Advies Afdeling advisering Raad van State en Nader rapport : Advies Afdeling advisering Raad van State en Nader rapport

Nr. 4 ADVIES AFDELING ADVISERING RAAD VAN STATE EN NADER RAPPORT1

Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State
d.d. 20 juli 2022 en het nader rapport d.d. 9 december 2022, aangeboden aan de Koning
door de Minister van Economische Zaken en Klimaat. Het advies van de Afdeling advisering
van de Raad van State is cursief afgedrukt.

Blijkens de mededeling van de Directeur van Uw kabinet van 26 april 2022, nr. 2022000973,
machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake
het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies,
gedateerd 20 juli 2022, nr. W18.22.0068/IV, bied ik U hierbij aan.

Het voorstel heeft de Afdeling advisering van de Raad van State (hierna: de Afdeling)
aanleiding gegeven tot opmerkingen bij het wetsvoorstel. Waar het voorstel de afbakening
van (beleids)verantwoordelijkheid betreft, acht de Afdeling de introductie van een
zelfstandige wet niet noodzakelijk. De toedeling van taken aan de Minister van EZK
vereist immers geen wettelijke regeling. Een wettelijke verankering is wel noodzakelijk
waar het een bevoegdheid tot de verwerking en verstrekking van persoonsgegevens betreft.
Mede uit het oogpunt van harmonisatie van wetgeving, ligt het echter in de rede een
dergelijke grondslag op te nemen in de Wet beveiliging netwerk- en informatiesystemen
(Wbni).

Ongeacht of de regering vasthoudt aan de introductie van een nieuwe wettelijke regeling,
wijst de Afdeling op enkele onduidelijkheden in het wetsvoorstel die een nadere toelichting
behoeven. Ook wijst de Afdeling op het risico van uiteenlopende analyses, onderzoeken
en adviezen. Tot slot merkt de Afdeling op dat het wetsvoorstel geen grondslag biedt
voor de uitwisseling van persoonsgegevens met Caribisch Nederland.

In verband met deze opmerkingen adviseert de Afdeling het voorstel te heroverwegen.
Graag ga ik op deze opmerkingen in het navolgende in. De tekst van het advies treft
u hieronder aan, met tussengevoegd de reactie daarop.

Bij Kabinetsmissive van 26 april 2022, no. 2022000973, heeft Uwe Majesteit, op voordracht
van de Minister van Economische Zaken en Klimaat, bij de Afdeling advisering van de
Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende regels
ter bevordering van de digitale weerbaarheid van bedrijven (Wet bevordering digitale
weerbaarheid bedrijven), met memorie van toelichting

Het wetsvoorstel beoogt een wettelijke grondslag te bieden voor taken en bevoegdheden
van de Minister van Economische Zaken en Klimaat (EZK) op het gebied van de digitale
weerbaarheid van het niet-vitale bedrijfsleven in Nederland.

De Afdeling advisering van de Raad van State onderschrijft het belang van de bevordering
van digitale weerbaarheid van Nederlandse bedrijven. Zij maakt evenwel enkele opmerkingen
bij het wetsvoorstel. Waar het voorstel de afbakening van (beleids)verantwoordelijkheid
betreft, acht de Afdeling de introductie van een zelfstandige wet niet noodzakelijk.
De toedeling van taken aan de Minister van EZK vereist immers geen wettelijke regeling.
Een wettelijke verankering is wel noodzakelijk waar het een bevoegdheid tot de verwerking
en verstrekking van persoonsgegevens betreft. Mede uit het oogpunt van harmonisatie
van wetgeving, ligt het echter in de rede een dergelijke grondslag op te nemen in
de Wet beveiliging netwerk- en informatiesystemen (Wbni).

Ongeacht of de regering vasthoudt aan de introductie van een nieuwe wettelijke regeling,
wijst de Afdeling op enkele onduidelijkheden in het wetsvoorstel die een nadere toelichting
behoeven. Ook wijst de Afdeling op het risico van uiteenlopende analyses, onderzoeken
en adviezen. Tot slot merkt de Afdeling op dat het wetsvoorstel geen grondslag biedt
voor de uitwisseling van persoonsgegevens met Caribisch Nederland.

In verband met deze opmerkingen dient het voorstel te worden heroverwogen.

1. Noodzaak van een zelfstandige wet

Binnen het kabinet is de Minister van Justitie en Veiligheid (JenV) verantwoordelijk
voor de coördinatie van cybersecurity en de bestrijding van cybercrime. Het Nationaal
Cyber Security Centrum (NCSC) voert in dit verband de taken uit die de Minister van
JenV heeft op grond van de Wbni. De Minister van EZK is verantwoordelijk voor het
bedrijfsleven en de bevordering van de digitalisering van ondernemers. In dat kader
richt hij zich op de vergroting van de digitale weerbaarheid van het niet-vitale bedrijfsleven.2 Deze taken worden uitgevoerd door het Digital Trust Center (DTC), dat deel uitmaakt
van het Ministerie van EZK.

