Nr. 5 VERSLAG

Vastgesteld 16 juni 2021

De vaste commissie voor Economische Zaken en Klimaat, belast met het voorbereidend onderzoek van dit wetsvoorstel, heeft de eer als volgt verslag uit te brengen van haar bevindingen.

Onder het voorbehoud dat de regering op de gestelde vragen en de gemaakte opmerkingen tijdig en genoegzaam zal hebben geantwoord, acht de commissie de openbare beraadslaging over dit wetsvoorstel voldoende voorbereid.

I. ALGEMEEN

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel Uitvoeringswet cyberbeveiligingsverordening. Cyberveiligheid vereist gezien haar grensoverschrijdende karakter, naast een nationale aanpak, ook Europese inspanningen. Deze leden hebben nog enkele vragen over dit wetsvoorstel.

De leden van de D66-fractie hebben met interesse kennisgenomen van de Uitvoeringswet cyberbeveiligingsverordening en onderstrepen het belang van een geharmoniseerde certificatiesystematiek om de cyberbeveiliging in de Europese Unie te vergroten en versterken. Deze leden hebben nog enkele vragen.

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel. Zij hebben hierover verschillende vragen en opmerkingen.

De leden van de SP-fractie hebben kennisgenomen van het wetsvoorstel en hebben hierover nog enkele vragen.

De leden van de GroenLinks-fractie hebben met belangstelling kennisgenomen van het voorliggende wetsvoorstel. De coronacrisis heeft de reeds bestaande trend van snelle digitalisering nog verder aangezet en de voordelen van digitalisering eens te meer duidelijk gemaakt. Aan de andere kant brengt digitalisering ook kwetsbaarheden met zich mee. Het is van groot belang dat de cyberbeveiliging van digitale producten, diensten en processen goed op orde is.

De leden van de ChristenUnie-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel. Deze leden constateren dat dit wetsvoorstel tot doel heeft cyberbeveiliging op Europees niveau vast te stellen door middel van cyberbeveiligingscertificeringsregelingen. Zij onderschrijven dit doel. Zij hebben hierover nog wel enkele vragen.

1. De hoofdlijnen van de cyberbeveiligingsverordening

a) Reikwijdte

De leden van de VVD-fractie vinden het onduidelijk welke ICT-producten, -diensten en -processen gemoeid zijn met dit wetsvoorstel. Zij vragen de regering meer duidelijkheid te geven over welke producten en diensten dit wetsvoorstel beoogt te certificeren? Wat is hierin het aandeel van slimme apparaten?

De leden van de VVD-fractie vragen hoe het mandaat van het Europees Agentschap voor netwerk- en informatiebeveiliging (Enisa) zich verhoudt tot dat van het Computer Emergency Response Team for the EU Institutions, bodies and agencies (CERT-EU).

De leden van de VVD-fractie lezen in de memorie van toelichting dat de Europese Commissie bevoegd wordt om Europese cyberbeveiligingscertificeringsregelingen voor ICT-producten, -diensten en -processen vast te stellen. Op basis van welke indicatoren gaat de Europese Commissie deze regelingen vaststellen? Hoe zijn deze indicatoren tot stand gekomen?

De leden van de CDA-fractie lezen dat de cyberbeveiligingsverordening lidstaten vrijlaat om aanvullende maatregelen te nemen om het gebruik van de in beginsel voor de commerciële markt bedoelde gecertificeerde ICT-producten, -diensten en -processen in de voornoemde domeinen te beperken, te verbieden of hieraan aanvullende eisen te stellen. Zij vragen of de regering voornemens is dit te doen.

