Brief regering; Stand van zaken betreffende de netwerk- en informatiebeveiliging (NIB) richtlijn - EU-voorstel: Netwerk- en informatiebeveiliging in de Unie COM (2013) 48 - Hoofdinhoud
Deze brief is onder nr. 3 toegevoegd aan dossier 33602 - EU-voorstel: Netwerk- en informatiebeveiliging in de Unie COM(2013)48.
Inhoudsopgave
| Officiële titel | EU-voorstel: Netwerk- en informatiebeveiliging in de Unie COM (2013) 48; Brief regering; Stand van zaken betreffende de netwerk- en informatiebeveiliging (NIB) richtlijn |
|---|---|
| Documentdatum | 23-07-2013 |
| Publicatiedatum | 23-07-2013 |
| Nummer | KST336023 |
| Kenmerk | 33602, nr. 3 |
| Externe link | origineel bericht |
| Originele document in PDF |  |
Tweede Kamer der Staten-Generaal
Vergaderjaar 2012–2013
33 602
EU-voorstel: netwerk- en informatiebeveiliging in de Unie COM (2013) 48 i
Nr. 3
BRIEF VAN DE MINISTER VAN VEILIGHEID EN JUSTITIE
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 12 juli 2013
Tijdens het AO behandelvoorbehoud1 van 24 april 2013, inzake het voorstel voor een richtlijn houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen2 (NIB-richtlijn), is afgesproken dat de Tweede Kamer 2 keer per jaar schriftelijk wordt geïnformeerd over de onderhandeling van de richtlijn.
Met deze brief wordt de Kamer geïnformeerd over de stand van zaken betreffende de NIB-richtlijn. Achtereenvolgens zal worden ingegaan op het proces tot op heden en de uitkomsten van de onderhandelingen.
Proces tot op heden
Op 7 februari 2013 is de NIB-richtlijn samen met de strategie inzake cyberbeveiliging van de Europese Unie (EU cyber security strategie) gepubliceerd. In de EU cyber security strategie wordt verwezen naar de NIB-richtlijn. Voor zowel de NIB-richtlijn als de EU cyber security strategie zijn op 15 maart 2013 BNC-fiches3 naar de Tweede Kamer gestuurd.
Het doel van de voorgestelde richtlijn is het waarborgen van een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging (NIB). Dit niveau verschilt momenteel per lidstaat. Dit leidt tot een sterk wisselend niveau van paraatheid bij incidenten en een ongelijk niveau van bescherming van consumenten en bedrijven. De Europese Commissie wil de beveiliging van het internet en de particuliere netwerken en informatiesystemen verbeteren door de lidstaten ertoe te verplichten hun paraatheid te verbeteren, beter met elkaar samen te werken en door vitale partijen (banken, energiebedrijven, vervoersbedrijven, gezondheidszorg, internetdiensten, overheden) te
1 Kamerstuk 33 602, nr. 2
2 COM(2013) 48 i, Kamerstuk 33 602, nr. 1
3 Kamerstuk 22 112, nr. 1587
verplichten adequate maatregelen te nemen om beveiligingsrisico’s te beheren en ernstige incidenten aan de nationale bevoegde autoriteiten te rapporteren.
Het voorstel verplicht lidstaten te beschikken over een nationale NIB-strategie, een NIB-samenwerkingsplan, een instantie belast met de coördinatie van NIB-zaken en een goed functionerend Computer Emergency Response Team (CERT).
De onderhandelingen over de NIB-richtlijn worden gevoerd binnen de Raadswerkgroep Telecom & Informatiemaatschappij. Tot op heden zijn er twee inhoudelijke behandelingen geweest van de NIB-richtlijn. Op 3 mei 2013 heeft Nederland ook gebruik gemaakt van de mogelijkheid om schriftelijk te reageren op de NIB-richtlijn. De schriftelijke reactie van Nederland was in lijn met het BNC-fiche inzake de NIB-richtlijn.
Op 6 juni 2013 is de eerste voortgangsrapportage aangenomen tijdens de Telecomraad. Daarnaast heeft er een verkennende discussie plaatsgevonden.
Uitkomsten van de onderhandelingen
Uitkomsten raadswerkgroepen Telecom & Informatiemaatschappij
De richtlijn is op 11 april en 12 juni 2013 besproken in de raadswerkgroep Telecom en Informatiemaatschappij.
Bij de eerste inhoudelijke bespreking (11 april 2013) van de NIB-richtlijn maken veel lidstaten nog een studievoorbehoud. Diverse lidstaten spreken hun algemene steun uit, maar zijn bezorgd over o.a. de kosten, de versnippering van regels voor melding van incidenten door uitzondering van elektronische communicatiediensten en de gevoeligheid van informatie in de NIB-samenwerkingsplannen.
Nederland wijst in de bijeenkomst op een aantal principes die zij in de discussie zal verdedigen:
– het in stand houden van bestaande structuren;
– het respecteren van nationale verantwoordelijkheid voor veiligheid;
– het behouden van verantwoordelijkheid van de private sector;
– Het beteugelen van de implementatiekosten.
Nederland uit daarnaast haar zorg over de vertrouwelijkheid van gegevens bij het uitwisselen van deze gegevens (art 1.6), en merkt op dat dit niet wordt afgedekt door een verwijzing naar de richtlijnen ter bescherming van persoonsgegevens.