Het wetsvoorstel beoogt een wettelijke grondslag te bieden voor deze bestaande en
enkele nieuwe taken van de Minister van EZK op dit terrein. Zo krijgt hij ook de taak
om Nederlandse bedrijven te informeren en te adviseren over specifieke kwetsbaarheden,
dreigingen en incidenten die betrekking kunnen hebben op hun netwerk- en informatiesystemen.3

De Afdeling onderschrijft het belang van de bevordering van digitale weerbaarheid
van Nederlandse bedrijven. Waar het voorstel de afbakening van beleidsverantwoordelijkheid
betreft, is een nieuwe wettelijke regeling evenwel niet noodzakelijk. Het bedrijfsleven
en de bevordering van de digitale weerbaarheid van bedrijven worden immers al tot
de portefeuille van de Minister van EZK gerekend. De loutere toedeling van taken op
dit gebied vereist op zichzelf geen wettelijke regeling en is, anders dan in het geval
van de Wbni, ook niet nodig ter implementatie van een Europese richtlijn.

Een wettelijke grondslag is wel noodzakelijk waar het een bevoegdheid tot de verwerking
en verstrekking van persoonsgegevens betreft. Het wetsvoorstel geeft de Minister van
EZK met zoveel woorden een wettelijke grondslag om de voor zijn taakuitoefening noodzakelijke
(persoons)gegevens op te vragen en te delen.4 Het is de Afdeling echter niet duidelijk waarom deze bevoegdheid wordt neergelegd
in een zelfstandige wet en niet in de Wbni. De Wbni kent de Minister van EZK al enkele
bevoegdheden toe. Die hebben betrekking op aanbieders van essentiële diensten binnen
de sectoren energie en digitale infrastructuur.5 Daarnaast voorziet een recent wetsvoorstel tot wijziging van de Wbni in een grondslag
voor de verstrekking van (persoons)gegevens door het NCSC, ook aan niet-vitale aanbieders.6 De Wbni regelt dus niet alleen bevoegdheden voor de Minister van JenV, maar ook voor
de Minister van EZK. Bovendien regelt het – indien het recente wetsvoorstel tot wet
wordt verheven – bevoegdheden ten aanzien van het niet-vitale bedrijfsleven. Tegen
die achtergrond en uit het oogpunt van harmonisatie van wetgeving, ligt het in de
rede om de nieuwe bevoegdheden van de Minister van EZK ten aanzien van de verwerking
en verstrekking van persoonsgegevens op te nemen in de Wbni.

Met het wetsvoorstel worden de taken en bevoegdheden van de Minister van Economische
Zaken en Klimaat (EZK) vastgelegd die de Minister heeft op het gebied van de verbetering
van de digitale weerbaarheid van niet-vitale bedrijven in Nederland. Deze taken zijn
breed en strekken zich uit van het geven van voorlichting, het stimuleren van samenwerking,
maar ook het ontvangen, analyseren, onderzoeken van en adviseren over dreigingsinformatie.
Voor de uitvoering van deze taken kunnen persoonsgegevens worden verwerkt. Met dit
wetsvoorstel wordt voorzien in de wettelijke grondslag hiervoor.

Het is de Afdeling niet duidelijk waarom deze taken en bevoegdheden worden neergelegd
in een zelfstandige wet en niet in de Wet beveiliging netwerk- en informatiesystemen
(Wbni) die reeds bevoegdheden bevat die worden toegewezen aan de Minister van EZK.
Voor wat betreft de Afdeling is de Wbni de aangewezen wet voor het regelen van de
voorgenoemde bevoegdheden.

Het kabinet ziet, in aanvulling op de reeds in de memorie van toelichting genoemde
motivering, drie redenen om deze bevoegdheden vast te leggen in een zelfstandige wet.
Deze drie redenen zijn: de aard van de wetgeving, de rol van de Minister van EZK in
de wetgeving en de doelgroep van dit wetsvoorstel welke onderling verbonden zijn.

Ten eerste is de aard van de Wbni anders dan het voorliggende wetsvoorstel. In de Wbni worden
grotendeels de bepalingen vanuit Europese wetgeving, de NIB-richtlijn7, vastgelegd. De Wbni bevat daarmee de omzetting van Europeesrechtelijke verplichtingen
voor haar doelgroep en regelt de naleving daarvan8. Op grond van het onderhavige voorstel dat geen Europeesrechtelijke oorsprong kent,
geldt er geen zorg- of meldplicht voor de doelgroep daarvan, te weten de niet-vitale
bedrijven. Tevens is er in dit wetsvoorstel geen sprake van toezicht en handhaving.

Ten tweede verschilt de rol van de Minister van EZK in de Wbni van de rol die de Minister van
EZK heeft in onderhavig voorstel. De uit de Wbni voortvloeiende taken en bevoegdheden
voor de Minister van EZK betreffen het toezicht op de naleving van de zorg- en meldplicht
door vitale aanbieders in bijvoorbeeld de sector energie, die als aanbieders van een
essentiële dienst zijn aangewezen, en voor digitale dienstverleners. Het onderhavige
wetsvoorstel kent de Minister van EZK geen toezichthoudende bevoegdheden toe, maar
ziet daarentegen op het informeren en adviseren van de niet-vitale bedrijven, (ongeveer
2 miljoen), die niet vallen onder het toepassingsbereik van de Wbni.

