Meer documenten
Disclaimer: deze transcriptie is geautomatiseerd omgezet vanuit audio en dus geen officieel verslag. Om de transcripties verder te verbeteren wordt constant gewerkt aan optimalisatie van de techniek en het intrainen van namen, afkortingen en termen. Suggesties hiervoor kunnen worden gemaild naar info@1848.nl.
Wet weerbaarheid kritieke entiteiten (36765) en Cyberbeveiligingswet (36764)
[0:00:00] We hebben een drukke ochtend met twee wetten die we bespreken.
[0:00:03] De wet weerbaarheid, kritieke entiteiten en de cyberveiligingswet.
[0:00:08] De heer van den Berg naast mij die heeft super fancy boekjes die hij nog uit gaat delen.
[0:00:15] Hij laat het nu even zien.
[0:00:18] Ik wil even nog als bijsluiter geven voor straks bij de tweede termijn, omdat wij twee wetten in één keer bespreken, is het handig als u moties indient dat u even goed aangeeft, dat is voor de gegeven heel handig, bij welke wet de motie hoort.
[0:00:32] Dat even gezegd hebben.
[0:00:34] Dan beginnen we bij de heer Vermeer.
[0:00:36] Want helaas, ik weet het, die rent zich rot in dit gebouw van de bad naar de bad.
[0:00:41] Dus die moet helaas zo vertrekken.
[0:00:42] Dus daarom als eerste graag het woord aan de heer Vermeer van de fractie van BBB.
[0:00:48] En uiteraard van harte welkom aan de minister ook.
[0:00:53] Ja, dank u wel, voorzitter, en heel hartelijk dank dat u mij toestaat aan de voorkant te spreken, zodat ik straks op een nette manier hier weer kan vertrekken.
[0:01:05] Voorzitter, eind april 2025, rond twee uur middags, werd het plotseling stil in twintig Nederlandse stadhuizen en provinciehuizen.
[0:01:14] En niet omdat ambtenaren massaal aan de lunch zaten, maar omdat hun digitale voordeur met brute kracht werd ingeramd.
[0:01:22] Websites van gemeenten en provincies gingen plat door DDoS-aanvallen van de pro-Russische hackersgroep Noname.
[0:01:29] Dit lijkt misschien een technisch incident, maar het is in werkelijkheid een politiek signaal.
[0:01:34] En een signaal dat laat zien in welke wereld deze cyberbeveiligingswet landt.
[0:01:41] Een wereld waarin digitale ontwrichting geen uitzondering meer is, maar een dagelijks instrument in wat we inmiddels hybride oorlogsvoering noemen.
[0:01:51] En we moeten daar eerlijk over zijn.
[0:01:53] Cyberaanvallen zijn niet langer alleen het werk van criminelen die geld willen verdienen.
[0:01:59] Steeds vaker zijn het geopolitieke instrumenten gericht op onze democratische instituties, onze economie en het vertrouwen van burgers in de overheid.
[0:02:10] En wanneer lokale overheden die het dichtst bij de burgers staan doelwit worden, dan raakt dat ook direct het vertrouwen in onze publieke sector.
[0:02:19] Voorzitter, onze soevereiniteit staat steeds vaker onder druk in het digitale domein.
[0:02:24] En die constatering is niet overdreven.
[0:02:27] Zeker nu de internationale verhoudingen veranderen en de geopolitieke rugdekking, waarop Europa lange tijd kon rekenen, minder vanzelfsprekend lijkt.
[0:02:37] En dat betekent dat Nederland zijn eigen digitale weerbaarheid op orde moet hebben.
[0:02:41] We moeten onze digitale ophaalbruggen kunnen optrekken wanneer dat nodig is.
[0:02:46] Voorzitter, en in dat licht begrijpt BBB heel goed waarom deze cyberbeveiligingswet er ligt.
[0:02:53] Met deze wet implementeren wij de Europese cyberbeveiligingsregels uit de NIS2-richtlijn.
[0:03:01] En het doel is het verhogen van de digitale weerbaarheid van vitale en belangrijke organisaties en dat onderschrijven wij.
[0:03:10] Maar tegelijkertijd zien we ook een patroon dat we vaker zien bij Europese implementatie.
[0:03:15] Nederland wil weer het braafste jongetje van de klas zijn.
[0:03:19] Bovenop de Europese verplichtingen worden nationale koppen gezet.
[0:03:23] Regels worden zwaarder, breder of ingewikkelder dan strikt noodzakelijk is.
[0:03:29] En dat roept vragen op, zeker omdat het adviescollege Toetsing Regeldruk bij deze wet een kritisch, zelfs negatief advies heeft gegeven over de regeldruk.
[0:03:39] En de vraag aan de staatssecretaris is dan ook simpel, of in dit geval de minister, sorry.
[0:03:44] Waarom kiest het kabinet ervoor om ondanks dat negatieve advies toch door te zetten zonder eerst de uitvoerbaarheid volledig inzichtelijk te maken?
[0:03:54] Voorzitter, voor al onze mede-overheden, provincies, gemeenten en waterschappen maken zich grote zorgen.
[0:04:01] Zij zijn niet alleen immers de uitvoerders van beleid, maar worden met deze wet zelf ook onder toezicht geplaatst.
[0:04:09] Organisaties zoals het Interprovinciaal Overleg en de Vereniging van Nederlandse Gemeenten waarschuwen al langere tijd dat de impact van deze wet aanzienlijk zal zijn, zowel financieel als organisatorisch.
[0:04:23] En toch lezen wij in de stukken dat de kosten voor de centrale overheden nog in kaart moeten worden gebracht, conform de Financiële Verhoudingswet.
[0:04:31] En dat baart mijn fractie zorgen.
[0:04:34] Daarom een aantal concrete vragen aan de minister.
[0:04:37] Waarom is er nog geen volledige uitvoerbaarheidstoets decentrale overheden, zogenaamde UDO, afgerond en gedeeld met de Kamer?
[0:04:45] Wanneer kan de Kamer die toets verwachten?
[0:04:48] En kan de minister toezeggen dat de wet pas volledig in werking treedt wanneer duidelijk is dat provincies en gemeenten de uitvoering daadwerkelijk aankunnen?
[0:04:57] En daarna speelt natuurlijk de financiële kant, want we kennen allemaal het principe, wie beleid maakt betaalt ook voor de uitvoering.
[0:05:04] Oftewel, knaken moeten taken volgen.
[0:05:07] Toch blijft het op dit punt stil.
[0:05:09] En is de minister bereid expliciet te garanderen dat provincies en gemeentes niet zelf voor de kosten van deze nieuwe verplichtingen opdraaien?
[0:05:18] En komt er structurele financiering vanuit het Rijk voor de extra cyberbeveiligingstaken die deze wet oplegt?
[0:05:25] En kan zij inzicht geven in de orde van grootte van de kosten waar we hierover spreken?
[0:05:30] Voorzitter, dan de waterschappen.
[0:05:32] Voor de BBB zijn onze waterschappen een cruciale bestuurslaag.
[0:05:36] Zij zorgen er dagelijks voor dat Nederland droog blijft, dat we schoon drinkwater hebben en dat onze landbouw kan functioneren.
[0:05:43] En in deze wet worden de waterschappen aangemerkt als essentiële entiteiten.
[0:05:48] En dat begrijpen wij, want drinkwater en waterveiligheid zijn vitale infrastructuur.
[0:05:53] Maar ook hier gaat het kabinet verder dan de Europese richtlijn.
[0:05:57] Ook het keren en beheren van waterkwantiteit wordt onder de wet gebracht.
[0:06:01] En dat is niet verplicht volgens de Europese regels.
[0:06:05] Met andere woorden, opnieuw zien we een nationale kop.
[0:06:08] Daarom hebben wij de volgende vragen.
[0:06:10] Waarom kiest de regering ervoor om verder te gaan dan de Europese richtlijn voorschrijft?
[0:06:14] Welke concrete risicoanalyse rechtvaardigt deze uitbreiding?
[0:06:18] En heeft het kabinet de signalen van de waterschappen serieus genomen dat juist de uitvoeringslast van het cyberbeveiligingsbesluit voor hen groot kan worden?
[0:06:28] Met andere woorden, voegen we hier daadwerkelijk veiligheid toe of vooral administratieve lasten?
[0:06:35] Voorzitter, een ander punt van zorg ligt in de voedselketen.
[0:06:38] Voor BBB is dat uiteraard een essentieel onderwerp.
[0:06:41] De wet Weerbaarheid Kritieke Entiteiten, oftewel WWKE, is een mondvol iets wat in de kern heel simpel zou moeten zijn.
[0:06:50] Hoe beschermen we de zaken die ons land draaiende houden?
[0:06:54] Het BBB vindt het dan ook een goede zaak dat de WWKE de sector productie, verwerking en distributie van levensmiddelen eindelijk bestempelt als kritiek en als een sector van maatschappelijk belang.
[0:07:06] Het is de erkenning waar BBB al jaren voor pleit, want zonder boeren, zonder voedselproductie, zonder transport staat Nederland stil.
[0:07:16] Een land dat zijn eigen voedselketen niet op orde heeft, is chanteerbaar en kwetsbaar.
[0:07:21] Die erkenning is terecht, maar voorzitter, erkenning alleen is niet genoeg, want wat hier dreigt is een fundamentele tegenstrijdigheid in beleid.
[0:07:30] Want wat hier gebeurt is eigenlijk niet uit te leggen aan de mensen.
[0:07:34] Aan de ene kant bestempelen we de landbouw en voedselketen als kritiek, als onmisbaar voor onze nationale veiligheid en weerbaarheid, maar aan de andere kant stapelen we regels, verplichtingen en beperkingen op.
[0:07:45] Stikstofbeleid, geluidsnormen, geurnormen, vergunningen die op slot zitten.
[0:07:50] Hierdoor krijgt juist diezelfde sector het steeds moeilijker om te blijven bestaan.
[0:07:54] Voorzitter, dat is geen consistent beleid.
