Veel vragen over nieuwe Cybersecuritywet

24 mei 2018, wetsvoorstel - In alle EU-lidstaten gaan dezelfde eisen gelden voor de beveiliging van netwerk- en informatiesystemen. De Kamer bespreekt met minister Grapperhaus (Veiligheid) de Cybersecuritywet waarmee hij deze nieuwe Europese regels implementeert.

Buitenlandse mogendheden en criminele organisaties hebben het gemunt op onze digitale systemen en hacks kunnen enorme impact hebben op onze veiligheid. Het is dan ook goed dat we Europese regels implementeren om onze netwerk- en informatiebeveiliging te verbeteren, stelt Buitenweg (GroenLinks).

Van Dam (CDA) is minder enthousiast over de huidige voorstellen, die de aanduiding "cybersecuritywet" volgens hem niet waard zijn. Hij spreekt de hoop uit dat het kabinet met wetgeving komt die deze naam meer verdient en stelt voor om de huidige citeertitel te wijzigen.

Digitale dienstverleners

De nieuwe Cybersecuritywet is van toepassing op aanbieders van essentiƫle diensten (AED's) en verleners van digitale diensten (DSP's). De AED's zijn vitale diensten zoals energie- en waterbedrijven. Zij worden door de overheid aangewezen. DSP's zijn drie soorten digitale diensten - onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten - die voldoen aan de definities in de richtlijn.

Die definities van DSP's zijn niet altijd even duidelijk, vindt Arno Rutte (VVD). Ondernemers zijn bovendien bezig met ondernemen en lezen geen wetten. Dus hoe weten zij of ze onder de richtlijn vallen? De staatssecretaris van Economische Zaken komt met een checklist voor bedrijven, antwoordt minister Grapperhaus, en zal hierover zo scherp en actief mogelijk communiceren.

Apparaten met internetverbinding

Steeds meer apparaten worden op het internet aangesloten. Maar als je die niet goed beveiligt, kunnen ze gebruikt worden voor DDoS-aanvallen, merkt Alkaya (SP) op. Dus waarom vallen fabrikanten van zulke apparaten niet onder het wetsvoorstel?

Volgens minister Grapperhaus is het gebruikelijk om bij de implementatie van Europese wetgeving voor een minimale implementatie te kiezen. Verbreding van een wetsvoorstel kan namelijk tot extra discussies leiden en dus ook tot een vertraagde invoering van de maatregelen, aldus de minister.

Onbekende kwetsbaarheden

Bedrijven die onder de wet vallen, moeten ernstige ICT-inbreuken voortaan bij het Nationaal Cyber Security Center (NCSC) melden. Maar wat doet het NCSC met informatie van zogeheten "ethische hackers"? wil Verhoeven (D66) weten. Hij vindt dat die niet zomaar mag worden doorgespeeld aan politie en veiligheidsdiensten om daarmee digitaal bij burgers in te breken.

Gegevens van ethische hackers worden vertrouwelijk behandeld, beklemtoont minister Grapperhaus. Maar hij sluit niet dat er vanwege de nationale veiligheid soms informatie wordt doorgegeven aan de diensten, "uiteraard niet meer dan noodzakelijk is".

De Kamer stemt op dinsdag 29 mei over het wetsvoorstel en de ingediende moties.

Zie ook:

  • Het overzicht van de laatste debatten in het kort

  • De geredigeerde woordelijke verslagen van Kamervergaderingen (het stenogram). Deze zijn maximaal vier uur na het uitspreken beschikbaar.

  • Kijk debatten terug via Debat Gemist