Memorie van toelichting : Memorie van toelichting

Nr. 3 MEMORIE VAN TOELICHTING

ALGEMEEN DEEL

1. Inleiding

Dit wetsvoorstel zorgt voor een uitbreiding van de bevoegdheid van het Nationaal Cyber
Security Centrum (hierna: NCSC) om namens de Minister van Justitie en Veiligheid informatie
te verstrekken aan of ten behoeve van aanbieders, die geen vitale aanbieder zijn en
evenmin deel uitmaken van de rijksoverheid, over dreigingen en incidenten betreffende
hun netwerk- en informatiesystemen. Deze aanbieders worden in deze toelichting andere aanbieders genoemd. Het voorstel bevat daartoe wijzigingen van twee artikelen in de Wet beveiliging
netwerk- en informatiesystemen (hierna: Wbni).

De eerste wijziging ziet op artikel 3 Wbni. In het eerste lid van dit artikel is de
primaire taakuitoefening van het NCSC geregeld. Dit betreft het bijstaan van vitale
aanbieders en aanbieders die deel uitmaken van de rijksoverheid (bijvoorbeeld ministeries)
bij het treffen van maatregelen om de continuïteit van hun diensten te waarborgen
of te herstellen. Ook ziet deze taakuitoefening op het informeren en adviseren van
deze aanbieders over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen.
Vitale aanbieders zijn overheidsorganisaties en privaatrechtelijke rechtspersonen
die diensten aanbieden waarvan de continuïteit van vitaal belang is voor de Nederlandse
samenleving (bijvoorbeeld drinkwaterbedrijven). Het NCSC verkrijgt bij het verrichten
van analyses en technisch onderzoek ten behoeve van de primaire taakuitoefening dreigings-
en incidentinformatie (inclusief persoonsgegevens) over netwerk- en informatiesystemen
van andere aanbieders. Het tweede lid van dit artikel bepaalt dat het NCSC de taak heeft om, ter voorkoming
van nadelige maatschappelijke gevolgen, die informatie over netwerk- en informatiesystemen
van andere aanbieders aan een aantal hierin genoemde organisaties te verstrekken, zoals computercrisisteams.
De voorgestelde wijziging van artikel 3, tweede lid, Wbni houdt in dat het NCSC in
gevallen zoals omschreven in het voorgestelde artikel 3, tweede lid, onder e, deze
informatie ook aan andere aanbieders zelf kan verstrekken. Van dergelijke gevallen is sprake indien een dreiging of incident
aanzienlijke gevolgen heeft of kan hebben voor de continuïteit van de dienstverlening
van de betrokken aanbieder en voor de verstrekking van gegevens een in artikel 3,
eerste lid, a tot en met c, bedoelde organisatie ontbreekt.

De tweede wijziging ziet op artikel 20 Wbni. Het tweede lid van dit artikel regelt
de bevoegdheid voor het NCSC om zonder instemming van de betrokken aanbieders, ter
uitvoering van de in artikel 3 Wbni genoemde taken, vertrouwelijke gegevens die herleid
kunnen worden tot een aanbieder te verstrekken aan een aantal hierin genoemde organisaties.
De voorgestelde wijziging van artikel 20, tweede lid, Wbni maakt het mogelijk dat
het NCSC deze gegevens ook kan delen met organisaties die objectief kenbaar tot taak
hebben om andere organisaties of het publiek te informeren over digitale dreigingen
en incidenten (hierna: OKTT’s). Hierdoor kunnen aanbieders in de doelgroepen van deze
OKTT’s door tussenkomst van die OKTT’s komen te beschikken over de voor hen relevante
dreigings- en incidentinformatie.

2. Aanleiding voor het wetsvoorstel

Er is in toenemende mate sprake van (geslaagde) digitale aanvallen op andere aanbieders. Ook groeit de impact van die aanvallen door de toenemende mate van verwevenheid
van de digitale wereld met de fysieke wereld. Een voorbeeld van een geslaagde digitale
aanval is de besmetting van een in de Rotterdamse haven gevestigd containeroverslagbedrijf
met Petya-ransomware, waardoor de dienstverlening van dit bedrijf in 2017 dagenlang stil kwam te liggen.
Een recenter voorbeeld is de in de e-mailsoftware van Microsoft Exchange aanwezige
kwetsbaarheid, die gebruikt is om gijzelsoftware te installeren bij een logistiek
bedrijf voor voedselwaren in 2021. Deze aanval leidde ertoe dat de distributie van
kaas aan diverse supermarkten circa een week stil kwam te liggen. In hetzelfde jaar
is een ICT-leverancier van bijna honderd notarissen getroffen door een digitale aanval.
Dit leidde er onder andere toe dat geen aktes gepasseerd konden worden. Als dreigings-
of incidentinformatie over de netwerk- en informatiesystemen van deze andere aanbieders bij hen terecht was gekomen, dan hadden deze nadelige gevolgen mogelijk kunnen worden
voorkomen of had de impact van deze aanvallen mogelijk kunnen worden beperkt.

De bovengenoemde voorbeelden illustreren dat het niet wenselijk is dat andere aanbieders verstoken blijven van informatie over dreigingen en incidenten met betrekking tot
hun eigen netwerk- en informatiesystemen, indien het NCSC daar wel over beschikt.
Zo heeft NCSC met regelmaat – vanuit analyses ten behoeve van de primaire taakuitoefening –
de beschikking over informatie betreffende kwetsbare of getroffen netwerk- en informatiesystemen
van andere aanbieders. Indien die informatie niet bij andere aanbieders bekend raakt, kan dit tot gevolg hebben dat één of meer van hun netwerk- en informatiesystemen
kwetsbaar blijven. Hierdoor bestaat een vergroot risico op bijvoorbeeld het door derden
succesvol installeren van gijzelsoftware (ransomware) waarmee bestanden worden versleuteld. Een ander risico is bijvoorbeeld het door derden
binnendringen van de systemen om kennis te nemen van de daarin aanwezige gegevens
of om deze te wijzigen. Dit kan leiden tot de uitval van de beschikbaarheid of het
verlies van de integriteit van netwerk- en informatiesystemen die aanbieders voor
hun dienstverlening nodig hebben, met alle nadelige consequenties voor de continuïteit
van hun dienstverlening van dien.

Met de wijzigingen in dit wetsvoorstel wordt het in ruimere zin mogelijk om andere aanbieders in het bezit te laten komen van informatie over dreigingen en incidenten betreffende
hun netwerk- en informatiesystemen. Zij kunnen deze informatie gebruiken voor het
nemen van maatregelen om digitale incidenten te voorkomen of te verhelpen en daarmee
de continuïteit van hun dienstverlening zo goed mogelijk te waarborgen. Daarmee kan
bovendien mogelijk ook worden voorkomen dat vitale aanbieders of rijksoverheidsorganisaties
nadelige effecten ondervinden van digitale dreigingen en incidenten bij die andere
aanbieders wanneer die andere aanbieders hun ketenpartners zijn. Dit voorstel zorgt
ervoor dat de digitale weerbaarheid van de Nederlandse samenleving verder wordt versterkt.1

3. Inhoud van het wetsvoorstel

Dit wetsvoorstel strekt tot de volgende aanpassingen van de Wbni:

a. het in bepaalde gevallen delen van dreigings- en incidentinformatie met aanbieders
die geen vitale aanbieder of onderdeel van de rijksoverheid zijn (andere aanbieders);

b. het zonder instemming van aanbieders delen van vertrouwelijke herleidbare gegevens
met betrekking tot die aanbieders aan OKTT’s; en

c. de aanwijzing van OKTT’s bij ministeriële regeling.

Paragraaf 3.1 gaat in op de onder a. omschreven aanpassing, paragraaf 3.2 gaat in
op de onder b. en c. omschreven aanpassingen.

3.1 Delen van dreigings- en incidentinformatie met andere aanbieders

3.1.1 Probleembeschrijving

Op grond van artikel 3, eerste lid, Wbni is de primaire taak van het NCSC het verlenen
van bijstand aan vitale aanbieders en aanbieders die onderdeel zijn van de rijksoverheid
bij het treffen van maatregelen om de continuïteit van hun diensten te waarborgen
of te herstellen, en het daartoe verrichten van analyses en technisch onderzoek. Het
NCSC kan bij die analyses en dat technisch onderzoek ook dreigings- en incidentinformatie
(waaronder persoonsgegevens) verkrijgen met betrekking tot netwerk- en informatiesystemen
van andere aanbieders. Dit kan bijvoorbeeld een veiligheidsregio, politieke partij of beheerder van parkeervoorzieningen
betreffen. Andere voorbeelden hiervan zijn een distributeur van voedselwaren, containeroverslagbedrijf
en ICT-leverancier, zoals hierboven in de In- en aanleiding benoemd. In dit kader
wordt doorgaans gesproken van «restdata» of «bijvangst».

Artikel 3, tweede lid, Wbni regelt dat het NCSC deze informatie, met inbegrip van
persoonsgegevens, kan verstrekken aan verschillende zogeheten schakelorganisaties,
in het bijzonder de organisaties genoemd in onderdelen a tot en met c. Hieronder vallen
onder meer bij ministeriële regeling aangewezen computercrisisteams en OKTT’s, die
andere aanbieders als doelgroep hebben en hen over de voor hen relevante dreigingen of incidenten kunnen
informeren en adviseren. Een voorbeeld van een computercrisisteam is de stichting
Z-CERT, het computer emergency response team voor aanbieders in de zorgsector. Een voorbeeld van een OKTT is Cyberweerbaarheidscentrum
Brainport, waarover meer in paragraaf 3.2.1.

In de praktijk is echter gebleken dat niet altijd een schakelorganisatie in de zin
van artikel 3, tweede lid, onderdelen a tot en met c, aanwezig is voor andere aanbieders. In die gevallen is het niet mogelijk om die andere aanbieders in het bezit te laten komen van voor hen relevante dreigings- of incidentinformatie,
terwijl het NCSC daar wel over beschikt. Dit heeft als nadelig maatschappelijk gevolg
dat de beschikbaarheid of betrouwbaarheid van hun netwerk- en informatiesystemen en
daarmee de continuïteit van de dienstverlening van die andere aanbieders in gevaar komt.