De leden van de SP-fractie lezen dat met de verordening de Europese Commissie bevoegd wordt om Europese cyberbeveiligingscertificeringsregelingen voor categorieën van ICT-producten, – diensten en processen vast te stellen. Zij vragen waar de behoefte voor deze soevereiniteitsoverdracht vandaan komt. Immers, de verordening heeft geen betrekking op bevoegdheden van lidstaten betreffende activiteiten inzake openbare beveiliging, defensie, nationale veiligheid en strafrecht aangezien deze thema’s onder de nationale competentie van lidstaten vallen. De leden vragen wat de verordening effectief zal betekenen in het bevorderen van cyberveiligheid, of dat zij met name de markt voor cyberveiligheidsproducten zal bevorderen?

De leden van de GroenLinks-fractie lezen in de memorie van toelichting dat de verordening voorziet in de harmonisatie van de vereisten die worden gesteld aan certificaten. Waarom is er niet gekozen voor harmonisatie van de certificaten zelf? Leidt de huidige opzet niet alsnog tot een grote proliferatie aan verschillende certificaten, waardoor eindgebruikers alsnog het overzicht verliezen? Leidt het bovendien niet ertoe dat bedrijven kunnen inzetten op certificatieshopping, waarbij ze certificaten aanvragen bij beoordelingsinstanties in lidstaten die makkelijker zijn in het afgeven van certificaten? Op welke manier wordt dit risico beperkt? Is het niet duidelijker en effectiever om tot een Europees certificaat te komen?

De leden van de GroenLinks-fractie vragen of het cyberbeveiligingscertificeringskader enkel toeziet op certificatieschema’s van lidstaten, of ook op schema’s die worden beheerd door particuliere organisaties.

De leden van de ChristenUnie-fractie lezen in de memorie van toelichting dat met dit wetsvoorstel wordt gestreefd naar een geharmoniseerd kader voor het ontwikkelen van certificeringsregelingen. Deze leden onderschrijven het belang van het voorkomen van fragmentatie van de Europese digitale interne markt. Toch lezen zij ook in het advies van de Afdeling advisering van de Raad van State dat verplichte certificering op Europees niveau mogelijk pas over enkele jaren wordt verwacht. De regering zal tot die tijd de markt stimuleren om gebruik te maken van de bestaande certificeringstrajecten. Deze leden vragen of er problemen kunnen ontstaan in de transitie van de bestaande nationale certificeringsregelingen naar de nog te verwachten Europese cyberbeveiligingscertificeringsregelingen die pas over enkele jaren verwacht worden. Deze leden vragen de regering hoe deze transitie vormgegeven wordt om het doel van voorkomen van fragmentatie van de Europese digitale interne markt te bewerkstelligen.

b) Nationale cyberbeveiligingscertificeringsautoriteit

De leden van de VVD-fractie stellen vragen over het feit dat binnen deze wet de mogelijkheid bestaat van conformiteitszelfbeoordeling waarbij een fabrikant of aanbieder zelf in plaats van een onafhankelijke instantie, bepaalt of er aan voorschriften van de certificeringsregeling is voldaan. Hoe beoordeelt de regering deze mogelijkheid in het kader van onafhankelijke toetsing en daarmee ook de doelmatigheid van dit wetsvoorstel?

De leden van de VVD-fractie vragen hoe en door welke instantie wordt bepaald welk zekerheidsniveau (basis, substantieel en hoog) geldt voor welk product, dienst of proces. Op basis van welke parameters wordt dit gedaan?

De leden van de VVD-fractie lezen dat de nationale autoriteit de mogelijkheid heeft om sancties op te leggen aan aanbieders en producenten wanneer zij hun verplichtingen niet nakomen. In hoeverre wordt bij het opleggen van deze sancties rekening gehouden met het zekerheidsniveau van de aangeboden producten/diensten/processen?

De leden van de VVD-fractie lezen verder dat de nationale autoriteit het mandaat krijgt om cyberbeveiligingscertificaten met zekerheidsniveau hoog weer in te trekken indien het certificaat niet blijkt te voldoen aan de voorliggende certificeringsregeling. Ligt er een bepaalde overweging ten grondslag aan de mogelijkheid om louter certificaten met zekerheidsniveau hoog in te trekken? Zo ja, welke analyse ligt hieronder? Welke (juridische) mogelijkheden hebben fabrikanten of aanbieders in het geval van intrekking van certificaten nog?

