen de toekomstige Europese regelgeving (NIB-2-richtlijn) en eventuele consequenties voor het onderhavige wetsvoorstel. Het Europese voorstel staat een verdere behandeling van dit wetsvoorstel en de eerstgenoemde taak, om het niet-vitale bedrijven vanuit de overheid te voorzien van informatie en advies over relevante digitale dreigingen en incidenten, niet in de weg. Zonder vooruit te lopen op de inhoud of de implementatie van de NIB 2 – richtlijn, is het de verwachting dat de inhoud van de richtlijn aanleiding kan geven tot aanpassingen van de nationale wetgeving in het kader van het implementatietraject. Voor nu geldt dat de onderhandelingen over de richtlijn nog gaande zijn en dat dus nog niet vaststaat in hoeverre de nationale wetgeving aanpassing behoeft.

8.4 Samenhang van overheidsinitiatieven

Op meerdere plekken wordt er binnen de overheid gewerkt aan digitale weerbaarheid. Enkele respondenten vragen ook om een één-loket benadering door de overheid. Dit wetsvoorstel is een logische aanvulling op het huidige stelsel, waarin het NCSC primair verantwoordelijk is het informeren en adviseren van organisaties die deel uitmaken van de rijksoverheid en vitale aanbieders en het CSIRT voor digitale diensten bijstand verleend aan digitale dienstverleners. Binnen dit stelsel werken het NCSC en DTC nauw samen om ervoor te zorgen dat zij in het kader van hun onderscheidenlijke taken hun doelgroepen zo goed mogelijk van informatie en advies voorzien. Zoals al eerder aan gerefereerd, is ook in het coalitieakkoord hier aandacht voor gevraagd en wordt de samenwerking in de komende tijd verder vormgegeven.

Daarnaast zal het ministerie van EZK actief de samenwerking met andere organisaties binnen en buiten de overheid zoeken ter bevordering van de digitale weerbaarheid van bedrijven. Voor wat betreft de systeemverantwoordelijkheid van andere (vak)ministers is er geen twijfel over bevoegdheid. Vakministers zijn volgens eigen beleid en wetgeving verantwoordelijk voor bijvoorbeeld het stellen van veiligheidseisen aan bedrijven binnen onder hen vallende sectoren. Als het DTC relevante informatie heeft voor of over de niet-vitale sectoren van andere vakdepartementen, zal dit actief worden gedeeld. Op deze en andere manieren wordt binnen de overheid samengewerkt om het Nederlandse niet-vitale bedrijfsleven digitaal weerbaarder te maken. Op dit moment werkt het DTC daartoe al samen met onder andere het NCSC en het CSIRT voor digitale diensten.

8.5 AVG en vertrouwelijkheid van informatie

Binnen dit thema vallen diverse onderwerpen die nader worden toegelicht. Het gaat hier om reacties over de AVG, over de informatiebeveiliging van informatie(deling) bij en door het DTC en reacties die gaan over de Wet openbaarheid van bestuur (Wob) / Wet open overheid (Woo).

Respondenten hebben zorgen over de mogelijke invloed van de AVG op de informatiedeling via het DTC. De zorg is dat voorafgaand aan de deling van informatie het noodzakelijk is om een verwerkersovereenkomst te sluiten. Deze zorg is ongegrond. Met dit wetsvoorstel ontstaat voor de Minister van EZK een wettelijke grondslag voor de verwerking en meer in het bijzonder ook verstrekking van informatie, waaronder persoonsgegevens. Daarom is het niet noodzakelijk om met de ontvanger van de informatie een verwerkersovereenkomst te sluiten. Daarnaast worden er waarborgen getroffen over de zekerheid en zorgvuldigheid waarmee persoonsgegevens door de Minister van EZK worden verwerkt. Het wetsvoorstel is voorgelegd aan de AP. Het advies van de AP is terug te vinden in paragraaf 4.3.

Ook zijn er reacties over het risico van informatiedeling door de Minister van EZK. De zorgen zien op enerzijds de feitelijke verwerking van informatie door het DTC en anderzijds het ontvangen daarvan door individuele bedrijven. Bij de uitvoering van de taken uit dit wetsvoorstel volgt het DTC de in het algemeen voor de overheid geldende voorschriften voor informatiebeveiliging. Daarnaast zal het DTC waar nodig aanvullende maatregelen nemen ter bescherming van informatie en gegevens en processen inrichten om vertrouwelijkheid te waarborgen. Voor wat betreft het delen van informatie met individuele bedrijven betracht het DTC uiteraard grote zorg en zal bij twijfel extra onderzoek worden gedaan en zal in geval van twijfel de meest gepaste communicatiemethode worden gehanteerd.

