Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State d.d. 4 januari 2018 en het nader rapport d.d. 7 februari 2018, aangeboden aan de Koning door de Minister van Justitie en Veiligheid. Het advies van de Afdeling advisering van de Raad van State is cursief afgedrukt.
Bij Kabinetsmissive van 20 november 2017, no. 2017001997, heeft Uwe Majesteit, op voordracht van de Minister van Justitie en Veiligheid, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende regels ter implementatie van Richtlijn 2016/1148/EU (Cybersecuritywet), met memorie van toelichting.
De voorgestelde Cybersecuritywet (hierna: Csw) strekt ter uitvoering van richtlijn 2016/1148 over netwerk en informatiebeveiliging (hierna: Nib-richtlijn).2 De samenleving is in grote mate afhankelijk van elektronische informatiesystemen, die bovendien onderling verweven zijn. Om het economisch welzijn te bevorderen, is het van belang dat aanbieders van essentiële diensten en digitale dienstverleners maatregelen nemen om de kans op incidenten te minimaliseren en de impact van eventuele incidenten te mitigeren. De Nib-richtlijn ziet daarom op het brengen van eenheid en samenhang in het Europees beleid voor netwerk- en informatiebeveiliging, door het vergroten van de digitale paraatheid en het verkleinen van de gevolgen van cyberincidenten.
De Afdeling advisering van de Raad van State adviseert het voorstel aan de Tweede Kamer te zenden, maar acht aanpassing van het voorstel aangewezen wat de verstrekking van vertrouwelijke gegevens door Nederlandsche Bank N.V. (hierna: DNB) betreft.
Blijkens de mededeling van de Directeur van Uw kabinet van 20 november 2017, nr. 2017001997, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 4 januari 2018, nr. W16.17.0371/II, bied ik U hierbij aan.
Het wetsvoorstel wijst de DNB aan als bevoegde autoriteit in de zin van de Nib-richtlijn voor de sectoren bankwezen en infrastructuur voor financiële markten.3 Als bevoegde autoriteit is DNB verantwoordelijk voor het toezicht op de naleving van de Csw voor die sectoren. Uit de toelichting blijkt dat daartoe bij DNB een bijzonder (afgescheiden) organisatieonderdeel zal worden ingericht (hierna: DNB-Cybertoezicht). Andere organisatieonderdelen van DNB houden toezicht op naleving van de Wet op het financieel toezicht (Wft), samen met de Stichting Autoriteit Financiële Markten (AFM).4
Het wetsvoorstel wijzigt de Wft zodanig, dat de toezichthouders op de Wft gegevens die uit hoofde van de toezichtstaak worden verkregen kunnen delen met DNB-Cybertoezicht en de Minister van Justitie en Veiligheid (Minister van JenV).5 Het gaat daarbij om gegevens die dienstig zijn voor de uitoefening van de taken die de Minister van JenV of DNB-Cybertoezicht hebben op grond van de Csw.6
In de Csw zelf wordt voorgesteld dat DNB de bij haar beschikbare toezichtsinformatie kan delen met de Minister van JenV. Daarbij gaat het om informatie die verkregen is in het kader van zowel het toezicht op de Wft als op de Csw, en «dienstig is aan het bevorderen van maatregelen ter voorkoming of beperking van een verstoring van het maatschappelijk verkeer».7 Daarnaast regelt de Csw dat DNB onder omstandigheden incidenten openbaar kan maken als publieke bewustwording noodzakelijk wordt geacht.8 De Afdeling merkt hierover het volgende op.