[0:07:57] Dat is beleid dat zichzelf tegenspreekt.
[0:07:59] Bijvoorbeeld bij Mercosur.
[0:08:01] Hier zie je dat we de productie willen beschermen, maar we zetten wel de deur open voor producten tegen veel lagere standaarden uit Zuid-Amerika.
[0:08:10] En wat doet dit kabinet?
[0:08:12] Het zegt tegen onze boeren jullie zijn cruciaal en tegelijkertijd maakt dit kabinet het zo bijna onmogelijk om hun werk nog te doen.
[0:08:19] Dan dringt zich de fundamentele vraag op.
[0:08:22] Voorzitter meent dit kabinet nou echt het nou echt als ze zegt dat de voedselketen kritiek is of is dat alleen een mooi label terwijl het beleid in werkelijkheid gericht is op het steeds verder inperken en uit het land jagen van diezelfde sector.
[0:08:37] Wat gaat het kabinet hier aan doen?
[0:08:39] Graag een reflectie van de minister hierop.
[0:08:41] En geen verwijzing naar ontijdigheid of andere ministers aanwezig.
[0:08:46] Want voorzitter, als iets echt van levensbelang is voor je land, dan ga je het beschermen, versterken en ondersteunen.
[0:08:53] Niet uitknijpen met steeds nieuwe regels.
[0:08:56] Voorzitter, BBB kiest duidelijk, wie cruciaal is voor Nederland, die geeft je ruimte.
[0:09:01] En juist daar brengt het, voorzitter, want als we kijken naar de praktijk, dan zien we iets anders gebeuren.
[0:09:07] De wet legt verantwoordelijkheden bij grote bedrijven, maar die schuiven hun verplichtingen weer door naar hun leveranciers.
[0:09:14] En wie zijn dat?
[0:09:15] Bijvoorbeeld bij Voedselveiligheid en Voedselzekerheid de boeren, tuiners, transporteurs, MKB'ers.
[0:09:22] En dit zijn ondernemers die vaak niet eens onder deze wet vallen, maar wel geconfronteerd worden met eisen rond cyberveiligheid, certificering en rapportages.
[0:09:31] Eisen waarvoor zij niet de middelen, kennis of schaal hebben.
[0:09:34] En voorzitter, dat hebben we al eerder genoemd in diverse debatten, ook over rapportages rond duurzaamheid.
[0:09:40] Er kan wel een uitzondering komen voor bedrijven onder de 250 medewerkers, maar zoals ketenverantwoordelijkheid werkt en ketensystemen werken, vallen automatisch MKB-bedrijven daar ook onder, want zij moeten juist die informatie aanleveren die die grote bedrijven moeten factureren, wou ik zeggen, maar rapporteren.
[0:09:59] Factureren, dat doen ze zelf wel, daar maak ik me geen zorgen over.
[0:10:03] Voorzitter, zo wordt weerbaarheid in de praktijk een papieren werkelijkheid die vooral druk ligt op de schouders van de kleinste schakels in de keten en dat terwijl juist die schakels essentieel zijn.
[0:10:14] Zonder boer geen voedsel, zonder mkb geen keten en zonder keten geen zekerheid.
[0:10:19] Hoe voorkomt de minister dat grote ketenpartners hun verantwoordelijkheden simpelweg afwendelen op kleine ondernemers?
[0:10:27] en komt uit duidelijkheid over wat wel en niet redelijk is om van leveranciers te eisen.
[0:10:32] En wordt, zoals het ATR, het Adviescollegie Regeldruk, adviseert een volwaardige MKB-toets uitgevoerd, zodat de gevolgen voor kleine ondernemers vooraf inzichtelijk zijn.
[0:10:44] Voorzitter, als we de voedselketen echt als kritiek beschouwen, moeten we die ook beschermen.
[0:10:48] Niet alleen tegen cyberdreigingen, maar vooral tegen beleid dat haar van binnenuit onder druk zet.
[0:10:54] Voorzitter, dan het toezicht.
[0:10:57] Voordat u naar toezicht gaat, u heeft een interruptie van mevrouw Swinkels van het CDA.
[0:11:02] Ja, dank voorzitter.
[0:11:03] Ja, ik begrijp het punt van de heer Vermeer als het gaat om het papierwerk wat druk kan leggen op het MKB, maar tegelijkertijd in die waardeketens die de heer Vermeer beschrijft, zie je juist ook dat die kleinere bedrijven enorm kunnen meeliften op de cyberbeveiligingsmaatregelen van die grotere bedrijven en dat ze elkaar dus ook kunnen versterken en daarop kunnen samenwerken.
[0:11:24] Deelt de heer Vermeer dat met mij en kunnen we dan op die manier dan het ook als een hele grote kans zien?
[0:11:29] De heer Vermeer.
[0:11:31] Voorzitter, ik zie dat nog totaal niet voor me, dus als mevrouw Swinkels een voorbeeld zou willen noemen hoe ze daarvan kunnen profiteren, dan hoor ik dat graag, maar het is niet de bedoeling volgens mij om weer vragen terug te gaan stellen, dus dat vind ik wat ingewikkeld.
[0:11:46] Nee, dat is niet de bedoeling.
[0:11:47] Het is wel, we gaan mevrouw Swinkels als ze nog een interruptie wil plaatsen, maar ze heeft ook zo haar inbreng, dus misschien komt ze dan op terug, maar ik kijk even naar mevrouw Swinkels of ze nog een interruptie heeft, ja.
[0:11:56] Nou ja, ik denk dat er voldoende bedrijven zijn.
[0:12:00] Ik ben ook bij een paar bedrijven op werkbezoek geweest waar dit aan de orde is.
[0:12:04] Dat echt grote bedrijven hun leveranciers juist betrekken bij het beleid op cybersecurity.
[0:12:10] Dus ik hoop dat de heer Vermeer net als mij die kansen ziet.
[0:12:15] En verder kom ik inderdaad op mijn eigen inbreng daar verderop in.
[0:12:18] De heer Vermeer.
[0:12:20] Ja, voorzitter, ik denk zeker dat grote bedrijven, kleinere bedrijven betrekken bij het beleid rond cybersecurity, maar dat betekent nog lang niet dat ze daarmee praktisch geholpen worden, of dat überhaupt de kosten daarvoor gedeeld worden.
[0:12:34] Integendeel, als er ook maar iets van een maatregel is die kostprijsverhogend werkt, dan is het over het algemeen zo, dat hebben we ook gezien bij de bakkers met energieprijzen en zo, dat men zegt van ja, maar dat is jullie bedrijfsaansprakelijkheid en jullie
[0:12:49] bedrijfsrisico en dat zijn jullie bedrijfskosten.
[0:12:51] Dus het klinkt mooier dan het is, maar ik hoop dat mevrouw Swinkels mij met fantastische voorbeelden dit gaat ondersteunen en dat wij ook dat in de praktijk gaan zien.
[0:13:03] Maar ik heb er vanuit mijn eigen ervaring een zware bedenking over hoe dat uiteindelijk uitpakt voor de kleinere bedrijven.
[0:13:10] Meneer Verheer, kunt u het verder met uw betoog?
[0:13:12] Voorzitter, dan het toezicht, want in verschillende sectoren zien we dat meerdere toezichthouders betrokken raken.
[0:13:18] Een voorbeeld is de nucleaire sector, waar de autoriteit nucleaire veiligheid en stralingsbescherming al toezicht houdt, terwijl in dit wetsvoorstel ook de minister van Infrastructuur en Waterstaat een rol krijgt.
[0:13:30] En het kabinet zegt dat er samenwerkingsafspraken komen tussen toezichthouders, maar eerlijk gezegd is dat nogal vaag.
[0:13:37] En het klopt denk ik ook niet met de kaders en taken die ze toebedeeld gekregen hebben, omdat die duidelijk zijn wat zij allemaal zelf moeten doen.
[0:13:46] Organisaties willen duidelijkheid.
[0:13:48] Zij willen weten waar ze aan toe zijn als er een incident plaatsvindt.
[0:13:52] Daarom de volgende vragen.
[0:13:53] Hoe wordt voorkomen dat organisaties met meerdere toezichthouders tegelijk te maken krijgen?
[0:13:59] Kan de minister garanderen dat één incident niet leidt tot meerdere onderzoeken en meerdere sancties?
[0:14:05] Is de minister bereid om, zoals het IPO voorstelt, een wettelijk verbod op dubbele boetes op te nemen?
[0:14:10] Dat zou een hoop onzekerheid wegnemen.
[0:14:13] Voorzitter, dan de evaluatie van deze wet.
[0:14:17] Volgens het wetsvoorstel wordt de wet pas na vijf jaar geëvalueerd en in veel beleidsterreinen is dat een redelijke termijn.
[0:14:24] Maar in de digitale wereld verandert alles razendsnel.
[0:14:28] Technologie ontwikkelt zich sneller dan wetgeving kan bijhouden.
[0:14:32] Daarom adviseert het ATR om al na één jaar een eerste evaluatie uit te voeren.
[0:14:36] Daarom vraag ik de minister ook waarom wordt dit advies niet overgenomen en is de minister bereid om in ieder geval een tussentijdsevaluatie na 1 of 2 jaar te organiseren zodat we tijdig kunnen bijsturen.
[0:14:48] Deze wet raakt naar schatting ruim 8000 organisaties direct en dan lijkt het BBB verstandig om eerder te luisteren naar de ervaringen uit de praktijk.
[0:14:57] Voorzitter, ik rond af.
[0:15:00] De digitale loete waar in Nederland lange tijd heeft geopereerd, bestaat niet meer.
[0:15:05] Cyberaanvallen worden agressiever, geopolitieke spanningen nemen toe en digitale infrastructuur is een strategisch doelwit geworden.
[0:15:13] Juist daarom is het belangrijk dat we onze digitale weerbaarheid versterken.
[0:15:18] Maar laten we er ook voor zorgen dat we een ophaalbrug bouwen die daadwerkelijk beschermt en niet een constructie die zo zwaar is dat onze eigen mede-overheden en ondernemers eronder bezwijken.