Ten derde is de doelgroep van onderhavig voorstel anders dan de doelgroep van de Wbni. De Wbni
is in hoofdzaak gericht op de digitale veiligheid van organisaties die deel uitmaken
van de rijksoverheid, vitale private aanbieders en digitale dienstverleners. Hierin
wordt bijvoorbeeld geregeld dat de Minister van JenV (en in de praktijk het NCSC)
verantwoordelijk is voor het informeren en adviseren van vitale aanbieders en Rijksoverheidsorganisaties
bij digitale dreigingen en incidenten. Het onderhavige wetsvoorstel richt zich daarentegen
op de doelgroep van het niet-vitale bedrijfsleven. Hierdoor zijn ook de taken van
de Minister van JenV en de Minister van EZK anders. Het NCSC (Ministerie van JenV)
heeft krachtens de Wbni als primaire taak het informeren en het adviseren van vitale
aanbieders en organisaties die deel uitmaken van de rijksoverheid over digitale dreigingen
en incidenten. Naast het informeren en het adviseren verleent het NCSC de aanbieders
in zijn doelgroep ook overige bijstand bij het treffen van maatregelen om incidenten
te voorkomen en te verhelpen. Overige bijstand kan bijvoorbeeld inhouden dat aan de
aanbieder uit de doelgroep ter plekke ondersteuning wordt geboden bij het duiden van
het probleem en de maatregelen om dat probleem aan te pakken.

Het DTC (Minister van EZK) richt zich bij het informeren en het adviseren over digitale
dreigingen en incidenten op de doelgroep van het niet-vitale bedrijfsleven. Hierbij
gaat het om algemene informatie en handelingsperspectieven maar ook om specifieke
dreigingsinformatie gericht op individuele bedrijven. In tegenstelling tot het NCSC
verleent het DTC bij incidenten geen overige bijstand, ofwel incident response, aan
de aanbieders in zijn doelgroep.

Het kabinet is van mening dat deze belangen het beste worden gediend door deze onder
te brengen in deze twee te onderscheiden wetten.

De memorie van toelichting is in paragraaf (2.3) aangevuld op dit punt.

De Afdeling merkt overigens op dat de toelichting geen aandacht besteedt aan de vraag
hoe het voornoemde recente wetsvoorstel tot wijziging van de Wbni zich verhoudt tot
het onderhavige. De toelichting dient op dit punt te worden aangevuld, nu de voorstellen
nauw met elkaar samenhangen en ook technisch op elkaar moeten worden afgestemd.9

In de memorie van toelichting bij het onderhavige wetsvoorstel is toegelicht dat er
een verband is tussen dit wetsvoorstel en het voorstel tot wijziging van de Wbni10 (zie toelichting bij artikel 5). Daar is ingegaan op de samenhang tussen beide wetsvoorstellen.
Het verband tussen deze twee wetsvoorstellen is gelegen in het in ruimere zin mogelijk
maken van het uitwisselen van informatie over digitale dreigingen en incidenten tussen
beide organisaties ten behoeve van het uitoefenen van hun onderscheidenlijke taken.
Dit betreft informatie-uitwisseling die twee kanten op werkt, dat wil zeggen van NCSC
naar DTC en van DTC naar NCSC.

Waar de Afdeling mogelijk refereert aan de uitbereiding van de bevoegdheid van de
Minister van JenV om niet-vitale aanbieders rechtstreeks van informatie te voorzien
wordt het volgende opgemerkt. Rechtstreekse informatieverstrekking vanuit het NCSC
aan andere aanbieders dan vitale aanbieders en Rijksoverheidsorganisaties zal door
het wetsvoorstel tot wijziging van de Wbni alleen andere aanbieders kunnen betreffen
die geen schakelorganisaties hebben en indien een dreiging of incident aanzienlijke
gevolgen heeft of kan hebben voor de continuïteit van hun dienstverlening. In onderhavig
wetsvoorstel wordt de positie van het DTC als schakelorganisatie voor haar doelgroep
wettelijk vastgelegd. Dit leidt ertoe dat het NCSC niet ook aan individuele aanbieders
in de doelgroep van het DTC informatie kan verstrekken. 11

De memorie van toelichting is in paragraaf (2.2) aangevuld op dit punt.

De Afdeling adviseert de keuze voor een zelfstandige wet in het licht van het voorgaande
te heroverwegen.

Op grond van het voorgaande wordt dit voorstel tot wet gehandhaafd en zal de samenhang
tussen het wetsvoorstel en de Wbni zorgvuldig worden bewaakt.

Ongeacht of de regering vasthoudt aan de introductie van een nieuwe wettelijke regeling,
wijst de Afdeling op het volgende.