Een recent voorbeeld hiervan zijn de organisaties die onderdeel uitmaken van de vaccinatieketen
voor de bestrijding van COVID-19, bijvoorbeeld omdat zij een rol vervullen binnen
de logistieke keten of de (gekoelde) opslag van vaccins. Aan deze organisaties konden
de hiervoor bedoelde gegevens niet worden verstrekt door het NCSC. Dat betekende in
de praktijk dat zij niet op de hoogte waren van voor hen relevante dreigingen of incidenten
en zij in verband daarmee geen maatregelen konden nemen om incidenten te voorkomen
of te verhelpen. Hierdoor was het mogelijk dat risico’s voor de dienstverlening van
deze aanbieders (zoals sabotage of uitval van de logistieke processen in de vaccinatieketen)
in stand bleven en de omstandigheden waaronder de opslag plaats diende te vinden of
de planning van de leveringen daardoor mogelijk niet langer zouden kunnen worden geborgd.

3.1.2 Probleemaanpak

In verband met het hiervoor beschreven probleem wordt voorgesteld om artikel 3, tweede
lid, Wbni aan te vullen, zodat het NCSC ook tot taak heeft om in bepaalde gevallen
de voor aanbieders die geen vitale aanbieder zijn en evenmin onderdeel zijn van de
rijksoverheid, relevante dreigings- en incidentinformatie aan hen zelf te verstrekken.
Met deze voorgestelde wijziging kunnen zij vaker dan thans mogelijk informatie van
het NCSC ontvangen over voor hen relevante digitale dreigingen en incidenten. Het
is immers niet wenselijk dat zij, vanwege de omstandigheid dat zij (nog) niet in de
doelgroep vallen van bijvoorbeeld een OKTT, verstoken blijven van informatie over
dreigingen en incidenten met (mogelijke) aanzienlijke gevolgen voor hun dienstverlening,
terwijl het NCSC daar wel over beschikt. De continuïteit van hun dienstverlening kan
hierdoor in gevaar komen, met alle mogelijke nadelige maatschappelijke gevolgen van
dien. Door in bepaalde gevallen zo nodig belangrijke dreigings- en incidentinformatie
aan andere aanbieders te kunnen verstrekken, worden zij in de gelegenheid gesteld
maatregelen te treffen om incidenten te voorkomen of de gevolgen daarvan te beperken.

Om de bovengenoemde verstrekking van dreigings- en incidentinformatie door het NSCS
aan andere aanbieders in bepaalde gevallen mogelijk te maken is deze wijziging van artikel 3, tweede lid,
Wbni noodzakelijk. De reden hiervoor is dat het voor andere aanbieders van groot belang is dat ook persoonsgegevens deel uitmaken van dreigings- en incidentinformatie
én dat voor de verstrekking van die persoonsgegevens een specifieke taak in de wet
moet zijn opgenomen. Zonder persoonsgegevens als IP-adressen, domeinnamen en e-mailadressen
van gebruikers van kwetsbare systemen of aanvallers, is de verstrekking van dreigings-
en incidentinformatie voor aanbieders niet zinvol. Zij kunnen dan namelijk niet bepalen
welke van hun netwerk- en informatiesystemen kwetsbaar of al getroffen zijn en welke
maatregelen genomen zouden moeten worden om dreigingen weg te nemen of incidenten
te verhelpen. Met de wijziging van artikel 3, tweede lid, Wbni wordt, in combinatie
met artikel 17, eerste lid, Wbni, een krachtens de Algemene verordening gegevensbescherming
(hierna: AVG) vereiste grondslag voor rechtmatige verwerking voor deze verstrekkingen
gecreëerd.

De voorgestelde bevoegdheid tot het verstrekken van restdata is beperkt tot gevallen,
zoals omschreven in het voorgestelde artikel 3, tweede lid, onder e. Dit houdt in
dat restdata door het NCSC aan andere aanbieders kan worden verstrekt, indien er:

1) sprake is van informatie over een dreiging of incident met (potentiële) aanzienlijke gevolgen voor de continuïteit van de dienstverlening van de betrokken
aanbieder.

Die aanzienlijke gevolgen voor de continuïteit van de dienstverlening komen dan voort
uit het uitvallen van de beschikbaarheid of het verlies van integriteit van de netwerk-
en informatiesystemen die voor de dienstverlening van de betrokken aanbieder worden
gebruikt. Het NCSC zal per geval hieraan toetsen, mede met het oog op de voor verstrekking
van persoonsgegevens vereiste noodzakelijkheidstoets uit de AVG.

2) geen schakelorganisatie in de zin van artikel 3, tweede lid, onderdelen a tot en met
c, is die de aanbieder van die informatie kan voorzien.

Het aan de hand van artikel 3, tweede lid, Wbni ingerichte stelsel van informatie-uitwisseling
is zo ingericht dat het verstrekken van bijvangst ten behoeve van andere aanbieders telkens plaatsvindt door tussenkomst van een in dat lid bedoelde schakelorganisatie,
indien een schakelorganisatie aanwezig is. De schakelorganisaties zoals genoemd in
de onderdelen a tot en met c hebben nadrukkelijk tot taak om aanbieders in hun achterban
over hen aangaande digitale dreigingen en incidenten te informeren en mogelijk ook
te adviseren. Zij zijn het meest bekend met de in hun achterban aanwezige netwerk-
en informatiesystemen, bijbehorende belangen en risico’s en informatiebehoeften. Op
deze wijze kan informatie via deze schakelorganisaties zo efficiënt en accuraat mogelijk
aan belanghebbende andere aanbieders worden doorverstrekt.

Deze twee vereisten zijn cumulatief. Dit betekent dat alleen in de situaties waarin
een dreiging of incident aanzienlijke gevolgen heeft of kan hebben voor de continuïteit
van de dienstverlening van de andere aanbieder én voor de verstrekking van gegevens
een schakelorganisatie in de zin van artikel 3, tweede lid, onderdelen a tot en met
c, ontbreekt, kan worden overgegaan tot het delen van de restinformatie.

De bevoegdheid tot het verstrekken van restdata met andere aanbieders wordt tot enkele deze gevallen beperkt omdat:

– de primaire taken en dus ook de focus van de dienstverlening van het NCSC gericht
zijn op het verlenen van bijstand aan vitale aanbieders en aanbieders die deel uitmaken
van de rijksoverheid, om zo de meest ernstige maatschappelijke ontwrichting te voorkomen
of te beperken;

– in het verlengde hiervan ervoor is gekozen om verstrekking van voor andere aanbieders relevante restdata door het NCSC krachtens artikel 3, tweede lid, Wbni door tussenkomst
van schakelorganisaties te laten plaatsvinden;

– mede hierom een landelijk dekkend stelsel van schakelorganisaties c.q. cybersecurity
samenwerkingsverbanden (LDS) in opbouw is;

– het door het NCSC vaker dan in incidentele gevallen informeren van andere aanbieders de taakuitoefening van andere partijen in het LDS kan doorkruisen; en

– een verdergaande informatietaak ten behoeve van andere aanbieders voor het NCSC een onevenredige extra belasting van de capaciteit oplevert, waarbij
de primaire taakuitoefening in het gedrang kan komen.

3.2 Delen van vertrouwelijke herleidbare gegevens over aanbieders met OKTT’s

3.2.1 Probleembeschrijving

Op grond van artikel 20, tweede lid, Wbni kan het NCSC, ter uitvoering van de in artikel 3
Wbni genoemde taken, zonder instemming van aanbieders, vertrouwelijke gegevens die
herleid kunnen worden tot deze aanbieders (zoals namen van aanbieders) verstrekken
aan een beperkte kring van organisaties. Deze beperkte kring van organisaties bestaat
uit computer security incident response teams als bedoeld in artikel 9 van de NIB-richtlijn2 (hierna: CSIRTs), de inlichtingen- en veiligheidsdiensten, en bij ministeriële regeling
aangewezen computercrisisteams. OKTT’s behoren thans niet tot de kring van organisaties
die zijn opgesomd in artikel 20, tweede lid, Wbni. Hierdoor kan verstrekking van de
vorengenoemde gegevens thans dus niet aan OKTT’s plaatsvinden.

In de praktijk is echter gebleken dat OKTT’s in belangrijke mate een vergelijkbare
rol als computercrisisteams hebben. OKTT’s fungeren ook als een schakelorganisatie
voor een achterban van aanbieders die (grotendeels) geen vitale aanbieder zijn en
ook geen deel uitmaken van de rijksoverheid, en kunnen deze rol slechts beperkt uitvoeren
indien zij niet ook over de vorengenoemde vertrouwelijke herleidbare gegevens beschikken.
Voorbeeld van een dergelijke OKTT is Cyberweerbaarheidscentrum Brainport, een stichting
die is opgericht ten behoeve van ondernemingen die deel uitmaken van de Nederlandse
kennisintensieve industrie, geïnitieerd door grote bedrijven in de Eindhovense hightech
regio. Een grote hoeveelheid organisaties is geen vitale aanbieder of aanbieder die
onderdeel is van de rijksoverheid en is ook niet aangesloten bij een bij ministeriële
regeling aangewezen computercrisisteam, en is daarmee afhankelijk van OKTT’s voor
hun informatie over kwetsbare of getroffen systemen. Zonder die informatie weten zij
niet dat ze kwetsbaar zijn en kunnen zij hier geen maatregelen tegen treffen.

Ook is gebleken dat door het huidige artikel 20, tweede lid, Wbni de met artikel 3,
tweede lid, Wbni juist beoogde verstrekking van ook persoonsgegevens (bijvoorbeeld
getroffen IP-adressen en e-mailadressen) aan OKTT’s ten behoeve van het informeren
van organisaties in hun doelgroep vaak onbedoeld niet mogelijk is. OKTT’s kunnen namelijk
(net als de in artikel 20, tweede lid, Wbni wel opgenomen computercrisisteams) persoonsgegevens
vaak tot specifieke aanbieders herleiden. Die (persoons)gegevens zijn daardoor ook
gegevens als bedoeld in artikel 20, tweede lid, Wbni, maar kunnen door de afwezigheid
van OKTT’s in diezelfde bepaling niet met OKTT’s gedeeld worden door het NCSC. Het
gevolg hiervan is dat aanbieders in de doelgroepen van de OKTT’s verstoken blijven
van de voor hen relevante dreigings- en incidentinformatie. Hierdoor komen zij in
onvoldoende mate in de gelegenheid om naar aanleiding van die informatie maatregelen
te nemen om incidenten te voorkomen of te verhelpen, met alle nadelige maatschappelijke
gevolgen van dien.

