Brief regering : Afronding 1e fase beleidscyclus vitaal SEO-rapport

Nr. 323
BRIEF VAN DE MINISTER VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 14 november 2025

Met deze brief informeer ik u over de stand van zaken van de beleidscyclus vitaal
voor de financiële sector. Nederland kent al enige tijd de Aanpak vitaal.1 Deze aanpak versterkt de weerbaarheid van de vitale infrastructuur en beschermt vitale
processen en instellingen tegen bestaande en nieuwe bedreigingen en risico’s. Onderdeel
hiervan is de beleidscyclus vitaal. Deze beleidscyclus maakt inzichtelijk welke processen
en diensten zo essentieel zijn voor de Nederlandse samenleving, dat uitval, verstoring
of manipulatie daarvan kan leiden tot ernstige maatschappelijke ontwrichting, ernstige
economische schade of – in het uiterste geval – een bedreiging van de nationale veiligheid.

In maart 2024 werd de Tweede Kamer geïnformeerd over het voornemen om de beleidscyclus
vitaal voor de financiële sector uit te voeren, vanwege de geopolitieke ontwikkelingen.2 In deze brief informeer ik u over de processen in de financiële sector die als vitaal
worden aangemerkt, mijn voornemen om vitale aanbieders van deze processen, indien
passend, onder het toepassingsbereik van de Wet veiligheidstoets investeringen, fusies
en overnames (Wet vifo) te brengen, en andere vervolgstappen.

Identificatie vitale processen en instellingen

Onderzoeksinstituut Stichting Economisch onderzoek (SEO) heeft op basis van objectieve
criteria een advies voor een lijst met vitale processen en aanbieders in de financiële
sector opgesteld. Het rapport van SEO is tot stand gekomen in samenwerking met de
Ministeries van Financiën, Justitie en Veiligheid, Sociale Zaken en Werkgelegenheid,
De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM). Op basis van
dit rapport is na overleg met toezichthouders DNB en AFM een definitieve lijst opgesteld
van vitale processen en aanbieders in de financiële sector.

Het rapport en de definitieve lijst met vitale instellingen zijn vertrouwelijk, omdat
dit bedrijfsvertrouwelijke informatie betreft en deze informatie dient ter bescherming
van de nationale veiligheid. De vitale processen in Nederland zijn openbaar.3 Op basis van het onderzoek zijn de volgende processen in de financiële sector als
vitaal geïdentificeerd: productadministratie, het beheren van de balans, innen en
uitkeren, exploiteren van een handelsplatform, het betalingsverkeer (zowel giraal
als chartaal) en het kapitaalmarktverkeer.4 Deze processen reflecteren belangrijke handelingen binnen de financiële sector. Zo
gaat productadministratie over het beheren van betaal- en spaarrekeningen waarbij
grote aantallen financiële en persoonsgegevens worden beheerd. Het beheren van de
balans betreft het aantrekken en afstoten van kapitaal of het beheer van vermogen
en is van belang omdat het financiële stabiliteit en winstgevendheid van instellingen
moet waarborgen.

Deze processen zijn in beginsel op veel instellingen in Nederland van toepassing.
Of een instelling daadwerkelijk vitaal is, wordt bepaald op basis van drempelwaardes
en mogelijke impact in het geval van uitval en verstoring. Vanuit deze vitale processen
zijn onder andere op basis van omvang, vermogen en aantal klanten vitale aanbieders
afgeleid. Hoewel het onderliggende rapport niet openbaar gemaakt kan worden, bied
ik uw Kamer desgewenst een vertrouwelijk inzage aan van het rapport.

Volgende stappen: afronden beleidscyclus vitaal en Wet vifo

De beleidscyclus vitaal bestaat in totaal uit vier stappen, waarvan de eerste nu is
uitgevoerd:5

1. het identificeren van vitale processen en de aanbieders daarbinnen;

2. het analyseren van de risico’s en de weerbaarheid van de aanbieders en processen;

3. het opstellen van een actieprogramma met te treffen weerbaarheidsverhogende maatregelen;

4. het toetsen van de effectiviteit en het waar nodig bijstellen van deze maatregelen.