2. Nieuwe taken Minister van Economische Zaken en Klimaat

a. Samenwerking en duidelijkheid voor de praktijk

Met het wetsvoorstel krijgt de Minister van EZK onder andere de taak om samen te werken
met bestuursorganen en rechtspersonen ten behoeve van de digitale weerbaarheid. Hierbij
gaat het volgens de toelichting onder meer om samenwerking met andere vakdepartementen
en decentrale overheden, maar ook met onderwijsinstellingen en onderzoeksinstituten.12 Hieruit blijkt dat verschillende departementen aanspreekpunt kunnen zijn op het terrein
van cybersecurity voor dezelfde organisaties. Een belangrijk uitgangspunt daarbij
is wel dat het voor alle sectoren duidelijk is voor wat zij bij welk departement zij
terecht kunnen.13

De Afdeling adviseert de nieuwe samenwerkingstaak in de toelichting te verduidelijken
en inzichtelijk te maken in welke gevallen organisaties zich kunnen wenden tot de
Minister van EZK.

De Minister van EZK heeft op grond van voorgesteld artikel 2, tweede lid, twee soorten
taken op het gebied van samenwerking ter versterking van de digitale weerbaarheid
van de Nederlandse samenleving of ter voorkoming van nadelige maatschappelijke gevolgen
in en buiten Nederland. De eerste taak ziet op het stimuleren van onderlinge samenwerking
tussen bedrijven (onderling) en organisaties. De tweede taak ziet op het samenwerken
met andere bestuursorganen en organisaties om te werken aan bredere oplossingen voor
digitale weerbaarheid. Denk hierbij aan kennisdeling, onderzoek en sector- of branche-specifieke
beelden. Anders dan de Afdeling lijkt te veronderstellen leidt deze samenwerkingstaak
niet tot onduidelijkheid bij bedrijven over bij welk departement zij terecht kunnen.
De samenwerking met andere vakdepartementen en decentrale overheden, maar ook met
onderwijsinstellingen en onderzoeksinstituten heeft namelijk geen effect op bestaande
verhoudingen tussen deze organisaties en de bedrijven en sectoren. Er verandert dus
ook niets in bestaande aanspreekpunten voor bedrijven en sectoren.

b. Risico van uiteenlopende analyses, onderzoeken en adviezen

De Afdeling merkt daarnaast op dat de taken van het DTC en het NCSC lijken te (kunnen)
overlappen. Op grond van het wetsvoorstel respectievelijk de Wbni, kan zowel het DTC
als het NCSC een analyse uitvoeren en (technisch) onderzoek doen naar de door hen
verzamelde informatie. Het DTC kan voorts op basis van het wetsvoorstel niet-vitale
bedrijven informeren over digitale dreigingen en incidenten.14 Het NCSC kan niet alleen vitale bedrijven en onderdelen van de rijksoverheid informeren
over digitale dreigingen en incidenten, maar op grond van een recent wetsvoorstel
ook niet-vitale bedrijven.15

In dat licht wijst de Afdeling op het risico dat een bedrijf zowel door het NCSC als
het DTC wordt geïnformeerd over een digitale dreiging of een incident, en dat daaraan
verschillende analyses of onderzoeken ten grondslag liggen.16 In het geval van digitale dreigingen en incidenten is het van cruciaal belang dat
er geen onduidelijkheid is over de (analyse van bepaalde) dreigings- en incidenteninformatie.17

De Afdeling haalt in dit punt aan dat niet-vitale bedrijven zowel door het DTC als
het NCSC kunnen worden geïnformeerd en dat daaraan mogelijk verschillende analyses
en onderzoeken ten grondslag kunnen liggen. Het DTC en NCSC hebben echter duidelijk
te onderscheiden doelgroepen van organisaties waaraan informatie en advies over concrete
digitale dreigingen en incidenten worden verstrekt en ten behoeve waarvan analyses
en onderzoek naar aanleiding van (aanwijzingen voor) dergelijke dreigingen en incidenten
worden gedaan. In de door de Afdeling aangehaalde wijziging van de Wbni wordt het
onder bepaalde voorwaarden mogelijk voor het NCSC om in ruimere zin dreigings- en
incidentinformatie te delen met andere aanbieders (niet zijnde Rijk en vitaal). Een
van die voorwaarden is dat er voor die aanbieders géén schakelorganisatie beschikbaar
is die deze aanbieder als doelgroep heeft. Daarnaast zorgt het wetsvoorstel ervoor
dat dreigings- en incidentinformatie in ruimere zin kan worden gedeeld met het DTC
en andere schakelorganisaties. Het NCSC zal informatie over niet-vitale bedrijven
dus direct met het DTC kunnen delen, welke op haar beurt haar doelgroep zal kunnen
informeren en adviseren. Hiermee is dubbel informeren van een niet-vitaal bedrijf
niet aan de orde.

