Zorgen over verzwaringen en artikel 18
De Tweede Kamer zit vol vragen over het wetsvoorstel Cyberbeveiligingswet (Cbw) die de Europese NIS2-richtlijn omzet in nationale regelgeving.
Zo’n 8.100 Nederlandse bedrijven en instellingen die gelden als essentiële of belangrijke entiteit, gaan daar straks onder vallen. Maar tal van aspecten vereisen een nadere verduidelijking van de regering. Ook zijn er de nodige twijfels, onder meer over de gekozen verzwaringen, zo blijkt uit het verslag van de vaste commissie voor Digitale Zaken dat op 8 september is vastgesteld.
Zwaardere eisen
D66 vraagt welke onderdelen van de huidige nationale wetgeving tekortschieten en waarom zwaardere eisen dan de minimumeisen van de richtlijn nodig zijn. Gewezen wordt op de aanbevelingen van het Adviescollege Toetsing Regeldruk (ATR) die daar geen aanleiding toe ziet.
Ook wordt gevraagd te reageren op de kritiek die NLdigital heeft geuit op de onverwachte toevoeging van artikel 18.Volgens de it-branchevereniging geeft dat ministers vergaande bevoegdheden om het gebruik van it-leveranciers te verbieden. Ook VNO-NCW en MKB-Nederland hebben ernstige bezwaren.
NLdigital waarschuwt dat deze toevoeging de aantrekkelijkheid van Nederland voor internationale techbedrijven schaadt. Deze toevoeging zou zich niet verhouden tot het streven naar een Europees gelijk speelveld. Het plotseling moeten vervangen van it-leveranciers kan ook leiden tot ernstige verstoringen in essentiële en belangrijke dienstverlening. Voor veel digitale infrastructuur zijn alternatieven niet zomaar beschikbaar. Migratietrajecten vergen jaren voorbereiding, aldus NLdigital.
De uitbreiding van de zorgplicht zou ook niet passen binnen de NIS2-systematiek, die juist uitgaat van een risico-gebaseerde aanpak. Artikel 18 was niet opgenomen in eerdere consultatieversies van het besluit. De toevoeging is enkel onderbouwd in de memorie van toelichting, zonder wettelijke grondslag in de oorspronkelijke tekst. NLdigital stelt dat dit het zorgvuldige consultatieproces ondermijnt en zelfs de Raad van State wordt gepasseerd. De branchevereniging heeft een alternatief ontwikkeld, een herontwerp op basis van het Duitse model van ‘kritische componenten’.
Ook over de kern van de richtlijn is discussie. Het CDA is benieuwd naar de reden voor de keuze om uit te gaan van minimumharmonisatie. Een van de problemen van de NIS1-richtlijn was juist dat er teveel verschillen tussen lidstaten ontstonden. De regering wordt gevraagd een compleet overzicht te delen van alle onderdelen van het wetsvoorstel die verder gaan dan de minimumeisen van de richtlijn. GroenLinks-PvdA wil weten welke problematische tegenstrijdigheden tussen de implementatie in lidstaten de komst van de NIS2-richtlijn rechtvaardigen.
Cyberbeveiliging
Alle fracties die vragen hebben gesteld, onderschrijven de noodzaak van strengere en effectievere wetgeving op het gebied van cyberbeveiliging. Opvallend is dat de grote fracties van PVV en BBB niet de moeite hebben genomen om vragen in te dienen of opmerkingen te geven. En dat terwijl de Cyberbeveiligingswet een grote stelselherziening inhoudt. Omvangrijk is de uitbreiding van reikwijdte en verplichtingen.
De Tweede Kamer maakt zich zorgen over de enorme vertraging bij de inwerkingtreding van de Cyberbeveiligingswet. Aanvankelijk ging het ministerie van Justitie en Veiligheid uit van het derde kwartaal van dit jaar. Maar nu hoopt minister David van Weel op het tweede kwartaal van 2026. GroenLinks-PvdA vindt dat Nederland veel te laat is met deze implementatie. Deze fractie vraagt of de vertraagde invoering gevolgen heeft voor de cyberveiligheid van Nederlandse entiteiten. De nodige onduidelijkheid bestaat er verder nog over de samenhang van de cyberbeveiligingswet met de CER-richtlijn (kritieke entiteiten) en DORA (Digital Operational Resilience Act, financiële sector).
De leden van de GroenLinks-PvdA-fractie vinden het essentieel dat bestuursleden van entiteiten doordrongen zijn van het belang van cyberveiligheid. Deze leden constateren echter dat er in veel instanties te weinig interne kennis en kunde is op het gebied van it, wat bestuurlijk overleg over cyberveiligheid bemoeilijkt. De kennis over it en cyberveiligheid dient breed gedragen te worden. GroenLinks-PvdA ziet echter wel het risico dat de brede opleidingsverplichting de kennis kan verwateren.
Daarom zou het verstandig zijn als de NIS2-richtlijn de kans biedt voor besturen om één bestuurslid als eindverantwoordelijke op het gebied van it en cyberveiligheid aan te wijzen. Wellicht is het beter wanneer deze beschikt over diepere specialistische kennis, in plaats van dat alle bestuursleden enkel over algemene kennis beschikken.
Eindverantwoordelijkheid
Volgens het wetsvoorstel worden de vakministers verantwoordelijk binnen hun sectoren. Maar de minister van Justitie en Veiligheid krijgt een centrale en coördinerende rol. GroenLinks-PvdA vraagt zich af of deze bewindsman dan niet beter ook eindverantwoordelijk kan worden voor alle sectoren. VVD en GroenLinks-PvdA vragen hoe de samenwerking tussen vakministers en de minister van Justitie en Veiligheid praktisch vorm krijgt.
Overigens valt op dat de coördinerende staatssecretaris voor Digitalisering en Koninkrijksrelaties geen rol heeft in deze wet. GroenLinks-PvdA vraagt daar een verklaring voor. SP en ChristenUnie willen duidelijkheid over taakverdeling tussen ministers en zelfstandige bestuursorganen. Ook is het D66 en CDA niet duidelijk waarom onderwijsinstellingen onder de wet vallen, terwijl dit optioneel is in de EU-richtlijn. GroenLinks-PvdA vraagt waarom ziekenhuizen niet standaard worden aangewezen als essentiële entiteiten, ondanks hun cruciale rol.
GroenLinks-PvdA wijst op het nut van een ‘cyberjaarverslag’ een gestandaardiseerd jaarlijks inzicht in de stand van de it en het voldoen aan digitale wetgeving. Onder meer zorgverzekeraar CZ en ingenieursbureau Arcadis hebben dat al.
