Geachte heer, mevrouw,
Met veel belangstelling hebben VNO-NCW en MKB-Nederland kennisgenomen van de concept Cyberbeveiligingswet (Cbw) ter implementatie van de Europese NIS2-richtlijn. Wij maken graag gebruik van de mogelijkheid hierop te reageren.
VNO-NCW en MKB-Nederland staan in beginsel positief tegenover de doelen uit de NIS2-richtlijn en het daarmee voorliggende concept Cbw. Verhoging van de digitale veiligheid en weerbaarheid is van groot belang voor de continuïteit van bedrijven en organisaties, en daarmee voor het functioneren van de economie en maatschappij. Dit geldt vooral in een tijd waarin de digitale dreiging onverminderd groot is. In dat kader hebben wij recent onze koers uitgebreid met een nieuwe pijler, te weten, weerbaarheid.
Wij ondersteunen dan ook dat in de voorliggende Cbw (t.o.v. de huidige Wet beveiliging netwerk- en informatiesystemen) méér bedrijven en organisaties verplicht worden hun cyberveiligheid aan te scherpen en hun weerbaarheid te vergroten, en dat er concrete doelvoorschriften komen, o.a. gericht op de toeleveringsketen. Dat is niet alleen van belang voor de continuïteit van bedrijven zelf, maar ook ter versterking van de (waarde)ketens. Hiermee zal de door de Cyber Security Raad geconstateerde weerbaarheidskloof afnemen c.q. de cyberweerbaarheid van het MKB doen toenemen. Hierbij is het wel van belang dat de eisen die door bedrijven en organisaties aan toeleveranciers (veelal mkb) worden gesteld proportioneel en risicogericht zijn, en de administratieve lasten beperkt worden.
Voorts hebben wij nog een aantal andere zorgpunten rondom voorliggende Cbw en de verdere uitwerking en implementatie. De belangrijkste zijn:
- Door het ontbreken van eenduidige uitleg van begrippen en criteria in de Cbw, is het voor een aantal bedrijven nog onduidelijk in hoeverre zij onder de reikwijdte van de NIS2 vallen en zo ja, of zij als essentieel en/of belangrijk moeten worden beschouwd. Wij pleiten ervoor dat hier op korte termijn duidelijkheid over komt zodat bedrijven weten waar ze aan toe zijn en zich waar nodig kunnen voorbereiden.
- Doordat de uitwerking van de zorgplicht wordt doorgeschoven naar de nog op te stellen AMvB, wordt de tijdspanne voor bedrijven om de eisen uit de Cbw te implementeren zeer krap. Wij pleiten ervoor dat toezichthouders hiermee rekening houden en niet per medio 2025 direct overgaan tot het opleggen van sancties maar inzetten op lerend vermogen.
- Met de scope-uitbreiding van de NIS2-richtlijn ontstaat het risico van verlies aan focus op beveiliging en bescherming van díe netwerk- en informatiesystemen die randvoorwaardelijk zijn voor de continuïteit van de essentiële of belangrijke dienst(verlening) of proces. Wijpleiten ervoor dat de risico gebaseerde aanpak zoals nu opgenomen in de Cbw, expliciet als leidend principe in de AMvB én bij het vormgeven van het toezicht wordt doorgevoerd.
- De overheid maakt een strikt onderscheid tussen de Cbw (cyber) en de Wet weerbaarheidkritieke entiteiten (fysiek). Bedrijven werken echter veelal op een all hazards benadering.Wij pleiten dan ook voor een goede samenloop tussen beide wetten om dubbele (toezichts)lasten aan de zijde van bedrijven te voorkomen.
- Het nationale register (en onderliggende online registratievoorziening) met daarin de namen van entiteiten en ook hun IP-bereiken, vormt een groot cyberrisico. Wij pleiten voor goede waarborgen rondom de veiligheid van het register / registratievoorziening. Daarnaast pleiten wij ervoor dat aanlevering van IP-bereiken optioneel is en geen wettelijke verplichting.
- De opgenomen verwachting om in de AMvB een hoger cyberbeveiligingsniveau te borgen dan de NIS2-richtlijn vereist, zou een nationale kop impliceren. Omwille van een gelijkspeelveld pleiten wij ervoor om conform het Hoofdlijnenakkoord 2024-2028 geen nationale koppen op Europese regelgeving te zetten.