Het NCSC en DTC werken waar mogelijk samen. Voor wat betreft analyse en onderzoek
zijn beide organisaties verantwoordelijk voor de eigen doelgroepen. Vanwege deze verschillende
doelgroepen kan het zijn dat voor het DTC en NCSC andere bronnen, die algemene of
specifieke (dreigings)informatie bevatten welke van publieke of private partijen afkomstig
zijn, relevant zijn. Zo zijn niet alle kwetsbaarheden, dreigingen en incidenten relevant
voor doelgroepen van het DTC. Dit geldt ook voor de door het NCSC bijgestane vitale
aanbieders of overheidsorganisaties. Denk hierbij aan systemen die alleen bij de overheid
worden gebruikt, of aan de andere kant van het spectrum, producten die door zzp’ers
worden gebruikt maar eigenlijk gekocht zijn als consument. Dit laat onverlet dat als
één van deze organisaties in de uitoefening van haar taken over informatie beschikt,
die ook relevant is voor de doelgroep van de ander, deze informatie onderling uitgewisseld
zal gaan worden.

Aan de memorie van toelichting is een nieuwe paragraaf (2.4) toegevoegd over de verhouding
tussen het DTC en het NCSC.

In aanvulling daarop merkt de Afdeling op dat zowel het NCSC als het DTC de taak is
toegekend een advies, zoals een handelingsperspectief, aan specifieke bedrijven aan
te reiken. Het is daardoor mogelijk dat adviezen van de overheid gerelateerd aan eenzelfde
dreiging of incident uiteenlopen en dat partijen binnen eenzelfde keten, verschillende
handelsperspectieven aangereikt krijgen. Ter illustratie wijst de Afdeling op de aanpak
van de problemen rond kwetsbaarheden in Citrix-software. Het NCSC kwam begin 2020
aanvankelijk met een genuanceerd advies aan afnemers om te overwegen de Citrix-servers
uit te zetten, afhankelijk van de impact die dat zou hebben op de afnemer in kwestie.
Al de volgende dag adviseerde het NCSC dringend om alle Citrix-servers uit te zetten,
omdat – zoals later bleek – de AIVD de veiligheidsrisico’s anders inschatte dan het
NCSC. Organisaties die de problemen met Citrix zelf al hadden opgelost, zagen zich
genoodzaakt om dat advies op te volgen.18

De toelichting bij het wetsvoorstel stelt dat het DTC en het NCSC samenwerken om het
risico van onder meer dubbele informatieverstrekking te vermijden.19 Er wordt evenwel geen «rangorde» aangebracht tussen de adviezen van het DTC en het
NCSC. De Afdeling is van oordeel dat concrete uitgangspunten, die ertoe moeten leiden
dat uiteenlopende analyses, onderzoeken en adviezen van de overheid in relatie tot
eenzelfde dreiging of incident worden voorkomen, niet alleen in samenwerkingsafspraken
met het NCSC, maar ook in de toelichting bij dit wetsvoorstel dienen te worden uitgewerkt.

De Afdeling adviseert in de toelichting nader inzichtelijk te maken hoe uiteenlopende
analyses, onderzoeken en adviezen van de overheid in relatie tot eenzelfde dreiging
of incident kunnen worden voorkomen.

Zoals ook eerder toegelicht, hebben het DTC en NCSC beiden duidelijk te onderscheiden
doelgroepen. Het NCSC richt zich op vitale aanbieders en organisaties die deel uitmaken
van de rijksoverheid. De doelgroep van het DTC is het niet-vitale bedrijfsleven. Beide
organisaties zullen de analyses, onderzoeken en adviezen die zij uitvoeren en geven
afstemmen op de taak die zij hebben voor hun doelgroep. Hierbij wordt met name in
de formulering van het advies rekening gehouden met de aard en de relevantie van het
advies voor de respectievelijke doelgroepen. Daarnaast zullen het DTC en NCSC met
elkaar samenwerken en informatie uitwisselen om te voorkomen dat sterk uiteenlopende
analyses, onderzoeken en adviezen worden gegeven.

Het door de Afdeling geschetste risico zal in de komende jaren verder worden verkleind
door de voorgenomen vorming van één nieuwe organisatie waarin verschillende cybersecurity
expertise van de overheid samen zal komen20.

In de memorie van toelichting is de nieuwe paragraaf (2.4) aangevuld op dit punt.

c. Verwachtingen sector

Met het wetsvoorstel kan het DTC het Nederlandse bedrijfsleven voorzien in analyses,
onderzoek en individuele adviezen in geval van digitale dreigingen en incidenten.
De regering hanteert daarbij tevens het uitgangspunt dat het van belang is dat bedrijven
in Nederland hun verantwoordelijkheid op het gebied van cybersecurity kennen en nemen.
Dit betekent dat zij zelf moeten investeren in hun digitale weerbaarheid.21

De Afdeling onderschrijft de rol van de overheid voor effectieve informatie-uitwisseling
voor de digitale weerbaarheid van bedrijven maar wijst ook op het risico dat de verwachting
wordt gewekt dat daarmee goeddeels in dreigings- en incidenteninformatie is voorzien,
waardoor bedrijven hun eigen verantwoordelijkheid onderschatten of veronachtzamen.
De Afdeling acht het van belang dat met dit wetsvoorstel ook helder wordt gecommuniceerd
hoe deze nieuwe taken van de Minister van EZK zich verhouden tot de eigen verantwoordelijkheden
van het niet-vitale bedrijfsleven om alert te zijn op mogelijke kwetsbaarheden, dreigingen
en incidenten.

