Wijziging van het Besluit beveiliging netwerk- en informatiesystemen (aanwijzing vitale aanbieders en nadere regels over beveiliging aanbieders van een essentiële dienst).

Bij Kabinetsmissive van 8 oktober 2020, no.2020002057, heeft Uwe Majesteit, op voordracht van de Minister van Justitie en Veiligheid, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties, de Minister van Economische Zaken en Klimaat en de Minister van Infrastructuur en Milieu, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het ontwerpbesluit tot wijziging van het Besluit beveiliging netwerk- en informatiesystemen (aanwijzing vitale aanbieders en nadere regels over beveiliging aanbieders van een essentiële dienst), met nota van toelichting.

Het ontwerpbesluit strekt tot wijziging van het Besluit beveiliging netwerk- en informatiesystemen. Het ontwerpbesluit wijst nieuwe aanbieders van een essentiële dienst aan. Ook stelt het ontwerpbesluit nadere regels over de maatregelen die deze aanbieders moeten nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen en om ernstige ICT-incidenten te voorkomen en de gevolgen van dergelijke incidenten zo veel mogelijk te beperken.

De Afdeling advisering van de Raad van State heeft opmerkingen over het voornemen geen aanbieders van essentiële diensten aan te wijzen in de zorgsector. In verband daarmee is aanpassing wenselijk van de toelichting.

1. Inhoud en achtergrond van het ontwerpbesluit

Per 9 november 2018 geldt de Wet beveiliging netwerk- en informatiesystemen (Wbni) waarmee de Netwerk- en informatiebeveiligingsrichtlijn (NIB-richtlijn) (zie noot 1) van de Europese Unie wordt geïmplementeerd. De Wbni is erop gericht de digitale weerbaarheid van Nederland te vergroten, de gevolgen van cyberincidenten te beperken en zo ook maatschappelijke ontwrichting te voorkomen. De wet verplicht aanbieders van essentiële diensten (AED’s) maatregelen te nemen om hun ICT te beveiligen tegen incidenten, ook wel de zorgplicht genoemd. Voor ernstige incidenten geldt voor hen tevens een meldplicht bij respectievelijk het Nationaal Cyber Security Centrum (NCSC) en de sectorale toezichthouder, het Agentschap Telecom, De Nederlandsche Bank of de Inspectie voor Leefomgeving en Transport.

Het Besluit beveiliging netwerk- en informatiesystemen (Bbni) benoemt de AED’s die onder de reikwijdte vallen van de rechten en plichten van de Wbni. Met het ontwerpbesluit wordt de lijst van AED’s aangevuld en worden nadere regels gesteld over de maatregelen die AED’s moeten nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen en om ernstige ICT-incidenten te voorkomen en de gevolgen van dergelijke incidenten zo veel mogelijk te beperken.

2. Ontbreken van aanwijzingen in de zorgsector

De Afdeling merkt op dat het ontwerpbesluit, evenals het oorspronkelijke besluit, geen AED’s aanwijst in de zorgsector. In de toelichting wordt die keuze niet nader gemotiveerd.

In 2018 heeft de minister voor Medische Zorg naar voren gebracht dat uitval van ICT-systemen of -structuren in de zorg niet leidt tot ernstige maatschappelijke ontwrichting. In Nederland is er namelijk geen centrale vitale technische infrastructuur voor de gehele zorg die bij uitval dergelijke gevolgen heeft voor landsbrede zorg. De inschatting was dat in geval van uitval van een deel van de zorg, deze zorg veelal kan worden overgenomen door andere zorgaanbieders. (zie noot 2)

In de huidige COVID-19 pandemie zijn verschillende zorginstellingen ernstig onder druk komen te staan en blijken zij digitaal risico’s te lopen. Om deze reden is met de Tweede Verzamelspoedwet COVID-19 een regeling getroffen zodat bepaalde instellingen (zie noot 3) in de zorgsector wel een beroep kunnen doen op rechten zoals deze ook in de Wbni worden toegekend aan AED’s. Deze regeling is tijdelijk en instellingen worden niet aangemerkt als vitale aanbieder. De Minister van VWS verkent momenteel de wenselijkheid van vitaalverklaringen binnen de zorgsector, aldus de toelichting bij de verzamelspoedwet. De regering wil dit proces niet versnellen om een extra belasting te voorkomen voor organisaties die reeds onder hoge druk staan in verband met de aanpak en bestrijding van het COVID-19-virus. (zie noot 4)

De Afdeling merkt op dat de Tweede Verzamelspoedwet COVID-19 niet voorziet in plichten voor de betreffende zorginstellingen. Door het ontbreken van een zorgplicht kan niet gecontroleerd worden of deze instellingen in voldoende mate beschermd zijn tegen digitale verstoringen. Tevens is er voor die instellingen geen verplichting om de overheid te informeren in het geval van een digitale verstoring,  vanwege het ontbreken van een meldplicht.