[0:15:29] Dank u wel.
[0:15:30] Dank u wel voor het bijdragen en u heeft een interruptie van de heer Van den Berg van JA21.
[0:15:35] Ja, dank voorzitter en ook voor de bijdrage van de heer Vermeer.
[0:15:39] Ik hoor best wel wat interessante punten terugkomen.
[0:15:41] Dezelfde zorgen delen wij op het gebied van toezicht op elkaar, zoals benoemd van de AVS, maar ook de evaluatietermijn en dan des laatste ook nog de dubbele boetes.
[0:15:53] Zou het niet in deze fase veel beter zijn om dat zelf als Kamer te amenderen, zodat we daar zeker van kunnen zijn dat we dit ook zo inderdaad, wat u zegt, de wereld verander snel, zelf de regie kunnen pakken?
[0:16:03] De heer Vermeer.
[0:16:04] Voorzitter, als Kamer worden wij geacht kaders te stellen en te controleren en ik heb liever dat de minister zelf, ook vanuit de volle overtuiging dat dit goede ideeën zijn, zelf nog met een nota van wijziging komt dan dat wij dat allemaal moeten gaan amenderen.
[0:16:20] En dat is niet omdat ik bang ben voor extra werk, want volgens mij liggen er al een aantal voorstellen voor van verschillende leden, maar omdat ik gewoon vind dat hier ook binnen de ministeries goed over nagedacht moet worden
[0:16:33] en dat men dat ook moet internaliseren en dat werkt beter als men het zelf aanpast dan dat wij een onderdeeltje daaruit gaan amalderen.
[0:16:45] Ja, daar ben ik het eigenlijk ook helemaal mee eens.
[0:16:48] Ik moet zeggen, ik heb zelf ook de stukken doorgenomen en ik was wel verrast inderdaad ook, net als u, dat die evaluatietermijn op vijf jaar staat.
[0:16:57] Ik ben toch wel eigenlijk nieuwsgierig hoe de heer Vermeer daarnaar kijkt, hoe het ministerie nou tot zulke conclusies is gekomen.
[0:17:03] Ik vind dat, blijft dat bijzonder vinden.
[0:17:05] De heer Vermeer.
[0:17:06] Ja voorzitter, ik denk dat ministeries liever een tijd niet aan evaluaties besteden en zeker op korte termijn omdat het vaak, ja als zo'n wet doorgevoerd wordt dan duurt het vrij lang voordat je daarvan de effecten zou kunnen zien, is in ieder geval het algemene idee.
[0:17:25] Maar ja, als je nu al kijkt wat voor reacties er allemaal al op die wet zijn, dan zou ik zeggen ga hem eerst eens even aanpassen.
[0:17:33] Maar daarnaast zijn de evaluatietermijnen van twee of drie jaar lijken veel redelijker.
[0:17:39] En met name omdat ik aangaf dat er op het gebied van digitale zaken zo snel dingen veranderen.
[0:17:46] Ja, dan is een evaluatie op korte termijn gewoon het beste.
[0:17:50] Al is het maar om de Kamer daarmee de kans te geven zich er even op te focussen.
[0:17:55] En vervolgens ook met wijzigingsvoorstellen te komen aan de hand van signalen uit sectoren of juridische procedures, etc.
[0:18:06] Het woord is aan de heer Van den Berg van JA21.
[0:18:16] Ja, dank, voorzitter, minister en ook alle aanwezigen, fysiek en digitaal.
[0:18:21] Het is goed dat de Suirbeveiligingswet en de wet weerbereid kritieke entiteiten vandaag op de agenda staan.
[0:18:27] Suirbeveiliging en een weerbare maatschappij zijn tenslotte zeer belangrijk.
[0:18:32] Vandaag behandelen wij de implementatie van de Network Information Security Directive 2-richtlijn, die eigenlijk al in 2024 geïmplementeerd had moeten worden.
[0:18:40] Het is duidelijk dat we deze termijn niet hebben gehaald.
[0:18:43] Hoewel deze netten nauw met elkaar verbonden zijn, richten zij zich op verschillende terreinen en hebben zij een andere uitwerking.
[0:18:50] De zaaibeveiligingswet richt zich voornamelijk op de digitale veiligheid en de wet weerbereid kritieke entiteiten ziet op de fysieke weerbereid.
[0:18:58] Inhoudelijk gekeken naar beide wetten wordt al snel duidelijk dat grove verschillen zichtbaar zijn.
[0:19:04] De Zuiderbeveiligingswet noemt specifiek de CSIRTS, dat zijn de Computer Security Incident Response Teams, voor bijstand bij incidenten.
[0:19:13] In de wet weerbereid kritieke entiteiten, wordt daarentegen geen specifiek fysiek incident response team benoemd, maar ligt een nadruk op ondersteuning door de vakminister, terwijl de minister van Justitie en Veiligheid als centraal contactpunt de nationale en internationale coördinatie verzorgt.
[0:19:32] Ook wat betreft de meldplicht lijkt de Zuidbeveiligingswet strikter.
[0:19:36] Om aan de meldplicht te voldoen, wordt de meldde geacht vier fasen te doorlopen, in tegenstelling tot de meldplicht in de wet weerbare kritieke entiteiten, die slechts bestaat uit twee fasen.
[0:19:48] Eveneens de bestuurlijke trainingsverplichting ontbreekt in de wet weerbaarheid kritieke entiteiten in zijn geheel.
[0:19:54] En dit zijn pas enkele verschillen, voorzitter.
[0:19:57] Of de wetten dan ook gezamenlijk besproken hadden moeten worden, gezien de complexiteit, lijst de vraag.
[0:20:02] Want voorzitter, Nederland heeft belang bij heldere en goed werkende wetgeving.
[0:20:07] Deze twee wetten, die nu en in de toekomst van groot belang zullen zijn, moeten niet onderschat worden.
[0:20:13] Ondanks dat vele entiteiten duidelijkheid willen en behoefte hebben aan een snelle implementatie, vinden wij dat implementatie pas verantwoord is zodra alle onduidelijkheden zijn weggenomen.
[0:20:23] Zodat entiteiten daadwerkelijk weten waar ze aan toe zijn.
[0:20:26] En daarbij is het zo dat nog niet alle bedrijven zijn benoemd als belangrijke, essentiële of kritieke entiteit.
[0:20:32] Hoewel de entiteiten worden ondergebracht in een van de drie soorten entiteiten en de desbetreffende sector daarbij leidend is, zijn sommige entiteiten nog niet aangewezen.
[0:20:42] Als belangrijke of essentiële diensten zijn bijvoorbeeld wel de drinkwater- en vervoersector aangewezen.
[0:20:49] Deze sectoren worden beschermd tegen ontwrichting.
[0:20:52] Gastronomische entiteiten zijn onder andere de gas-, elektriciteits- en de oliesector aangewezen.
[0:20:58] Deze sectoren moeten beschermd worden tegen sabotage, natuurrampen en terroristische misdrijven.
[0:21:04] De wetten zijn al aan een aantal reparaties onderworpen geweest.
[0:21:07] Laten we de wetgeving dan ook pas implementeren als deze echt gereed is.
[0:21:11] En net zoals de minister de belangrijke zaken vaak in blokjes bespreekt, zal ik ook vandaag in blokjes de punten afgaan.
[0:21:18] Dat is het eerste blokje, voorzitter, dat is de bestuurlijke boete.
[0:21:21] En dat is mijn eerste punt.
[0:21:23] De minister geeft in de schriftelijke beantwoording aan dat de hoogte van de maximale boetes voortvloeit uit de NIS2-richtlijn en dat bij de toepassing daarvan het evenredigheidsbeginsel uit de Algemene Wet Bestuursrecht leidend is.
[0:21:35] Maar juist op dat punt blijft voor mijn fractie een belangrijke vraag liggen.
[0:21:40] Want, voorzitter, het gaat hier om zeer substantiële bedragen.
[0:21:44] Boetes die kunnen oplopen tot wel 7 à 10 miljoen euro of zelfs 2% van de omzet.
[0:21:50] Dus niet de winst, maar van de omzet.
[0:21:53] Dat zijn bedragen die in absolute zin voor elke organisatie groot zijn, maar in relatieve zin heel verschillend kunnen uitpakken.
[0:22:00] Ondanks het feit dat micro en kleine bedrijven buiten het toepassingsbereik van de cyberbeveiligingswet vallen, blijft de zorg bij ja in de twintig ontstaan voor middelgrote ondernemingen en voor de mensen thuis.
[0:22:11] Dit zijn dus entiteiten met vijftig plus werknemers en bedrijven die jaarlijks meer dan 10 miljoen euro aan omzet genereren.
[0:22:18] Om het concreet te maken.
[0:22:20] Een onderneming met een omzet van 100 miljoen euro wordt door een boete van bijvoorbeeld 7 miljoen euro relatief zwaarder geraakt dan een onderneming met een omzet van 500 miljoen euro.
[0:22:31] 500 miljoen euro.
[0:22:33] In dat laatste geval is de financiële impact beperkter in verhouding tot de schaal van de organisatie.
[0:22:38] In tegenstelling tot de cyberveiligheidswet kan dit in de wet weerbereid kritieke entiteiten ook kleinere kritieke entiteiten ontvatten.
[0:22:46] Omdat het toepassingsbereik gebaseerd is op het belang van de entiteit voor de fysieke infrastructuur, ongeacht de omvang van de organisatie.
[0:22:55] Dat verschil in rijkwijken maakt het extra belangrijk om helder te hebben hoe de boetes en de handhavingspraktijk proportioneel en effectief worden toegepast.
[0:23:03] De heer Van den Berge heeft een interruptie van mevrouw Faber van de PVV.
[0:23:07] Even een verhelderende vraag, want meneer Van den Berg heeft het over de verhoudingen tussen een grote bedrijf en een klein bedrijf.
[0:23:13] Geeft hij aan 500 miljoen omzet of 100 miljoen omzet.