Zo is het volgens de Onderzoeksraad voor Veiligheid voor kleinere bedrijven moeilijk
om hun verantwoordelijkheid voor veilige software die zij gebruiken waar te maken.
Software bevat immers een steeds groter aantal onbekende kwetsbaarheden, er gelden
(nog) geen wettelijke eisen voor software, fabrikanten sluiten de aansprakelijkheid
voor kwetsbaarheden vaak uit of beperken die, en het testen en installeren van updates
en patches vergt veel tijd en deskundigheid.22 Tegelijkertijd kan de overheid deze verantwoordelijkheid niet volledig overnemen.

In het licht van het voorgaande, adviseert de Afdeling in de toelichting in te gaan
op de verhouding tussen de verantwoordelijkheden van de Minister van EZK en die van
het niet-vitale bedrijfsleven.

De verantwoordelijkheid van de overheid voor de digitale weerbaarheid van niet-vitale
bedrijven is begrensd door de eigen verantwoordelijkheid van niet-vitale bedrijven.
Op basis van dit wetsvoorstel kan het DTC niet-vitale bedrijven informeren en adviseren
over bijvoorbeeld ernstige kwetsbaarheden bij individuele bedrijven. Hierbij dient
in acht te worden genomen dat de informatie en adviezen van het DTC een (niet volledige)
aanvulling zijn op de digitale weerbaarheid van een bedrijf. Zo heeft een specifieke
individuele notificatie door het DTC betrekking op die concrete dreiging of kwetsbaarheid.
Maar er kunnen meer kwetsbaarheden, dreigingen en incidenten zijn in de netwerk- en
informatiesystemen van dat bedrijf waar het DTC géén weet van heeft. Een bedrijf is
en blijft zelf verantwoordelijk voor het actief beheren en versterken van haar digitale
veiligheid. De overheid speelt hierin een rol maar neemt uitdrukkelijk niet de verantwoordelijkheid
van bedrijven over.

De memorie van toelichting is in paragraaf (2.2) hier nader op aangevuld.

3. Potentiële marktactiviteiten van de Minister van EZK

Op grond van het wetsvoorstel krijgt de Minister van EZK de taak om gegevens met betrekking
tot digitale kwetsbaarheden, dreigingen en incidenten te onderzoeken en te analyseren,
en om uitkomsten daarvan te verstrekken aan niet-vitale bedrijven.23 De Afdeling merkt op dat in de toelichting bij het wetsvoorstel slechts beperkt inzichtelijk
wordt gemaakt welke (soort) informatie de Minister voornemens is te delen met het
bedrijfsleven, en in hoeverre die informatie bewerkt zal worden. Ook is onduidelijk
welke soort adviezen bedrijven kunnen verwachten en wat onder analyse en onderzoek
van de Minister kan worden verstaan.

Volgens de toelichting wordt voldaan aan de Wet markt en overheid omdat de taken van
de Minister zich beperken tot informatievoorziening. Bedrijven dienen zelf incidenten
op te lossen en preventieve maatregelen nemen.24 De Afdeling vindt deze toelichting te summier en merkt op dat het voor de naleving
van de Wet markt en overheid en Europese (mededingings- en staatssteun)regelgeving
ook duidelijk moet zijn welk soort informatie wordt gedeeld, in welke mate die informatie
wordt bewerkt en welk soort adviezen en analyses worden opgesteld en uitgevoerd.25 Bewerking van informatie en op individuele bedrijven gerichte, specifieke adviezen
en analyses kan ertoe leiden dat er in het kader van dit wetsvoorstel sprake is van
economische activiteiten. In dat geval zal helder moeten zijn dat de Minister van
EZK zich ook houdt aan de gedragsregels uit de Wet markt en overheid, die een gelijk
speelveld tussen overheden en ondernemingen moeten creëren. De toelichting maakt dit
onvoldoende inzichtelijk.

De Afdeling adviseert in de toelichting bij het wetsvoorstel op te nemen welk soort
informatie, analyse en advies zal worden gedeeld en in hoeverre de Minister van EZK
voornemens is de informatie die wordt verzameld te bewerken voordat deze wordt gedeeld
met niet-vitale bedrijven.

Daarnaast adviseert de Afdeling in de toelichting nader in te gaan op de vraag in
hoeverre de taken van de Minister kunnen worden aangemerkt als economische activiteiten
in de zin van de Wet markt en overheid.