De volgende stap is om te onderzoeken of er aanvullende maatregelen nodig zijn om
de weerbaarheid van de (nieuwe en bestaande) vitale instellingen te vergroten. Ik
ben voornemens om dit voor de zomer van 2026 af te ronden. De geïdentificeerde vitale
instellingen hebben over het algemeen al een hoog niveau van weerbaarheid. Het grootste
deel van de instellingen valt momenteel onder wetgevende kaders, zoals het Europese
raamwerk ten aanzien van digitale weerbaarheid (Digital Operational Resilience Act,
DORA). Daarnaast maken de vitale instellingen binnen het betalings- en kapitaalmarktverkeer
nu ook al deel uit van een operationele crisismanagementstructuur van AFM, DNB en
het Ministerie van Financiën.

Een maatregel die ik op korte termijn voornemens ben te treffen is om de nieuwe vitale
aanbieders, voor wie dit logisch en passend is, onder het toepassingsbereik van de
Wet veiligheidstoets investeringen, fusies en overnames (Wet vifo) te brengen. De
Wet vifo geldt op dit moment binnen de financiële sector voor significante banken,
grote handelsplatformen en centrale tegenpartijen.

De Wet vifo bevat de verplichting om een veiligheidstoets uit te voeren bij investeringen
in, en fusies en overnames van, vitale aanbieders, die leiden tot een wijziging in
de zeggenschap van een organisatie die een risico kunnen vormen voor de nationale
veiligheid. Vitale aanbieders moeten voorgenomen verwervingsactiviteiten laten toetsen
door het Bureau Toetsing Investeringen (BTI) van het Ministerie van Economische Zaken.
Deze veiligheidstoets moet onder andere voorkomen dat vitale onderdelen, kennis en
gevoelige persoonsgegevens belanden bij landen met hoge veiligheids- en spionagerisico’s.6

Een nieuw Europees wettelijk weerbaarheidskader

In december 2022 zijn twee Europese richtlijnen in werking getreden die zijn gericht
op het versterken van de fysieke, digitale en economische weerbaarheid van Europese
lidstaten: de Network and Information Security 2 (NIS2) richtlijn, en de Critical Entities Resilience (CER) richtlijn. Deze richtlijnen worden op dit moment door de Minister van Justitie
en Veiligheid in Nederland geïmplementeerd in de Cyberbeveiligingswet (Cbw) en de
Wet weerbaarheid kritieke entiteiten (Wwke). Deze richtlijnen zijn van toepassing
op banken en financiële marktinfrastructuren. Daarnaast is sinds begin 2025 de DORA-verordening
van toepassing. In DORA zijn eisen op het terrein van cyberveiligheid opgenomen, specifiek
ten aanzien van financiële instellingen. DORA is lex specialis op de NIS2- en CER-richtlijnen,
wat betekent dat de eisen in DORA voorgaan op de richtlijnen.

Het overgrote deel van de financiële instellingen met een vergunning van AFM of DNB
valt onder DORA. Dit geldt echter niet voor alle partijen in de financiële sector
die als vitaal worden aangemerkt. Ik ga daarom onderzoeken of het passend en nodig
is om deze instellingen onder de reikwijdte van de Cbw en Wwke te brengen. Dit ga
ik doen in samenspraak met de toezichthouders AFM en DNB, en het Nationaal Cyber Security
Centrum (NCSC). Zodra een instelling onder de Wet vifo valt of onder de reikwijdte
van de NIS2- en CER-richtlijnen wordt gebracht, moeten deze zich houden aan nieuwe
wettelijke eisen. Ik ga ervoor zorgen dat de betreffende partijen in de komende maanden
op heldere wijze hierover worden geïnformeerd. Hierbij moet rekening worden gehouden
met de gevoeligheid en vertrouwelijkheid van de informatie en bescherming van vitale
instellingen.

De recente geopolitieke ontwikkelingen vereisen een weerbare samenleving. Het streven
van het kabinet is om de weerbaarheid van onze samenleving te verhogen. Een weerbare
financiële sector is daarbij onmisbaar omdat de samenleving en de financiële sector
een grote verwevenheid kennen. De verschillende stappen die ik in deze brief beschrijf
zorgen voor een betere bescherming van vitale processen en instellingen in de financiële
sector. Dit draagt bij aan de weerbaarheid van de Nederlandse samenleving als geheel.

De Minister van Financiën,
E. Heinen