De leden van de CDA-fractie lezen in de memorie van toelichting dat de cyberbeveiligingsverordening stelt dat iedere lidstaat een (of meerdere) nationale cyberbeveiligingscertificeringsautoriteit(en) moet aanwijzen die met toezichthoudende taken wordt belast. Onder andere Cyberveilig Nederland merkt in reactie op het wetsvoorstel op dat de nationale autoriteit over voldoende personele middelen dient te beschikken. Deze leden vragen of dit op tijd gaat lukken, gelet op de schaarste aan ICT-personeel die dikwijls eerder hun weg vinden naar het bedrijfsleven in plaats van naar de overheid. Welke wervingsacties worden op dit terrein ondernomen? Waarom is er niet voor gekozen het Nationaal Cyber Security Centrum als nationale autoriteit aan te wijzen? Onderkent de regering dat het toezicht op cyberveiligheid nu heel gefragmenteerd is, terwijl er steeds vaker bevoegdheden/taken op dit terrein vanuit Europa geïmplementeerd zullen moeten worden, zonder dat er een echt geschikte toezichthouder is?

c) Europese cyberbeveiligingscertificeringsregelingen

De leden van de VVD-fractie constateren dat Enisa om de vijf jaar elke vastgestelde Europese cyberbeveiligingscertificeringsregeling evalueert. Op basis van welke analyse is deze termijn vastgesteld? Hoe verhoudt deze termijn zich tot de driejarige termijn van de Europese Commissie om bepaalde certificeringsregelingen verplicht te stellen? Ziet de regering ruimte om deze termijnen samen te brengen om verplichting logischer te laten volgen op evaluatie?

De leden van de VVD-fractie constateren tevens dat reeds bestaande nationale certificeringsregelingen voor ICT-producten, -diensten en -processen zal komen te vervallen en zal worden vervangen door Europese cyberbeveiligingscertificeringsregelingen. In hoeverre brengen de Europese regelingen een aanscherping aan op de nationale regeling?

De leden van de CDA-fractie lezen in de memorie van toelichting dat nationale cyberbeveiligingscertificeringsregelingen die hetzelfde onderwerp regelen als een Europese cyberbeveiligingscertificeringsregelingen vanaf een bij de certificeringsregeling vastgestelde datum zullen vervallen. Begrijpen deze leden correct dat op dit moment nog niet kan worden vastgesteld welke nationale cyberbeveiligingscertificeringsregelingen dit zijn?

De leden van de GroenLinks-fractie zijn van mening dat het, om vertrouwen en veiligheid in de digitale economie te borgen, een helder kader voor de certificering van digitale producten, diensten en processen essentieel is. Deze leden juichen dan ook toe dat de cyberbeveiligingsverordening werk maakt van verduidelijking en harmonisatie van dit kader. Zij vragen echter of de huidige opzet, gestoeld op vrijwillige certificering, ver genoeg gaat. Deze leden begrijpen dat een duidelijk kader voor vrijwillige certificering een marktdynamiek in gang kan zetten waarbij steeds meer fabrikanten hun producten vrijwillig laten certificeren. De ervaring leert echter dat er vaak een groep is die zich daar juist aan onttrekt, en wellicht een bewuste keuze maakt voor goedkopere, maar ook onveiligere producten, waar de eindgebruiker, en uiteindelijk de samenleving als geheel, de negatieve gevolgen van dragen. Waarom is er in de verordening niet gekozen voor een meer verplichtend karakter van cyberbeveiligingscertificering? Is de regering bereid om zich hiervoor in te spannen?

De leden van de GroenLinks-fractie vragen waarom de regering er met het wetsvoorstel voor heeft gekozen om geen gebruik te maken van de mogelijkheid onder artikel 56 om certificering verplicht te stellen.