Tevens vragen enkele respondenten naar de definitie van vertrouwelijke gegevens. Voor het geval hier onduidelijkheid over bestaat gaat het dan om gegevens die of naar hun aard of inhoud vertrouwelijk zijn. Dit wetsvoorstel sluit in dit verband aan bij de terminologie zoals gebruikt in de Wbni.18

Respondenten hebben zorgen geuit over de openbaarmaking van informatie door de overheid op basis van de Wob en haar opvolger, de Woo, die op 1 mei 2022 in werking treedt. De vertrouwelijkheid van tot bedrijven herleidbare informatie (zoals IP-adressen, domeinnamen, AS-nummers, bedrijfsnamen en contactgegevens) dient voor een goede uitvoering van de taken genoemd in dit wetsvoorstel te worden beschermd. Respondenten zijn van mening dat een Woo uitzondering noodzakelijk is. De Woo bevat in artikel 5.1 verschillende gronden op basis waarvan dit soort informatie van openbaarmaking kan worden uitgezonderd. Echter, om te waarborgen dat dezelfde gegevens, ongeacht of deze door het NCSC, het CSIRT voor digitale diensten of het DTC worden verwerkt, op dezelfde wijze worden behandeld, wordt in dit wetsvoorstel aansluiting gezocht op het reeds bestaande stelsel van de Wbni. In de Wbni worden vertrouwelijke tot een aanbieder herleidbare gegevens, vanwege een bijzondere openbaarmakingsregeling, uitgezonderd van de toepasselijkheid van de Wob. Op grond van de in dit wetsvoorstel voorgestelde uitzondering worden dezelfde gegevens ook uitgezonderd van de werking van de Woo, indien deze aanwezig zijn bij het DTC. Door de toevoeging in dit wetsvoorstel van de bepaling in artikel 4, vierde lid, inhoudende dat vertrouwelijke tot bedrijven of andere aanbieders herleidbare informatie buiten de toepasselijkheid van de Woo vallen, is er sprake van een uitzondering op de Woo voor soorten gegevens die vergelijkbaar zijn met die waarvoor in de Wbni een dergelijke uitzondering reeds geldt. Doordat in die zin is aangesloten op bovenbedoelde regeling in de Wbni blijft het doel en de werking van de Woo onverminderd in stand. Door de toevoeging van de uitzonderingsgrond voor dit wetsvoorstel aan de Woo vindt er geen inhoudelijke uitbereiding plaats van het soort gegevens dat wordt uitgezonderd. In aanvulling hierop: de Woo is onverkort van toepassing op andere bij het DTC berustende informatie die wordt verwerkt in het kader van de uitoefening van de in dit wetsvoorstel bedoelde taken van de minister van EZK. Het belang van een eenduidige, transparante en open overheid wordt door de minister van EZK nadrukkelijk onderschreven.

8.6 Diverse punten

Een van de respondenten vraagt naar de relatie tussen de regelgeving inzake markt en overheid en dit wetsvoorstel. Zoals eerder in paragraaf 4.2 is toegelicht, heeft dit wetsvoorstel geen gevolgen voor de verhouding markt en overheid. De taken en bevoegdheden van de Minister van EZK in dit wetsvoorstel zijn beperkt tot het informeren van bedrijven over kwetsbaarheden en dreigingen voor zover zij beschikt over die informatie. Het oplossen van incidenten en het nemen van preventieve maatregelen is aan bedrijven zelf.

Sommige respondenten hebben gevraagd om IOC’s19 te delen omdat deze mede de digitale weerbaarheid van bedrijven vergroot. In voorkomende gevallen zullen, als IOC’s bekend zijn en met inachtneming van de wettelijke kaders deelbaar zijn door het DTC, deze ook worden gedeeld bij het informeren van bedrijven over specifieke dreigingen. Daarnaast kan het DTC dergelijke informatie ook in generieke zin delen als deze informatie dit toelaat en bijdraagt aan de digitale weerbaarheid van bedrijven.

Eén respondent meent dat het wetsvoorstel gevolgen zou kunnen hebben met betrekking tot de digitale zorgplicht van bedrijven en eventuele strafrechtelijke consequenties. De vraag is of het delen van informatie door het DTC en het niet opvolgen door een individueel bedrijf kan leiden tot een strafbaar feit. De respondent zoekt hierin steun bij het concept van digitale zorgplicht. Dit wetsvoorstel legt geen directe of indirecte normen aan het Nederlandse bedrijfsleven op. Door het informeren van individuele bedrijven ontstaat er geen plicht tot het opvolgen van deze informatie. Zoals eerder aangegeven is het aan bedrijven zelf om te beoordelen of en op welke wijze zij opvolging geven aan deze informatie. In dit wetsvoorstel is daarnaast geen toezicht of sanctionering voorzien. Het is nadrukkelijk niet de bedoeling van dit wetsvoorstel om invulling te geven aan de strafrechtelijke bepalingen uit artikel 350b Sr.