[0:23:17] Maar het gaat toch in feite om de winst wat je overhoudt.
[0:23:20] Kijk, je kan wel een bedrijf hebben met 500 miljoen die maar 1 miljoen winst heeft en je kan een bedrijf hebben van 100 miljoen die 50 miljoen winst heeft.
[0:23:27] Dus volgens mij gaat die vergelijking enigszins mank.
[0:23:30] De heer Van den Berg.
[0:23:32] Ja, dank voorzitter.
[0:23:33] Ik snap dat punt van zorg, maar daarom gaat het gaat in deze wet ook alleen over een boete die is gebaseerd op de omzet en niet op de winst.
[0:23:39] Dus daar wordt inderdaad geen rekening mee gehouden.
[0:23:42] En om het eigenlijk te illustreren, stel nou dat je een bedrijf met een omzet van 100 miljoen euro, dan val je dus onder die maximale tranche van 10 miljoen euro aan boete.
[0:23:50] Dus dat is 10 procent.
[0:23:52] Terwijl, zeg maar, voor een bedrijf wat 500 miljoen euro en groter is, je dan weer valt onder de boete van 2%.
[0:23:58] Dus kortom, hoe groter je bent, des te lager de relatieve zwaarte van de boete.
[0:24:04] En dat vinden wij een bezwaar.
[0:24:06] Mevrouw Faber.
[0:24:07] Ja, ik vind toch dat u het winstaspect neemt u hier niet in mee.
[0:24:11] En dat zou u juist wel mee moeten nemen, want het heeft ook te maken met winst, hoeveel je overhoudt.
[0:24:15] Dat bepaalt hoe zwaar de boete is.
[0:24:17] Ik geef toe, hoe groter de omzet, dat de boete dan lager kan zijn.
[0:24:23] Maar je moet het ook zien in relatie tot de winst.
[0:24:27] De heer Van den Berg.
[0:24:28] Ja, zoals ik al zei, daar ben ik het mee eens.
[0:24:31] Ik heb daarvoor wel een amendement in voorbereiden die ook zegt van je moet dat proportionele afwegen bij een bedrijf van hoe het bedrijf ervoor staat of zal eerder overtreding hebben gehad en dat het ook duidelijk is wat dat kale dan is.
[0:24:43] Ik denk dat winst daar wellicht al een onderdeel van zou kunnen zijn, maar het feit is hier wel dat als je dus een kleiner bedrijf bent, dan kan dus je relatieve zwaarte van de boete in het meest ongunstige geval
[0:24:53] toch hoger uitvallen en dat vinden wij eigenlijk een heel slecht signaal naar de markt.
[0:24:57] Daar moet je gewoon gelijk in zijn, groot of klein bedrijf.
[0:25:03] Dank u wel, voorzitter.
[0:25:05] In omliggende landen, denk aan Frankrijk, Estland, Duitsland en België, waar het wetsvoorstel reeds is geïmplementeerd of zich nog in de implementatiefase bevindt, valt op dat dezelfde maxima wordt gehanteerd, maar dat de praktische toepassing veel meer maatwerk kent dan wat vandaag bij ons voor ligt.
[0:25:19] Het werd al even genoemd.
[0:25:20] Boetes worden aangepast aan de omvang en financiële draagkracht van de organisatie.
[0:25:27] Er wordt gewerkt met omzetgerelateerde berekeningen of gefaseerde handhaving.
[0:25:31] Toezichthouders geven vaak eerst waarschuwingen of richten zich op het afdwingen van compliance voordat hoge boetes worden opgelegd, zodat kleinere entiteiten niet disproportioneel zwaar worden getroffen.
[0:25:43] De minister geeft aan dat ook in Nederland in de praktijk vaak eerst met waarschuwingen wordt gewerkt.
[0:25:49] En dat is op zich zelf positief, maar het verschil leidt te zijn dat het in andere landen meer structureel en expliciet is ingericht, terwijl het hier vooral als praktijk wordt beschreven.
[0:25:59] En voorzitter, ik wil de minister daarom ook vragen, hoe kijkt hij naar deze methode die andere landen hanteren en ziet hij mogelijkheden om in Nederland een vergelijkbare praktijk te volgen om zowel middelgrote als kleinere entiteiten te beschermen?
[0:26:11] Mijn volgende vraag aan de minister is, hoe wordt in de praktijk voorkomen dat dit boetsysteem juist leidt tot een ongelijke uitwerking tussen kleinere en grotere entiteiten?
[0:26:22] De verwijzing naar het evenredigheidsbeginsel is op zichzelf belangrijk, maar het blijft ook vrij abstract.
[0:26:27] En kan de minister daarom concreet toelichten op welke wijze bij het bepalen van de hoogte van een boete rekening wordt gehouden met de omvang en de draagkracht van een onderneming.
[0:26:37] Wordt daarbij bijvoorbeeld gekeken naar de omzet of andere financiële indicatoren zoals winst.
[0:26:42] En voorzitter, als dat niet structureel gebeurt, hoe voorkomt de minister dan dat kleine organisaties in de praktijk relatief zwaarder worden getroffen dan grotere spelers, terwijl het doel van deze wet juist is om de weerbereid in de gehele breedte te versterken?
[0:26:56] Graag een nadere concrete toelichting op dit punt.
[0:26:59] Als tweede punt wil ik namens de fractie van JN20 graag ingaan op mogelijke groepsregistratie bij de meldplicht van multinationals.
[0:27:07] Het gaat hierbij om grote organisaties die uit meerdere entiteiten bestaan, zoals moeder- en dochterondernemingen.
[0:27:13] En de vraag hoe de meld- en registratieplicht van de Zuiderbeveiligingswet in de praktijk voor hen wordt vormgegeven.
[0:27:20] In de nota van toelichting op het CIRA-besluit staat dat er wordt gewerkt aan een functioniteit in het meld- en registratieportaal waarmee groepen van entiteiten meerdere entiteiten binnen een groep kunnen bundelen voor registratie en meldingen.
[0:27:33] Dat is een belangrijke stap.
[0:27:35] Kan de minister toelichten wanneer deze functionaliteit beschikbaar is en hoe precies wordt omgegaan met moeder- en dochterondernemingen?
[0:27:43] Hoe wordt voorkomen dat een entiteit die in meerdere sectoren actief is dubbel of tegenstrijdig wordt geregistreerd of gemeld?
[0:27:51] Nou voorzitter, mijn derde punt.
[0:27:53] De samenloop tussen de cyberbeveiligingswet en de wet weerbereidt kritieke entiteiten.
[0:27:58] Het uitgangspunt is dat alleen binnen de digitale sector de cyberbeveiligingswet als lek specialis voorgaat.
[0:28:04] In andere gevallen kunnen entiteiten dus gewoon onder beide wetten vallen.
[0:28:09] Dat betekent dat niet alleen in de energiesector, maar ook in sectoren zoals vervoer, drinkwater, gezondheidszorg en de productie, verwerking en distributie van de levensmiddelensector organisaties met beide wetten te maken kunnen krijgen.
[0:28:23] Het kabinet geeft aan dat het doel is om administratieve lasten te beperken, onder andere door afstemming en informatieuitwisseling tussen de bevoegde autoriteiten.
[0:28:31] Dat is een belangrijk uitgangspunt, maar daarbij wordt vooral gekeken naar de meld- en registratieplicht.
[0:28:37] Zo wordt duidelijk dat er één centraal meldpunt zal komen en de risicobeoordeling samengenomen mag worden.
[0:28:43] Wat echter onderbelicht blijft, is het risico op dubbel toezicht.
[0:28:52] Dit beeld wordt bevestigd door de autoriteit persoonsgegevens, die aangeeft dat het huidige stelsel leidt tot inefficiënt toezicht.
[0:28:58] Waar sectorale toezeghouders slecht zicht hebben op hun eigen domein, beschikt de autoriteit persoonsgehevens over een breder sectoroverstijgend beeld.
[0:29:08] Juist dat totaaloverzicht ontbreekt nu in de samenwerking, terwijl saaierbedreigingen zich niet beperken tot één sector.
[0:29:14] Daarnaast waarschuwt de Autoriteit Persoonsgehevens dat zonder goede afstemming organisaties bij incidenten met meerdere toezichthouders te maken kunnen krijgen die vergelijkbare informatie opvragen wat in crisissituatie dan weer zeer onwenselijk is.
[0:29:27] De minister benadrukt namelijk dat het uitsluiten van volledig overlap niet mogelijk is.
[0:29:32] Wel hebben toezighouders op grond van artikel 55, cyberveiligheidswet, en artikel 25, wet weerbereid kritieke entiteiten, de verplichting om zoveel mogelijk samen te werken bij toezicht op de entiteiten.
[0:29:44] De heer Vermeer noemde het net al.
[0:29:46] Tegelijkertijd blijft het formeel zo dat de toezicht vanuit beide wetten naast elkaar blijft bestaan, met eigen bevoegdheden en verantwoordelijkheden.
[0:29:54] Samenwerking en informatieuitwisseling zijn natuurlijk belangrijk, maar bieden op zichzelf nog geen garantie dat dubbel toezicht in de praktijk daadwerkelijk wordt voorkomen.
[0:30:02] Mijn vragen.
[0:30:04] Hoe wordt voorkomen dat een en dezelfde entiteit te maken krijgt met parallel toezicht door meerdere toezichthouders, ieder vanuit een eigen wettelijk kader?
[0:30:13] En betekent dit in de praktijk dat bedrijven alsnog met verschillende inspecties, beoordelingen en handhavingslijnen te maken kunnen krijgen?
[0:30:20] En kan de minister concreet toelichten hoe dit wordt gecoördineerd?
[0:30:24] Is er sprake van één leidende toezichthouder?
[0:30:27] Of blijft het bij samenwerking tussen meerdere autoriteiten?
[0:30:29] En hoe wordt geborgd dat dit voor bedrijven daadwerkelijk leidt tot minder lasten, in plaats van een stapeling van toezicht?