De leden van de GroenLinks-fractie lezen dat bij de uitwerking van specifieke certificeringsregelingen nader ingegaan zal worden op de wijze waarop voorheen onopgemerkte kwetsbaarheden moeten worden aangepakt, door middel van passende regels inzake updates, hacks of patches. Klopt het dat de wijze waarop dat wordt gedaan niet verder wordt ingevuld en dat het daarmee mogelijk blijft dat een certificeringsregeling slechts lichte vereisten stelt op dit gebied? In hoeverre vormt dat een risico? Waarom zijn de minimumvereisten ten aanzien van de omgang met updates, hacks of patches niet opgenomen in de verordening, en in de uitvoeringswet daarvan, zelf?

d) Verstrekking van Europese cyberbeveiligingscertificaten en EU-confor-miteitsverklaringen

De leden van de D66-fractie horen graag of verwacht wordt dat een evaluatie om de vijf jaar op vastgestelde Europese cyberbeveiligingscertificeringsregeling, door ENISA, voldoende recht doet aan de snel veranderende sector waar de verordening op toeziet. Deze leden horen graag of de regels bij cyberbeveiligingscertificeringsregeling omtrent het beschikbaar stellen van updates universeel zullen zijn en welke termijnen momenteel hiertoe overwogen worden.

De leden van de CDA-fractie constateren dat de cyberbeveiligingscertificeringsregelingen de basis vormen van de uitgifte van de cyberbeveiligingscertificaten en Europese Unie-conformiteitsverklaringen. Deze uitgifte geschiedt nationaal, door ofwel een conformiteitsbeoordelingsinstantie (zekerheidsniveaus «basis» en «substantieel») ofwel de nationale cyberbeveiligingscertificeringsautoriteit (zekerheidsniveau «hoog»). Kan de regering deze verschillende zekerheidsniveaus met voorbeelden toelichten?

De leden van de SP-fractie vragen in welke mate lidstaten kiezen voor het laten verstrekken van nationale cyberbeveiligingscertificaten voor zekerheidsniveau hoog door de nationale cyberbeveiligingscertificeringsautoriteit dan wel door een conformiteitsbeoordelingsinstantie. Welke gevolgen heeft het gebruik van verschillende regimes voor de wederzijdse erkenning?

De leden van de GroenLinks-fractie lezen dat de verordening ruimte biedt voor conformiteitszelfbeoordelingen door fabrikanten waar het gaat om ICT-producten, -diensten en -processen met een laag risico. Waarom is deze mogelijkheid geboden, zo vragen deze leden? Erkent de regering dat de gevolgen van een cybersecurity incident rond een product met laag risico alsnog serieus kunnen zijn? Wat zijn de risico’s van de mogelijkheid tot zelfbeoordeling, en op welke wijze worden die gemitigeerd?

e) Conformiteitsbeoordelingsinstanties

De leden van de CDA-fractie lezen in een bijlage bij de cyberbeveiligingsverordening de vereisten waaraan een conformiteitsbeoordelingsinstantie moet voldoen om te worden geaccrediteerd om Europese cyberbeveiligingscertificaten te kunnen verstrekken. Hoeveel van deze instanties zijn er momenteel in Nederland?

De leden van de SP-fractie vragen welke belangen conformiteitsbeoordelingsinstanties hebben bij het verstrekken van cyberbeveiligingscertificaten.

f) Fabrikanten/aanbieders

De leden van de CDA-fractie lezen in de memorie van toelichting dat fabrikanten of aanbieders van ICT-producten, -diensten of -processen middels de cyberbeveiligingsverordening worden aangespoord om beveiligingsmaatregelen te nemen. De cyberbeveiligingsverordening gaat in eerste instantie uit van certificering op basis van vrijwilligheid, met een eigen keuze voor bedrijven om ervoor te kiezen hun ICT-producten, -diensten en -processen te laten certificeren. Kan de regering ingaan op de keuze voor vrijwillige in plaats van voor verplichtende certificering? Welke criteria liggen hieraan ten grondslag? Wat wordt gedaan wanneer te weinig bedrijven zich certificeren, en op welk moment?

