De Europese Unie heeft eind 2022 de Network and Information Security Directive (NIS2-richtlijn) vastgesteld, met als doel de digitale en economische weerbaarheid van de lidstaten te versterken. Deze richtlijn wordt momenteel omgezet naar de Nederlandse Cyberbeveiligingswet (Cbw). Wouter Scherpenisse, promovendus op het gebied van cybersecurity, en Sascha van Schendel, universitair docent Data Protection & Cybersecurity, beiden verbonden aan Erasmus School of Law, hebben een uitgebreide reactie geschreven op de Cbw. Hierin bespreken zij de juridische en digitale implicaties van het wetsvoorstel en doen zij suggesties voor verdere verfijning.
Scherpenisse en Van Schendel benadrukken het belang van een duidelijke reikwijdte van de wet, met bijzondere aandacht voor onderwijsinstellingen als universiteiten. Ze pleiten ervoor dat universiteiten als essentiƫle entiteiten worden aangemerkt vanwege hun rol als bron van gevoelige informatie en hun kwetsbaarheid voor cyberaanvallen. Dit wordt onderbouwd door de toenemende digitale afhankelijkheid van onderwijsinstellingen, vooral na de COVID-19 pandemie. Ze wijzen ook op de bredere maatschappelijke functie van universiteiten en het belang van cyberweerbaarheidskennis binnen deze instellingen.
Daarnaast vragen zij om verduidelijking van de status van overheidsinstanties die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving. Hoewel deze entiteiten zijn uitgesloten van de Cbw, benadrukken Scherpenisse en Van Schendel hun cruciale rol binnen het nationale cyberbeveiligingsbeleid.
Verantwoordelijkheid van het bestuur
Een ander belangrijk thema in hun reactie is de verantwoordelijkheid van bestuurders, zoals vastgelegd in artikel 26 van de Cbw. Bestuurders van essentiƫle en belangrijke entiteiten moeten niet alleen de maatregelen goedkeuren en toezicht houden op de uitvoering daarvan, maar ook over de juiste kennis beschikken. Dit vereist regelmatige trainingen. De auteurs betogen dat deze kennisvereisten ook zouden moeten gelden voor politiek benoemde ambtsdragers, zoals ministers, vanwege hun cruciale rol tijdens cyberincidenten.
Vrijwillige meldingen
Artikel 36 van de Cbw, dat betrekking heeft op vrijwillige meldingen van kwetsbaarheden, wordt ook besproken. Nederland is een koploper op het gebied van Coordinated Vulnerability Disclosure (CVD) en de auteurs prijzen eerste stappen naar de wettelijke verankering hiervan. Ze suggereren ter aanvulling, dat het CVD-beleid een expliciet onderdeel moet worden van de maatregelen die entiteiten moeten nemen.
Informatiedeling
Informatiedeling is cruciaal voor een effectief cybersecuritybeleid. Het wetsvoorstel erkent dit, maar de flexibiliteit in het delen van informatie kan vragen oproepen over rechtszekerheid en transparantie. Scherpenisse en Van Schendel vragen om duidelijkheid over de aanwijzing van relevante partijen die vertrouwelijke informatie kunnen ontvangen. Ze benadrukken het belang van duidelijke waarborgen bij de aanmerking van organisaties of het toezicht daarop.
Haalbaarheid van verplichtingen
De praktische haalbaarheid van de verplichtingen uit de Cbw is een ander punt van zorg. Sectie 8 van de Memorie van Toelichting (MvT) bespreekt de regeldruk en kosten, maar de auteurs vragen zich af of de schattingen niet te optimistisch zijn. Ze wijzen op de uitdagingen die sommige entiteiten, vooral kleinere, kunnen ondervinden bij het implementeren van de vereiste maatregelen.
Delegatieterminologie
Ten slotte bespreken Scherpenisse en Van Schendel de juridische terminologie van het wetsvoorstel. Ze adviseren om duidelijk te zijn over de mogelijkheid van subdelegatie in bepalingen waar dit relevant is, om verwarring te voorkomen.
- Promovendus
- Universitair Docent
- Meer informatie
Lees hier de gehele reactie van Scherpenisse en Van Schendel op de Cyberbeveiligingswet.