[0:30:36] En kan de minister bovendien refleteren op alternatieven waarbij de coördinatie sterker wordt geborgd, bijvoorbeeld door te werken met één leidende toezichthouder per entiteit, een soort van one-audit-principe, of een meer geïntegreerde handhavingsaanpak?
[0:30:52] Nou, voorzitter, nou zou ik graag willen ingaan op mijn vierde punt, namelijk op artikel 18 van het cyberbeveiligingsbesluit.
[0:30:58] Artikel 18 van het cyberbeveiligingsbesluit, dat gaat over een specifieke en vergaande bevoegdheid van de overheid in het kader van nationale veiligheid.
[0:31:06] Op grond van dit artikel kan een vakminister in overeenzaming met de minister van Justitie en Veiligheid een entiteit verplichten om producten of diensten van bepaalde leveranciers te weren uit kritieke onderdelen van een netwerk en informatiesystemen.
[0:31:20] Deze bevoegdheid kan worden ingezet wanneer er risico's zijn voor de nationale veiligheid.
[0:31:25] Bijvoorbeeld als een leverancier mogelijk onder invloed staat van een staat die offensieve cyberactiviteit tegen Nederland emplooit.
[0:31:32] Het gaat dus om situaties waarin de betrouwbaarheid van leveranciers direct raakt aan de veiligheid van vitale infrastructuur.
[0:31:40] Het is wel wonderlijk, voorzitter, dat de artikelen van het Zuierbeveiligingsbesluit niet onder de relevante documenten zijn geschaard, maar dat dit document enige tijd geleden wel is verstuurd naar de Kamer en dat het Zuierbeveiligingsbesluit bovendien wel door de Raad van State wordt aangehaald.
[0:31:54] En voorzitter, de minister heeft eerder duidelijk gemaakt dat artikel 18 van het Zuierbeveiligingsbesluit wordt gezien als een nadere uitwerking van de zorgplicht uit artikel 21 van de Zuierbeveiligingswet en dat het daarom op het niveau van een algemene maatregel van bestuurs geregeld.
[0:32:10] Tegelijkertijd roept dit bij de fractie van jaar 20 wel een fundamentele vraag op.
[0:32:14] De bevoegdheid om specifieke leveranciers te weren uit kritieke onderdelen van systemen is namelijk geen technische uitwerking, maar een zeer ingrijpende maatregel met grote gevolgen voor bedrijven.
[0:32:27] Allereerst kan de minister aangeven of het besluit wel relevant is en of wij hier wel of niet over stemmen.
[0:32:33] En zo ja, wanneer zullen wij hierover stemmen?
[0:32:36] En kan de minister toelichten waarom ervoor is gekozen om deze bevoegdheid niet op wetsniveau zelf te regelen, maar in lagere regelgeving?
[0:32:43] Daarnaast blijft het punt van de totstandkoming knellen.
[0:32:46] Deze bepaling is pas in het laatste stadium toegevoegd en het heeft geen onderdeel uitgemaakt van de formele internetconsultatie.
[0:32:53] De minister geeft aan dat er wel gesprekken zijn gevoerd met groepenorganisaties, maar kan hij toelichten hoe breed en transparant deze consultatie is geweest?
[0:33:01] En of alle relevante partijen daarbij betrokken zijn?
[0:33:04] En wat is de achterliggende reden van het feit dat deze bepaling later is toegevoegd?
[0:33:09] Tot slot, op dit punt, en niet getreurd, we zijn net over de helft, hoor ik graag hoe de minister de rechtszekerheid voor bedrijven waarboort.
[0:33:17] Komt goed.
[0:33:18] Op basis van welke concrete criteria wordt bepaald dat een leverancier, ik ga zo een slok nemen, een risico vormt en hoe voorspelbaar is dit voor bedrijven die afhankelijk zijn van dergelijke leveranciers en niet te vergeten onderaannemers?
[0:33:36] Nou, punt vijf.
[0:33:37] Voorzitter, naast inhoudelijke bepalingen over boetes en zorgplichten wil ik namens JA20 ook ingaan op de evaluatie van de Cyberbeveiligingswet.
[0:33:45] Artikel 94, Cyberbeveiligingsbesluit, legt nu vast dat de eerste formele evaluatie uiterlijk vijf jaar na inwerkingtreding plaatsvindt en daarna elke drie jaar.
[0:33:55] In de wet Weerbare Kritieke Entiteiten is in artikel 41 een evaluatietermijn van 4 jaar opgenomen, maar verder wordt er geen terugkerende evaluatietermijn genoemd.
[0:34:05] Mijn fractie overweegt het artikel te amenderen op korte termijn, zodat wel een terugkerende evaluatietermijn aanwezig is.
[0:34:12] De fractie van jaar en twintig maakt zich zorgen over deze termijn, omdat digitale dreigingen en kwetsbaarheden in vitale sectoren snel kunnen veranderen.
[0:34:21] In een dreigingslandschap dat voortdurend evolueert, kan een evaluatie van vijf of vier jaar betekenen dat cruciale knelpunten in de praktijk te lang onopgemerkt blijven.
[0:34:30] Dit geldt bijvoorbeeld voor de meldplicht, de zorgplicht en de toepassing van de bestuurlijke boetes.
[0:34:36] Een termijn van maximaal twee jaar zorgt ervoor dat de wet tijdig kan worden bijgestuurd wanneer blijt dat onderdelen niet effectief of praktisch uitvoerbaar zijn, zonder dat er grote risico's voor entiteiten of de continuïteit van vitale processen ontstaan.
[0:34:49] Bovendien sluit een korte reformatietermijn beter aan bij het doel van de wet, het beschermen van vitale infrastructuur en het waarborgen van digitale veiligheid, terwijl bedrijven snel duidelijkheid krijgen over wat er van hen wordt verwacht.
[0:35:03] De fractie van JN20 vindt dat een termijn van vier of vijf jaar voor de eerste evaluatie veel, maar dan ook veel te lang is.
[0:35:11] En heel eerlijk voorzitter, toen ik de wet voor het eerst las, toen kon ik ook niet geloven dat we voor zo'n lange termijn hebben gekozen.
[0:35:18] De wereld verandert snel en zeker op het gebied van digitalisering.
[0:35:22] We begrijpen de wens om aan te sluiten bij de evaluatiecyclus van de Europese Commissie, maar de risico's voor Nederlandse entiteiten, vooral in vitale sectoren, kunnen sneller veranderen dan de EU-cyclus aangeeft.
[0:35:34] Hoewel de minister aangeeft dat essentiële onderdelen via lage regelgeving kunnen worden aangepast, geldt dat niet voor de kern van de wet, zoals de definitie van essentiële entiteiten of de zorg en de meldplicht.
[0:35:47] Het Adviescollege Toetsing en Regeldruk heeft bovenin geadviseerd een invoeringstoets uit te voeren één jaar na de inwerkingtreding van zowel de Cyberveiligingswet als de wet weerbereid kritieke entiteit.
[0:35:59] Ook heeft deze ATR aangegeven dat het kostenplaatje te rooskleurig en onvolledig is.
[0:36:04] Belangrijke kostenposten, zoals verplichte audits en inspecties, zijn nog niet volledig meegenomen.
[0:36:10] En daarom wijst het ATR op de eenmalige kennisnamekosten voor bedrijven die oplopen tot circa 7,8 miljoen voor de ruim 8000 betrokken organisaties.
[0:36:24] Ja, dank u wel, voorzitter.
[0:36:26] Ja, ik vind het punt van een kortere evaluatietermijn wel interessant en tegelijkertijd denk ik ook wel dat het praktisch ondoenlijk is om elk jaar of elke twee jaar een hele uitgebreide evaluatie te doen en dan ook nog een keertje de wet te wijzigen, want dat zou ook heel veel regeldruk met zich meebrengen als we bijna om het jaar de wet aanpassen en bedrijven weer moeten nadenken over waar moet ik nu weer aan voldoen.
[0:36:47] Dus ik ben toch wel benieuwd of de heer Van den Berg het met mij eens is dat we eigenlijk gewoon een goede basis moeten neerzetten in de wet en tegelijkertijd in de praktijk ervoor moeten zorgen dat we alle ontwikkelingen met elkaar bijhouden, deel ik met hem van harte, en dat we daar ook op kunnen bijsturen of bedrijven van informatie zouden kunnen voorzien om daarop te kunnen reageren.
[0:37:05] Deelt hij dat met mij en deelt hij dat tot slot dan ook met mij dat we inderdaad de evaluatietermijnen van beide wetten misschien wel eens met elkaar moeten gaan gelijktrekken?
[0:37:14] De heer Van den Berg.
[0:37:15] Ja, dank je allereerst voor de kans voor het nemen van een slok water.
[0:37:21] Ik ben het wel met mevrouw Swinkels eens dat je dat niet te frequent moet doen, maar feit is wel dat het Adviescollege Toetsing en Regeldruk die heeft niet voor niets geadviseerd van begin nou eerst met zo'n invoeringstoets.
[0:37:32] Dat is eigenlijk de eerste check van is het nou goed te gaan?
[0:37:36] Pak de wet zo uit zoals we beoogd hebben.
[0:37:38] En daarna kan natuurlijk een evaluatietermijn komen die terugkerend is en langer is.
[0:37:43] Maar ik denk specifiek voor de cyberbeveiligingswet vijf jaar.
[0:37:48] Als ik denk aan vijf jaar geleden, toen hadden we nog ineens chat GPT.
[0:37:52] En over vijf jaar vanaf nu is er wellicht al quantum technologie.
[0:37:55] Dus in dat perspectief denk ik van dat is veel te lang.
[0:38:00] Dus ik denk dat in die zin een evaluatietermijn van twee jaar, dat zou een eerste stap zijn.
[0:38:06] En als het dan blijkt dat het frequent is, kunnen we dat dan altijd nog bij zo'n evaluatietermijn weer verlengen.
[0:38:12] En dan het laatste punt van mevrouw Zwinkes over het synchroniseren van die termijnen, ben ik helemaal met haar eens.
