Verslag (initiatief)wetsvoorstel (nader) : Verslag
36 270 Regels ter bevordering van de digitale weerbaarheid van bedrijven (Wet bevordering digitale weerbaarheid bedrijven)
Nr. 5 VERSLAG
Vastgesteld 20 januari 2023
De vaste commissie voor Economische Zaken en Klimaat, belast met het voorbereidend
onderzoek van dit wetsvoorstel, heeft de eer als volgt verslag uit te brengen van
haar bevindingen.
Onder het voorbehoud dat de regering op de gestelde vragen en de gemaakte opmerkingen
tijdig en genoegzaam zal hebben geantwoord, acht de commissie de openbare beraadslaging
over dit wetsvoorstel voldoende voorbereid.
A. Algemeen
De leden van de VVD-fractie hebben met veel interesse en waardering kennisgenomen
van het onderhavige wetsvoorstel en hebben hierover nog enkele vragen en opmerkingen.
Deze leden willen hier graag de noodzaak van dit wetsvoorstel onderschrijven, gezien
de digitale dreiging waar Nederlandse niet-vitale bedrijven in toenemende mate dagelijks
mee te maken hebben. Voornoemde leden beschouwen hun digitale veiligheid en weerbaarheid
als randvoorwaardelijk voor het behoud en de groei van de Nederlandse economische
belangen.
De leden van de D66-fractie hebben met interesse kennisgenomen van het onderhavige
wetsvoorstel, het advies van de Afdeling advisering van de Raad van State en de reacties
van diverse partijen. De leden willen de regering nog enkele vragen voorleggen.
De leden van de CDA-fractie hebben met interesse kennisgenomen van het onderhavige
wetsvoorstel. Deze leden zien, samen met de regering, de noodzaak om informatie over
specifieke digitale dreigingen en kwetsbaarheden te kunnen delen met het bedrijfsleven.
Deze leden steunen daarom een spoedige behandeling en inwerkingtreding van het wetsvoorstel.
Deze leden hebben nog enkele vragen.
De leden van de SP-fractie hebben het onderhavige wetsvoorstel gelezen en hebben hierover
nog enkele vragen.
De leden van de ChristenUnie-fractie hebben kennisgenomen van het onderhavige wetsvoorstel.
Zij constateren dat de wet voortkomt uit de behoefte om bedrijven en maatschappelijke
organisaties beter te informeren en adviseren over én concrete hulp en ondersteuning
te bieden bij het verbeteren van hun cybersecurity en bij het afslaan van aanvallen
door hackers. De leden constateren dat de taken van het in 2017 opgerichte DTC uitgebreid
worden van algemene informatievoorziening naar informatievoorziening over specifieke
digitale dreigingen en kwetsbaarheden. Tevens constateren ze dat het DTC de mogelijkheid
krijgt om handelingsperspectief aan te reiken aan bedrijven over vervolgstappen bij
digitale dreigingen en kwetsbaarheden. De leden van de ChristenUnie-fractie hebben
behoefte aan het stellen van enkele nadere vragen.
Het lid van de BBB-fractie heeft met belangstelling kennis genomen van het onderhavige
wetsvoorstel. Het wetsvoorstel beoogt een wettelijke grondslag te bieden voor taken
en bevoegdheden van de Minister van Economische Zaken en Klimaat (EZK) op het gebied
van de digitale weerbaarheid van het niet-vitale bedrijfsleven in Nederland.
Het lid van de BBB-fractie onderschrijft het belang van de bevordering van digitale
weerbaarheid van Nederlandse bedrijven. Hier is echter geen wet voor nodig, maar een
effectief communicatie- en scholingsplan. Het lid van de BBB-fractie is het daarom
ook eens met het advies van de Afdeling advisering van de Raad van State, die feitelijk
aangeeft dat dit wetsvoorstel een overbodig instrument is.
Het lid van de BBB-fractie leest dat het wetsvoorstel de Minister van EZK een wettelijke
grondslag geeft om de voor haar taakuitoefening noodzakelijke (persoons)gegevens op
te vragen en te delen. Dit kan echter al via de Wet beveiliging netwerk- en informatiesystemen
(Wbni). De Wbni kent de Minister van EZK al enkele bevoegdheden toe. Die hebben betrekking
op aanbieders van essentiële diensten binnen de sectoren energie en digitale infrastructuur.