De Afdeling adviseert in de toelichting bij het ontwerpbesluit in te gaan op de  om nog geen AED’s aan te wijzen in de zorgsector. Zij beveelt aan daarbij de aanpak en looptijd van de aangekondigde verkenning te betrekken, ook in het licht van het aanvankelijke standpunt dat uitval van digitale systemen in de zorgsector niet tot maatschappelijke ontwrichting zal leiden. Vooruitlopend op de uitkomsten van deze verkenning, dient te worden aangeduid wat op dit moment de risico’s zijn van het niet aanwijzen van AED’s in de zorgsector, en hoe daarmee wordt omgegaan. Bijvoorbeeld ten aanzien van het ontbreken van een zorg- en meldplicht van digitale verstoringen voor zorginstellingen.

Ook adviseert de Afdeling nader toe te lichten hoe het ontbreken van aanwijzingen binnen de zorgsector zich verhoudt tot de aanwijzingen in andere sectoren, en hoe daarmee tegemoet wordt gekomen aan de Europese verplichting tot een coherente aanwijzing van AED’s. (zie noot 5)

De Afdeling adviseert de toelichting bij het ontwerpbesluit met inachtneming van het voorgaande aan te passen.

De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het ontwerpbesluit en adviseert daarmee rekening te houden voordat een besluit wordt genomen.

De vice-president van de Raad van State


Nader rapport (reactie op het advies) van 11 maart 2021

2. Ontbreken van aanwijzingen in de zorgsector

In 2015 vond een herijking plaats van de vitale processen in het kader van de nationale veiligheid. Destijds werden geen processen in de zorg als vitaal geïdentificeerd en werden er dus geen AED’s in de zorgsector aangewezen. In de toelichting bij de Tweede Verzamelspoedwet COVID-19 (zie noot 6) d.d. 8 juli 2020 is kenbaar gemaakt dat de Minister voor Medische Zorg en Sport (die verantwoordelijk is voor het aanwijzen van vitale processen, en daarbinnen van vitale aanbieders, in de zorgsector) op dat moment een eventuele vitaalverklaring voor de processen en aanbieders binnen de zorgsector verkende. In vervolg hierop heeft deze minister bij brief van 14 december 2020 (zie noot 7) aangegeven de vitaliteit van de gezondheidszorg in samenspraak met de sector opnieuw te gaan beoordelen. Mede door de COVID-19-crisis, die aantoont hoe ook niet-digitale dreigingen de maatschappij kunnen ontwrichten, wordt de vitaliteit van de zorg opnieuw beoordeeld. Deze herbeoordeling, waaruit de aanwijzing van AED’s in de zorgsector kunnen volgen, past bij de Europese verplichting tot een coherente aanwijzing van AED’s.

De beoordeling wordt als volgt aangepakt. Er wordt een scenario vastgesteld dat uitgaat van een worst-case-scenario. Aan de hand daarvan wordt de herbeoordeling uitgevoerd. Afhankelijk van de uitkomsten daarvan zal het proces van het aanwijzen van vitale aanbieders binnen als vitaal beoordeelde processen binnen de zorg worden doorlopen. Hierbij zullen uiteraard alle veldpartijen worden betrokken. Als gevolg van de COVID-19-uitbraak is de Minister voor Medische Zorg en Sport genoodzaakt om het gesprek met de sector uit te stellen tot tenminste begin 2021, ervan uitgaande dat de COVID-19-crisis tegen die tijd meer beheersbaar is en er voldoende ruimte is voor een dergelijke vitaliteitsbeoordeling. De looptijd van deze vitaliteitsbeoordeling is dus onder meer afhankelijk van de COVID-19-crisis die veel druk levert op de partijen in het veld.

