Samenvatting advies wetsvoorstel wijziging Wet beveiliging netwerk- en informatiesystemen
De Afdeling advisering van de Raad van State heeft advies uitgebracht over het wetsvoorstel tot wijziging van de Wet beveiliging netwerk- en informatiesystemen. Het wetsvoorstel is op 25 april 2022 bij de Tweede Kamer ingediend. Daarmee is ook het advies van de Afdeling advisering openbaar geworden.
Inhoud van het voorstel
Het Nationaal Cyber Security Center (NCSC), een onderdeel van het ministerie van Justitie en Veiligheid, heeft als taak om organisaties te waarschuwen als er in de software die zij gebruiken een kwetsbaarheid is ontdekt en ze kunnen worden gehackt. Het NCSC richt zich vooral op de organisaties van de rijksoverheid en op sectoren die als ‘vitaal’ zijn aangewezen, zoals energie, vervoer en drinkwater, internet en financieel betalingsverkeer. Het NCSC krijgt met dit wetsvoorstel meer mogelijkheden om dreigingsinformatie te sturen aan bedrijven die niet als ‘vitaal’ zijn aangewezen.
De taakuitbreiding
De Afdeling advisering vindt deze taakuitbreiding waardevol, omdat een cyberaanval kan leiden tot maatschappelijke ontwrichting, ook als niet-vitale sectoren worden getroffen. Wel wijst de Afdeling advisering op het risico dat bedrijven van twee kanten worden geïnformeerd. Er is namelijk een wetsvoorstel in voorbereiding waarin het Digital Trust Center, onderdeel van het ministerie van Economische Zaken en Klimaat, de taak krijgt om bedrijven te voorzien van dreigingsinformatie. Dat overlapt met de taak van het NCSC. Juist bij een crisis moet duidelijk zijn wie waarvoor verantwoordelijk is. De Afdeling adviseert het systeem zo in te richten dat verwarring en dubbel werk worden voorkomen.
Geen toezicht
Het NCSC kan overheidsorganisaties en bedrijven dreigingsinformatie sturen. Voor een deel gaat dat rechtstreeks, voor een ander deel gaat het via zogenaamde schakelorganisaties, die ieder vanuit een bepaalde sector zijn opgezet. Zulke schakelorganisaties zijn er op dit moment voor de gemeenten, de zorg en het onderwijs, voor internetproviders en bedrijven in de hightech- en maakindustrie, maar ook voor de Rotterdamse haven.
De wet stelt geen eisen aan de beveiliging en het privacybeleid waaraan deze schakelorganisaties moeten voldoen. Ook is er geen toezicht op deze organisaties. De Afdeling advisering vindt het belangrijk dat daarin wel wordt voorzien, omdat deze schakelorganisaties gevoelige en vertrouwelijke informatie moeten hanteren die niet in handen mag komen van kwaadwillenden.
Lees hier de volledige tekst van het advies van de Afdeling advisering en het nader rapport (de reactie) van de minister.