Daarnaast voorziet een recent wetsvoorstel tot wijziging van de Wbni in een grondslag
voor de verstrekking van (persoons)gegevens door het Nationaal Cyber Security Center
(NCSC), ook aan niet-vitale aanbieders. De Wbni regelt dus niet alleen bevoegdheden
voor de Minister van Justitie en Veiligheid (JenV), maar ook voor de Minister van
EZK. Bovendien regelt het, indien het recente wetsvoorstel tot wet wordt verheven,
bevoegdheden ten aanzien van het niet-vitale bedrijfsleven. Tegen die achtergrond
en uit het oogpunt van harmonisatie van wetgeving ligt het in de rede om de nieuwe
bevoegdheden van de Minister van EZK ten aanzien van de verwerking en verstrekking
van persoonsgegevens op te nemen in de Wbni.
Het lid van de BBB-fractie verzoekt de regering dan ook met klem dit overbodige wetsvoorstel
in te trekken en zo een bijdrage te leveren aan de zo gewenste vermindering van de
regeldruk voor ondernemers en burgers, zoals ook in het Regeerakkoord en het Coalitieakkoord
als voornemen is vastgelegd. Het lid van de BBB-fractie roept de regering op te doen
wat zij zegt.
1. Hoofdlijnen van het voorstel
De leden van de VVD-fractie lezen dat het voorliggende wetsvoorstel het DTC in staat
stelt om niet-vitale bedrijven te voorzien van specifieke (acute) dreigingsinformatie
die relevant is voor organisaties in Nederland en om deze informatie dus actief te
delen met potentiële en daadwerkelijke slachtoffers van digitale aanvallen. De leden
van de VVD-fractie beschouwen dit als een zeer belangrijke en urgente taak van het
DTC. Gegeven het feit dat het DTC beschikt over 23 fte en het een doelgroep behelst
van 2 miljoen ondernemers maken deze leden zich zorgen over de haalbaarheid en effectieve
uitvoering van voorliggende substantiële uitbreiding van informatievoorziening. In
hoeverre voorziet dit wetsvoorstel ook in de additionele (personele) capaciteit die
nodig is om te voldoen aan de nieuwe volwaardige taakvoorziening van het DTC en om
uiteindelijk het hoofddoel van het DTC daadwerkelijk te kunnen bewerkstelligen? Wordt
deze capaciteit ook gemeten en tussentijds geëvalueerd, zodat aan de eventuele toegenomen
vraag tegemoet kan worden gekomen door het DTC? Zo nee, waarom niet?
De leden van de VVD-fractie willen voorts aandacht vragen voor de verscheidenheid
aan ondernemers en bedrijven die onder de doelgroep van het DTC vallen. Deze leden
zijn van mening dat deze verscheidenheid zorgt voor verschillende behoeftes en hulpvragen
en derhalve een veelzijdige aanpak behoeft van het DTC in de uitvoering van hun taken.
Zo bestaan er grote verschillen tussen de ondernemingen over het volwassenheidsniveau
van cybersecurity, als tevens de aanwezigheid en beschikbaarheid van geschikt cybersecurity
personeel. Op welke wijze borgt voorliggend wetsvoorstel een veelzijdige en flexibele
aanpak en werkwijze van het DTC om tegemoet te komen aan de uiteenlopende behoeftes
van de doelgroep? Worden er plannen gemaakt om de verschillende doelgroepen en bedrijven
zo goed mogelijk te bereiken en de bekendheid van het DTC te vergroten?
De leden van de VVD-fractie willen daarnaast nader ingaan op de belangrijke taak van
de Minister van EZK om de ontwikkeling van samenwerkingsverbanden tussen bedrijven
op het gebied van digitale weerbaarheid te stimuleren en het aantal samenwerkingsverbanden
dat momenteel is aangesloten op het DTC. Hoeveel samenwerkingsverbanden telt het DTC
momenteel en om welke samenwerkingsverbanden gaat het? Klopt het dat het streven voor
2023 een uitbreiding van het aantal samenwerkingsverbanden betreft? Zo ja, om hoeveel
extra samenwerkingsverbanden gaat het? In hoeverre en op welke wijze voorziet dit
wetsvoorstel in de capaciteit en vereisten die deze uitbreiding behoeft? Op welke
wijze worden samenwerkingsverbanden geïnventariseerd en geïnitieerd? In hoeverre wordt
dit gedaan in samenwerking met bedrijven en brancheorganisaties?
