NLconnect is de branchevereniging van de telecom-, breedband- en glasvezelindustrie

Reactie NLconnect op implementatie NIS2

Veilig internet
28 juni 2024
Afbeelding van <a href="https://pixabay.com/nl/users/harshahars-1942463/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=6901712">harshahars</a> via <a href="https://pixabay.com/nl//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=6901712">Pixabay</a>

NLconnect heeft gereageerd op de consultatie van de concept-wetsvoorstellen Cyberbeveiligingswet (Cbw) en Wet weerbaarheid kritieke entiteiten (Wwke).

Cyberbeveiligingswet

Op de Cyberbeveiligingswet is een uitgebreide reactie ingestuurd. Dit wetsvoorstel implementeert de Europese NIS2-richtlijn. De NIS2-richtlijn beoogt de cyberveiligheid in de Europese Unie naar een hoger gemeenschappelijk niveau te brengen door de digitale weerbaarheid van essentiële en belangrijke entiteiten in de lidstaten te versterken. Dit doel wordt in Nederland bereikt door, ter implementatie van deze richtlijn, in dit wetsvoorstel onder meer verplichtingen op te leggen aan die entiteiten, zoals het treffen van adequate beveiligingsmaatregelen en het melden van ICT-incidenten. 

Wijzigingsvoorstellen

Uiteraard steunt NLconnect het doel om de digitale weerbaarheid te vergroten en de gevolgen van cyberincidenten te verkleinen. Het aantal entiteiten dat onder de Cbw komt te vallen wordt geschat op ongeveer 8.100. Dit roept de vraag op hoe deze implementatie beheersbaar kan blijven voor de toezichthouders. Met de Cbw vallen ook steeds meer leden van onze vereniging en van het bredere internet-ecosysteem onder het toepassingsbereik van de regels voor cyberbeveiliging. Een groot gedeelte van de implementatie wordt verschoven naar lagere regelgeving. Toch heeft NLconnect enkele wijzigingsvoorstellen bij de wet voorgesteld en opmerkingen gemaakt over onder meer de zorgplicht, meldplicht, de openbaarmaking van meldingsinformatie, de governance en de proportionaliteit en subsidiariteit van het toezicht en de handhaving.

Zorgplicht en meldplicht

NLconnect verzoekt onder meer om geen aanvullende nationale beveiligingsvereisten op te leggen aan Nederlandse bedrijven, maar aan te sluiten bij eisen die zijn opgelegd in de NIS2. Ook bepleiten we een internationale oriëntatie van certificering van ICT-producten, - diensten en -processen, in plaats van een nationale. Waar het gaat om de meldplicht is NLconnect voorstander van een proportionele en op risico gebaseerde drempelwaarde. Bij de invulling van die term ‘significant incident’ moet worden aangesloten bij de huidige invulling van deze term onder de Wbni. NLconnect roept ook op om het aantal wettelijke meldplichten (van oa Cwb, AVG en CRA) te beperken, de meldplichten zoveel mogelijk met elkaar in lijn te brengen en het aantal meldloketten te concentreren.

We maken ons zorgen dat de grote hoeveelheid informatie die ten gevolge van de Cbw gaat stromen al snel onbeheersbaar wordt en daarmee zinledig. Ook pleiten we voor een zorgvuldig proces rondom de ontvangers van meldingen van verstoringen van de dienstverlening, teneinde te voorkomen dat de overheid zelf als ontvanger van informatie het grootste cyberbeveiligingsrisico van de bedrijven wordt. In dat kader vragen we ook om de wettelijke bepaling te behouden dat dat beveiligingsincidenten en informatie die wordt verstrekt om de beveiliging van de netwerken of diensten van telecompartijen niet op elk moment door eenieder op te vragen is, maar slechts indien dat in het algemeen belang is. 

Governance, toezicht en handhaving

NLconnect vraagt verder om enige realiteitszin aan te brengen in de eisen die aan bestuurders van ondernemingen worden gesteld als het gaat om de benodigde kennis en vaardigheden over de beveiliging van netwerk- en informatiesystemen. Ten slotte uiten we onze zorg over enkele bepalingen (in hoofdstuk 16 over toezicht en handhaving) die niet het vertrouwen geven dat het toezicht en de handhaving altijd in verhouding zullen staan tot de overtreding en in een goede subsidiaire inzet van het instrumentarium. Zo bevatten enkele artikelen zeer vergaande maatregelen waarvan het niet duidelijk is wanneer of waarom deze maatregelen ingezet kunnen worden.

Wet weerbaarheid kritieke entiteiten

NLconnect heeft ook gereageerd op de Wet weerbaarheid kritieke entiteiten. Dit wetsvoorstel implementeert de Europese CER-richtlijn, die beoogt, ter ondersteuning van vitale maatschappelijke functies en de economische activiteiten in de Europese Unie, de continuïteit van de levering van essentiële diensten binnen de Unie zoveel mogelijk te borgen. De inbreng van NLconnect bij deze wet beperkt zich tot een verduidelijkingsvraag over het  toepassingsbereik van de Cbw en de Wwke: het lijkt er op dat de Wwke in het geheel niet voor de digitale infrastructuur geldt.