Zoals hiervoor is vermeld kan bij de voor andere aanbieders relevante informatie bijvoorbeeld gedacht worden informatie over ransomware-besmettingen. Ook kan worden gedacht aan bij het NCSC beschikbare informatie over
kwetsbaarheden in systemen.3

3.2.2 Probleemaanpak

In verband met het hiervoor omschreven probleem, dat in de afgelopen periode ook aandacht
heeft gekregen in de media4 en politiek5, wordt voorgesteld om in artikel 20, tweede lid, Wbni OKTT’s toe te voegen aan de
opsomming van organisaties waaraan vertrouwelijke herleidbare gegevens met betrekking
tot aanbieders kunnen worden verstrekt. Hiermee worden OKTT’s in staat gesteld om,
op basis van de van het NCSC ontvangen informatie, aanbieders in hun doelgroepen te
informeren over voor hen relevante dreigingen en incidenten. Deze aanbieders kunnen
op hun beurt dan maatregelen treffen die nodig zijn om dreigingen of incidenten te
voorkomen of de gevolgen ervan te beperken.

Met bovenbedoelde wijziging blijft de kring van organisaties waaraan de in artikel 20,
tweede lid, Wbni bedoelde informatie kan worden verstrekt beperkt. Ook wordt nog steeds
recht gedaan aan de redenen die ten grondslag liggen aan het in artikel 20 Wbni strikt
regelen van de voorwaarden waaronder vertrouwelijke gegevens met betrekking tot aanbieders
aan derden kunnen worden verstrekt. Voor deze strikte regeling in artikel 20 Wbni
is blijkens de wetsgeschiedenis aanleiding gezien om de vertrouwelijkheid van deze
voor het NCSC beschikbaar gekomen gegevens zo veel mogelijk te waarborgen. De redenen
daarvoor zijn gelegen in het zoveel mogelijk voorkomen van schade bij aanbieders,
zoals reputatieschade, benadeling van de concurrentiepositie en toegenomen kwetsbaarheid
voor aanvallen, en in het door het NCSC voor hulpverlening kunnen gebruiken van deze
gegevens zonder daarbij gehinderd te worden door mogelijk vroegtijdig openbaar worden
daarvan. Met name als het gaat om niet verplicht te melden gegevens bestaat anders
ook het risico dat aanbieders terughoudend worden met het delen van informatie en
het NCSC daardoor serieus benadeeld wordt in de uitoefening van zijn taken.

Aanwijzing OKTT’s bij ministeriële regeling

Organisaties worden thans als OKTT aangewezen door middel van een daartoe strekkende
ministeriële aanwijzing. Aanwijzing van organisaties als computercrisisteams, bedoeld
in de artikelen 3, tweede lid, en 20, tweede lid, Wbni, geschiedt daarentegen door
middel van een ministeriële regeling. De aanwijzing van OKTT’s vindt thans dus in
juridische zin op een andere wijze plaats dan de aanwijzing van computercrisisteams.
Voor dat verschil bestaat inmiddels echter om verschillende redenen geen aanleiding.
Zo hebben OKTT’s een in belangrijke mate vergelijkbare rol als computercrisisteams
waar het gaat om informatiedeling met hun achterban. Bovendien zijn de eisen en voorwaarden
die gesteld worden aan de aanwijzing van een organisatie als OKTT of als computercrisisteam
al vrijwel gelijk aan elkaar. Voordat een organisatie bij ministeriële regeling wordt
aangewezen als computercrisisteam, bedoeld in de artikelen 3, tweede lid, en 20, tweede
lid, Wbni, vindt thans een grondige beoordeling plaats om te bepalen of verstrekking
door het NCSC van de in die artikelen bedoelde informatie aan die organisatie verantwoord
en gerechtvaardigd is. Vóór de aanwijzing van een organisatie als OKTT op grond van
artikel 3, tweede lid, van de Wbni vindt ook al nagenoeg dezelfde grondige beoordeling
plaats. In het kader daarvan wordt onder meer, op basis van de uitkomsten van een
navraag hiernaar bij de betrokken schakelorganisatie, getoetst of de organisatie voldoende
technische en organisatorische beveiligingsmaatregelen met betrekking tot de netwerk-
en informatiesystemen heeft genomen en hierdoor geacht kan worden de van het NCSC
ontvangen informatie zorgvuldig te verwerken en de vertrouwelijkheid van deze informatie
voldoende te waarborgen. Ook wordt, op basis van diezelfde navraag, beoordeeld of
de betrokken schakelorganisatie afdoende maatregelen heeft genomen om persoonsgegevens
rechtmatig te verwerken. Tevens wordt beoordeeld of de organisatie een voldoende afgebakende
doelgroep heeft van aanbieders die (in hoofdzaak) niet vitaal zijn en geen deel uitmaken
van de rijksoverheid. Verder wordt beoordeeld of de van het NCSC te ontvangen informatie
niet voor andere doeleinden wordt gebruikt dan het informeren en adviseren van aanbieders
in hun doelgroep. Deze beoordeling zal na de inwerkingtreding van de in dit wetsvoorstel
voorgestelde wijzigingen uiteraard ook blijven plaatsvinden bij de aanwijzing van
een schakelorganisatie als OKTT, waarbij het bepaalde in artikel 20, tweede lid, van
de Wbni nauwkeurig in het oog zal worden gehouden.

Gelet op de hiervoor genoemde gelijkenissen bevat dit wetsvoorstel daarom ook een
wijziging van de artikelen 3 en 20 Wbni die ertoe strekt om de aanwijzing van organisaties
als OKTT ook in juridische zin op dezelfde manier te laten plaatsvinden als de aanwijzing
van organisaties als computercrisisteam. Concreet houdt dit in dat de aanwijzing van
een organisatie als OKTT voortaan, net als de aanwijzing van een computercrisisteam,
bij ministeriële regeling geschiedt. In de praktijk leidt genoemde wijziging niet
tot veranderingen voor OKTT’s, anders dan de (juridische) wijze waarop zij worden
aangewezen.

4. Verhouding NCSC – Digital Trust Center

Het NCSC en het Digital Trust Center (hierna: het DTC), onderdeel van het Ministerie
van Economische Zaken en Klimaat (hierna: EZK), hebben duidelijk onderscheidenlijke
primaire doelgroepen van organisaties waaraan informatie en advies over concrete dreigingen
en incidenten wordt verstrekt. Het NCSC heeft krachtens de Wbni als primaire taak
het informeren en het adviseren van vitale aanbieders en organisaties die deel uitmaken
van de rijksoverheid over digitale dreigingen en incidenten. Naast het informeren
en het adviseren verleent het NCSC de aanbieders in zijn doelgroep ook overige bijstand
bij het treffen van maatregelen om incidenten te voorkomen en te verhelpen. Overige
bijstand kan bijvoorbeeld inhouden dat aan de aanbieder uit de doelgroep ter plekke
ondersteuning wordt geboden bij het duiden van het probleem en de maatregelen om dat
probleem aan te pakken. Het DTC richt zich bij het informeren en het adviseren over
digitale dreigingen en incidenten op de doelgroep van het niet-vitale bedrijfsleven.
In tegenstelling tot het NCSC verleent het DTC bij incidenten geen overige bijstand
aan de aanbieders in zijn doelgroep. Uitzondering op deze afbakening van doelgroepen
zijn digitaledienstverleners. Zij zijn geen vitale aanbieder, maar vallen ook niet
in de doelgroep van het DTC. Zij vallen namelijk op grond van de Wbni onder het computer security incident response team (CSIRT) voor digitale diensten, dat hen bijstaat bij het treffen van maatregelen
om de continuïteit van de dienst te waarborgen of te herstellen.6 Door deze afbakening van doelgroepen en taken kan er geen verwarring ontstaan over
van welke overheidsinstantie een aanbieder op bijstand kan rekenen bij digitale dreigingen
en incidenten.

De Minister van EZK heeft inmiddels een voorstel voor de Wet bevordering digitale
weerbaarheid bedrijven in procedure gebracht, waarin de hiervoor bedoelde taak van
het DTC regeling vind. Hiermee wordt de afbakening tussen de primaire doelgroepen
van het NCSC en het DTC verder verduidelijkt.

Voor vitale aanbieders geldt dus al dat wettelijk is voorzien in bijstand van overheidswege
bij digitale dreigingen en incidenten. De reden voor dit onderscheid met andere aanbieders
is met name gelegen in het grotere maatschappelijke belang dat wordt toegekend aan
vitale processen en binnen die processen aan vitale aanbieders. De uitval of verstoring
van een vitaal proces leidt immers tot ernstige maatschappelijke ontwrichting en vitale
aanbieders zijn belangrijk voor de continuïteit van een vitaal proces.

Het NCSC kan, zoals onder meer in hoofdstuk 1 is toegelicht, bij zijn primaire taakuitoefening
dreigings- en incidentinformatie verkrijgen die relevant is voor aanbieders die buiten
zijn doelgroep (vitale aanbieders en rijksoverheidsorganisaties) vallen. Het NCSC
heeft dan de taak om die informatie te verstrekken aan krachtens de Wbni (bijvoorbeeld
als OKTT) aangewezen schakelorganisaties van die andere aanbieders. Het DTC is inmiddels
krachtens artikel 3, tweede lid, van de Wbni als OKTT aangewezen en kan zodoende voor
de doelgroep relevante dreigings- en incidentinformatie ontvangen. Voor aanbieders
die niet onder de doelgroep van het NCSC, het CSIRT voor digitale diensten of het
DTC vallen en evenmin onder de doelgroep van een andere krachtens artikel 3, tweede
lid, van de Wbni aangewezen schakelorganisatie vallen, wordt in dit wetsvoorstel,
zoals toegelicht in paragraaf 3.1.2, voorgesteld om informatieverstrekking vanuit
het NCSC in bepaalde gevallen mogelijk te maken, namelijk indien een incident aanzienlijke
gevolgen heeft of kan hebben voor de dienstverlening van die aanbieder. Hierbij valt
te denken aan politieke partijen, provincies, veiligheidsregio’s en semi-publieke
organisaties.