In de Wft is een groot aantal richtlijnen en verordeningen geïmplementeerd. In die richtlijnen en verordeningen worden beperkingen gesteld aan de mogelijkheid om aan derden vertrouwelijke gegevens te verstrekken die toezichthouders bij het toezicht op de naleving van die richtlijnen en verordeningen hebben verkregen.9 De richtlijnen en verordeningen gaan uit van een gesloten systeem van publicatie van gegevens. Vertrouwelijke gegevens worden door de toezichthouder geheim gehouden, behalve in de in die regelingen met name genoemde uitzonderingsgevallen. In die gevallen mag de toezichthouder de vertrouwelijke informatie niet verdergaand of anders gebruiken, of daaraan verder of anders bekendheid geven, dan voor de uitvoering van zijn taak in het kader van het toezicht op de naleving van die verordeningen en richtlijnen is vereist. De richtlijnen bepalen voorts dat slechts geaggregeerde informatie openbaar mag worden gemaakt, waarbij die informatie niet tot individuele instellingen herleidbaar mag zijn.10
De Nib-richtlijn bepaalt dat informatie die «krachtens uniale en nationale voorschriften als vertrouwelijk worden beschouwd» uitsluitend met de Commissie en andere autoriteiten worden uitgewisseld, indien die uitwisseling noodzakelijk is voor de toepassing van de Nib-richtlijn. Dergelijke uitwisseling mag alleen indien die beperkt is tot hetgeen relevant is voor en evenredig is met het doel van de uitwisseling; de vertrouwelijkheid van de informatie wordt gewaarborgd, evenals veiligheids- en commerciële belangen.11
De Csw maakt informatiedeling door de financiële toezichthouders met onder andere de Minister van JenV mogelijk. Die informatiedeling kan ook betrekking hebben op gegevens die financiële toezichthouders verkrijgen bij de uitvoering van het financieel toezicht. Daarnaast kan DNB het publiek over incidenten informeren. Het wetsvoorstel sluit niet uit dat het hierbij gaat om informatie die op grond van de Wft vertrouwelijk is, bijvoorbeeld omdat zij herleidbaar is tot individuele financiële instellingen. Uit het wetsvoorstel blijkt niet dat de voorgestelde informatiedeling van financiële toezichthouders met de Csw-toezichthouder en het centraal contactpunt beperkt wordt tot uitsluitend dat wat «relevant is voor en evenredig is met het doel van die uitwisseling».12 Ook is niet bepaald dat daarbij de vertrouwelijkheid, evenals veiligheids- en commerciële belangen, gewaarborgd blijven.13
De Afdeling adviseert de artikelen 22 en 31 van het voorstel overeenkomstig het voorgaande aan te passen.
Onverminderd het voorgaande merkt de Afdeling het volgende op.
De hiervoor genoemde bepaling in de Csw en de voorgestelde wijziging van de Wft zien beide op het delen van informatie met de Minister van JenV. In zoverre regelt het wetsvoorstel in zowel de Wft als de Csw dezelfde materie. De wijziging van de Csw en de wijziging van Wft stroken echter niet geheel met elkaar. In de Wft wordt geregeld dat DNB informatie mag delen enkel voor zover dat «dienstig is voor de Minister bij diens uitvoering van de Csw». In de Csw wordt geregeld dat DNB informatie mag delen als dat «dienstig is voor de Minister bij het voorkomen of beperken van verstoring van het maatschappelijk verkeer». Niet wordt toegelicht waarom dit onderscheid is aangebracht, of op welke wijze DNB gelijktijdig uitvoering aan deze verschillende bepalingen dient te geven.
De Afdeling adviseert in de toelichting in te gaan op het vorenstaande en het wetsvoorstel zo nodig aan te passen.
De Afdeling advisering van de Raad van State heeft naar aanleiding van het wetsvoorstel enkele opmerkingen gemaakt over de verstrekking van vertrouwelijke gegevens door DNB aan de Minister van Justitie en Veiligheid. Het gaat daarbij om de deling van vertrouwelijke informatie die door DNB is verkregen in het kader van toezicht op de Wft. Bij nader inzien is het delen van deze informatie niet noodzakelijk. Zoals ook in paragraaf 6 van de memorie van toelichting is beschreven, heeft de Csw als doel om de operationele risico’s rondom cyberincidenten zo veel mogelijk te beperken. Voor dat doel kan worden volstaan met de informatie die in het kader van de Csw wordt verkregen door de Minister van Justitie en Veiligheid en DNB als bevoegde autoriteit.