2. Hoofdlijnen van het wetsvoorstel

De leden van de CDA-fractie vragen op welke datum de cyberbeveiligingsverordening moet zijn geïmplementeerd in nationale wetgeving en of de verwachting is dat zowel Nederland als andere lidstaten deze deadline zullen halen.

De leden van de CDA-fractie vragen de regering of zij de overeenkomsten en verschillen met de huidige CE-markering kan schetsen. Deze leden vragen tevens of de regering kan aangeven hoe de cyberbeveiligingscertificering in de Verenigde Staten is georganiseerd. Zijn er parallellen met wat nu in Europa wordt voorgesteld?

a) Nationale cyberbeveiligingscertificeringsautoriteit

De leden van de VVD-fractie achten het positief dat het Agentschap Telecom (AT) wordt aangewezen als nationale autoriteit van deze cyberbeveiligingsverordening gezien de geruime ervaring op het gebied van toezichthoudende werkzaamheden op het digitale domein. Echter, deze leden willen benadrukken dat het beleggen van deze taken bij de Agentschap Telecom een zekere mate van capaciteit vereist en dat andere, huidige taken niet in het geding mogen komen. Hoeveel fulltime equivalent (FTE) gaat de taak van nationale autoriteit naar uw inschatting vereisen? Beschikt het Agentschap Telecom over deze capaciteit?

De leden van de CDA-fractie constateren dat volgens het wetsvoorstel de uitvoering van de taken van de Nationale cyberbeveiligingscertificeringsautoriteit berust bij het Agentschap Telecom. Het AT is in het digitale domein zowel uitvoerder als toezichthouder. Kan de regering de keuze voor het AT als uitvoerder nog eens beargumenteren? Vindt zij dit naast de meest effectieve/efficiënte ook de meeste wenselijke oplossing? Heeft het AT thans voldoende slagkracht om deze extra taken erbij te kunnen nemen? Indien niet, wat heeft het AT nodig om zowel haar nieuwe als bestaande taken optimaal te kunnen doen?

De leden van de GroenLinks-fractie begrijpen de keuze voor het AT als de Nederlandse uitvoerder van de taken die vallen onder de nationale cyberbeveiligingscertificeringsautoriteit. Wat betekent deze uitbreiding van het takenpakket voor de benodigde capaciteit bij het Agentschap Telecom? Ook vragen deze leden op welke wijze de relevante instanties die onder de Minister van Justitie & Veiligheid vallen, zoals het Nationale Cybersecurity Centrum (NCSC), betrokken worden bij de uitvoering van deze taken?

b) Conformiteitsbeoordelingsinstantie en accreditatie

De leden van de CDA-fractie lezen in de memorie van toelichting dat fabrikanten en aanbieders gevestigd in andere lidstaten en derde landen een conformiteitsbeoordeling kunnen laten uitvoeren in Nederland. Geldt dit ook andersom, of zijn er ook (derde) landen waar een conformiteitsbeoordeling voor Nederlandse fabrikanten en aanbieders niet mogelijk is (wederkerigheid)?

