Om betrokken bedrijven goed te kunnen bedienen moeten (persoons)gegevens worden verwerkt. En daarvoor dient het een en ander juridisch te worden geregeld. Maar de Raad ziet geen noodzaak voor een nieuwe wettelijke regeling. In plaats van zo’n zelfstandige wet is het beter de bestaande Wet beveiliging netwerk- en informatiesystemen (Wbni) aan te passen, vindt het adviesorgaan.
Ter versterking van het bedrijfsleven op security-gebied is al helemaal geen (nieuwe) wet meer nodig. Deze taken vallen immers al in de portefeuille van de minister van EZK, aldus de Raad. Verder vreest het adviesorgaan dat het DTC en het Nationaal Cyber Security Centrum (NCSC) in elkaars vaarwater terecht kunnen komen. Hun taken lijken elkaar te overlappen. Beide organisaties kunnen straks analyses uitvoeren en (technisch) onderzoek doen naar verzamelde informatie. Hierdoor ontstaat het risico van uiteenlopende adviezen. De Raad van State zag dat eerder gebeuren toen begin 2020 kwetsbaarheden opdoken rond Citrix-software. Het NCSC en de AIVD schatten destijds de veiligheidsrisico’s anders in.
Ook bij het informeren van niet-vitale bedrijven over digitale dreigingen of incidenten kunnen doublures ontstaan. Het nieuwe wetsvoorstel stelt het DTC straks in staat om betrokken bedrijven te waarschuwen, terwijl het NCSC dat binnenkort ook mag doen. De beide organisaties botsten al eens met elkaar.
Het is nu aan het ministerie van EZK om te bepalen wat de volgende stappen worden. Het departement ook het advies van de Raad van State naast zich neer leggen.
Reacties
Is het nu heus teveel moeite om even een linkje te leggen met het advies van de RvS?
https://www.raadvanstate.nl/@130954/wet-beveiliging-netwerk-en-informatie/