Het DTC zal, conform artikel 2 van dit voorstel, gegevens over kwetsbaarheden, dreigingen
en incidenten die betrekking hebben op netwerk- en informatiesystemen delen met bedrijven.
Deze informatie, die bij het DTC bekend is, wordt omgezet in twee stromen. Het DTC
zal algemene dreigingsinformatie delen door middel van nieuwsberichten bij beveiligingslekken
of kwetsbaarheden in netwerk- en informatiesystemen welke een grote bedreiging vormen
voor ondernemend Nederland. Criteria hiervoor zijn: de kans dat de kwetsbaarheid wordt
misbruikt en de ernst van de schade die kan optreden bij misbruik. Het DTC maakt voor
haar doelgroep nog een aantal aanvullende afwegingen voordat ze in een algemene waarschuwing
de gevonden kwetsbaarheid of dreiging van uitleg voorziet en publiceert. De belangrijkste
zijn: Betreft het netwerk- en informatiesystemen die door veel bedrijven gebruikt
worden? Is er actie door bedrijven nodig? Is er handelingsperspectief? Indien deze
afweging leidt tot een nieuwsbericht dan wordt in dit bericht aangegeven welk product
of versie het betreft, welk misbruik er mogelijk is, wat het effect daarvan kan zijn
en in algemene bewoordingen wat een bedrijf kan doen om de dreiging te verhelpen.

Vervolgens kan het DTC als het informatie heeft dat een kwetsbaarheid, dreiging of
incident te herleiden is tot één of meerdere bedrijven, deze bedrijven hierover informeren.
Het advies dat het DTC uitbrengt is in grote mate gebaseerd op de (publieke) informatie
van cybersecurity onderzoekers, leveranciers van netwerk- en informatiesystemen en
andere (publieke) informatie gerelateerd aan de kwetsbaarheid, dreiging of incident.
Het advies houdt nadrukkelijk geen verplichtingen in voor bedrijven. Ook zal het advies
van het DTC in algemene bewoordingen worden opgesteld waarbij het aan bedrijven zelf
is om te beoordelen (al dan niet met behulp van ICT-dienstverleners) welke concrete
maatregelen noodzakelijk zijn en kunnen worden doorgevoerd. Daarbij verleent het DTC
geen ondersteuning bij het doorvoeren van deze adviezen. Concreet betekent dit dat
een advies als volgt kan luiden:

Bedrijf ABC, u maakt gebruik van software van leverancier 123 op systeem met IP-adres:
xxx.xxx.xxx.xxx. In deze software is een kwetsbaarheid bekend geworden die kan leiden
tot toegang tot data en informatie door een derde. U kunt de volgende maatregelen
nemen:

1) update de software van leverancier 123;

2) onderzoek de toegang tot dit systeem;

3) mocht u hulp nodig hebben bij de beoordeling van deze informatie en adviezen, neem
contact op met je ICT leverancier.

De informatie over kwetsbaarheden, dreigingen en incidenten, waar het DTC over beschikt,
zal vaak in de vorm van ruwe data zijn. Wanneer het DTC de ruwe data naar een bedrijf
heeft kunnen herleiden, zal het DTC deze data verrijken met de contactgegevens van
het getroffen bedrijf. Daarna zal notificatie plaatsvinden aan het individuele bedrijf.
Er vindt geen verdere bewerking van de informatie plaats.

Het informeren van bedrijven (algemeen en individueel) over bij het DTC bekende kwetsbaarheden,
dreigingen en incidenten in netwerk- en informatiesystemen vindt plaats in het algemeen
belang. Het belang dat hier wordt gediend is enerzijds de digitale weerbaarheid van
individuele ondernemingen in Nederland, anderzijds het voorkomen van nadelige maatschappelijke
gevolgen voor burgers, klanten en bedrijven onderling. Een digitale verstoring bij
een supermarkt heeft direct gevolgen voor het bedrijf, haar klanten, de omgeving,
leveranciers en andere partners, zoals banken en accountants.

Het DTC informeert en geeft algemeen handelingsperspectief en daarmee is er ook een
grens aan wat de overheid doet. Bedrijven ontvangen informatie, het is aan hen om
hierop te handelen. Het gegeven handelingsperspectief, bijvoorbeeld het updaten van
een systeem, is niet op het individuele bedrijf afgestemd en wordt niet door het DTC
uitgevoerd. Bedrijven zijn en blijven zelf verantwoordelijk voor het nemen van de
nodige maatregelen. Bedrijven zullen juist dan, wanneer zij zelf onvoldoende mogelijkheid
hebben om de juiste maatregelen te nemen, een beroep doen op marktpartijen om hen
te ondersteunen. Bedrijven worden ongeacht hun branche of sector, regio of bedrijfsomvang
op dezelfde wijze behandeld.

Vanwege het bovengenoemde, behoort het delen van, bij het DTC bekende algemene of
specifieke informatie over kwetsbaarheden, dreigingen en incidenten aan de Nederlandse
bedrijven tot de uitoefening van bevoegdheden van openbaar gezag. Het bevorderen van
de digitale weerbaarheid van bedrijven en daarmee ook openbare (digitale) veiligheid
behoort immers tot de taken van de overheid. Daar waar marktactiviteiten beginnen,
houdt de advisering van het DTC op. De in dit wetsvoorstel voorgestelde taken van
de Minister van EZK zijn derhalve geen economische activiteiten en zijn de staatssteunregels
daar niet op van toepassing. Uit het arrest van het Hof van Justitie van de Europese
Unie (Derde kamer) van 12 juli 2012, ECLI:EU:C:2012:449, volgt dat het publiek toegankelijk
maken van informatie die verzameld is ten behoeve van een wettelijke taak geen economische
activiteit vormt.

