Vereenvoudiging van de NIS2-richtlijn kan leiden tot méér complexiteit, precies het tegenovergestelde van wat de Europese Commissie beoogt. Het kabinet waarschuwt voor te zware certificeringsverplichtingen voor de it-markt. Certificering mag geen papieren tijger worden en toezicht niet vervangen. Toezichthouders moeten audits kunnen blijven uitvoeren.
Dat blijkt uit antwoorden van minister David van Weel (Justitie en Veiligheid) op Kamervragen. Aanleiding zijn de EU-voorstellen voor de herziening van de Cybersecurity Act (CSA; Europese verordening voor de certificering van it-producten, -diensten en -processen binnen de Europese Unie) en de vereenvoudiging van de NIS2-richtlijn (Europese wetgeving die de digitale en fysieke weerbaarheid van organisaties in vitale sectoren moet versterken). Het kabinet plaatst stevige kanttekeningen bij de risico’s van certificering. Ook dreigen verlies van nationale beleidsruimte, te ruime EU-bevoegdheden en onduidelijke criteria voor risicoleveranciers.
Brussel
Nationale toezichthouders moeten ruimte houden voor risicogebaseerd toezicht. Nederland wil zich daar in Brussel hard voor maken. Certificering mag daarnaast niet leiden tot onnodige beperkingen van auditbevoegdheden. Het kabinet wil voorkomen dat certificering als extra laag bovenop bestaande nationale toezichtsystemen komt.
Concreet zet het kabinet in op een duidelijke samenhang tussen certificering en toezicht, het voorkomen van dubbele verplichtingen – zoals parallelle audits en certificering – en praktische uitvoerbaarheid voor bedrijven, vooral organisaties die in meerdere lidstaten actief zijn. Als certificering wordt ingezet, moet deze aantoonbaar bijdragen aan lagere toezichtlasten en niet leiden tot een stapeling van verplichtingen.
Het kabinet benadrukt dat certificering moet aansluiten bij reële dreigingen en risico’s. Het is geen vervanging voor het daadwerkelijk nemen van beveiligingsmaatregelen. Het certificeringsraamwerk moet daarom adaptief en flexibel worden ingericht. Nederland wil dit punt actief inbrengen tijdens de onderhandelingen met de EU.
Het kabinet heeft ook bedenkingen bij het voorstel van de Europese Commissie om auditbevoegdheden te beperken wanneer certificering aanwezig is. Certificering kan waardevol zijn, maar dekt niet altijd alle ict-onderdelen, is vaak een momentopname en geeft niet altijd inzicht in actuele risico’s en kwetsbaarheden.
Nederland wil daarnaast ruimte houden voor strengere nationale eisen. Het kabinet plaatst kanttekeningen bij maximumharmonisatie: lidstaten moeten bij nationale dreigingen aanvullende eisen kunnen blijven stellen. Bij maximumharmonisatie verliezen lidstaten de mogelijkheid om, zoals nu nog wel kan, aanvullende bepalingen vast te stellen of te handhaven die een hoger cyberbeveiligingsniveau waarborgen.
Zorgen over aanwijzen risicoleveranciers
In Den Haag bestaan zorgen over de voorgestelde bevoegdheid van de Europese Commissie om landen of leveranciers als ‘hoog risico’ aan te wijzen. Het kabinet vindt de criteria daarvoor onduidelijk, te breed en mogelijk geopolitiek gevoelig. Nederland wil dat lidstaten meer zeggenschap houden.
Het aanwijzen van een derde land als geheel kan volgens het kabinet verstrekkende economische, juridische en geopolitieke gevolgen hebben. Het risico hangt sterk af van het specifieke ict-onderdeel, de te beschermen belangen, de geleverde kritieke dienst en de genomen technische en organisatorische maatregelen.
PRO (voorheen GroenLinks-PvdA) stelt dat de Cybersecurity Act verschuift van een instrument om cyberveiligheid te vergroten naar een wet die ook wordt ingezet voor Europese economische veiligheid en diplomatieke doeleinden. Volgens de fractie is de herziening niet los te zien van de wens om met name Chinese leveranciers van de Europese markt te weren.
Het kabinet erkent dat de herziening van de Cybersecurity Act niet uitsluitend een technisch cybersecurity-instrument is, maar ook een geopolitieke en economische dimensie heeft. Het vindt het legitiem dat de Europese Unie bij cyberveiligheid rekening houdt met die bredere context, maar benadrukt dat voorstellen risicogebaseerd, casusgericht, proportioneel en juridisch houdbaar moeten blijven.
Ik zeg dat ook wel als men mijn conclusies te simpel vindt.
Let op de verborgen dimensionele complexiteit !
Daarna verander ik van onderwerp, anders krijg ik te lastige vragen.
Zo schuilt in ieder van ons wel een politicus.
Vertrouwen is goed, controle is beter.
Maar is certificering ook goed, terwijl audits beter zijn ?
Maximumharmonisatie (1 standaard en geen aanvullende regels) versus
Minimumharmonisatie (1 standaard + aanvullende regels per lidstaat)
Uniformiteit versus flexibiliteit.
Intuitief lijkt minimumharmonisatie de juist keuze, want landen zijn gelijkwaardig maar niet gelijk.
Maar hoe miniem is miniem ? En hoe houd je al die aanvullende regels uit elkaar ?
En dat worden er natuurlijk steeds meer.
Hoe harmonieus is harmonie ?
Die laatste vraag was alleen bedoeld om het complexer te maken.
Terug naar de basis, een fundamentele discussie.
Dan kunnen beslissingen tenminste weer even uitgesteld worden.