Ten slotte spelen er in de bijeenkomst een aantal definitiekwesties, o.a. ten aanzien van incidenten en incidentafhandeling. Daarnaast is niet duidelijk wat precies wordt bedoeld met de NIB-samenwerkingsplannen (artikel 5).
Bij de tweede inhoudelijke bespreking van de NIB-richtlijn (12 juni 2013) bespreken de lidstaten de impact assessment van de richtlijn. Enkele van de lidstaten vrezen hoge kosten, met name voor het midden- en kleinbedrijf. De Europese Commissie schat in dat de baten opwegen tegen de kosten en geeft aan de kostenramingen zeer spoedig online te zetten.
Ten slotte wijzen enkele lidstaten op het belang van ruimte voor vrijwilligheid. Volgens hen wordt geen recht gedaan aan de mening van de Raad dat er ruimte moet zijn voor een gemengde aanpak. De Europese
Commissie stelt dat het voorstel in feite een gemengde aanpak is (tussen regulering en vrijwilligheid).
Uitkomsten Telecomraad4
In de Telecomraad van 6 juni 2013 vindt een oriënterend debat plaats over de NIB-richtlijn.
Veel lidstaten, waaronder Nederland, onderschrijven de doelstelling van de richtlijn om een hoog niveau van netwerk- en informatiebeveiliging te borgen ten einde cyberaanvallen te voorkomen en informatiebeveiligingsincidenten tegen te gaan. De discussie in de Raad spitst zich toe op de vraag of er verplichte maatregelen, vrijwillige maatregelen of een combinatie van beiden genomen moet worden om aan de doelstellingen van de richtlijn tegemoet te komen. Nederland geeft daarbij aan, net als vele andere lidstaten, voorstander te zijn van een gemengde aanpak. Nederland stelt dat voor een minimum beveiligingsniveau en eerlijk speelveld binnen de EU enkele verplichtingen noodzakelijk zijn: een goed functionerend CERT, een crisisplan en een coördinerende autoriteit. Nederland benadrukt echter ook te hechten aan sectorale bevoegdheden en dat zelfregulering en goede publiek-private samenwerking op EU-niveau mogelijk moeten zijn. Nederland onderschrijft het belang van de zorg- en meldplicht voor de vitale sectoren, maar dan via een gezamenlijk gedragen minimumlijst waarbij de overige aanwijzingen worden overgelaten aan de lidstaten zelf. Tevens is Nederland voorstander van de ontwikkeling van de standaarden en certificering voor informatiebeveiliging in nauwe samenwerking met de industrie. Enkele lidstaten vinden echter dat slechts met bindende, verplichtende maatregelen op EU-niveau de doelstelling van de richtlijn bereikt kan worden.
Verder wisselen de lidstaten van gedachten over de vraag of Europese ondernemingen of ondernemingen uit derde landen die actief zijn in de Europese Unie een hoger beveiligingsniveau moeten implementeren dan bedrijven uit andere delen van de wereld. De meeste lidstaten geven aan voorstander te zijn van een hoog EU-beveiligingsniveau; zelfs als dit hoger is dan in landen buiten de EU. Daarbij is het wel van belang dat er gelijktijdig met de ontwikkeling van beleid en standaarden een dialoog plaatsvindt met relevante actoren; ook die op mondiaal niveau. Nederland geeft aan dat een verschillende benadering door verschillende regio’s niet hoeft te leiden tot handelsbelemmeringen. Voor de digitale veiligheid is het van belang dat bedrijven tenminste aan de nationale opgelegde minimumeisen voldoen en dat hierover wederzijds inzicht komt.
In Raadsverband zal onder Litouws voorzitterschap verder over de richtlijn onderhandeld worden. De rapporteur van het Europees Parlement is de Duitse Europarlementariër Schwab. Het Europees Parlement zal naar verwachting zijn positie begin volgend jaar bepalen.
Tot slot
De onderhandelingen over de NIB-richtlijn zijn nog in een beginfase. De lidstaten hebben hun positie kenbaar kunnen maken. Inhoudelijke artikelsgewijze behandeling van de NIB-richtlijn moet nog plaatsvinden. Het is nog onduidelijk hoe lang de onderhandelingen zullen duren. De verwachting is dat de onderhandelingen in ieder geval dit jaar niet afgerond zullen worden.
Kamerstuk 21 501–33, nr. 427
4
De inbreng van Nederland is tot nu toe in lijn met de positie zoals die in het BNC-fiche over de NIB-richtlijn is verwoord. De Nederlandse positie komt op hoofdlijnen overeen met die van de meeste andere lidstaten.
In de verdere onderhandelingen zullen de aandachtspunten zoals door de Tweede Kamer meegegeven tijdens het AO behandelvoorbehoud van 24 april 2013 uitdrukkelijk worden meegenomen. In het bijzonder heeft de Tweede Kamer als aandachtspunten genoemd: privacy, gedelegeerde besluitvorming, regulering, meldplicht en kosten.
De volgende Telecomraad staat gepland voor 6 december 2013. Binnen een maand na deze Telecomraad zal de Tweede Kamer schriftelijk geïnformeerd worden over de voortgang van de onderhandelingen over de NIB-richtlijn.
De Minister van Veiligheid van Justitie, I.W. Opstelten