Dit besluit strekt onder meer tot de aanwijzing van nieuwe AED’s in de sector energie en regelt de bevoegdheid voor de ministers van Infrastructuur en Waterstaat en van Economische Zaken en Klimaat om in de sector vervoer onderscheidenlijk de sector energie AED’s aan te wijzen. Het is noodzakelijk en belangrijk dat deze aanwijzingen zo snel mogelijk plaatsvinden en dat deze ministers die bevoegdheden zo snel mogelijk krijgen. Het is daarom niet wenselijk om dit wijzigingsbesluit aan te houden in afwachting van de uitkomsten van de nieuwe vitaliteitsbeoordeling in de zorgsector. Indien uit de vitaliteitsbeoordeling volgt dat er aanbieders in de zorgsector als vitaal aangewezen moeten worden, dan zal het Bbni zo snel mogelijk worden aangepast om die aanbieders als AED aan te wijzen.

Met betrekking tot de door de Afdeling gemaakte opmerking over het ontbreken van een zorgplicht en meldplicht voor zorginstellingen en de overige risico’s van het nog niet aanwijzen van AED’s in de zorgsector wordt het volgende opgemerkt. De zorgplicht en meldplicht als bedoeld in de Wbni zijn thans niet van toepassing op aanbieders in de zorgsector. Dit betekent echter niet dat zij vrij zijn van verplichtingen op het gebied van de beveiliging van hun netwerk- en informatiesystemen. Op grond van artikel 3, tweede lid, van het Besluit elektronische gegevensverwerking door zorgaanbieders zijn de daarin bedoelde zorgaanbieders verplicht om overeenkomstig het bepaalde in NEN 7510 en NEN 7512 zorg te dragen voor een veilig en zorgvuldig gebruik van het zorginformatiesysteem en het elektronisch uitwisselingssysteem waarop de aanbieder is aangesloten. Daarnaast geldt op grond van artikel 11, eerste lid, onder a, van de Wet kwaliteit, klachten en geschillen zorg voor de in die wet bedoelde zorgaanbieder de verplichting om bij de Inspectie gezondheidszorg en jeugd onverwijld melding te doen van iedere calamiteit die bij de zorgverlening heeft plaatsgevonden.

Organisaties zijn primair zelf verantwoordelijk voor hun cyberveiligheid. Verschillende organisaties in de zorgsector, waaronder ziekenhuizen met een intensive care-voorziening, worden daarbij door sectorale computercrisisteams voorzien van bijstand bij het treffen van maatregelen ter verhoging van hun digitale weerbaarheid en het voorkomen van cyberincidenten. Zo worden ziekenhuizen daartoe ondersteund door Z-CERT en diverse onderzoekscentra door SURF-CERT. Deze computercrisisteams voorzien deze instellingen in dat verband onder meer van voor hen relevante informatie over cyberdreigingen en adviezen over preventieve beveiligingsmaatregelen. Krachtens de in de Tweede Verzamelspoedwet COVID-19 opgenomen wijziging van de Wet beveiliging netwerk- en informatiesystemen geldt overigens dat bepaalde organisaties in de zorgsector gedurende de COVID-19-uitbraak ook kunnen rekenen op de bijstand van het NCSC.

Ik bied u hierbij in overeenstemming met de Minister van Binnenlandse Zaken en Koninkrijksrelaties, de Minister van Economische Zaken en Klimaat en de Minister van Infrastructuur en Waterstaat het ontwerpbesluit en de gewijzigde nota van toelichting aan en verzoek u overeenkomstig dit ontwerp te besluiten.

De Minister van Justitie en Veiligheid


Voetnoten

(1) Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie, PbEU 2016, L 194.
(2) Kamerstukken II 2017/18, 27529, nr. 158.
(3) Artikel 3.1, Tijdelijke wijziging Wet beveiliging netwerk- en informatiesystemen. Dit betreft ziekenhuizen met een IC, instellingen die onderzoek doen naar COVID-19, fabrikanten en vergunninghouders van geneesmiddelen die zich bezighouden met vaccin-onderzoek en fabrikanten van medische hulpmiddelen.
(4) Kamerstukken II 2019/20, 35 497, nr. 3.
(5) Considerans nr. 19 NIB-richtlijn.
(6) Staatsblad 2020, nr. 245.
(7) Kamerstukken II 2020/21, 27 529, nr. 230.