RvS stuurt wet voor security bedrijfsleven terug naar tekentafel

De Wet Bevordering Digitale Weerbaarheid Bedrijven moet de digitale weerbaarheid van het niet-vitale bedrijfsleven in Nederland versterken. De strekking ervan is dat ondernemers worden geïnformeerd over actuele dreigingen op gebied van security, zoals kwetsbaarheden en incidenten, zodat zij sneller kunnen handelen.

De ministerraad stemde in april in met het voorstel, om het na advies van RvS aan te bieden bij de Tweede Kamer voor een stemming. Maar voorlopig moet het voorstel terug naar de tekentafel. De Afdeling advisering van RvS heeft bijvoorbeeld nog vragen over de overlapping die kan ontstaan tussen de taken van het NCSC en het Digital Trust Center, die ondernemers van informatie moeten gaan voorzien. Ook is niet uitgewerkt in de wet dat organisaties die de informatie doorgeven voldoen aan de eisen van beveiliging en privacy.

Wet is niet noodzakelijk

Daarnaast noemt RvS een nieuwe wet om bedrijven te versterken op security-gebied niet noodzakelijk, omdat de taken van de minister op dit terrein al in zijn portefeuille vallen. Een wet is wel nodig voor de verwerking en verstrekking van persoonsgegevens om de informatieoverdracht mogelijk te maken. Volgens RvS ligt het voor de hand om deze op te nemen in de bestaande Wet Beveiliging Netwerk- en Informatiesystemen niet in een nieuwe wet.

Taken minister

Er zijn ook een aantal onduidelijkheden geconstateerd voor de rol van de minister. Zo vindt RvS het van belang dat helder wordt gecommuniceerd hoe de nieuwe taken van de minister van EZK zich verhouden tot de eigen verantwoordelijkheid van het bedrijfsleven op het gebied van cybersecurity. De overheid kan die verantwoordelijkheid volgens de adviseurs immers niet volledig overnemen.

Ook wijst de Afdeling advisering op het risico dat het DTC en andere overheidsinstanties uiteenlopende adviezen over een digitale dreiging of incident geven aan een bedrijf. RvS heeft in advies aan de ministerraad gevraagd om rekening te houden met de opmerkingen, voordat het voorstel bij de Tweede Kamer wordt ingediend.

Plannen

De plannen voor het delen van actuele dreigingsbeelden voor digitale veiligheid werden eerder aangekondigd in de Miljoenennota, waarin werd beschreven dat een openbaar Digital Trust Centre het voor het Nederlands bedrijfsleven makkelijker moet maken hun eigen cybersecurity te organiseren. In een eerdere pilot werd er al op deze manier gewerkt met zo’n veertig niet-vitale bedrijven.