Juist omdat het DTC inmiddels als OKTT is aangewezen, zal de voorgestelde wijziging
van artikel 3, tweede lid, van de Wbni ertoe leiden dat het NCSC krachtens dat artikellid
niet ook aan individuele aanbieders in de doelgroep van het DTC informatie kan verstrekken.
Een dergelijke verstrekking is immers alleen mogelijk als een andere aanbieder niet
tot de achterban van een schakelorganisatie behoort. Ook om die reden zal er geen
sprake zijn van overlap in informatievoorziening ten behoeve van het bedrijfsleven
vanuit de overheid.

5. Verhouding tot hoger recht

5.1 Inleidende opmerkingen

Vooropgesteld wordt dat de voorgestelde wijzigingen van artikel 3 en 20 Wbni geen
verandering betreffen in de aard van de gegevens die worden verwerkt door het NCSC,
maar een beperkte uitbreiding van de kring van partijen aan wie dergelijke gegevens
kunnen worden verstrekt. Hetgeen in paragraaf 9 van de memorie van toelichting bij
de Wbni is uiteengezet over de grondrechtelijke aspecten (artikel 10 Grondwet, artikel 8
EVRM en artikel 17 IVBPR) van de verwerking van (persoons)gegevens door het NCSC blijft
dan ook van toepassing. Hiervoor wordt dan ook verwezen naar die memorie van toelichting.
In deze paragraaf wordt volstaan met een aanvulling daarop die specifiek ziet op het
door de voorgestelde wijzigingen voortaan in ruimere zin verstrekken van persoonsgegevens,
als onderdeel van dreigings- en incidentinformatie, aan of ten behoeve van aanbieders
die geen vitale aanbieder zijn en evenmin deel uitmaken van de rijksoverheid.

5.2 EVRM

De verwerking van persoonsgegevens door het NCSC is een inmenging door het openbaar
gezag in het in artikel 8, eerste lid, EVRM, geformuleerde recht op respect voor de
persoonlijke levenssfeer. Dat geldt dus ook voor de verstrekking van persoonsgegevens
op grond van artikel 3, tweede lid, Wbni al dan niet in samenhang met artikel 20,
tweede lid, aan andere aanbieders of hun OKTT’s. Het tweede lid van artikel 8 EVRM staat inmenging in dit recht alleen
toe voor zover zij bij wet is voorzien, een geoorloofd, expliciet genoemd doel dient
en noodzakelijk is in een democratische samenleving. Het noodzaakcriterium wordt in
de jurisprudentie van het Europese Hof voor de rechten van de mens nader ingevuld
met de vereisten van een dringende maatschappelijke behoefte, proportionaliteit en
subsidiariteit.

Voor het in bepaalde gevallen aan andere aanbieders verstrekken van persoonsgegevens op grond van het voorgestelde artikel 3, tweede
lid, onder e, geldt dat met de toevoeging van dit nieuwe onderdeel aan artikel 3,
tweede lid, in samenhang met artikel 17, eerste lid, Wbni, een specifieke wettelijke
grondslag wordt gecreëerd en deze verwerking hiermee bij wet voorzienbaar wordt. Diezelfde
wettelijke grondslag geldt, in combinatie met artikel 20, tweede lid, voor de nieuw
voorgestelde mogelijkheid van verstrekking aan OKTT’s van persoonsgegevens die tevens
vertrouwelijke tot aanbieders herleidbare gegevens zijn.

De verstrekking van «restdata», met inbegrip van persoonsgegevens, aan andere aanbieders of hun OKTT’s heeft tot doel om nadelige maatschappelijke gevolgen te voorkomen.
Door andere aanbieders, al dan niet door tussenkomst van een OKTT, in het bezit te laten komen van voor
hen relevante dreigings- en incidentinformatie worden ook deze partijen in staat gesteld
om maatregelen te nemen om digitale incidenten te voorkomen of te verhelpen.

Wat betreft het uit het noodzaakcriterium voortvloeiende vereiste van een dringende
maatschappelijke behoefte wordt gewezen op het volgende. Door de grote afhankelijkheid
van de samenleving van elektronische informatiesystemen, die bovendien onderling verweven
zijn, bestaat er een dringende maatschappelijke behoefte aan het door het NCSC verwerken
van persoonsgegevens. Hieronder valt ook het al dan niet door tussenkomst van schakelorganisaties
verstrekken van dergelijke gegevens aan aanbieders die geen vitale aanbieder zijn
en ook geen deel uitmaken van de rijksoverheid, ofwel andere aanbieders. De verstrekking van persoonsgegevens (IP-adressen, e-mailadressen en domeinnamen)
aan andere aanbieders, al dan niet door tussenkomst van hun OKTT’s zorgt ervoor dat zij worden geïnformeerd
over digitale dreigingen en incidenten betreffende hun systemen, zodat zij maatregelen
kunnen nemen om de gevolgen hiervan te mitigeren.

Ten aanzien van de proportionaliteit wordt het volgende opgemerkt. De voorgestelde
nieuwe taak om persoonsgegevens aan andere aanbieders te verstrekken is gelet op de aard ervan, het doel en de overige waarborgen waarmee
deze verwerking is omkleed, geen forse inmenging in het recht op respect voor iemands
privéleven. Datzelfde geldt voor de voorgestelde verstrekking van persoonsgegevens
die tevens vertrouwelijke tot aanbieders herleidbare gegevens zijn, aan OKTT’s van
genoemde andere aanbieders. Daarbij geldt, in het geval van verstrekking aan andere aanbieders zelf, dat verstrekking ook enkel plaatsvindt in bepaalde gevallen, namelijk indien
er geen schakelorganisatie in de zin van artikel 3, onderdelen a tot en met c voorhanden
is die de aanbieder van die informatie kan voorzien en er sprake is van (potentiële)
aanzienlijke gevolgen voor de continuïteit van de dienstverlening van die aanbieder.
Verstrekking geschiedt alleen voor zover dat noodzakelijk is voor het uitvoeren van
de in artikel 3, tweede lid, Wbni genoemde taak. Verwerking van persoonsgegevens vindt
plaats met inachtneming van de AVG.

Ten aanzien van de subsidiariteit wordt erop gewezen dat de persoonsgegevens die het
NCSC aan de in artikel 3, tweede lid, Wbni bedoelde partijen verstrekt telkens deel
uitmaken van informatie die is verkregen bij het verrichten van analyses in het kader
van de in artikel 3, eerste lid, Wbni bedoelde taakuitoefening. Voor de in het tweede
lid bedoelde partijen geldt dat zij door het NCSC niet op een andere wijze kunnen
worden voorzien van voldoende informatie om op basis daarvan maatregelen te nemen
om incidenten te voorkomen of de gevolgen daarvan te beperken. Ook het anonimiseren
of pseudonimiseren van dreigings- en incidentinformatie maakt het voor het NCSC niet
mogelijk om deze partijen in het bezit te laten komen van informatie die hen in staat
stelt genoemde maatregelen te nemen.

Geconcludeerd wordt dat ook de nieuwe voorgestelde verstrekkingen van persoonsgegevens
door het NCSC een gerechtvaardigde beperking zijn van de persoonlijke levenssfeer.

6. Gevolgen voor burgers en bedrijven

De in paragraaf 3.1 bedoelde aanbieders en de in paragraaf 3.2 bedoelde OKTT’s en
aanbieders binnen hun doelgroepen kunnen als gevolg van deze wetswijziging (extra)
dreigings- en incidentinformatie verkrijgen. Zij kunnen zelf bepalen hoe zij omgaan
met deze informatie en aanbieders kunnen zelf bepalen of zij naar aanleiding van de
informatie die zij ontvangen, maatregelen treffen om incidenten te voorkomen of de
gevolgen ervan te beperken. Dit voorstel leidt niet tot verplichtingen voor deze partijen.
Van toezicht en handhaving is ook geen sprake. Het wetsvoorstel kent dus geen regeldruk(kosten),
administratieve lasten en nalevingskosten voor burgers en bedrijven.

7. Uitvoering

Dit voorstel brengt in de uitvoering gevolgen met zich mee voor het NCSC. De voorgestelde
wijzigingen zorgen ervoor dat aan OKTT’s in ruimere zin dan tot nu toe het geval is
gegevens kunnen worden verstrekt, en dat voortaan in bepaalde gevallen, zoals omschreven
in het voorgestelde artikel 3, tweede lid, onder e, aan andere aanbieders informatie over digitale dreigingen en incidenten kan worden verstrekt.

Voor deze verstrekkingen zijn al de nodige processen ingericht voor de uitvoering
als het gaat om verstrekking van gegevens aan OKTT’s. Voor het in bepaalde gevallen
verstrekken van restdata aan andere aanbieders zal het per geval verschillen op welke
wijze de data verstrekt kunnen worden, maar ook hiervoor zijn er al methoden voorhanden
bij het NCSC ter uitvoering daarvan. De verwachting is derhalve dat ten aanzien van
beide wijzigingen bepaalde werkprocessen aangepast moeten worden, maar dat de impact
daarvan minimaal is. De technische aanpassing van ICT-systemen is hiervoor niet noodzakelijk.
Door het in meer gevallen dan momenteel mogelijk verstrekken van bij het NCSC beschikbare
dreigings- en incidentinformatie komt de in artikel 3, eerste lid, Wbni bedoelde primaire
taakuitoefening van het NCSC niet in het geding. Van belang is in dat verband dat
die bredere verstrekking steeds informatie betreft die wordt verkregen bij het verrichten
van analyses in het kader van die primaire taakuitoefening.

8. Toezicht en handhaving

Dit voorstel leidt niet tot verplichtingen voor de aanbieders en OKTT’s als bedoeld
in paragraaf 3.1 en 3.2. Van toezicht op en handhaving van de naleving van verplichtingen
is dan ook geen sprake.

9. Financiële gevolgen

De voorgestelde wijzigingen hebben geen financiële gevolgen voor de OKTT’s, die als
gevolg van de wijziging van artikel 20, tweede lid, Wbni vertrouwelijke herleidbare
gegevens over aanbieders van het NCSC verstrekt kunnen krijgen. Evenmin zijn er financiële
gevolgen voor de aanbieders in de doelgroepen van die OKTT’s waarop deze gegevens
betrekking hebben. Het is aan deze partijen zelf om te bepalen hoe zij omgaan met
de ontvangen dreigings- en incidentinformatie.

Ook voor de aanbieders, die als gevolg van de wijziging van artikel 3, tweede lid,
Wbni in bepaalde gevallen restdata kunnen verkrijgen van het NCSC, zijn er geen financiële
gevolgen. Voor hen geldt eveneens de eigen afweging of en welke maatregelen zij zullen
treffen naar aanleiding van de ontvangen informatie.

