Brief regering : Beleidscyclus vitaal
30 821 Nationale Veiligheid
32 013
Toekomst financiële sector
Nr. 207
BRIEF VAN DE MINISTER VAN FINANCIËN
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 26 maart 2024
In deze brief informeer ik uw Kamer over de beleidscyclus vitaal voor de financiële
sector. Gezien het belang van vitale onderdelen in de financiële sector voor de Nederlandse
samenleving en de nationale veiligheid vind ik het noodzakelijk om de cyclus spoedig
en tijdig te doorlopen. Ik streef ernaar om uw Kamer voor het einde van het jaar te
informeren over welke processen en aanbieders aangemerkt worden als vitaal. Indien
daaruit blijkt dat er meer processen of aanbieders als vitaal moeten worden aangemerkt,
zal ik ook beoordelen of deze aanbieders onder de reikwijdte van de Wet veiligheidstoets
investeringen, fusies en overnames (Wet vifo) gebracht kunnen worden.
In deze brief geef ik ook aan hoe ik uitwerking zal geven aan de motie van het lid
Heinen c.s. die de regering verzoekt te laten toetsen of de Wet vifo voldoende waarborgen
biedt om te voorkomen dat privacygevoelige data of vitale onderdelen van de financiële
sector niet in handen komen van organisaties uit landen met hoge veiligheids- en spionagerisico’s.1
De beleidscyclus vitaal
Uitval, verstoring of manipulatie van vitale processen en diensten kan grote gevolgen
hebben voor het functioneren van de Nederlandse economie en maatschappij en een bedreiging
vormen voor de nationale veiligheid. Het is cruciaal om deze vitale infrastructuren
goed in kaart te brengen en ervoor te zorgen dat partijen die hiervoor diensten leveren
weerbaar zijn. Daarom werkt het kabinet aan de bescherming van de vitale infrastructuur:
de aanpak vitaal 2023–2028.2 Onderdeel hiervan is de beleidscyclus vitaal die door de NCTV en de vakdepartementen
is ontwikkeld. Hiermee kunnen departementen onder andere vitale processen en aanbieders
identificeren.
De cyclus vitaal bestaat uit verschillende stappen die periodiek worden doorlopen:
1) het identificeren van vitale processen en de aanbieders daarbinnen;
2) het analyseren van de risico’s en de weerbaarheid;
3) het opstellen van een actieprogramma met te treffen weerbaarheidsverhogende maatregelen;
en
4) het toetsen van de effectiviteit en het waar nodig bijstellen van deze maatregelen.
Het kabinet voert de beleidscyclus vitaal uit voor alle relevante beleidsterreinen.
Zelf ben ik verantwoordelijk voor de financiële sector. Gezien het belang van de financiële
sector voor de Nederlandse samenleving, de motie-Heinen c.s. en de nationale veiligheid
wil ik de cyclus snel uitvoeren. Ik streef ernaar om uw Kamer tenminste voor het einde
van 2024 te informeren over de uitkomsten van stap 1 van deze cyclus (het identificeren
van vitale processen en de aanbieders daarbinnen). Bij het uitvoeren van de cyclus
wordt samengewerkt met het Ministerie van Justitie en Veiligheid en het Ministerie
van Sociale Zaken en Werkgelegenheid. Ook andere belanghebbenden zoals toezichthouders
en relevante instellingen worden betrokken.
Gevolgen voor vitale aanbieders
Wanneer een aanbieder als vitaal wordt aangemerkt, brengt dit rechten en plichten
met zich mee. Zo krijgt een vitale aanbieder bij cyberincidenten ondersteuning van
het Nationaal Cyber Security Centrum in het geval van grootschalige uitval. Ook kunnen
vitale aanbieders onder het toepassingsbereik van de Wet vifo gebracht worden. De
Wet vifo bevat een veiligheidstoets voor investeringen, fusies en overnames die een
risico kunnen vormen voor de nationale veiligheid, onder meer voor vitale aanbieders.
De Wet vifo geldt op dit moment binnen de financiële sector voor onder meer significante
banken, grote handelsplatformen en centrale tegenpartijen.3 Deze instellingen moeten voorgenomen verwervingsactiviteiten laten toetsen. Deze
veiligheidstoets moet onder andere voorkomen dat vitale onderdelen en gevoelige persoonsgegevens
belanden bij landen met hoge veiligheids- en spionagerisico’s. Indien uit stap 1 van
de nieuwe cyclus blijkt dat er in de financiële sector meer vitale aanbieders zijn,
zal ik beoordelen of het noodzakelijk is deze aanbieders onder de reikwijdte van Wet
vifo te brengen.
De Wet vifo is slechts één instrument om vitale (financiële) aanbieders te beschermen.
Door haar sterk grensoverschrijdende en gedigitaliseerde karakter geldt voor de financiële
sector ook sectorspecifieke Europese regelgeving. Op 17 januari 2025 treedt de Europese
verordening digitale operationele weerbaarheid voor de financiële sector (DORA) in
werking. DORA geldt specifiek voor de financiële sector en stelt hoge eisen aan de
cyberweerbaarheid van financiële instellingen over het ICT-risicomanagement, het testen van systemen en het melden van incidenten.
In de beleidscyclus vitaal geef ik ook uitvoering aan de motie-Heinen c.s., die vraagt
of de Wet vifo genoeg waarborgen biedt om te voorkomen dat privacygevoelige data of
vitale onderdelen van de financiële sector in handen komen van organisaties uit landen
met hoge veiligheids- en spionagerisico’s. De eerste stap in de uitwerking van deze
motie zet ik door te beoordelen welke processen en aanbieders in de financiële sector
vitaal zijn en of de reikwijdte van de Wet vifo moet worden aangepast. Vervolgens
zal ik breed kijken naar de huidige weerbaarheid van de vitale processen en bezien
of er verdere sectorspecifieke maatregelen nodig zijn om de weerbaarheid bij financiële
instellingen te vergroten (stappen 2 en 3). Daarbij betrek ik het huidige wettelijk
kader, waaronder de Wet vifo en DORA, en bezie ik of dit kader, in samenhang met andere
weerbaarheidsvergrotende maatregelen, genoeg waarborgen biedt om te voorkomen dat
privacygevoelige data of vitale onderdelen van vitale financiële aanbieders in verkeerde
handen komen. Tot slot wordt de Wet vifo binnen vijf jaar geëvalueerd, waarbij gekeken
wordt naar haar doeltreffendheid en effecten in de praktijk.4
Tot slot
Een weerbare maatschappij met voldoende bescherming van de Nederlandse vitale infrastructuur
is in het huidige tijdsgewricht essentieel. Dat geldt zeker ook voor de financiële
sector. Ik zie de beleidscyclus vitaal als het belangrijkste instrument om die doelen
te bereiken en werk graag samen met de sector en de toezichthouders aan een weerbare
financiële sector en maatschappij.
De Minister van Financiën,
S.P.R.A. van Weyenberg
Ondertekenaars
-
Eerste ondertekenaar
S.P.R.A. van Weyenberg, minister van Financiën