De leden van de VVD-fractie willen tevens stilstaan bij de te vormen nieuwe organisatie
waarin onder andere het DTC en het NCSC zullen worden samengebracht. Deze leden ondersteunen
deze voorgenomen samensmelting van harte, gezien het belang van het snel en zorgvuldig
delen van dreigingsinformatie bij het adequaat omgaan met cyberaanvallen. Welke mogelijkheden
voor het onderhavige wetsvoorstel ziet de regering om de voorgenomen eenwording te
faciliteren en waar mogelijk te kunnen versnellen? Welke stappen is de regering hiervoor
bereid te zetten? Kan de regering deze stappen toelichten aan de hand van het voorliggende
tijdspad behorend bij de voorgenomen integratie van het DTC, NCSC en het Computer
Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP)?
De leden van de CDA-fractie vragen of de regering wil reageren op de berichten dat
één op de vijf bedrijven het risico loopt gehackt te worden en dat met name het midden-
en kleinbedrijf (mkb) kwetsbaar is. Deze leden vragen of de regering de mening deelt
dat het mkb in het algemeen minder goed voorbereid is op een digitale dreiging en
dat er daarom extra aandacht voor het mkb moet zijn. Deze leden vragen welke stappen
de regering zet om ervoor te zorgen dat het Digital Trust Center (DTC) voldoende toegerust
is om het kwetsbare mkb te informeren en helpen bij digitale dreigingen.
1.1 Wettelijke grondslag voor taken en gegevensverwerking Minister van EZK
De leden van de SP-fractie vragen waarom het volgens de regering noodzakelijk is dat
de Minister van EZK ook een bevoegdheid krijgt ten aanzien van het verwerken van gegevens
rondom digitale veiligheid van bedrijven, nu deze bevoegdheid ook door de wet bij
de Minister van JenV is belegd. Hoewel deze leden begrijpen dat de regering hier een
verschil in rollen ziet, vragen zij of het desondanks niet meer voor de hand ligt
dat de taken die met dit voorstel bij de Minister van EZK komen te liggen ook worden
belegd bij de Minister van JenV. Dit voorkomt immers dat er onnodig gegevens worden
gedeeld tussen onderdelen van de verschillende ministeries en er onduidelijkheid optreedt
welk ministerie waar precies verantwoordelijk voor is.
1.2 Motivering instrumentkeuze
De leden van de CDA-fractie lezen dat de Afdeling advisering van de Raad van State
heeft geadviseerd om de nieuw voorgestelde grondslag niet vast te leggen in een zelfstandige
wet, maar in de Wbni. Deze leden danken de regering voor de toelichting op de noodzaak
van een zelfstandige wet en hebben hierover nog een vraag. Deze leden zijn van mening
dat het in dit geval belangrijk is om vanuit de praktijk te bezien hoe de wettelijke
grondslag het beste vormgegeven kan worden. Deze leden vragen daarom of en, zo ja,
welke praktische problemen er kunnen ontstaan en of er bedrijven in de knel kunnen
komen als onderhavige grondslag wordt opgenomen in de Wbni.
1.3 Verhouding DTC – NCSC
De leden van de D66-fractie vinden digitalisering binnen het bedrijfsleven van groot
belang. Er worden hierbij grote stappen gemaakt en het is belangrijk dat deze transitie
gezond versneld kan worden, waarbij er extra oog is voor het mkb, dat nog niet voldoende
kan meekomen. De veiligheid en digitale weerbaarheid van bedrijven in deze transitie
is cruciaal. Deze leden merken op dat er binnen de overheid twee verschillende loketten
zijn waar bedrijven terecht kunnen met hun veiligheidsvraagstukken omtrent digitalisering.
Deze leden maken zich zorgen dat het niet duidelijk is wat de taakverdeling tussen
het NCSC en het DTC is. Kan de regering verduidelijken wat de wisselwerking tussen
deze loketten is en of hierbij overlap ontstaat? Is het voor ondernemers duidelijk
tot welk contactpunt zij behoren? Bestaat er risico’s dat bedrijven niet eenduidig
geïnformeerd worden of dat er verzuimd wordt om een bedrijf te informeren, doordat
er onduidelijkheden bestaan over de informatievoorziening?
De leden van de CDA-fractie vragen of de regering een toelichting wil geven op het
onderscheid tussen het vitale en niet-vitale bedrijfsleven, dat in wet- en regelgeving
op het gebied van digitale veiligheid vaak wordt gebruikt. Deze leden vragen of dit
onderscheid niet achterhaald dreigt te raken, gezien de toenemende vervlechting van
de digitale infrastructuur in Nederland. Deze leden vragen of door het NCSC en DTC
ook een prioriteitsafweging wordt gemaakt die ziet op het meewegen van bijvoorbeeld
ketenafhankelijkheid, kritische processen en het volwassenheidsniveau op het gebied
van cybersecurity bij organisaties.