De memorie van toelichting is op de punten van staatssteun en de verhouding Wet markt
en overheid respectievelijk in paragraaf (4.2) aangepast.

4. Informatiedeling met Caribisch Nederland

Volgens de toelichting gelden de taken en bevoegdheden van de Minister van EZK voor
Nederland inclusief Caribisch Nederland, zijnde Bonaire, Saba en Sint-Eustatius.26 De Afdeling ondersteunt de wens van de Nederlandse regering om zich ook in te zetten
voor de digitale weerbaarheid van bedrijven gevestigd in Caribisch Nederland. De Afdeling
merkt daarbij op dat informatie over digitale dreigingen en incidenten veelal persoonsgegevens
omvat, zoals in de vorm van IP-adressen.

De Algemene verordening gegevensbescherming (AVG) is alleen van toepassing op het
Europese deel van het Koninkrijk. Dit betekent dat op de gegevensverstrekking die
in het kader van het wetsvoorstel aan de orde is, het regime uit de AVG ten aanzien
van doorgifte van gegevens met derde landen van toepassing is.27 Zonder een adequaatheidsbesluit van de Europese Commissie kan niet zonder meer worden
uitgegaan van een «passend beschermingsniveau».28 Daarmee ontbreekt een grondslag voor doorgifte van gegevens aan Caribisch Nederland
op grond van artikel 45 AVG.

De Afdeling adviseert in de toelichting in te gaan op de naleving van de AVG en te
voorzien in een grondslag voor doorgifte van gegevens aan Caribisch Nederland.

Naar aanleiding van het advies van de Afdeling is het wetsvoorstel aangevuld met een
nieuw artikel waaruit blijkt dat de wet ook in Caribisch Nederland van toepassing
is (artikel 7). Hiermee wordt een expliciete grondslag gecreëerd voor uitwisseling
van gegevens met Caribisch Nederland. Ook daar is de nood hoog en is er sprake van
behoefte aan het bevorderen van de digitale weerbaarheid. Daarnaast wordt het advies
opgevolgd door in paragraaf 4.3 van de memorie van toelichting in te gaan op de naleving
van de AVG ten aanzien van doorgifte van gegevens aan Caribisch Nederland.

Omdat Caribisch Nederland geen deel uitmaakt van de Europese Unie is sprake van doorgifte
naar een zogeheten derde land in de zin van de AVG. Voor doorgifte geldt in aanvulling
op de gebruikelijke eisen voor de verwerking van persoonsgegevens dat tevens aan de
voorwaarden van Hoofdstuk V van de AVG dient te worden voldaan. Voor het voldoen aan
een adequaat beschermingsniveau zijn verschillende mogelijkheden. Artikel 46 van de
AVG staat doorgifte van persoonsgegevens naar een derde land toe wanneer er sprake
is van passende waarborgen en betrokkenen over afdwingbare rechten en doeltreffende
rechtsmiddelen beschikken. In Caribisch Nederland geldt een wettelijke regeling inzake
de bescherming van persoonsgegevens – de Wet bescherming persoonsgegevens BES (Wbp
BES). Deze wet biedt waarborgen voor de bescherming van deze gegevens en de rechten
van betrokkenen. In verhouding tot de AVG biedt de Wbp BES een vergelijkbaar beschermingsniveau
van persoonsgegevens. Zo moet aan vergelijkbare vereisten van rechtmatigheid worden
voldaan, en worden de rechten en rechtsbescherming van betrokkene gewaarborgd. Net
als bij de AVG heeft de betrokkene o.m. het recht op inzage in zijn of haar persoonsgegevens.
Voor zover het voor een goede uitvoering van de voorgestelde taken en bevoegdheden
noodzakelijk zal zijn om persoonsgegevens in Caribisch Nederland te verwerken biedt
de Wbp BES aldus een passend beschermingsniveau. Zoals uitgelegd in de memorie van
toelichting bij het wetsvoorstel zal het hierbij om «gewone» persoonsgegevens gaan
waarbij niet meer gegevens worden verwerkt dan strikt noodzakelijk, en deze niet voor
andere doeleinden worden gebruikt dan waarvoor zij oorspronkelijk zijn verzameld.

De Afdeling advisering van de Raad van State heeft een aantal bezwaren bij het voorstel
en adviseert het voorstel niet bij de Tweede Kamer der Staten-Generaal in te dienen,
tenzij het is aangepast.

Van de gelegenheid is gebruik gemaakt om de memorie van toelichting voor wat betreft
het structurele budget voor de taken van de Minister van EZK, te actualiseren (paragraaf 7).
Dit structurele budget is verhoogd op basis van het huidige Regeerakkoord.

De waarnemend vice-president van de Raad van State,

S.F.M. Wortmann

Ik moge U verzoeken het hierbij gevoegde voorstel van wet en de gewijzigde memorie
van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.

De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens