Inbreng verslag schriftelijk overleg : Inbreng verslag van een schriftelijk overleg over het Fiche: Aanbeveling opbouw Joint Cyber Unit (Kamerstuk 22112-3182)
2021D38761 INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG
Binnen de vaste commissie voor Digitale Zaken hebben enkele fracties de behoefte om
enkele vragen en opmerkingen voor te leggen aan de Minister van Justitie en Veiligheid
over het fiche: Aanbeveling opbouw Joint Cyber Unit (Kamerstuk 22 112, nr. 3182).
De fungerend voorzitter van de commissie, Leijten
De adjunct-griffier van de commissie, Van Tilburg
Inhoudsopgave
blz.
I
Vragen en opmerkingen vanuit de fracties
2
Vragen en opmerkingen van de leden van de VVD-fractie
2
Vragen en opmerkingen van de leden van de D66-fractie
3
Vragen en opmerkingen van de leden van de CDA-fractie
4
Vragen en opmerkingen van de leden van de Volt-fractie
5
II
Antwoord / Reactie van de Minister
I Vragen en opmerkingen vanuit de fracties
Vragen en opmerkingen van de leden van de VVD-fractie
De leden van de VVD-fractie hebben kennisgenomen van het voorstel tot oprichting van
een Joint Cyber Unit (JCU), maar hebben nog enkele vragen en opmerkingen met betrekking
tot de meerwaarde van het op te richten platform.
De leden van de VVD-fractie lezen dat de Joint Cyber Unit geen nieuwe instantie zal
worden, maar een virtueel en fysiek platform zal betreffen voor het versterken van
de samenwerking tussen de in de aanbeveling geïdentificeerde operationele en ondersteunende
deelnemers. Deze leden vragen dan ook welke (nieuwe) rol het JCU zal gaan vervullen
in het digitaal veilig houden van lidstaten. Welk mandaat zal het JCU precies krijgen?
Op basis van welke probleemanalyse is men tot dit mandaat gekomen?
De leden van de VVD-fractie constateren voorts dat het JCU zich onder andere zal gaan
bezighouden met het delen van informatie afkomstig uit verschillende cybersecuritygemeenschappen.
Welke bevoegdheden zijn hierbij voorzien voor het JCU om ook deze informatie te kunnen
ophalen en delen met andere partijen? Wordt hierbij een wettelijke grondslag voor
informatiedeling tussen het JCU en andere organisaties geborgd? Zo nee, hoe zal het
JCU dan in de praktijk dreigingsinformatie kunnen ophalen en delen? Kan de Minister
ook toelichten wat wordt beoogd met cybersecuritygemeenschappen? Betreft het hier
nationale samenwerkingsverbanden, waarbij bijvoorbeeld ook het Nederlandse Nationaal
Cyber Security Centrum in de praktijk informatie kan gaan delen met het JCU of transnationale
samenwerkingsverbanden? De Europese Unie kent meerdere reeds bestaande cybersecurityinitiatieven
zoals het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA) en CERT-EU
(Computer Emergency Response Team voor de EU). Wat zijn precies hun taken? Welke knelpunten
worden geïdentificeerd bij het uitvoeren van deze taken? In hoeverre is het voorzien
dat het JCU op deze knelpunten acteert? Met andere woorden: hoe zal het JCU zich gaan
verhouden qua takenpakket tot de bestaande initiatieven zoals ENISA en CERT-EU?
De leden van de VVD-fractie lezen dat een van de doelstellingen van de JCU is om te
zorgen voor een gecoördineerde reactie binnen de Europese Unie op grootschalige cyberdreigingen
en dat de Europese Commissie voorstelt om EU Cybersecurity Rapid Reaction Teams op
te richten om de inzet te coördineren. Overwegende dat de NAVO al in 2012 een Rapid
Reaction Team heeft opgezet om cyberaanvallen af te wenden, hoe zal het JCU zich gaan
verhouden tot het Rapid Reaction Team van de NAVO? Hoe vaak is het Rapid Reaction
Team tot nu toe ingezet? In hoeverre zijn er mogelijkheden om de JCU te laten samenwerken
met het Rapid Reaction Team van de NAVO om cyberaanvallen op lidstaten tegen te gaan?
Ook is het voor deze leden nog onduidelijk welke kosten komen kijken bij het oprichten
van het JCU. Wat is de begroting die hoort bij het oprichten van het JCU? Kan er een
inschatting worden gemaakt in hoeverre deze kosten budgettaire gevolgen zullen hebben
voor Nederland?
De leden van de VVD-fractie menen dat de oprichting van de JCU louter (financieel)
te rechtvaardigen is wanneer de JCU daadwerkelijk een toevoeging vormt op de bestaande
bevoegdheden en taakstellingen van eerdergenoemde bestaande diensten en daarmee van
toegevoegde waarde is in het tegengaan van cyberaanvallen op lidstaten. Deelt de Minister
deze mening? Zo ja, is de Minister bereid dit onder de aandacht te brengen bij de
onderhandelingen? Zo nee, waarom niet?
Vragen en opmerkingen van de leden van de D66-fractie
De leden van de D66-fractie hebben met interesse kennisgenomen van de BNC-fiches met
betrekking tot de Europese Joint Cyber Unit. Deze leden hebben kennisgenomen van de
inzet van het kabinet op meer Europese samenwerking tussen bestaande organisaties
die niet hoeft te leiden tot extra schakels maar tot effectievere samenwerking. Deze
leden hebben nog enkele vragen.
De leden van de D66-fractie lezen dat de Europese cybereenheid uiterlijk 30 juni 2022
de operationele fase moet ingaan. Deze leden vragen de Minister toe te lichten welke
volgende stappen vanuit het kabinet ondernomen zullen worden met betrekking tot de
uitwerking van de Joint Cyber Unit. Deze leden lezen dat de noodzaak en urgentie van
een Europese cybereenheid wordt ondersteund, maar wel bewaakt zal worden dat lidstaten
zelf primair verantwoordelijk blijven voor het reageren op grote cyberveiligheidsincidenten
en crises. De leden vragen de Minister toe te lichten wat de competentieverdeling
zal zijn tussen de Europese Unie en de lidstaten in het geval van een cyberaanval.
Onder welke omstandigheden zal Nederland zelf handelen? Welke maatstaf zal de Europese
Commissie gebruiken voor de definitie van grote incidenten?
De leden van de D66-fractie constateren dat er via een Joint Cyber Unit veel kennis
en tools gedeeld zullen worden binnen de Europese Unie. De leden vragen de Minister
toe te lichten hoe er gewaarborgd zal worden dat belangrijke informatie beschermd
zal blijven, bijvoorbeeld van externe mogendheden. Kan de Minister toelichten hoe
het kabinet zal toezien op een hoog niveau van beveiliging van dit virtuele en fysieke
platform? Deze leden vragen de Minister of er nog afwegingen gemaakt worden tussen
welke lidstaten er wel of niet gedeeld wordt. Krijgen lidstaten die niet actief bijdragen
aan de Joint Cyber Unit ook toegang tot alle kennis en tools die andere lidstaten
delen?
De leden van de D66-fractie constateren dat middels de Europese cybereenheid, belangrijke
informatie en kennis van Nederlandse organisaties richting het coördinatiepunt zal
gaan. Deze leden vragen de Minister te specifiëren welke Nederlandse organisaties
verbonden zullen zijn aan dit Europese netwerk.
De leden van de D66-fractie lezen dat de aanbeveling van de Joint Cyber Unit onderdeel
is van een grotere EU Cybersecuritystrategie, onder andere een Europese wet op de
cyberweerbaarheid. De leden vragen de Minister toe te lichten of er eventuele raakpunten
of conflicten zijn tussen deze wetsvoorstellen en de Nederlandse wetten rondom cyberveiligheid,
en welke uitdagingen hij hier ziet.
De leden van de D66-fractie lezen dat uit de IOB Cybersecurity evaluatie van juni
2021 blijkt dat ambtenaren van het Ministerie van Buitenlandse Zaken vaak werken met
verouderde en onveilige middelen, waardoor de communicatie niet goed verloopt. Welke
stappen zijn er sindsdien genomen om dit recht te zetten? Deze leden concluderen dat
het voorstel vooral gaat om het delen van kennis en tools binnen de Europese Unie.
Deze leden vragen de Minister of deze Europese Cybereenheid ook zal samenwerken met
landen die geen lidstaat zijn, en welke extra kansen een sterkere Europese samenwerking
biedt tot meer mondiale samenwerking. Deze leden horen specifiek graag van de Minister
op welke manier dit voorstel samenkomt en een aanvulling vormt met het door de Europese
Commissie aangekondigde Cyber Resilience Act en daarnaast met de door de Verenigde
Staten aangekondigde verbond tegen ransomware, het Counter-Ransomware Initiative.
De leden van de D66-fractie lezen dat de Joint Cyber Unit gebaseerd is op inbreng
van lidstaten op vrijwillige basis. Deze leden lezen dat onder andere de inbreng van
een nationaal cybersecurity incident- en crisisresponsplan alleen vrijwillig kan gebeuren.
Acht de Minister het wenselijk dat er eventueel grote verschillen tussen lidstaten
ontstaan met betrekking tot digitale veiligheid?
De leden van de D66-fractie lezen dat het kabinet als prioriteit heeft om vertrouwen
en veilige informatie-wisseling op te bouwen tussen deelnemers. Deze leden vragen
de Minister om voorbeelden van voorstellen om het vertrouwen tussen lidstaten op te
bouwen wat betreft digitale veiligheid. Ziet de Minister kansen om lidstaten aan te
moedigen zich aan te sluiten bij de Europese Cyber Unit? Zo ja, op welke manier gaat
de Minister zich hiervoor inzetten? Deze leden constateren dat het kabinet vervolggesprekken
met alle betrokkenen wenst over uitwerking van randvoorwaarden van informatie-uitwisseling
en het garanderen van de vertrouwelijkheid van informatie. Deze leden vragen de Minister
om toe te lichten wat de inzet is van het kabinet om zoveel mogelijk te waarborgen
dat de informatie vertrouwelijk is en blijft tegenover derde landen.
Vragen en opmerkingen van de leden van de CDA-fractie
De leden van de CDA-fractie hebben met belangstelling kennisgenomen van het fiche
over de Joint Cyber Unit. Deze leden lezen dat het kabinet het uitgangspunt om te
streven naar versterkte informatie-uitwisseling steunt, maar dat over vervolggesprekken
met alle betrokkenen over de uitwerking en randvoorwaarden er nog veel vragen zijn.
Deze leden lezen weinig over de concrete inzet van het kabinet bij deze gesprekken.
Zij hopen dat de Minister daar verder over kan uitweiden. In het bijzonder welke punten
er absoluut onacceptabel zullen zijn.
De leden van de CDA-fractie hebben begrip voor de inzet van het kabinet op behoud
van eigen autonomie waar het gaat om crisisbeheersing. Deze leden merken wel op dat
cyberdreigingen grens overstijgend zijn en dat informatiedeling cruciaal is. Op nationaal
niveau is de informatiedeling ook nog niet waar het zou moeten zijn en in dat kader
vragen deze leden of de Minister wel in Europees verband gaat inzetten op adequate
deling van dreigingsinformatie tussen lidstaten.
De leden van de CDA-fractie vragen naar de uitsluitende verantwoordelijkheid en de
opvatting van het kabinet dat de plannen rondom het JCU daarmee op gespannen voet
kunnen staan. Deze leden vragen welke ideeën de Minister heeft om de samenwerking
te bevorderen. Ook vragen deze leden wat er gedaan kan worden wanneer andere lidstaten
hun cyberveiligheid niet op orde hebben en op welke wijze er dan gehandeld moet worden
door andere lidstaten. Tot slot vragen deze leden op dit punt onder welke omstandigheden
en in welke gevallen Nederland aan zet dient te zijn en in welke gevallen er sprake
zou moeten zijn van een Europese aanpak.
De leden van de CDA-fractie zien een logica in de voorstellen van de Europese Commissie
wat betreft de wijze waarop zij de structuur willen vormgeven. Deze leden vragen naar
de structuur van signalering van cyberdreigingen in eigen land en wat er geleerd kan
worden van de Europese plannen. Functioneert de huidige structuur afdoende. Deze leden
vragen welke organisaties vanuit Nederland verbonden zullen zijn aan de Joint Cyber
Unit.
Vragen en opmerkingen van de leden van de Volt-fractie
De leden van de Volt-fractie hebben met interesse kennisgenomen van het Fiche «aanbeveling
opbouw Joint Cyber Unit» van de demissionair Minister van Buitenlandse Zaken. Deze
leden zijn uiteraard voorstander van betere Europese samenwerking op het gebied van
cyberveiligheid.
De leden van de Volt-fractie merken allereerst in algemene zin op dat het demissionair
kabinet op een groot aantal onderwerpen van het voorstel eerst nadere uitwerking en
duidelijkheid vereist. De demissionair Minister noemt daarbij een aantal onderdelen.