De leden van de CDA-fractie constateren dat Nederlandse conformiteitsbeoordelingsinstanties in Nederland geaccrediteerd moeten te zijn. Dienen zij ook uit Nederland afkomstig te zijn, of is het mogelijk dat een buitenlandse organisatie uit bijvoorbeeld China een accreditatie krijgt om in Nederland conformiteitsbeoordelingen te doen?

c) Verstrekking van Europese cyberbeveiligingscertificaten met zeker-heidsniveau hoog: het nationale stelsel

De leden van de VVD-fractie lezen in de memorie van toelichting dat deelname van fabrikanten en aanbieders aan de cyberbeveiligingscertiferingsregelingen vooralsnog vrijwillig is. Dit overwegende, hoe beoordeelt de regering deze mate van vrijwilligheid in het licht van de doelmatigheid van deze wet? Hoe beoordeelt de regering vrijwilligheid bij certificering van producten met een hoog zekerheidsniveau? Deelt de regering de mening dat een verplichtend karakter verstandig kan zijn bij certificering van producten met hoge zekerheidsniveaus in verband met de grote maatschappelijke en economische risico’s die verbonden zijn aan deze categorie?

De leden van de CDA-fractie constateren dat de regering met dit wetsvoorstel kiest voor een goedkeuringsmodel, met voorafgaande goedkeuring door de nationale autoriteit, waarbij zowel de markt als de nationale autoriteit actief betrokken zijn bij de conformiteitsbeoordeling. Dit om efficiënt te kunnen inspelen op behoeftes van fabrikanten en leveranciers en wegens hun deskundigheid enerzijds en vanuit kostenoogpunt anderzijds. Zitten hier ook risico’s aan, bijvoorbeeld in situaties wanneer de druk op overheidsbudgetten groot is?

De leden van de CDA-fractie constateren dat een certificatietraject voor zekerheidsniveau «hoog» doorgaans een langdurig en kostbaar traject is, waarbij aanzienlijke investeringen van de opdrachtgevers worden gevraagd. Hierom is gekozen voor een goedkeuringsmodel, met een hoge mate van zekerheid en voorspelbaarheid, bedoeld om onnodige kosten te beperken. Wordt de keuze voor dit model door opdrachtgevers en andere stakeholders gesteund?

De leden van de CDA-fractie lezen in de memorie van toelichting de schets van de goedkeuringsprocedure, die zal worden opgedeeld in meerdere stappen. De conformiteitsbeoordelingsinstantie doet melding bij de nationale autoriteit dat een certificeringstraject wordt gestart, legt het onderzoeksplan ter goedkeuring voor aan de nationale autoriteit, legt het onderzoeksrapport en het bijhorende Europese cyberbeveiligingscertificaat dat de conformiteitsbeoordelingsinstantie voornemens is af te geven ter goedkeuring voor aan de nationale autoriteit en geeft het Europese cyberbeveiligingscertificaat af na goedkeuring door de nationale autoriteit.

De leden van de CDA-fractie vragen of met deze procedure/dit model/deze werkwijze geoefend of ervaring opgedaan is. Indien ja, wat waren de uitkomsten daarvan? Waren alle stakeholders hierbij betrokken?

De leden van de CDA-fractie vragen of de regering kan aangeven wat de (maximale) termijnen/doorlooptijden zijn voor eerdergenoemde stappen, zodat een beeld kan worden gevormd van hoe lang een certificeringstraject kan duren. Verwacht de regering dat een lang en kostbaar certificeringstraject opdrachtgevers kan afschrikken om aan vrijwillige certificering mee te doen, waardoor zowel de verordening als het wetsvoorstel hun doel voorbijschieten?

De leden van de CDA-fractie constateren dat de nationale autoriteit ten behoeve van haar besluitvorming advies kan vragen van andere (overheids-)organisaties, zoals de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). Dit advies is echter niet-bindend van aard. Waarom is hiervoor gekozen? Acht de regering het voorstelbaar dat de nationale autoriteit een advies van de AIVD naast haar neerlegt? In welke situaties? Zou dit geen veiligheidsrisico’s met zich meebrengen?

De leden van de CDA-fractie lezen in de memorie van toelichting dat gegevens die de nationale autoriteit in het kader van het goedkeuringsproces en het uitoefenen van een beperkt aantal toezichthoudende taken verkrijgt voor zekerheidsniveau «hoog» uitgezonderd zijn van de toepassing van de Wet openbaarheid van bestuur, ter bescherming van de openbare veiligheid en de concurrentiepositie van bedrijven. Dit lijkt deze leden goed en belangrijk.

De leden van de CDA-fractie lezen verder dat de Wet openbaarheid van bestuur wel van toepassing is op de uitoefening van alle overige toezichthoudende taken met betrekking tot cyberbeveiligingscertificaten met zekerheidsniveau «hoog» (artikelen 58, zevende lid, onderdelen b, c, d, e, f, g en i van de cyberbeveiligingsverordening) op alle toezichthoudende taken inzake cyberbeveiligingscertificaten met zekerheidsniveaus «basis» en «substantieel». Brengt dit nog risico’s met zich mee?

De leden van de SP-fractie lezen dat in de memorie van toelichting wordt gesteld dat Nederland goede ervaringen heeft met modellen waarbij de markt wordt ingezet. Kan worden toegelicht welke modellen dit zijn?

3. Regeldruk

De leden van de VVD-fractie lezen met verbazing dat de extra regeldruk voor bedrijven «iets anders ligt» dan voor burgers. Deze leden behoeven meer toelichting van de regering wanneer het gaat om de extra kosten en uren die hiermee gemoeid zijn voor (kleine) ondernemers. Vanzelfsprekend zijn deze leden zich bewust van de noodzaak om strengere eisen te stellen aan de producten/diensten en processen van vitale aanbieders. Deze leden vragen in hoeverre het wenselijk is dat ondernemers in het midden- en kleinbedrijf te maken krijgen met dezelfde regeldruk als grote vitale aanbieders in het geval van eventuele verplichting. Hoe beoordeelt de regering de proportionaliteit van het voorliggende wetsvoorstel in het licht van de verplichtingen die hiervoor worden aangegaan door kleine ondernemers ten opzichte van de grootte en functie van deze bedrijven? Is de regering bereid om meer inzicht te geven in de eventuele extra regeldruk voor bedrijven en specifiek kleine ondernemers?

De leden van de CDA-fractie lezen in de memorie van toelichting dat momenteel nog niet duidelijk is hoeveel Europese cyberbeveiligingscertificeringsregelingen er zullen komen, op welke ICT-producten, -processen, of -diensten deze cyberbeveiligingscertificeringsregelingen betrekking zullen hebben, hoe deze regelingen eruit zullen zien en hoeveel er gebruik van zal worden gemaakt. Deze leden merken op dat het ontbreken van deze informatie het lastig maakt om de volledige (regeldruk)effecten van dit wetsvoorstel te overzien. Wanneer denkt de regering dat hierover meer bekend is?

De leden van de ChristenUnie-fractie vragen wat de nog te verwachten Europese cyberbeveiligingscertificeringsregelingen voor invloed zullen hebben op de regeldruk en kosten voor bedrijven die ICT-producten, -diensten en -processen laten certificeren. Is er een mogelijkheid voor toezicht op of evaluatie van de regeldruk en kosten die de nog te verwachten Europese cyberbeveiligingscertificeringsregelingen mogelijk met zich meebrengen? Is hier bijvoorbeeld een rol voor de nationale cyberbeveiligingscertificeringsautoriteit weggelegd?

a) Aanbieders

De leden van de CDA-fractie lezen in de memorie van toelichting dat er een opwaartse ontwikkeling zichtbaar is van het aantal certificeringen dat in Nederland wordt uitgevoerd. Kan de regering dit kwantificeren?

De leden van de CDA-fractie constateren dat de kosten per certificering sterk kunnen verschillen en zijn afhankelijk van de eisen die een cyberbeveiligingscertificeringsregeling bevat per zekerheidsniveau, de complexiteit van een product, dienst of het proces dat wordt gecertificeerd, de aard van het product, dienst of proces dat moet worden gecertificeerd en de geldigheidsduur van een certificaat. Deze leden vragen of de ontwikkeling van deze kosten zal worden gemonitord.

b) Conformiteitsbeoordelingsinstanties

De leden van de CDA-fractie lezen in de memorie van toelichting dat de totale extra last voor een conformiteitsbeoordelingsinstantie wordt dan bij certificeringen op zekerheidsniveau «hoog» op 270 euro worden geschat. Het is een keuze van de conformiteitsbeoordelingsinstantie om deze kosten aan de aanbieder door te berekenen. Is de verwachting dat veel conformiteitsbeoordelingsinstanties dit zullen doen?

4. Advies en consultatie

4.1. Internetconsultatie

De leden van de D66-fractie horen graag een nadere toelichting waarom er niet voor gekozen wordt om de omgang met updates of hacks vast te leggen in het wetsvoorstel, zoals voorgesteld wordt door zowel de Afdeling advisering van de Raad van State als verschillende inbrengen geleverd bij de internetconsultatie. Waarom zou het wenselijker zijn om dit middels en ministeriële regeling vast te leggen?

De leden van de CDA-fractie merken op dat twee organisaties in hun advies hebben gesteld dat de beslistermijnen van de goedkeuringsprocedure tot onnodige vertraging zullen leiden, met een mogelijk negatieve marktwerking in Nederland tot gevolg. De Algemene wet bestuursrecht (Awb) stelt dat een besluit binnen een redelijke termijn van maximaal acht weken genomen dient te worden. Het uitganspunt van de regering is dat de besluitvormingsprocessen binnen de autoriteit niet tot onnodige vertraging zullen gaan leiden en waar mogelijk gewerkt zal worden met standaardprocedures. Worden de doorlooptijden gemonitord?

4.2. Advies van het Adviescollege Toetsing Regeldruk

De leden van de CDA-fractie merken op dat het Adviescollege Toetsing Regeldruk (ATR) adviseert om aan de hand van scenario’s een indicatie van de totale regeldrukgevolgen in kaart te brengen van verplichte certificering van ICT-producten, -diensten en -processen. Dit is nu niet mogelijk, omdat veel relevante informatie nog niet bekend is. Is de regering voornemens in een later stadium alsnog het advies van het ATR op te volgen?

4.3. Uitvoering- en handhaafbaarheidstoets van Agentschap Telecom

De leden van de CDA-fractie merken op dat het AT adviseert om in het wetsvoorstel een grondslag op te nemen voor verplichte certificering op nationaal niveau, op grond waarvan het agentschap adequaat kan ingrijpen op «zich in de praktijk snel en onverwacht manifesterende cyberrisico’s». De regering neemt dit advies niet over, omdat het voorstander is van certificering op Europees niveau. Hoe denkt de regering op andere wijze aan de zorgen van het AT tegemoet te kunnen komen, daar het AT zelf schrijft dat «de bestaande bevoegdheden van het agentschap ontoereikend zijn om bij bepaalde risico’s te kunnen ingrijpen»?

De leden van de ChristenUnie-fractie lezen in de memorie van toelichting dat wanneer een cyberbeveiligingscertificaat niet voldoet aan de Europese voorschriften, de cyberbeveiligingscertificeringsautoriteit kan ingrijpen. Als een ICT-product, -dienst of -proces niet voldoet aan de cyberbeveiligingsverordening kan echter niet worden ingegrepen door de nationale cyberbeveiligingscertificeringsautoriteit. Betekent dit dat wanneer een ICT-product, -dienst of -proces zonder certificaat wordt gebruikt er geen toezicht is op correcte cyberbeveiliging van het product, de dienst of het proces?

Deze leden vragen bij wie de verantwoordelijkheid ligt van correcte cyberbeveiligingscertificering van ICT-producten, -diensten of -processen en eventuele gevolgen van incorrecte certificering voor de cyberbeveiliging.

De fungerend voorzitter van de commissie, Azarkan

De adjunct-griffier van de commissie, Reinders