Kabinet verankert digitale weerbaarheid vitale sector in wetgeving
Het demissionaire kabinet intensifieert de inspanningen om de digitale weerbaarheid van de vitale infrastructuur te versterken. Dit gebeurt met de implementatie van nieuwe Europese richtlijnen en de verplichting voor kritieke entiteiten om (analoge) terugvalopties in kaart te brengen. Hiermee geeft het kabinet invulling aan moties uit de Tweede Kamer.
De noodzaak voor deze maatregelen is hoog, aangezien Nederland steeds vaker wordt geconfronteerd met cyberaanvallen op vitale processen door zowel statelijke als criminele actoren. Naar verwachting zal de cyberdreiging de komende jaren aanhouden door de relatieve eenvoud om digitale aanvalsprogramma's op te zetten en de toenemende moeilijkheid om aanvallers te traceren.
Wetgeving verankert zorgplicht
Cruciaal in de aanpak is de implementatie van twee Europese richtlijnen in nationale wetgeving:
Cyberbeveiligingswet (Cbw): Dit is de omzetting van de NIS2-richtlijn.
Wet weerbaarheid kritieke entiteiten (Wwke): Dit is de omzetting van de CER-richtlijn.
Deze wetten leggen een zorgplicht op aan essentiële en belangrijke entiteiten. Organisaties worden wettelijk verplicht om passende en evenredige maatregelen te nemen voor de beveiliging van hun netwerk- en informatiesystemen.
Onderdeel van deze zorgplicht is de verplichting om beleid vast te stellen voor het borgen van de bedrijfscontinuïteit. Dit omvat het opstellen en periodiek testen van een bedrijfscontinuïteitsplan en een herstelplan.
Terugvalopties en redundantie verplicht
Redundantie, zoals het in kaart brengen van (analoge) terugvalopties, wordt een inherent onderdeel van de risicobeoordeling die kritieke, essentiële en belangrijke entiteiten moeten uitvoeren onder de nieuwe wetgeving. Door deze planning kan de impact van toekomstige incidenten op de dienstverlening worden geminimaliseerd en kan de dienstverlening sneller worden hervat.
Met deze verplichtingen, volgend uit de Cbw en Wwke, beschouwt het kabinet de moties van de leden Rajkowski en Chakor over het in kaart brengen van terugvalopties en het ontwikkelen van plannen voor essentiële dienstverlening bij grootschalige digitale storingen, als afgedaan.
Scans op risicovolle leveranciers
Over de motie om een scan uit te voeren naar apparatuur en programmatuur uit landen met een offensieve cyberagenda, stelt het kabinet dat een integrale scan op de aanwezigheid van deze ICT-middelen in vitale sectoren niet haalbaar en wenselijk wordt geacht vanwege juridische, praktische en veiligheidsrisico’s.
In plaats daarvan investeert het kabinet in kennisopbouw en hulpmiddelen:
Handreiking 'Cybercheck': Gezamenlijk gepubliceerd door de AIVD, CIO Rijk, NCSC en NCTV, om risico's in de toeleveranciersketen te inventariseren.
Zelfscantool: TNO is verzocht een zelfscantool te ontwikkelen waarmee vitale aanbieders risico’s kunnen afwegen ten aanzien van hardware en software van leveranciers uit risicolanden.
Als uiterste redmiddel zal de zorgplicht uit de Cbw en Wwke de mogelijkheid bevatten om entiteiten de verplichting op te leggen om bepaalde producten of diensten van specifieke leveranciers te weren indien de nationale veiligheid in het geding is. Dit geldt voor leveranciers die banden hebben met of onder invloed staan van partijen met een offensieve cyberagenda.
De maatregelen zijn onderdeel van de bredere inzet ter bescherming van de vitale infrastructuur, aldus Minister van Justitie en Veiligheid, Foort van Oosten.
Meer over weerbaarheid
Over Witold Kepinski