[0:38:18] Maar juist omdat we het hier vandaag samen behandelen en ze ook zoveel samenhang hebben,
[0:38:23] Ook over die meld- en zorgplicht, maar ook bijvoorbeeld het feit dat als je kritiek bent voor de ene wet, dan ben je essentieel voor de andere.
[0:38:30] Ja, er zit zoveel overlap in, dus synchroniseer dat inderdaad.
[0:38:34] Daar heb ik ook een amendement voor.
[0:38:35] En dat zou, denk ik, uiteindelijk ook goed zijn voor het wetgevingsproces hier, dat dat sneller gaat, maar dat ook het doel van de wet, namelijk weerbereidende maatschappijen, ook verder wordt ondersteund.
[0:38:47] Meneer van den Berge kunt verder met uw betogen.
[0:38:49] Ja, nogmaals dank.
[0:38:51] Voor de overheid gaat het om een structureel bedrag dat oploopt tot circa 82,8 miljoen euro per jaar vanaf 2028, verdeeld over meerdere ministeries voor onder andere toezicht, het centrale contactpunt en de versterking van de CS-IRT's.
[0:39:06] Voor het bedrijfsleven wordt de structurele last van de meldplicht geraamd op ongeveer 400.000 tot 450.000 euro per jaar, gebaseerd op zo'n duizend meldingen en een kostprijs van circa 432 euro per melding.
[0:39:21] Voorzitter, dat roept de vraag op of we hier wel een volledig beeld hebben van de werkelijke regeldruk.
[0:39:26] In het verlengde hiervan merken we ook dat decentrale overheden, zoals de waterschappen, op dat een grondige impactanalyse voorafgaand
[0:39:35] Aan de inwerking treding ontbreekt.
[0:39:38] Juist bij wetgeving die zoveel verantwoordelijkheid bij decentrale partijen legt, is het essentieel om vooraf inzicht te hebben in uitvoerbereid, kosten en capaciteit.
[0:39:48] Het risico bestaat nu dat deze toets pas achteraf plaatsvindt, terwijl bijsturen dan complexer en bovendien ook kostbaarder is.
[0:39:55] Hoe rechtvaart de minister het feit dat de decentrale partijen verantwoordelijk worden gemaakt voor de uitvoering van deze wet, terwijl vooraf geen volledig inzicht bestaat in de praktische en financiële gevolgen?
[0:40:06] Kan de minister verder toelichten of hij bereid is de initiële evaluatieperiode te verkorten, bijvoorbeeld naar maximaal twee jaar, zodat Nederland sneller kan bijsturen wanneer blijt dat onderdelen van de wet in de praktijk niet goed werken?
[0:40:17] En hoe verhoudt zich dit tot de invoeringstoets die het ATR adviseerde?
[0:40:21] En kan de minister bovendien toelichten of hij bereid is, mede in het licht van de invoeringstoets, expliciet te bezien hoe deze kosten, zowel voor de overheid als voor het bedrijfsleven, verder kunnen worden beperkt.
[0:40:33] En kan hij toezeggen dat bij de invoeringstoets niet alleen wordt gekeken naar de werking van de wet, maar ook concreet naar de daadwerkelijke regeldruk in de praktijk, zodat waar nodig tijdig kan worden bijgestuurd.
[0:40:44] Kan de minister tot slot aangeven waarom er geen terugkerende evaluatietoets aanwezig is bij de wet weerbereid kritieke entiteiten?
[0:40:54] Dan punt 6, voorzitter.
[0:40:56] Verder wil ik ingaan op de problematiek rondom de invulling van de zorgplicht.
[0:41:00] De invulling van de zorgplicht blijft ruim en vaag, waardoor het voor entiteiten lastig blijft om te bepalen of zij de zorgplicht op de juiste wijze hebben benaderd.
[0:41:09] Bedrijven moeten zelf inschatten wat proportioneel en effectief is voor hun specifieke risico's, waardoor praktische onzekerheid blijft bestaan.
[0:41:16] Zodra de wet weer bereidt kritieke entiteiten
[0:41:19] In werkingstaltreden hebben entiteiten immers tien maanden de tijd om die risicoanalyses uit te voeren.
[0:41:26] Partijen als FMO, VNO-NCW, maar ook de Unie van Waterschappen vroegen al om meer duidelijkheid bij het herkennen van bestaande normenkaders.
[0:41:33] Eveneens uiten de laatste instantie zorgen over het feit dat zonder risicobeoordeling vanuit het ministerie het onmogelijk is om een eigen risicoanalyse uit te voeren op grond van de wet weerbreid kritieke entiteiten.
[0:41:45] De minister heeft eerder aangegeven dat het voor bedrijven inderdaad lastig blijft om te bepalen welke maatregelen passend en evenredig zijn.
[0:41:52] Wel zegt de minister dat er verschillende maatregelen kunnen worden genomen met betrekking tot het uitvoeren van de desbetreffende zorgplicht.
[0:41:59] Zo zegt de minister dat de desbetreffende vakminister bijvoorbeeld ondersteuning kan bieden en de handreikingen opgesteld kunnen worden.
[0:42:06] Ook wordt momenteel een richtsnoer ontwikkeld door de Europese Commissie.
[0:42:09] En eveneens zal de toezichthouder per sector bepalen of de entiteit aan de zorgplicht heeft voldaan.
[0:42:15] Tot slot kunnen nadere regels eventueel via ministeriële regelingen worden vastgesteld.
[0:42:20] Men kan zich afvragen of dit niet thuishoort in formele wetten.
[0:42:23] De minister benadrukt dat de open norm lijdend blijft en voor entiteiten blijft daarmee echter wezenlijke vragen onbeantwoord.
[0:42:30] Welke concrete eisen gelden ten aanzien van bijvoorbeeld firewalls, welk niveau van monitoring wordt verwacht en hoe verhouden nieuwe technologieën zoals quantum encryptie zich tot deze open zorgplicht?
[0:42:41] Voorzitter, wat jij in 20 ook bevalt in de beantwoording, is dat er vaak wordt gesproken in de termen als kan, kunnen en zal worden ontwikkeld.
[0:42:50] Dat wijst erop dat veel van de nadere invulling van de zorgplicht nog niet vast ligt, maar invulling is van toekomstige uitwerking of beleidskeuzes en dat de beoordeling daarvan kan verschillen per sector of toezichthouder.
[0:43:03] Het feit dat er momenteel nog geen concrete en einduidige maatstaf bestaat, dat roept zorg op bij mijn fractie.
[0:43:09] Kan de minister toelichten hoe wordt geborgd dat entiteiten op dit moment al voldoende duidelijkheid hebben over wat er concreet van hen wordt verwacht?
[0:43:16] En hoe wordt voorkomen dat hierdoor rechtsongelijkheid ontstaat tussen sectoren en dat bedrijven geconfronteerd worden met verschillende interpretaties van dezelfde zorgplicht?
[0:43:25] En kan de minister uitleggen hoe deze open norm zich verhoudt tot de mogelijkheid van hoge bestuurlijke boetes als voor bedrijven niet vooraf duidelijk is wanneer zij precies aan de norm voldoen?
[0:43:36] Kan de minister eveneens toelichten wanneer deze verschillende handvatten en duidelijke richtlijnen daadwerkelijk worden geboden in het kader van de saaie beveiligingswet en de wet weerbereidt kritieke entiteiten?
[0:43:48] Ja, en dan, voorzitter, de Cariben.
[0:43:51] Een zonnige invalsoeker.
[0:43:52] Ik wil mijn fractie ook graag bij stilstaan bij de positie van Caribisch Nederland.
[0:43:57] In het coalitieakkoord is juist benadrukt dat deze delen van Nederland beter betrokken moeten worden bij nationale wetgeving, zeker waar het gaat om veiligheid en weerbaarheid.
[0:44:06] Ook zou expliciet deze wet gelden zijn in het gehele Koninkrijk.
[0:44:09] En tegelijkertijd stelt de minister dat de Zuiderbeveiligingswet en de implementatie van de NIS2-richtlijn op dit moment niet uitvoerbaar zijn voor Caribisch Nederland.
[0:44:17] En dat roept bij mijn fractie enkele vragen op.
[0:44:20] Betekent dit dat vitale entiteiten in Caribisch Nederland voorlopig minder beschermd zijn dan tegen digitale dreigingen in Europees Nederland?
[0:44:28] En daar is hoor ik graag van de minister wat er precies wordt bedoeld met niet uitvoerbaar.
[0:44:33] Gaat het om capaciteit?
[0:44:35] Gaat het om middelen?
[0:44:36] Of gaat het om wetgevingstechnische belemmeringen?
[0:44:39] En kan de minister een concreet tijdspas schetsen voor wanneer er op welke wijze Caribisch Nederland alsnog onder deze wetgeving zal vallen, zodat ook daar de digitale weerbaarheid op orde komt?
[0:44:49] En kan de minister verder toelichten of de mogelijkheid aanwezig is dat de implementatie van de wetten in Caribisch Nederland kunnen plaatsvinden, bijvoorbeeld gezamenlijk met de eerste evaluatietermijn?
[0:45:02] Voorzitter, nu echt tot slot.
[0:45:04] De Algemene Verordening Gegevensbeschermende AVG, die ook van belang is voor de verwerking van persoonsgegevens onder de wet weerbereid kritieke entiteiten en de Zuiverveiligingswet.
[0:45:13] Het verwerken van persoonsgegevens is een inmenging in het recht op de persoonlijke levenssfeer.
[0:45:20] Pasgelegd in artikel 8 van het EVRM.
[0:45:22] Ik had niet verwacht dat ik daar ooit naar zou refereren.
[0:45:25] Deze inmenging wordt gerechtvaardigd omdat deze bij wet is voorzien en noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid en het economisch welzijn.
[0:45:34] Zonder deze gegevens kunnen instanties zoals het CSIRT immers geen bijstand verlenen of waarschuwingen sturen naar de juiste personen binnen een organisatie.