- Wanneer het Computer Security Incident Respons Team (CSIRT) vrijwillige meldingen gaat doorzetten naar de toezichthouder onder de Wet weerbaarheid kritieke entiteiten, zal de bereidheid bij bedrijven om vrijwillig te melden aanzienlijk afnemen. Wij pleiten ervoor dit terug te draaien en het aan bedrijven zelf over te laten of zij haar toezichthouder willen informeren. Het systeem van vrijwillig melden moet gericht blijven op leren en verbeteren in een vertrouwelijke setting.
In de bijlage bij deze brief is een artikelsgewijze reactie (incl. aandachtspunten voor de komende AMvB) en een aantal procesvragen.
Tot slot willen wij de oproep aan het Rijk doen om op een aantal in de Cbw opgenomen activiteiten, expliciet de samenwerking te zoeken met (branches van de) betrokken entiteiten en met VNO-NCW en MKB-Nederland. Hierbij gaat het o.a. om:
- Uitwerking van de risico gebaseerde benadering van het CSIRT met de onderliggende vraag hoe prioriteit wordt gegeven aan het verlenen van hulp en bijstand aan entiteiten;
- Het opstellen van de drempelwaarden voor de meldplicht;
- Het opstellen c.q. actualiseren van de nationale cyberbeveiligingsstrategie en van het nationaal plan voor grootschalige cyberbeveiligingsincidenten.
Bij deze zaken is publiek-private samenwerking onontbeerlijk.
Uiteraard zijn wij bereid een nadere toelichting te geven op onze reactie. Hiervoor kunt u contact opnemen met Sabine Gielens (zie boven voor de contactgegevens).
Wij wensen u veel succes met de verwerking van de reactie op de internetconsultatie, en zien in het najaar graag de consultatie van de AMvB tegemoet.
Met vriendelijke groet,
Mw. I.C. Linthorst
Directeur Beleid
Geachte heer, mevrouw,
Met veel belangstelling hebben VNO-NCW en MKB-Nederland kennisgenomen van de concept Cyberbeveiligingswet (Cbw) ter implementatie van de Europese NIS2-richtlijn. Wij maken graag gebruik van de mogelijkheid hierop te reageren.
VNO-NCW en MKB-Nederland staan in beginsel positief tegenover de doelen uit de NIS2-richtlijn en het daarmee voorliggende concept Cbw. Verhoging van de digitale veiligheid en weerbaarheid is van groot belang voor de continuïteit van bedrijven en organisaties, en daarmee voor het functioneren van de economie en maatschappij. Dit geldt vooral in een tijd waarin de digitale dreiging onverminderd groot is. In dat kader hebben wij recent onze koers uitgebreid met een nieuwe pijler, te weten, weerbaarheid.
Wij ondersteunen dan ook dat in de voorliggende Cbw (t.o.v. de huidige Wet beveiliging netwerk- en informatiesystemen) méér bedrijven en organisaties verplicht worden hun cyberveiligheid aan te scherpen en hun weerbaarheid te vergroten, en dat er concrete doelvoorschriften komen, o.a. gericht op de toeleveringsketen. Dat is niet alleen van belang voor de continuïteit van bedrijven zelf, maar ook ter versterking van de (waarde)ketens. Hiermee zal de door de Cyber Security Raad geconstateerde weerbaarheidskloof afnemen c.q. de cyberweerbaarheid van het MKB doen toenemen. Hierbij is het wel van belang dat de eisen die door bedrijven en organisaties aan toeleveranciers (veelal mkb) worden gesteld proportioneel en risicogericht zijn, en de administratieve lasten beperkt worden.
Voorts hebben wij nog een aantal andere zorgpunten rondom voorliggende Cbw en de verdere uitwerking en implementatie. De belangrijkste zijn:
In de bijlage bij deze brief is een artikelsgewijze reactie (incl. aandachtspunten voor de komende AMvB) en een aantal procesvragen.
Tot slot willen wij de oproep aan het Rijk doen om op een aantal in de Cbw opgenomen activiteiten, expliciet de samenwerking te zoeken met (branches van de) betrokken entiteiten en met VNO-NCW en MKB-Nederland. Hierbij gaat het o.a. om:
Bij deze zaken is publiek-private samenwerking onontbeerlijk.
Uiteraard zijn wij bereid een nadere toelichting te geven op onze reactie. Hiervoor kunt u contact opnemen met Sabine Gielens (zie boven voor de contactgegevens).
Wij wensen u veel succes met de verwerking van de reactie op de internetconsultatie, en zien in het najaar graag de consultatie van de AMvB tegemoet.
Met vriendelijke groet,
Mw. I.C. Linthorst
Directeur Beleid