De leden van de ChristenUnie-fractie vragen hoe voorliggend voorstel zich verhoudt
tot de aanstaande samenvoeging van het NCSC en het DTC en de nieuwe Europese richtlijnen
die de komende jaren zullen worden geïmplementeerd.
De leden van de ChristenUnie-fractie maken zich zorgen of de extra taak voor het DTC,
naast de taken die het NCSC en de organisaties die «objectief kenbaar tot taak» hebben
om andere organisaties of het publiek te informeren over dreigingen en incidenten
met betrekking tot andere netwerken informatiesystemen (OKTT’s) reeds vervullen, het
delen van dreigingsinformatie niet juist inefficiënter maakt. Zou het niet verstandiger
zijn het delen van dreigingsinformatie meer te concentreren? Hoe weegt de regering
hierbij ook de consultatie-inbreng van Cyberveilig Nederland? Genoemde leden maken
zich zorgen dat voorliggend voorstel leidt tot versplintering van informatie en dat
dit juist een averechts effect kan hebben.
De leden van de ChristenUnie-fractie vragen de regering in elk geval in gesprek te
gaan met het bedrijfsleven over hoe de informatievoorziening richting bedrijven zo
kan worden gestroomlijnd dat voornoemde risico’s zo veel als mogelijk worden voorkomen
bijvoorbeeld middels een loketfunctie. Hierbij kunnen genoemde leden zich ook voorstellen
dat richtlijnen worden opgesteld omtrent het delen van vertrouwelijke informatie.
De leden van de SP-fractie vrezen dat er in praktijk straks veel onduidelijkheid zal
bestaan over welk ministerie voor welke taak verantwoordelijk is. Daarbij is er een
risico dat de twee instanties, de DTC en de NCSC, taken dubbel of niet uitvoeren,
omdat het onduidelijk is welke instantie waar verantwoordelijk voor is. Kan de regering
daarbij ook nader ingaan op de kritiek van de Afdeling advisering van de Raad van
State?
2. Uitvoering
De leden van de D66-fractie vinden het van groot belang dat bedrijven zich digitaal
weerbaar kunnen maken. Laagdrempeligheid staat hierbij centraal. Deze leden vragen
in hoeverre het DTC niet-vitale bedrijven van informatie voorziet omtrent de overgang
naar digitale middelen in bedrijfsvoering en de risico’s die hierbij ontstaan. Bestaat
hierbij een verschil in de grote van bedrijven? Kunnen bedrijven hiervoor bij het
DTC terecht? Zijn hieruit al best-practices gekomen die actief naar ondernemers kunnen
worden gecommuniceerd? Spelen ondernemersorganisaties een rol bij het verbeteren van
digitale informatievoorziening? Zo niet, ziet de regering voor deze organisaties een
rol, zodat kennis laagdrempelig en toegankelijk naar bedrijven die in de digitale
transitie zitten kan worden gecommuniceerd?
B. Artikelen
Artikel 4 (Verstrekking van vertrouwelijke gegevens door de Minister van EZK)
De leden van de D66-fractie nemen kennis van het delen van dreigingsinformatie en
de kans die daarbij bestaat om juist gevoelige informatie te lekken, wanneer de digitale
beveiliging van een bedrijf onvoldoende op orde is. De leden verzoeken de regering
toe te lichten hoe dit voorkomen kan worden. Zet de regering hier instrumenten voor
in en, zo ja, welke?
De voorzitter van de commissie, Agnes Mulder
De adjunct-griffier van de commissie, Van Dijke
Ondertekenaars
-
Eerste ondertekenaar
A.H. (Agnes) Mulder, voorzitter van de vaste commissie voor Economische Zaken en Klimaat -
Mede ondertekenaar
D.D. van Dijke, adjunct-griffier
Stemmingsuitslagen
Aangenomen met handopsteken
| Fracties | Zetels | Voor/Tegen |
|---|---|---|
| PVV | 37 | Voor |
| GroenLinks-PvdA | 25 | Voor |
| VVD | 24 | Voor |
| NSC | 20 | Voor |
| D66 | 9 | Voor |
| BBB | 7 | Tegen |
| CDA | 5 | Voor |
| SP | 5 | Tegen |
| ChristenUnie | 3 | Voor |
| DENK | 3 | Voor |
| FVD | 3 | Voor |
| PvdD | 3 | Tegen |
| SGP | 3 | Voor |
| Volt | 2 | Voor |
| JA21 | 1 | Voor |
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.