B. Artikelsgewijze toelichting

Artikel 1 (Begripsbepalingen)

Het begrip ‘bedrijf’ slaat zowel op natuurlijke personen als op privaatrechtelijke rechtspersonen die in Nederland gevestigd zijn, bedrijfsmatige activiteiten uitvoeren en die niet onder de werkingssfeer van de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen. Vitale aanbieders en digitale dienstverleners behoren derhalve niet tot de doelgroep van dit wetsvoorstel.

De begrippen aanbieder, incident en netwerk- en informatiesysteem hebben dezelfde betekenis als in de NIB-richtlijn en in de Wbni. Dit om eenheid in terminologie te waarborgen.

Incident: elke gebeurtenis met een daadwerkelijk schadelijk effect op de beveiliging van netwerk- en informatiesystemen.

Netwerk- en informatiesysteem:

• a) een elektronisch communicatienetwerk in de zin van artikel 2, onder a), van Richtlijn 2002/21/EG;

• b) een apparaat of groep van geïnterconnecteerde of bij elkaar behorende apparaten, waarvan een of meer, overeenkomstig een programma, digitale gegevens automatisch verwerkt of verwerken, of

• c) digitale gegevens die via in de punten a) en b) bedoelde elementen worden opgeslagen, verwerkt, opgehaald of verzonden met het oog op de werking, het gebruik, de beveiliging en het onderhoud ervan.

Het begrip CSIRT voor digitale diensten heeft dezelfde betekenis als in de Wbni. Dit om eenheid in terminologie te waarborgen.

Artikel 2 (Taken van Onze Minister)

Het artikel bevat een opsomming van de taken van de Minister van EZK op het terrein van digitale weerbaarheid van bedrijven, ten behoeve waarvan verwerking van gegevens, waaronder persoonsgegevens, aangewezen is, en omschrijft de doeleinden van die taken. Zie voor een nadere toelichting hierop paragraaf 2.2 van het algemeen deel van deze memorie.

Artikel 3 (Verstrekking gegevens aan Onze Minister)

Het eerste lid voorziet in een wettelijke bevoegdheid voor de Minister van EZK om rechtspersonen (overheden of private partijen) of organen daarvan om gegevens te vragen die noodzakelijk zijn voor de uitoefening van de in artikel 2, eerste lid, genoemde taken. Het gaat hierbij niet om een bevoegdheid tot het vorderen van gegevens; de rechtspersoon of het orgaan daarvan waaraan het verzoek is gericht is niet verplicht tot medewerking.

Ingevolge het doelbindingsbeginsel van artikel 5, eerste lid, onder b, AVG moeten persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen zij vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. De AVG biedt echter de mogelijkheid om onder voorwaarden door middel van nationale bepalingen de verdere verwerking van persoonsgegevens mogelijk te maken, ook als dat geschiedt voor een doel dat niet verenigbaar is met het doel waarvoor de persoonsgegevens zijn verkregen. Het tweede lid van artikel 3 geeft toepassing aan die bevoegdheid. Dat is een noodzakelijke en evenredige maatregel ter waarborging van meerdere in artikel 23, eerste lid, AVG, genoemde belangen, waaronder onder meer de openbare veiligheid.

Artikel 4 (Verstrekking van vertrouwelijke gegevens door Onze Minister)

Artikel 4, eerste lid, regelen de verstrekking door de Minister van EZK, ter uitvoering van de in artikel 2, eerste en tweede lid, onder c en d, bedoelde taken, aan derden, waaronder de Minister van JenV en het CSIRT voor digitale diensten, van vertrouwelijke gegevens met betrekking tot digitale dienstverlenersbedrijven, zoals gegevens over de identiteit van een bij een incident betrokken bedrijf of specifieke gegevens over de beveiliging van een elektronisch informatiesysteem van een bedrijf. Artikel 4, eerste lid, staat uiteraard niet in de weg aan verstrekking door het DTC aan derden van gegevens die niet vertrouwelijk zijn.

Het eerste lid bepaalt dat bij de Minister van EZK berustende vertrouwelijke gegevens met betrekking tot bedrijven slechts ter uitvoering van de in artikel 2, eerste lid en tweede lid, onder c en d, genoemde taken aan derden worden verstrekt, indien aldaar de geheimhouding van de gegevens voldoende is gewaarborgd en voldoende is gewaarborgd dat de gegevens uitsluitend worden gebruikt voor het doel waarvoor zij worden verstrekt. Het eerste lid ziet op vertrouwelijke gegevens met betrekking tot bedrijven, dus niet op andere vertrouwelijke gegevens, zoals persoonsgegevens die niet tevens vertrouwelijke informatie betreffende een bedrijf betreffen. Voor de verwerking van persoonsgegevens door de Minister van EZK geldt de AVG.

Ter uitvoering van de in artikel 2, tweede lid, onder c, bedoelde taak regelt artikel 4, tweede lid, de mogelijkheid van verstrekking door de Minister van EZK aan de Minister van JenV, ten behoeve van de uitoefening van de taken als bedoeld in artikel 3, eerste lid, van de Wbni, van vertrouwelijke gegevens met betrekking tot vitale aanbieders en andere aanbieders die onderdeel zijn van de rijksoverheid.

Ter uitvoering van de in artikel 2, tweede lid, onder d, bedoelde taak regelt artikel 4, derde lid, de mogelijkheid van verstrekking door de Minister van EZK aan het CSIRT voor digitale diensten, ten behoeve van de uitoefening van de taken als bedoeld in artikel 4, vierde lid, Wbni, van vertrouwelijke gegevens met betrekking tot digitale dienstverleners.

Deze laatste twee bevoegdheden maken het voor het DTC mogelijk om vertrouwelijke gegevens over andere partijen dan die in de eigen doelgroep (bedrijven) met de relevante overheidsorganisaties te delen.

Bij het begrip vertrouwelijke gegevens kan worden gedacht aan informatie over netwerk- en informatiesystemen die een bedrijf of een andere aanbieder gebruikt bij zijn dienstverlening. Ook vertrouwelijke gegevens die herleid kunnen worden tot een bedrijf of een andere aanbieder of digitale dienstverlener vallen hieronder.

Het is voor de toepassing van artikel 4 niet relevant of de Minister van EZK de gegevens heeft verkregen van de partij zelf of anderszins, zoals door analyse van de Minister van EZK of ontvangst van een andere organisatie.

Zoals uiteengezet in het algemeen deel van deze memorie bevat artikel 4 in het vierde lid, in samenhang met de drie voorafgaande leden, een bijzondere openbaarheidsregeling voor vertrouwelijke tot bedrijven of de in het tweede en derde lid bedoelde aanbieders herleidbare gegevens die afwijkt van de Woo. Deze afwijking geldt niet alleen zolang die gegevens bij het DTC berusten, maar ook nadat zij, na verstrekking door het DTC op grond van artikel 4, bij een ander overheidsorgaan berusten. Een en ander geldt echter niet voor milieu-informatie. Ter uitvoering van het Verdrag van Aarhus20 en EU-richtlijn 2003/4/EG21 bevat de Woo voor het verstrekken van milieu-informatie diverse afwijkende bepalingen.

Artikel 5 (wijziging Wet beveiliging netwerk- en informatiesystemen)

In de artikelen 3, tweede lid, en 20, tweede lid, van de Wbni worden partijen genoemd waarmee het NCSC in voorkomende gevallen gegevens in een beperkte kring van derden mag delen. Hierbij kan het ook gaan om persoonsgegevens en (andere) vertrouwelijke gegevens die herleid kunnen worden tot een aanbieder.

In artikel 21, tweede lid, van de Wbni worden partijen genoemd waarmee het CSIRT voor digitale diensten in voorkomende gevallen vertrouwelijke gegevens die herleid kunnen worden tot een digitale dienstverlener, zonder diens instemming, in een beperkte kring van derden mag delen.

Ten behoeve van de taakuitoefening door de Minister van EZK op grond van dit wetsvoorstel wordt met de voorgestelde wijziging van de Wbni de Minister van EZK toegevoegd aan de kring van derden waarmee het NCSC en het CSIRT voor digitale diensten in voorkomende gevallen persoonsgegevens en vertrouwelijke herleidbare gegevens mogen delen.

In dit voorstel wordt, net als in het voorstel tot wijziging van de Wet beveiliging netwerk- en informatiesystemen in verband met de uitbreiding van de bevoegdheid van de Minister van Justitie en Veiligheid om dreigings- en incidentinformatie over de netwerk- en informatiesystemen van niet-vitale aanbieders te verstrekken aan deze aanbieders en aan organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over dreigingen en incidenten ten behoeve van deze aanbieders, voorzien in wijzigingen van artikel 3, tweede lid, en artikel 20, tweede lid, van de Wbni. De samenloopbepaling waarmee geregeld wordt dat beide wetten op elkaar zijn afgestemd, is in het laatstgenoemde wetsvoorstel opgenomen.

De Minister van Economische Zaken en Klimaat,