Dit betekent dat de bepaling kan vervallen op grond waarvan DNB informatie op grond van de Wet op het financieel toezicht kan delen met de Minister van Justitie en Veiligheid. Voor DNB kan voor de informatie die zij verkrijgt op grond van de Csw hetzelfde vertrouwelijkheidsregime gelden als voor de overige bevoegde autoriteiten.
De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.
De redactionele opmerkingen zijn overgenomen, behalve de eerste. Op grond van artikel 16, elfde lid, van de NIB-richtlijn geldt hoofdstuk V van de richtlijn niet voor digitaledienstverleners (DSP’s) met maximaal 50 medewerkers of een omzet van maximaal 10 miljoen euro per jaar (kleine en micro-ondernemingen). Omdat in de Csw geen andere eisen aan DSP’s worden gesteld dan de eisen uit hoofdstuk V van de richtlijn (beveiligingseisen, meldplicht, uitvoering, handhaving, jurisdictie), is ervoor gekozen om de uitzondering voor kleine en micro-DSP’s te implementeren in de omschrijving van digitaledienstverlener in artikel 1 Csw.
De tweede opmerking heeft aanleiding gegeven om ook voor het wetsvoorstel Wet open overheid een samenloopbepaling op te nemen (artikel 33).
Van de gelegenheid is gebruik gemaakt om nog enkele andere wijzigingen aan te brengen:
a. In artikel 4, eerste lid, is de aanduiding van de bevoegde autoriteit voor de sector gezondheidszorg aangepast aan de portefeuilleverdeling binnen het Ministerie van Volksgezondheid, Welzijn en Sport.
b. In artikel 2 onder c wordt de Minister van Justitie en Veiligheid aangewezen als het «loket» voor de in artikel 20 van de NIB-richtlijn bedoelde vrijwillige meldingen van niet-meldplichtige incidenten. Deze aanwijzing in de wet zelf vervangt de voorheen in artikel 16 opgenomen delegatiebepaling. De reden van de delegatie was twijfel over de vraag of artikel 20 van de richtlijn toestaat dat de melding wordt behandeld door een andere instantie dan waar de melding binnenkomt. Bij nadere beschouwing heb ik er vertrouwen in dat de richtlijn niet in de weg staat aan zo’n «loket» voor niet-meldplichtige incidenten. Die loketfunctie is tot uitdrukking gebracht in een nieuw derde lid van artikel 16 Csw. In verband met deze nieuwe taak is ook aan artikel 3 een derde lid toegevoegd, en is het vierde lid van artikel 17 geschrapt.
c. In de artikelen 20, zesde lid, en 21, vijfde lid, is een onjuiste verwijzing gecorrigeerd.
d. Aan het wetsvoorstel is een wijziging toegevoegd van de Wet bekostiging financieel toezicht 2019 (Wbft 2019). Deze wijziging regelt dat het toezicht op de Csw niet valt onder de Wbft 2019, omdat dit toezicht wordt uitgevoerd in het kader van de centralebank-taak van DNB. Deze taak wordt onderscheiden van het toezicht dat DNB uitoefent op financiële instellingen, waarvan de kosten wel vallen onder de Wbft 2019.
e. In de memorie van toelichting zijn her en der verduidelijkingen en kleine correcties aangebracht.
De Afdeling advisering van de Raad van State geeft U in overweging het voorstel van wet te zenden aan de Tweede Kamer der Staten-Generaal, nadat met het vorenstaande rekening zal zijn gehouden.
De vice-president van de Raad van State,
J.P.H. Donner
Ik moge U verzoeken het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.
De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus
− Artikel 1, achtste gedachtestreepje wijzigen in:
– digitaledienstverlener: rechtspersoon die een digitale dienst aanbiedt en gelet op artikel 18, eerste en tweede lid, van de NIB-richtlijn onder de jurisdictie van Nederland valt;
− Artikel 20, tweede lid, onder c en artikel 21, tweede lid, onder c: voorzie in een samenloopbepaling voor het geval de Wet op de Inlichtingen en Veiligheidsdiensten 2017 (Stb. 2017, 317) later in werking treedt dan deze wet;
− In de transponeringstabel de richtlijnbepalingen (eerste kolom) uitsplitsen naar artikelleden en onderdelen daarvan.