De voorgestelde wijzigingen hebben wel financiële gevolgen voor het NCSC en daarmee
voor het Ministerie van Justitie en Veiligheid. Omdat dit wetsvoorstel echter een
beperkte uitbreiding van de taken van het NCSC inhoudt, zijn de financiële gevolgen
van dit voorstel gering. Geschat wordt dat voor de uitvoering van de voorgenomen wijziging
van de Wbni tot maximaal 11.000 euro per jaar aan extra financiële middelen nodig
zijn. Deze kunnen binnen de bestaande begroting van het Ministerie van Justitie en
Veiligheid worden opgevangen.

10. Advies en consultatie7

10.1 Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (hierna: AP) heeft eind oktober 2021 advies uitgebracht
over het wetsvoorstel.

De AP wijst er ten eerste op dat het NCSC de taak krijgt om «andere aanbieders» te
informeren over dreigingen en incidenten betreffende hun netwerk- en informatiesystemen
en dat dit onder andere IP-adressen betreft van waaruit digitale aanvallen afkomstig
zijn. Volgens de AP kunnen zulke aanvallen strafbaar zijn op grond van artikel 138ab,
139d of 350a van het Wetboek van Strafrecht. De AP merkt op dat deze IP-adressen daarom
mogelijk kwalificeren als persoonsgegevens betreffende strafbare feiten in de zin
van artikel 10 AVG. De AP adviseert daarom in de memorie van toelichting aan te geven
of de hierboven bedoelde IP-adressen moeten worden beschouwd als persoonsgegevens
betreffende strafbare feiten in de zin van artikel 10 AVG, en zo ja, welke consequenties
de toepasselijkheid van artikel 10 AVG heeft voor de verwerking van deze IP-adressen
in het kader van dit wetsvoorstel.

Uit jurisprudentie van de Hoge Raad8 volgt dat voor de vraag of persoonsgegevens strafrechtelijke persoonsgegevens in
de zin van artikel 10 AVG betreffen, van belang is of sprake is van zodanige concrete
feiten en omstandigheden dat zij een als een als strafbaar feit te kwalificeren bewezenverklaring
– in de zin van artikel 350 Wetboek van Strafvordering – kunnen dragen. Hieruit volgt
de maatstaf of vastgestelde gedragingen een zwaardere verdenking dan een redelijk
vermoeden van schuld opleveren, in die zin dat te verwerken strafrechtelijke persoonsgegevens
in voldoende mate moeten vaststaan. Daarnaast speelt attributie – de mate waarin een
strafbaar feit daadwerkelijk aan een persoon kan worden toegerekend – een rol in de
vraag of een persoonsgegeven kan worden gekwalificeerd als strafrechtelijk persoonsgegeven.

Verstrekking van dreigings- en incidentinformatie, met inbegrip van persoonsgegevens,
door het NCSC aan of ten behoeve van andere aanbieders heeft tot doel om hen in de gelegenheid te brengen om maatregelen te nemen om digitale
incidenten te voorkomen of te verhelpen en daarmee de digitale weerbaarheid van die
aanbieders te vergroten, en bijvoorbeeld niet tot doel om handhavend op te treden
tegen partijen die verantwoordelijk zijn voor genoemde incidenten. Ten aanzien van
de enkele verwerking van IP-adressen met het oog op vorengenoemd doel geldt dat niet
kan worden afgeleid dat sprake is van een gedraging die een zwaardere verdenking dan
een redelijk vermoeden van schuld oplevert. Om te constateren dat sprake is van een
zwaardere verdenking dan een redelijk vermoeden van schuld zullen naast IP-adressen
namelijk meer concrete feiten en omstandigheden nodig zijn. Bovendien zullen de te
verwerken IP-adressen alleen in combinatie met andere tot een persoon herleidbare
gegevens kunnen leiden tot attributie. Aan de bovengenoemde twee criteria (vaststellen
dat sprake is van zodanige concrete feiten en omstandigheden dat zij op zich zelf
genomen als een zwaardere verdenking dan een redelijk vermoeden van schuld opleveren
én aan een persoon kunnen toerekenen van een strafbaar feit) wordt aldus niet voldaan.
De IP-adressen dienen in dit verband derhalve niet als strafrechtelijke persoonsgegevens
in de zin van artikel 10 AVG te worden beschouwd.

De AP adviseert ten tweede de verstrekking aan «andere aanbieders» beter af te bakenen.
Daarbij merkt de AP op dat het begrip «andere aanbieders» een zeer ruim bereik heeft
en de voorwaarden waaronder mag worden verstrekt (geen schakelorganisatie die de aanbieder
van die informatie kan voorzien én informatie over een dreiging of incident met aanzienlijke
gevolgen voor de continuïteit van de dienstverlening) niet strikt zijn geformuleerd.
Volgens de AP is daarnaast sprake van overlap met de door de Minister van EZK voorgestelde
Wet bevordering digitale weerbaarheid bedrijven en adviseert de AP gelet daarop te
overwegen bedrijven uit te zonderen van het begrip «andere aanbieders».9

Inzake het voorgestelde artikel 3, tweede lid, onder e, Wbni is, zoals uiteengezet
in de memorie van toelichting (paragraaf 3.1.2), ervoor gekozen om de daarin geregelde
bevoegdheid tot verstrekking van dreigings- en incidentinformatie, met inbegrip van
persoonsgegevens, te beperken tot gevallen waarin:

– een aanbieder niet een vitale aanbieder of organisatie die deel uitmaakt van de rijksoverheid
is;

– die aanbieder geen schakelorganisatie in de zin van artikel 3, tweede lid, onderdelen
a tot en met c, heeft door tussenkomst waarvan informatie zou kunnen worden verstrekt,
en;

– informatie een dreiging of incident betreft met (potentiële) aanzienlijke gevolgen
voor diens netwerk- en informatiesystemen.

Hiermee wordt de reikwijdte van deze bevoegdheid voldoende concreet omschreven. Er
is geen aanleiding voor een nadere afbakening van de groep aanbieders waaraan verstrekking
mogelijk wordt met de voorgestelde bepaling. Met de voorgestelde bepaling wordt ook
ruimte gelaten voor het aan aanbieders verstrekken van belangrijke dreigings- en incidentinformatie,
en het daardoor voorkomen van nadelige maatschappelijke gevolgen, indien in een concrete
situatie voor die aanbieder op dat moment nog geen of niet meer een schakelorganisaties
als bedoeld in artikel 3, tweede lid, onderdelen a tot en met c, Wbni is. In dit licht
bezien is het dan ook niet aangewezen om bepaalde categorieën andere aanbieders, waaronder
niet-vitale bedrijven waarvoor het DTC (mede als gevolg van de voorgestelde Wet bevordering
digitale weerbaarheid bedrijven schakelorganisatie) zal zijn, specifiek uit te zonderen
van toepasselijkheid van het voorgestelde artikel 3, tweede lid, onder e. In plaats
daarvan wordt in algemene zin bepaald dat bij aanwezigheid van een schakelorganisatie
in bovenbedoelde zin verstrekking niet aan andere aanbieders zelf kan geschieden.
Daarnaast merk ik nog op dat het criterium «aanzienlijke gevolgen voor de dienstverlening»
ook wordt gehanteerd in onder meer artikel 16 Wbni en aldus geen ongebruikelijk criterium
is om de reikwijdte van een wettelijke taak of bevoegdheid (mede) af te bakenen.

De AP adviseert ten derde aan te geven welke grondslag van toepassing is op de verwerking
door publieke «andere aanbieders».

Zoals hierboven reeds benadrukt, heeft de voorgestelde wijziging van artikel 3 Wbni
tot doel om voor het NCSC de krachtens de AVG vereiste wettelijke grondslag voor verstrekking
van dreigings- en incidentinformatie, met inbegrip van persoonsgegevens, aan andere
aanbieders te creëren. Dit wetsvoorstel regelt niet de grondslag voor verwerking van
die gegevens na ontvangst daarvan door die andere aanbieders. Voor zowel publieke
organisaties als private organisaties, die op grond van het voorgestelde artikel 3,
tweede lid, onder e, Wbni informatie van het NCSC zullen kunnen verkrijgen, geldt
dat zij zelf verantwoordelijk zijn voor het bepalen van de grondslag op basis waarvan
zij die informatie verder verwerken.

Tot slot wijst de AP op een opmerking in de toelichting die ten onrechte de indruk
wekt dat het gebruik van VPN-software als zodanig leidt tot kwetsbaarheden in systemen.
De AP merkt op dat kwetsbaarheden in iedere soort software kunnen voorkomen en dus
niet specifiek zijn voor VPN-software. Naar aanleiding hiervan is de toelichting (paragraaf
3.2.1) aangepast.

10.2 Cyber Security Raad

De Cyber Security Raad (hierna: CSR) spreekt zijn steun uit voor de in dit wetsvoorstel
geregelde uitbreiding van de bevoegdheid van het NCSC om namens de Minister van Justitie
en Veiligheid dreigings- en incidentinformatie te verstrekken, en is van mening dat
zowel dit wetsvoorstel als het wetsvoorstel over de Wet bevordering digitale weerbaarheid
bedrijven van de Staatssecretaris van Economische Zaken en Klimaat een grote en belangrijke
stap vormt in het verwezenlijken van het LDS om meer dreigingsinformatie die bij de
overheid aanwezig is te delen met alle bedrijven en organisaties in Nederland. In
zijn reactie op de voorgestelde wijziging van de Wbni adviseert de CSR om de drempel
in het voorgestelde artikel 3, tweede lid, onder e, Wbni niet hoger te maken dan noodzakelijk,
opdat niet-vitale organisaties erop kunnen rekenen dat het NCSC hen waarschuwt in
geval er een risico op substantiële schade is (in welke vorm dan ook).