Om welke onderdelen gaat het, anders dan de onderdelen die worden genoemd op pagina
5 van het fiche? Waar gaat de demissionair Minister specifiek op letten bij deze uitwerking?
Hoe gaat de demissionair Minister de verdere uitwerking van een JCU concreet bewaken?
Hoe zal de demissionair Minister bewerkstelligen dat de oprichting en ontwikkeling
van een JCU in een gedegen en gefaseerd proces zal verlopen en er tegelijkertijd op
wordt toegezien dat er geen onnodige vertraging optreedt? Hoe gaat het demissionair
kabinet zich ervoor inzetten dat lidstaten in het gehele proces van verdere uitwerking
en het operationeel maken van een JCU vertegenwoordigd zijn? Op welke momenten en
op welke wijze zal de demissionair Minister deze Kamer daarbij betrekken? Welke gemeenschappelijke
doelen als bedoeld op pagina 5 ziet de demissionair Minister op dit moment voor zich
bij het oprichten van een JCU?
De leden van de Volt-fractie merken op dat de demissionair Minister in de brief noemt
dat het demissionair kabinet zich actief inzet bij de verschillende Europese gremia
die tot doel hebben de digitale weerbaarheid te vergroten. Om welke gremia gaat het
anders dan de organisaties genoemd in voetnoot 15? Op welke manier zet de demissionair
Minister zich in bij deze organisaties? Wat is daarbij de Nederlandse inzet en met
welke andere lidstaten trekt Nederland in dit verband op? Welke andere ministeries
zijn betrokken bij de voorbereiding van een JCU? Op welke manier gaat de demissionair
Minister samenwerken met de andere betrokken ministeries? Welke ministeries dragen
daarbij welke verantwoordelijkheden?
De leden van de Volt-fractie vragen met het oog op de doelstellingen genoemd op pagina
4 van het fiche hoe deze doelstellingen volgens de demissionair Minister zouden moeten
worden uitgewerkt. Op welke manier moet de samenwerking volgens de demissionair Minister
moeten worden vormgegeven? Hoe ziet de demissionair Minister de rol van Nederland
in een JCU?
De leden van de Volt-fractie vragen of de demissionair Minister dan ruimte ziet om
de samenwerking verplicht te stellen, voor zover samenwerking binnen een JCU niet
op vrijwillige basis tot stand komt (zoals genoemd op pagina 5). Zo ja, op welke grond?
Zo nee, waarom niet? De demissionair Minister merkt op dat ten aanzien van een groot
aantal van de cybersecurityincidenten al in de praktijk samenwerking bestaat tussen
de lidstaten binnen reeds bestaande netwerken. Om welke samenwerkingsverbanden gaat
het? Welke landen en organisaties zijn daarbij betrokken en om wat voor samenwerking
gaat het? Voor welke specifieke (categorieën van) cases, waar op dit moment nog onvoldoende
samenwerking tussen de verschillende lidstaten en EU-instellingen tot stand komt,
ziet de demissionair Minister met name meerwaarde voor een JCU? Waar plaatst de demissionair
Minister een JCU ten opzichte van andere cybersecurity samenwerkingsverbanden? Hoe
ziet een «virtueel en fysiek platform», wat het JCU zou moeten worden, er volgens
de demissionair Minister uit? Hoe verschilt een «virtueel en fysiek platform» volgens
de demissionair Minister van een instelling? Hoe gaat de demissionair Minister er
in concrete zin voor zorgen dat duplicatie met bestaande structuren waarbinnen reeds
samenwerking plaatsvindt wordt voorkomen?
De leden van de Volt-fractie vragen op basis waarvan de demissionair Minister verwacht
dat diverse lidstaten aandacht zullen vragen voor de rol en mate van invloed van lidstaten
in het totstandkomingsproces en de activiteiten van een JCU, en de onderdelen van
de aanbeveling die op gespannen voet staan met de uitsluitende verantwoordelijkheid
van de lidstaten op het terrein van nationale veiligheid (als bedoeld op pagina 5).
Om welke onderdelen van de aanbeveling gaat het? Om welke lidstaten gaat het? Met
welke lidstaten heeft de demissionair Minister hierover contact en wat is de inhoud
van dat contact?
Ondertekenaars
-
Eerste ondertekenaar
R.M. Leijten, Tweede Kamerlid -
Mede ondertekenaar
I. van Tilburg, adjunct-griffier
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.