Bij het vaststellen van de criteria in het voorgestelde artikel 3, tweede lid, onder
e, Wbni is, zoals uiteengezet in deze memorie van toelichting (paragraaf 3.1.2), met
name ook belang gehecht aan het uitgangspunt van informatieverstrekking ten behoeve
van andere aanbieders door tussenkomst van schakelorganisaties en tegelijk rekening gehouden met de mogelijkheid
dat niet voor elke andere aanbieder een schakelorganisatie kan worden aangewezen en informatieverstrekking vanuit het
NCSC in die gevallen ook nodig kan zijn vanwege (mogelijke) aanzienlijke gevolgen
voor de continuïteit van de dienstverlening van de betrokken aanbieder. De inschatting
of sprake is of kan zijn van aanzienlijke gevolgen voor de continuïteit van de dienstverlening
van die aanbieder zal per geval gemaakt moeten worden. Daarbij is met name relevant
of de dreiging of het incident waarop data van het NCSC betrekking hebben zodanige
gevolgen heeft of kan hebben voor de continuïteit van dienstverlening van de aanbieder
dat hierdoor nadelige maatschappelijke gevolgen (kunnen) optreden. In gevallen waarin
van dergelijke gevolgen geen sprake zal (kunnen) zijn is overheidsinspanning in relatie
tot een digitale dreiging of digitaal incident minder aangewezen.

Met de in artikel 3, eerste lid, onder e, gekozen formulering wordt ook aangesloten
bij het criterium dat in artikel 16 Wbni al is opgenomen voor het al dan niet verlenen
van bijstand vanuit het NCSC in geval van vrijwillige meldingen van andere aanbieders.
Het NCSC zal de inschatting of al dan niet sprake is van bovenbedoelde aanzienlijke
gevolgen telkens voldoende kunnen maken op basis van de alsdan beschikbare informatie
over de aard en ernst van de specifieke dreiging en de functie van de bij die dreiging
in het geding zijnde netwerk- en informatiesystemen. Ook de inschalingsmatrix voor
kwetsbaarheden die het NCSC nu al gebruikt, en waaruit een inschatting volgt van de
kans op en de schade door misbruik van een kwetsbaarheid, kan daarbij behulpzaam zijn.

Een «risico op substantiële schade» is breder dan het thans voorgestelde criterium
en kan bijvoorbeeld financiële schade betreffen zonder dat er sprake is van belemmering
van de continuïteit van de dienstverlening. Die inschatting zal veel moeilijker zijn
uit te voeren dan de beoordeling of er aanzienlijke gevolgen voor de dienstverlening
zijn, mede omdat het voor het NCSC in de praktijk telkens uitermate lastig of zelfs
onmogelijk zal zijn om in te kunnen schatten welke andere concrete schade een andere
aanbieder zal (kunnen) hebben in verband met een dreiging of incident. Hantering van
het door de CSR voorgestelde andere criterium zou dan ook een onevenredige belasting
van het NCSC in de taakuitoefening opleveren. Naar mijn oordeel werpt het nu opgenomen
criterium daarom geen te hoge drempel op voor situaties waarin het aangewezen is om
het NCSC, ter voorkoming van nadelige maatschappelijke gevolgen, informatie aan andere
aanbieders zelf te kunnen laten verstrekken.

Verder geeft de CSR aan te hechten aan snelle aanwijzing van het Digital Trust Center
(hierna: DTC) van het Ministerie van EZK als OKTT, verdere stimulering van de uitrol
van het LDS, het verschaffen van helderheid richting bedrijven en maatschappelijke
organisaties over wat zij van partijen in het LDS kunnen verwachten, het onderzoeken
van de mogelijkheid van één overheidsloket van waaruit informatie over cybersecurity
wordt verstrekt en het in afwachting van de inwerkingtreding van het onderhavige wetsvoorstel
nu al dienovereenkomstig delen van dreigings- en incidentinformatie met OKTT’s. Hoewel
deze adviezen kwesties betreffen die niet zozeer de inhoud van dit wetsvoorstel betreffen,
kan daarover nog wel het volgende worden opgemerkt.

Binnen de rijksoverheid hebben het NCSC en DTC, zoals in hoofdstuk 4 al toegelicht,
duidelijk onderscheidenlijke primaire doelgroepen van organisaties waaraan informatie
en advies over concrete dreigingen en incidenten wordt verstrekt, namelijk vitale
aanbieders en organisaties die deel uitmaken van de rijksoverheid respectievelijk
niet-vitale bedrijven. Inmiddels is het DTC krachtens de Wbni ook als OKTT aangewezen
en is het NCSC gelet daarop bevoegd om het DTC op grond van artikel 3, tweede lid,
Wbni relevante informatie over dreigingen en incidenten te verstrekken, zodat het
DTC mede op basis daarvan bedrijven in hun doelgroep van informatie en advies kunnen
voorzien. Duidelijkheid over de onderscheidenlijke primaire doelgroepen volgt voor
het NCSC reeds uit de Wbni en wordt vanwege de voorgestelde Wet bevordering digitale
weerbaarheid bedrijven van de Minister van EZK ook in relatie tot het DTC vergroot.
Door de voortgaande ontwikkeling van het LDS zal er tevens voor steeds meer aanbieders
een eigen schakelorganisatie gaan bestaan, met kennis van onder meer de voor die sector
of regio in gebruik zijnde netwerk- en informatiesystemen en ontwikkelingen, die ook
krachtens artikel 3, tweede lid, Wbni als bijvoorbeeld OKTT kunnen worden aangewezen.

10.3 OKTT’s

FERM juicht de wijziging toe die ziet op het delen van vertrouwelijke herleidbare gegevens
over aanbieders met OKTT’s. Voor wat betreft de wijziging die ziet op het in bepaalde
gevallen delen van dreigings- en incidentinformatie met andere aanbieders, ziet FERM bezwaren in het niet transparant zijn van de «bijzonderheid» van de gevallen.
Een suggestie van FERM is om voor het delen van restinformatie de OKTT’s en het (ook
als OKTT aan te wijzen) DTC te gebruiken. Cyberweerbaarheidscentrum Brainport (CWB) geeft aan dat ongeveer de helft van haar leden heeft gereageerd op hun uitvraag om
een reactie op het voorstel en dat de reacties positief waren: de leden zijn blij
dat zij meer dreigings- en incidentinformatie gaan ontvangen. Ze hebben er begrip
voor dat er ook vertrouwelijke tot hun bedrijven herleidbare gegevens met CWB zullen
worden gedeeld. Het is belangrijk dat deze gegevens veilig opgeslagen, verwerkt en
gedeeld worden en niet elders terechtkomen. Cyberveilig Nederland
(CvNL) is verheugd over het voorstel, maar vraagt om aandacht voor een aantal zaken. Zo
pleit CvNL voor het in verband met de hoge urgentie van digitale dreigingen vooruitlopend
op de inwerkingtreding van het wetsvoorstel al delen van informatie, is het volgens
CvNL van belang dat OKTT’s niet als filter gaan werken voor de van het NCSC afkomstige
informatie, zijn twee loketten (NCSC en DTC) met dreigingsinformatie voor het Nederlandse
bedrijfsleven vanuit de overheid suboptimaal, levert het hanteren van de term «bijzondere
gevallen» een belemmering op, is onduidelijk hoe erop wordt toegezien dat tot personen
herleidbare informatie op de juiste wijze behandeld wordt, en is de stelling dat «de
kring van organisaties waaraan de in artikel 20, tweede lid, Wbni bedoelde informatie
kan worden verstrekt, niet te groot [wordt]» voorbarig, nu nog niet bekend is hoeveel
OKTT’s er zullen komen. Connect2Trust staat ten principale positief tegenover het voorstel, maar waarschuwt voor overlap
door de toename van schakelorganisaties die als OKTT of computercrisisteam worden
aangewezen. Connect2Trust adviseert daarom om de criteria voor aanwijzingen als OKTT
uit te breiden ter voorkoming van het door organisaties dubbel ontvangen van dreigings-
en incidentinformatie, de inrichting van een clearinghouse voor het LDS vanuit publiek-private
samenwerking, en in de Wbni op basis van heldere en juridisch publiek getoetste criteria
aan te geven wanneer dreigings- en incidentinformatie wel of geen persoonsgegeven
betreft. Abuse Information Exchange (AbuseIX)10 juicht de voorgestelde wijziging toe, gelet op het belang van de verhoging van de
digitale weerbaarheid van organisaties die geen vitale aanbieder zijn en evenmin deel
uitmaken van de rijksoverheid, en dringt aan op duidelijkheid met betrekking tot de
selectie van potentiële OKTT’s, het proces voorafgaand aan de aanwijzing als OKTT
middels ministeriële regeling en de vraag hoe een reeds aangewezen OKTT de aanwijzing
ongedaan zou kunnen maken.

Bijzondere gevallen

Enkele reacties van bovenbedoelde OKTT’s gaan in op de term «bijzondere gevallen»
in de memorie van toelichting in relatie tot de voorgestelde wijziging van artikel 3,
tweede lid, Wbni. Ook in verschillende internetconsultatiereacties is de opmerking
gemaakt dat «bijzondere gevallen» een onvoldoende objectief en onvoldoende duidelijk
criterium betreft. Ook wordt in deze reacties gesteld dat het LDS op zeer korte termijn
sluitend zal zijn en de mogelijkheid van verstrekking in deze «bijzondere gevallen»
daardoor overbodig zal zijn.

Naar aanleiding van deze ontvangen reacties heb ik vastgesteld dat de term «bijzondere
gevallen» verwarring heeft doen ontstaan over de voorwaarden waaronder verstrekking
van restdata aan andere aanbieders mogelijk is. Over die voorwaarden is de tekst van het voorgestelde artikel 3, tweede
lid, onder e, Wbni, waarnaar met de term «bijzondere gevallen» steeds bedoeld is te
verwijzen, naar mijn oordeel echter voldoende duidelijk. Krachtens dat artikelonderdeel
gelden er twee cumulatieve criteria waaraan het NCSC per verstrekking zal moeten toetsen
alvorens tot verstrekking van restdata te kunnen overgaan, namelijk dat:

1. er geen hierin genoemde schakelorganisatie is, die de aanbieder van die informatie
kan voorzien, en

2. er sprake is van informatie over een dreiging of incident met (potentiële) aanzienlijke gevolgen voor de continuïteit van de dienstverlening van de betrokken
aanbieder.

Om de verwarring hierover weg te nemen zijn in de memorie van toelichting de verwijzingen
naar «in bijzondere gevallen» aangepast, zodat duidelijk wordt dat het telkens gaat
om de gevallen, zoals omschreven in het voorgestelde artikel 3, tweede lid, onder
e, Wbni. De Minister van Justitie en Veiligheid (in de praktijk: het NCSC) beoordeelt
per geval of wordt voldaan aan de in dat artikel genoemde vereisten.

Voor de in het voorgestelde artikel 3, tweede lid, onder e, Wbni bedoelde bevoegdheid
tot verstrekking van restdata aan andere aanbieders bestaat ook in relatie tot de aanwezigheid van schakelorganisaties die deel uitmaken
van het LDS reden, zolang niet voor alle andere aanbieders een dergelijke schakelorganisatie krachtens de Wbni bijvoorbeeld als OKTT is aangewezen
en informatie over dreigingen en incidenten met (mogelijke) aanzienlijke gevolgen
voor hun dienstverlening niet door tussenkomst van een schakelorganisatie kan plaatsvinden.

Rol van OKTT’s

In reactie op de opmerkingen over het voortaan verstrekken van de in het voorgestelde
artikel 20, tweede lid, bedoelde gegevens aan OKTT’s merk ik het volgende op. Enige
vorm van filtering en daardoor mogelijk enige vertraging in informatieverstrekking
ten behoeve van andere aanbieders in verband met de tussenkomst van OKTT’s zal in de praktijk niet volledig te voorkomen
zijn. Die filtering is in veel gevallen juist ook nodig om ervoor te zorgen dat de
aanbieders in de doelgroepen van de OKTT’s slechts de voor hen relevante informatie
doorverstrekt krijgen, op basis van een beoordeling door de OKTT voor welke aanbieders
binnen de doelgroep de van het NCSC ontvangen informatie relevant is. Een OKTT is
vaak een samenwerkingsverband van belanghebbende organisaties, die de netwerk- en
informatiesystemen van de onderliggende organisaties en hun informatiebehoefte het
beste kent en dus ook het beste kan inschatten of en welke vorm van informatiefiltering
of ander maatwerk in informatievoorziening ten behoeve van organisaties in hun doelgroep
nodig is.

Zoals in paragraaf 3.2.2 geschetst, vindt – alvorens een organisatie wordt aangewezen
als OKTT – een beoordeling plaats of verstrekking van gegevens over dreigingen of
incidenten aan die organisatie verantwoord en gerechtvaardigd is, waaronder een toets
of de organisatie gegevens, waaronder persoonsgegevens en bedrijfsvertrouwelijke informatie,
op een zorgvuldige, veilige en rechtmatige wijze verwerkt. Er vindt geen toezicht
plaats vanuit het NCSC op de schakelorganisaties die krachtens de Wbni als OKTT zijn
aangewezen. Wel is het zo dat in geval van de aanwijzing als OKTT, de schakelorganisatie
een verklaring ondertekent waarin is opgenomen dat aan het NCSC melding wordt gemaakt
van onder meer belangrijke wijzigingen van de getroffen (technische en organisatorische)
beveiligingsmaatregelen of van de doelgroep en de taken die ten behoeve van die doelgroep
worden verricht. Indien er op basis van een dergelijke melding óf blijkens anderszins
door het ministerie ontvangen informatie aanwijzingen zijn voor bijvoorbeeld een onvoldoende
vertrouwelijke omgang door een schakelorganisatie met gegevens, dan kan het NCSC het
delen van informatie met die organisatie opschorten. Ook kan de aanwijzing als OKTT
worden ingetrokken als uit verdere navraag blijkt dat niet meer aan de toetsingscriteria
wordt voldaan. Voor schakelorganisaties geldt voorts uiteraard, als het gaat om de
verwerking van persoonsgegevens na de ontvangst daarvan van het NCSC, dat zij dienen
te voldoen aan de daaraan gestelde eisen op grond van de Algemene verordening gegevensbescherming
en dat op de naleving daarvan toezicht wordt gehouden door de Autoriteit persoonsgegevens.
Hiermee wordt, ook met inachtneming van de onderscheidenlijke verantwoordelijkheden
van de verstrekker van en de ontvanger van informatie, in voldoende mate gewaarborgd
dat de verstrekking door het NCSC van de in de artikelen 3, tweede lid, en 20, tweede
lid, van de Wbni bedoelde informatie alleen geschiedt aan schakelorganisaties die
onder meer adequate maatregelen hebben getroffen voor een vertrouwelijke omgang met
die informatie.

De kring van organisaties waaraan de in artikel 20, tweede lid, Wbni bedoelde informatie
krachtens dat lid kan worden verstrekt omvat momenteel de CSIRT’s, andere computercrisisteams
en Nederlandse inlichtingen- en veiligheidsdiensten. Dit voorstel regelt dat OKTT’s
aan deze kring worden toegevoegd. Met deze toevoeging blijft de kring naar mijn oordeel
beperkt tot enkele categorieën organisaties die maatregelen kunnen bevorderen ter
voorkoming of beperking van nadelige maatschappelijke gevolgen. Het huidige aantal
OKTT’s is overigens bekend en zal, door de voorgestelde wijziging om OKTT’s voortaan
bij ministeriële regeling aan te wijzen, inzichtelijk worden en blijven voor eenieder.

Meerdere malen dezelfde dreigingsinformatie

In enkele reacties wordt de zorg geuit dat aanbieders bij een incident door verschillende
overheidsinstanties worden geïnformeerd en dat het voor aanbieders mogelijk onvoldoende
duidelijk is waar zij terecht kunnen. Hiervoor verwijs ik naar bovenstaande reactie
op het advies van de CSR. In reactie op de opmerkingen over mogelijke overlap in doelgroepen
van schakelorganisaties, merk ik op dat overlap niet volledig kan worden voorkomen.
Het is primair van belang dat andere aanbieders van voor hen relevante informatie
worden voorzien en, gelet daarop, daarom minder bezwaarlijk dat een aanbieder door
tussenkomst van diens schakelorganisatie(s) mogelijk dubbel informatie over concrete
dreigingen en incidenten ontvangt dan dat die informatie in het geheel niet voor die
aanbieder beschikbaar komt. Aanvullende criteria stellen in het kader van het krachtens
de Wbni aanwijzen van OKTT’s of computercrisisteams om die overlap tegen te gaan,
is onwenselijk, omdat dit tot gevolg kan hebben dat een keuze moet worden gemaakt
tussen mogelijk als zodanig aan te wijzen schakelorganisaties met overlap in doelgroepen.
Dit zou kunnen leiden tot een subjectievere toets dan de huidige. Derhalve bestaat
geen reden om aanvullende criteria te gaan hanteren ter voorkoming van mogelijke overlap.

Dreigings- of incidentinformatie en persoonsgegevens

Uit de AVG – niet de Wbni – volgt welke gegevens kwalificeren als persoonsgegevens.
Het gaat dan om gegevens die tot personen herleidbaar zijn. Hieronder vallen bijvoorbeeld
e-mailadressen, domeinnamen en IP-adressen. Omdat dreigings- en incidentinformatie
in de praktijk e-mailadressen, domeinnamen of IP-adressen kan bevatten, is het noodzakelijk
om, voor de gevallen waarin die als persoonsgegevens moeten worden beschouwd, een
grondslag voor rechtmatige verwerking daarvan te creëren.

10.4 Adviescollege toetsing regeldruk

Het Adviescollege toetsing regeldruk (ATR) heeft het dossier niet geselecteerd voor
een formeel advies, omdat het naar verwachting geen (omvangrijke) gevolgen voor de
regeldruk heeft.

10.5 Internetconsultatie

Een concept van het wetsvoorstel en de toelichting daarop zijn van 28 juni 2021 tot
en met 23 augustus 2021 opengesteld voor consultatie via www.internetconsultatie.nl. Verschillende reacties vanuit die consultatie hierop geven blijk van steun voor
de wijzigingen in het wetsvoorstel. De opmerkingen in deze reacties komen deels overeen
met opmerkingen in de adviezen van de CSR en de OKTT’s. Voor een bespreking daarvan
verwijs ik naar de hierboven weergegeven reacties daarop.

Naar aanleiding van de reacties vanuit de internetconsultatie is de tekst van het
wetsvoorstel op een enkel punt gewijzigd. Hieronder wordt op deze wijziging ingegaan
en wordt daarnaast ingegaan op een aantal punten die eveneens uit de internetconsultatie
naar voren zijn gekomen.

Aanwezigheid van schakelorganisatie

In een reactie is aangegeven dat de in het voorgestelde artikel 3, tweede lid, onder
e, Wbni gestelde voorwaarde «voor verstrekking van gegevens een onder a tot en met
d bedoelde organisatie ontbreekt» ertoe kan leiden dat de verstrekking te sterk beperkt
wordt, omdat de aanbieders van internettoegangs- en internetcommunicatiediensten (internetserviceproviders)
tot genoemde organisaties behoren (onderdeel d) en bijna elke aanbieder in Nederland
dienstverlening van een internetserviceprovider geniet. In reactie hierop is geconcludeerd
dat de aanvankelijk voorgestelde bepaling inderdaad te restrictief is geformuleerd.
Van belang in dit verband is dat internetserviceproviders, anders dan computercrisisteams
en OKTT’s, niet nadrukkelijk tot taak hebben om andere aanbieders te voorzien van
voor hen specifiek relevante dreigings- en incidentinformatie. Zij vervullen niet
een rol die vergelijkbaar is met de andere in het tweede lid genoemde (schakel)organisaties.
Hierdoor bestaat het onwenselijke risico dat dreigings- en incidentinformatie, in
gevallen waarin een andere aanbieder niet ook een schakelorganisatie als bedoeld in
de onderdelen a tot en met c kent maar wel een internetserviceprovider heeft niet
voor die aanbieder beschikbaar komt. Daarom is in het wetsvoorstel artikel 3, tweede
lid, onderdeel e, Wbni in die zin gewijzigd, dat verstrekking van informatie aan andere
aanbieders, indien de informatie een dreiging of incident betreft die aanzienlijke
gevolgen heeft of kan hebben voor de continuïteit van de dienstverlening, kan plaatsvinden
bij afwezigheid van een (schakel)organisatie, genoemd in onderdeel a tot en met c.
De memorie van toelichting is op enkele plekken in gelijke zin aangepast.

Taken en bevoegdheden NCSC

Een consultatiereactie spreekt over verregaande bevoegdheden die het wetsvoorstel
aan het NCSC geeft om op netwerken van private organisaties (pogen) in te breken om
te kunnen bepalen of deze beveiligingslekken hebben en de organisatie daarvan in kennis
te stellen. Volgens deze reactie is het niet de taak van de overheid om private bedrijven
op gaten in hun systemen te wijzen, maar om deze organisaties op hun verantwoordelijkheden
te wijzen en om beveiligingseisen te stellen, controles uit te voeren en sancties
op te leggen wanneer er toch een inbraak ontstaat. Deze reactie bevat de vraag wat
er gebeurt als een organisatie gehackt wordt, terwijl het NCSC geen dreigingen heeft
geconstateerd.

Uit de huidige tekst van de Wbni noch de in dit wetsvoorstel vervatte wijziging van
die wet volgt de taak of bevoegdheid van het NCSC om zonder voorafgaande toestemming
van de betrokken organisaties zich toegang te verschaffen tot de netwerk- en informatiesystemen
van die organisaties. Wel bevat de Wbni thans al voor het NCSC de taak om vitale aanbieders
en organisaties die deel uitmaken van de rijksoverheid, op basis van informatie die
langs andere weg is verkregen (open bronnen, meldingen van aanbieders, informatie
van CSIRTs van andere landen, etc.) en geanalyseerd, te informeren en adviseren over
voor die aanbieders relevante dreigingen en incidenten. Voor zover bij die analyses
in het kader van de primaire taakuitoefening informatie beschikbaar komt die relevant
is voor andere aanbieders, kan verstrekking daarvan geschieden aan schakelorganisaties
die krachtens de Wbni bijvoorbeeld als OKTT zijn aangewezen. Het onderhavige voorstel
regelt dat die restdata voortaan ook in bepaalde gevallen met andere aanbieders én in ruimere zin met OKTT’s kan worden gedeeld. Het is vervolgens aan andere aanbieders zelf om te bepalen of zij naar aanleiding van de ontvangen informatie maatregelen
nemen met betrekking tot de beveiliging van hun netwerk- en informatiesystemen. Voor
alle aanbieders – of het nu gaat om vitale aanbieders, aanbieders die deel uitmaken
van de rijksoverheid of andere aanbieders – blijft gelden dat het primair de eigen verantwoordelijkheid van de aanbieder zelf
is om passende maatregelen te nemen om uitval of verstoring van zijn dienstverlening
te voorkomen of te beperken. Het NCSC houdt hier geen toezicht op.

Delen van vertrouwelijke, herleidbare gegevens

In enkele reacties wordt ervoor gepleit om vertrouwelijke tot aanbieders herleidbare
gegevens niet aan OKTT’s te verstrekken zonder instemming van de betrokken aanbieders.
Ook wordt gevraagd om verduidelijking van de zinsnede «zonder instemming van de betrokken
aanbieders». In reactie hierop merk ik op dat het delen van vertrouwelijke tot aanbieders
herleidbare gegevens met instemming van de betrokken aanbieder reeds mogelijk is.
Artikel 20, tweede lid, Wbni regelt in aanvulling daarop de bevoegdheid om ook in
gevallen waarin die instemming ontbreekt dergelijke informatie in het kader van de
taakuitoefening van het NCSC in beperkte kring te delen. In het geval van als OKTT
aangewezen schakelorganisaties wordt, net als nu al voor aangewezen computercrisisteams,
reden gezien om die tot die kring te laten behoren, teneinde die OKTT’s in staat te
stellen andere aanbieders binnen hun doelgroep op basis van de van het NCSC ontvangen
(rest)data gericht te kunnen informeren en adviseren over voor die aanbieders relevante
digitale dreigingen en incidenten. Om voor deze andere aanbieders zo snel als mogelijk
die voor hen zo belangrijke informatie beschikbaar te laten zijn, en daardoor niet
onnodig nadelige maatschappelijke gevolgen te laten bestaan, is het van belang dat
er geen vertraging ontstaat vanwege het eerst bij elke voorgenomen verstrekking van
alle betrokken aanbieders instemming moeten verkrijgen.

Ook wordt gevraagd op welke wijze de vertaalslag plaatsvindt naar niet herleidbare
informatie voordat deze door een OKTT wordt doorverstrekt aan tot de doelgroep van
die OKTT behorende organisaties. Deze vertaalslag is niet noodzakelijk. De desbetreffende
OKTT informeert, na beoordeling voor welke aanbieders de van het NCSC ontvangen informatie
relevant is, de organisaties in de doelgroep waarvoor blijkens die beoordeling van
dergelijke relevantie is gebleken, over de dreiging of het incident dat hun netwerk-
en informatiesystemen aangaat. Daarmee is de door de OKTT door te verstrekken informatie
vanzelfsprekend ook dan nog herleidbaar naar de organisatie waarmee de informatie
gedeeld wordt. Zoals hierboven reeds toegelicht is het voor een OKTT nodig om ook
tot aanbieders herleidbare informatie van het NCSC te kunnen ontvangen om organisaties
in hun doelgroep over voor hen relevante dreigingen incidenten te kunnen informeren.

Herziening NIB-richtlijn

In enkele reacties is gewezen op de aanstaande herziening van de NIB-richtlijn11. Daarbij wordt aangegeven dat in de Nederlandse wetgeving hierop kan worden voorgesorteerd
door enkele benodigde wijzigingen als gevolg van die herziening alvast mee te nemen
in het onderhavige wetsvoorstel tot wijziging van de Wbni. Over het voorstel tot herziening
van de NIB-richtlijn worden momenteel echter in Europees verband nog onderhandelingen
gevoerd. Het is daardoor nog onduidelijk wat de richtlijn tot herziening van de NIB-richtlijn
zal gaan inhouden en welke gelet daarop benodigde aanpassingen van nationale wetgeving
daaruit zullen volgen. Ik zie dan ook geen reden om hierop vooruitlopend in dit wetsvoorstel
aanvullende wijzigingen van de Wbni op te nemen.

ARTIKELSGEWIJZE TOELICHTING

Artikel I, onderdeel A

Artikel 3 Wbni bevat een opsomming van de taken die het NCSC namens de Minister van
Justitie en Veiligheid uitvoert en in het kader waarvan onder meer persoonsgegevens
worden verwerkt. Ook omschrijft dit artikel in de aanhef van het eerste en tweede
lid de doeleinden van die taken.

Artikel I, onderdeel A, eerste subonderdeel, strekt tot de wijziging van artikel 3,
tweede lid, onderdeel a, Wbni. Met deze wijziging wordt geregeld dat OKTT’s worden
aangewezen bij ministeriële regeling. Voor een nadere toelichting hierop wordt verwezen
naar paragraaf 3.2.2.

Artikel I, onderdeel A, tweede subonderdeel, strekt tot de toevoeging van een onderdeel
aan artikel 3, tweede lid, Wbni. Met deze toevoeging wordt geregeld dat de Minister
van Justitie en Veiligheid, ter voorkoming van nadelige maatschappelijke gevolgen
in en buiten Nederland, ook tot taak heeft om in bepaalde gevallen aan aanbieders,
die geen vitale aanbieder zijn en evenmin deel uitmaken van de rijksoverheid, de in
dit voorstel bedoelde informatie te verstrekken. Het ingevoegde onderdeel e bepaalt
dat van dergelijke gevallen sprake is als de dreiging of het incident waarop de informatie
betrekking heeft aanzienlijke gevolgen heeft of kan hebben voor de continuïteit van
de dienstverlening van de aanbieder én er geen schakelorganisatie in de zin van artikel 3,
tweede lid, onderdelen a tot en met c, Wbni, is die de aanbieder van die informatie
kan voorzien. Voor een nadere toelichting hierop wordt verwezen naar paragraaf 3.1.2.

Artikel I, onderdeel B

Artikel 20 Wbni bevat regels over de voorwaarden waaronder vertrouwelijke gegevens
met betrekking tot aanbieders, waarover het NCSC beschikt, door het NCSC namens de
Minister van Justitie en Veiligheid verstrekt kunnen worden aan derden. Voor een nadere
toelichting op deze regeling wordt verwezen naar de algemene en artikelsgewijze toelichting
bij de Wbni.12

Artikel I, onderdeel B, strekt tot de toevoeging van een onderdeel aan artikel 20,
tweede lid, Wbni. Hiermee wordt mogelijk gemaakt dat de Minister van Justitie en Veiligheid
vertrouwelijke gegevens, die herleid kunnen worden tot een aanbieder, zonder instemming
van die aanbieder, voortaan in het kader van de in artikel 3, tweede lid, Wbni, bedoelde
verstrekking van dreigings- en incidentinformatie kan verstrekken aan OKTT’s.

Voor deze aanvulling van artikel 20, tweede lid, Wbni geldt dat die enkel strekt tot
een beperkte uitbreiding van de kring van partijen die de in dit lid bedoelde vertrouwelijke
gegevens van het NCSC kunnen ontvangen. Deze wijziging behelst nadrukkelijk geen verandering
in de aard van de gegevens die krachtens dit lid zonder toestemming van de betrokken
aanbieder met de in dit lid bedoelde kring van partijen kan worden gedeeld. Deze wijziging
brengt evenmin verandering in hetgeen is bepaald in de andere leden van artikel 20
Wbni. Ook heeft de wijziging van het tweede lid geen consequenties voor de reikwijdte
van de in artikel 20, zevende lid, Wbni, vanwege de bijzondere openbaarmakingsregeling
in het tweede tot en met zesde lid, geregelde uitzondering op de toepasselijkheid
van de Wet openbaarheid van bestuur (Wob). Voor de wijziging van het tweede lid geldt,
zoals gezegd, dat die de aard van de in dat lid bedoelde gegevens niet wijzigt, maar
alleen een beperkte uitbreiding van de kring van partijen die die informatie kunnen
ontvangen behelst. Er zullen dus geen extra categorieën gegevens onder deze uitzondering
op de Wob komen te vallen.

Artikel II

Dit artikel ziet op de samenloop van dit voorstel met de voorgestelde Wet bevordering
digitale weerbaarheid bedrijven van de Minister van Economische Zaken en Klimaat.
In het laatstgenoemde voorstel wordt, net als in dit voorstel, voorzien in wijzigingen
van artikel 3, tweede lid, en artikel 20, tweede lid, van de Wbni. Gelet daarop voorziet
artikel II in een samenloopbepaling met betrekking tot de wijzigingen in beide wetsvoorstellen
van laatstbedoelde artikelen in de Wbni.

De Minister van Justitie en Veiligheid, D. Yesilgöz-Zegerius