[0:45:43] De bewaartermijn van 60 maanden tot 10 jaar voor bijzondere persoonsgegevens onder de Cyberveiligingswet wordt echter als erg lang ervaren.
[0:45:52] Zo merkte de autoriteit persoonsgegevens op dat de bewaartermijn van 60 maanden steeds opnieuw zou gaan lopen bij elke wijziging in het register.
[0:46:00] Omdat bedrijven hun gegevens actueel moeten houden, zouden deze persoonsgegevens in de praktijk nooit worden verwijderd.
[0:46:07] De minister heeft naar aanleiding van dit advies de tekst aangepast.
[0:46:10] In plaats van na de laatste wijziging begint de termijn nu te lopen vanaf de laatste bevestiging van de juistheid.
[0:46:18] De minister stelt dat het niet wenselijk is gegevens te verwijderen die nog steeds relevant zijn voor wettelijke taken, maar benadrukt dat gegevens nooit langer mogen worden bewaard dan strikt noodzakelijk.
[0:46:28] Voor deze zeer bijzondere persoonsgegevens is de bewaartermijn voor het CSIRT aanzienlijk verkort van zestig maanden naar twaalf maanden.
[0:46:35] Voor toezichthouders wordt de echte uitgaan van de bewaartermijn van 60 maanden.
[0:46:39] Dit met de noodzaak van dossieropbouw, langdurige juridische procedures en de uitvoerbereid van toezicht.
[0:46:45] Voor reguliere persoonsgegevens geldt zowel bij de wet weerbereid kritieke entiteiten als de saaierbeveiligingswet een bewaartermijn van maximaal 120 maanden voor toezichthouders.
[0:46:56] Voor overigwettelijke taken geldt een maximale bewaartermijn van 60 maanden.
[0:47:01] Voorzitter, een maximale termijn van tien jaar leidt disproportioneel lang.
[0:47:06] De minister benadrukt dat een dergelijke termijn noodzakelijk is voor onder andere het opbouw van dossiers en eventuele bestuursrechtelijke procedures.
[0:47:14] Tegelijkertijd gaat het hier om een zeer lange bewaartermijn voor reguliere persoonsgevers.
[0:47:19] En het onderwerp is eveneens door verschillende partijen en instanties nadrukkelijk ter discussie gesteld en terecht.
[0:47:24] Zo hebben de G4 gemeenten hun zorg geuit over de termijn van 60 maanden voor LOG-gegevens, onder meer vanwege de kosten en de uitvoerbaarheid.
[0:47:33] Mijn fractie vraagt zich af hoe deze termijn zich verhoudt tot de proportionaliteitsbeginsel onder de AVG en artikel 8 van het EVRM.
[0:47:41] Kan de minister naden onderbouwen waarom een kortere bewaartermijn niet volstaat, bijvoorbeeld 12 maanden, zoals bij andere taken binnen dezelfde wet?
[0:47:49] Daarnaast hoor ik graag hoe wordt geborgd dat deze maximale termijn in de praktijk niet standaard wordt, maar dat daadwerkelijk per dossier wordt beoordeeld of eerder verwijderen mogelijk is.
[0:47:59] Kan de minister bovendien toelichten hoe deze termijn van 60 maanden zich precies verhoudt tot dat noodzakelijkheidscriterium in de praktijk?
[0:48:07] In hoeverre wordt per dossier daadwerkelijk beoordeeld of een kortere bewaartermijn mogelijk is of vergeert deze termijn in de praktijk als de standaard?
[0:48:15] Daarnaast blijft voor mijn fractie de vraag bestaan waarom het verschil met het CSIRT zo groot is.
[0:48:19] Als het CSIRT kan volstaan met 12 maanden voor bijzondere persoonsgevens, kan de minister dan nadeel onderbouwen waarom voor toezichthoudende taken een termijn van 60 maanden noodzakelijk is en of er mogelijkheden zijn om hier tot verdere verkorting of differentiatie te komen.
[0:48:36] Voorzitter, dat was het dan.
[0:48:38] Dank u wel.
[0:48:39] Van harte dank voor uw bijdrage, meneer Van den Berg.
[0:48:43] Dan is het woord aan mevrouw Faber van de PVV.
[0:48:46] Ja, dank u wel, voorzitter.
[0:48:47] Ik zal het alleen hebben over de wet weerbaarheid, kritieke entiteiten en het andere gedeelte tot mijn collega meneer van Dijk.
[0:48:54] Goed, voorzitter.
[0:48:55] Om onze democratische rechtsstaat overeind te houden, is het van belang dat wij vitale processen die gevoelig kunnen zijn voor onder andere terroristische aanslagen beschermen.
[0:49:04] Stelt u eens voor dat de stroom langdurig uitvalt.
[0:49:06] Dat heeft niet alleen consequenties voor het huiselijk comfort, maar ook de criminaliteit zal sterk toenemen.
[0:49:11] Het voorliggende wetsvoorstel ter implementatie van de CER-richtlijn heeft als doel om essentiële diensten, welgenoemd kritieke entiteiten, veilig te stellen.
[0:49:20] Denkt u bijvoorbeeld aan de eerste levensbehoefte water.
[0:49:23] Het is van levensbelang dat de drinkwaterbedrijven blijven functioneren.
[0:49:28] Die door dit wet voorstel niet alleen alle andere bedrijven met essentiële diensten verplichtingen krijgen.
[0:49:34] Dat betreft het maken van een risico beoordeling om alle relevante door de natuur en door de mens veroorzaakte risico's in kaart te brengen.
[0:49:40] Ze hebben een zorgplicht om de weerbaarheid te vergroten en een meldplicht bij een eventueel incident.
[0:49:45] Op dit moment kent Nederland alle vergelijkbare methoden met het staande beleid van de aanpak Vitaal, dat veel raakvlakken heeft met de CER-richtlijn, welke ook al door Vitale aanbieders beleidsmatig wordt nagestreefd.
[0:49:58] Er is dan al veel samenwerking tussen departementen en door hen aangewezen Vitale aanbieders om de weerbaarheid te versterken.
[0:50:06] Voorzitter, dikwijls klopt het allemaal wel op papier, maar de praktijk kan weer barstiger zijn.
[0:50:11] Positief is dat het wetsvoorstel voorziet in de zorgplicht die ook fysieke bescherming van gebouwen en infrastructuur behelst.
[0:50:18] Dit onder andere door middel van onheiningen.
[0:50:21] detectieapparatuur en toegangscontroles.
[0:50:24] De Franse opwerkingsfabriek La Hague wordt bewaakt door een speciaal getrainde beveiligingsteam van de Franse overheid.
[0:50:30] Zelfs afweergeschut ontbreekt niet.
[0:50:32] Maar hoe ver gaan de maatregelen die voortkomen uit dit wetsvoorstel bij bijvoorbeeld een Nederlandse kerkcentrale?
[0:50:38] En wordt deze ook beschermd door bijvoorbeeld Defensie?
[0:50:41] Het toezicht van de entiteiten ligt bij de vakministers.
[0:50:44] Zij zijn onder bevoegde autoriteit over hun sectoren.
[0:50:47] Daarboven heeft de minister van Justitie en Veiligheid een coördinerende taak.
[0:50:51] De NCTV functioneert als centraal contactpunt.
[0:50:55] De minister kan een nationale kop plaatsen door meer sectoren aan te wijzen dan verplicht is vanuit de richtlijn.
[0:51:01] Hiermee drukt hij bedrijven in een ongelijk speelveld.
[0:51:04] Ongewenst voor ons bedrijfsleven dat toch al gebukt gaat onder verstikkende regelgeving en daarbij bekomen
[0:51:11] Daarbij komen de kosten.
[0:51:14] De minister zou over deze bevoegdheid willen beschikken in het kader van nationale veiligheid, maar kan de minister dit nader duiden?
[0:51:21] De PVV houdt niet zoveel nationale koppen.
[0:51:24] Tachtig procent van de vitale process is in handen van private partijen die onder toezicht staan van de vakministers.
[0:51:30] Onafhankelijk.
[0:51:32] De resterende 20% betreft vitale processen binnen de overheid en die staan onder toezicht van de minister van Binnenlandse Zaken.
[0:51:40] Onafhankelijk of toch niet?
[0:51:42] De overheid controleert in deze de overheid.
[0:51:46] Een dingetje zoals de slager keurt zijn eigen vlees.
[0:51:49] Hoe gaat de minister dit oplossen?
[0:51:51] Nog een gevalletje van toezicht.
[0:51:54] Het zelfstandig bestuursorgaan, afgekort ZBO.
[0:51:57] ZBO voert zelfstandige taken uit zonder directe aansturing van de minister.
[0:52:02] Zij nemen dan ook onafhankelijk beslissingen.
[0:52:05] Een voorbeeld.
[0:52:06] In de kernenergiewet zijn toezicht en handhavingsbevoegdheden uitdrukkelijk toegekend aan de autoriteit nucleaire veiligheid en stralingsbescherming, afgekort de ANVS.
[0:52:18] De reden dat de ANVS een ZBO-wet was, dat deze onafhankelijk noodzakelijk was op grond van internationaal en Europese recht.
[0:52:27] Beslissingen van de ANVS moesten namelijk genomen kunnen worden zonder druk van belangen die kunnen conflicteren met het belang van veiligheid.
[0:52:34] Zo meende de regering toen.
[0:52:36] Voorzitter, ik rijk nu enigszins in verwarring.
[0:52:39] Aan de ene kant moesten zij zelfstandig kunnen besluiten in het belang van de veiligheid en aan de andere kant moet nu de minister het heft in handen kunnen nemen.
[0:52:48] Maar hoe gaan we dan bijvoorbeeld om met een incident in een kerncentrale?
[0:52:52] Nu ligt het toezicht op de veiligheid van de kerncentrale bij de ANVS.
[0:52:57] Bij inwerking treden van deze wet komt dit tevens te liggen bij de minister van INW.
[0:53:04] Kan de echte toezichthouder zich in deze melden?
[0:53:07] Graag een reactie van de minister.
[0:53:09] Wanneer meerdere toezichthouders tegelijk bevoegd zijn, dan kan het zijn
[0:53:14] Ook met de betrokkenheid van de ZBO, maar het kan ook het geval zijn indien er meerdere vakministers betrokken zijn bij een entiteit die in meerdere sectoren voorkomt.
[0:53:24] Het risico bestaat dat vakministers de hete aardappel bij de ander op de financiële plaat leggen.
[0:53:30] Dit geldt vooral bij departementen met een krappe begroting, want de minister heeft niet gekozen de kritieke entiteit financieel te ondersteunen.
[0:53:38] kosten gaan af van de eigen begroting.
[0:53:40] Dit kan leiden tot een hoop getouwtrek, met als gevolg dat geen van beiden toezicht en handhaving uitoefent.
[0:53:46] Hoe gaat de minister dit oplossen?
[0:53:48] Tot zover, voorzitter.
[0:53:51] Dank u wel, mevrouw Faber.
[0:53:52] Er zijn geen interrupties.
[0:53:53] Dan is het woord aan mevrouw Martens America van de VVD.
[0:53:58] Ja, dank voorzitter.
[0:53:59] Voorzitter, de microfoon.
[0:54:01] Oh, sorry.
[0:54:03] De digitale wereld krijgt een steeds grotere rol in onze samenleving.
[0:54:07] Belangrijke sectoren zoals zorg, het onderwijs, energiebedrijven en noem maar op.
[0:54:12] Ze kunnen niet meer zonder goed werkende en veilige digitale infrastructuur en geopolitieke spanningen.
[0:54:18] En ook het feit dat onze overheid volledig afhankelijk is van digitale netwerken maakt het invoeren van deze wetten urgenter dan ooit.
[0:54:26] En ons land wordt dagelijks geconfronteerd met hybridedreigingen en aanvallen.
[0:54:29] Een cyberaanval kan voor bedrijven veel schade aanrichten en daarmee ook onze economie en samenleving als geheel raken.
[0:54:36] Soms blijft de online wereld en digitale infrastructuur abstracte begrippen, maar we hebben recent nog gezien welke gevolgen een hek op bijvoorbeeld het bedrijf Odido kan hebben als gevolg voor onze maatschappij.
[0:54:47] Dit is het voorbeeld van een zichtbare situatie.
[0:54:50] Het overgrote aandeel wordt tijdig tegengehouden of bereikt nooit het publieke oog.
[0:54:55] Mijn fractie hoopt dat Nederland en Europa met deze wetten digitaal en fysieke weerbaarheid van belangrijke sectoren tegen cyberaanvallen zal worden versterkt.
[0:55:03] Wat de VVD betreft treden we er ook zo snel mogelijk in werken.
[0:55:06] Maar toch heb ik daarover mijn eerste vraag aan deze minister.
[0:55:09] Waarom heeft deze implementatie daadwerkelijk van deze twee wetten zo lang geduurd?
[0:55:13] En welke gevolgen heeft deze vertraging gehad voor onze cyberveiligheid en bedrijven?
[0:55:19] En hebben er ook al situaties voor gedaan in de tussentijd die ons hebben laten inzien dat er al extra stappen nodig zouden moeten zijn bovenop de bestaande wetten die we op dit moment bespreken?
[0:55:29] En ik wil graag de volgende drie punten maken in mijn bijdrage.
[0:55:34] Duidelijkheid voor ondernemers, de evaluatieperiode en het inrichten van de registratieloketten.
[0:55:39] Als eerste punt, duidelijkheid voor ondernemers.
[0:55:41] Het beschermen van onze bedrijven is ontzettend belangrijk.
[0:55:44] En dat betekent dat we ook de wetgeving moeten aanpassen.
[0:55:47] Processen anders moeten inrichten en als het tegen zit dat de regels voor ondernemers mogelijk complexer worden.
[0:55:53] Wat de VVD betreft is het vooral belangrijk dat de ondernemers, dat het voor hen helder is op welke manier zij met deze nieuwe extra handelingen kunnen bijdragen aan het grote collectief, namelijk de veiligheid van ons land.
[0:56:04] En dat het daadwerkelijk geen papieren tijger gaat worden.
[0:56:08] Mijn vraag aan de minister is dan ook, hoe nemen we deze bedrijven en ondernemers mee in het belang hiervan?
[0:56:13] Het is hier ook al eerder genoemd, vooral de wat kleinere bedrijven die een toch wat zwaardere rol gaan spelen in het grote geheel.
[0:56:18] Hoe maken wij hen duidelijk dat ook zij essentieel zijn in deze uitdaging?
[0:56:23] En waar wordt bijvoorbeeld hun feedback op dit proces en de implementatie van deze wetten daadwerkelijk verzameld?
[0:56:28] En hoe gaan we ervoor zorgen dat zij gehoord worden?
[0:56:31] Daarnaast heb ik een vraag over de bedrijven die in meerdere sectoren actief zijn.
[0:56:35] Voor hen is het nu niet altijd duidelijk onder welke regels zij precies binnen de Cyberbeveiligingswet vallen.
[0:56:41] kunnen de sectordefinities verduidelijkt worden, zodat ondernemers beter weten waar zij aan toe zijn?
[0:56:46] En tot slot op dit punt, hoe worden bestuurders geïnformeerd over alle de te nemen stappen voor zowel de meldplicht, de zorgplicht en de registratieplicht?
[0:56:55] En hoe worden zij hierover geïnformeerd?
[0:56:57] En tot slot op dit punt, hoe voorkomt het kabinet dat bestuurders onnodig in de problemen komen omdat zij per ongeluk een verplichting hebben gemist?
[0:57:05] Dat is mij niet helemaal duidelijk, maar misschien kan de minister hier nog een toelichting
[0:57:08] opgeven.
[0:57:09] En dan de evaluatieperiode.
[0:57:11] Er is hier al eerder een interruptiedebatje over gegaan en ik sluit mij toch wel aan bij de zorgen van de heer Van den Berg dat de termijn van vijf jaar te lang is.
[0:57:21] De wetsvoorstellen worden namelijk naar vijf jaar geëvalueerd en de minister heeft al eerder aangegeven, naar aanleiding van het advies van de ATR, dat de evaluatie van één jaar te vroeg zou zijn voor een zorgvuldige evaluatie.
[0:57:31] Maar ik zou de minister wel willen vragen hoe toch een eerdere evaluatie dan vijf jaar zou kunnen worden uitgevoerd met eigenlijk de argumentatie die de heer van den Bergh al heerder heeft aangevoerd, dat we worden ingehaald door de dagelijkse realiteit.
[0:57:43] En mijn fractie voelt toch wel veel voor een evaluatietermijn van twee jaar.
[0:57:48] dan het inrichten van het registratieloket.
[0:57:50] Zoals ik al eerder heb aangegeven wil ik benadrukken dat deze wetten toch wel echt snel moeten komen en het moment lijkt dan toch eindelijk daar.
[0:57:57] Maar er zal ook zorgvuldig moeten worden gekeken naar het inrichten van bijvoorbeeld het registratieloket voor ondernemers, de registratieplicht, verplicht organisaties zichzelf in te schrijven bij een nationaal register.
[0:58:08] Hier is echter nog wel veel onduidelijkheid over.
[0:58:10] Dat is ook de feedback die wij hebben ontvangen van veel bedrijven.
[0:58:12] Wat kan deze minister doen om informatie over dit loket dan ook zo snel mogelijk te delen met ondernemers zodat ondernemers goed weten waar ze aan toe zijn en ook zo snel mogelijk de eerste stappen kunnen nemen van deze voorbereiding?
[0:58:24] Voorzitter, de VVD is blij met de wetten.
[0:58:26] Het beveiligen van systemen is urgenter dan ook en het vraagt dan ook om goede wetgeving.
[0:58:31] Dank u wel.
[0:58:33] Veel dank voor uw bijdrage en het woord is aan mevrouw Swinkels van het CDA.
[0:58:40] Ja, dank u wel voorzitter.
[0:58:43] Voorzitter, vandaag bespreken we twee wetsvoorstellen die nauw met elkaar samenhangen.
[0:58:47] De wet weerbaarheid kritieke entiteiten en de cyberbeveiligingswet.
[0:58:50] Het eerste voorstel ziet vooral toe op de fysieke en organisatorische weerbaarheid van kritieke entiteiten en het tweede op de digitale weerbaarheid van essentiële en belangrijke entiteiten.
[0:59:00] Samen raken ze direct aan de bescherming van vitale processen en daarmee aan de weerbaarheid van onze samenleving.
[0:59:05] Ik begin met de wet weerbaarheid kritieke entiteiten.
[0:59:08] Met deze wet wordt de Europese CAR-richtlijn geïmplementeerd.
[0:59:11] En daarmee wordt een minimumniveau geïntroduceerd voor de weerbaarheid van SGD-diensten in een aantal vitale sectoren tegen risico's en bedreigingen.
[0:59:19] Het gaat daarbij om diensten die van cruciaal belang zijn voor het functioneren van onze maatschappij, economie, volksgezondheid, openbare veiligheid en milieu.
[0:59:27] Uitval van deze diensten kan verstrekkende en ontwrichtende gevolgen hebben.
[0:59:31] Niet alleen nationaal, maar ook voor de Europese Unie.
[0:59:34] Dat zijn dus niet zomaar sectoren.
[0:59:36] Het zijn sectoren die onze samenleving draaiende en veilig houden.
[0:59:38] En juist daarom is het van groot belang dat hun weerbaarheid structureel wordt versterkt.
[0:59:43] Het CDA onderschrijft daarom ook het uitgangspunt van deze wet en het belang van de voorgestelde risicobeoordelingen.
[0:59:49] Voorzitter, op grond van de CR-richtlijn zijn lidstaten verplicht om een nationale risicobeoordeling op te stellen.
[0:59:55] Daarnaast moeten kritieken en tijden zelf periodiek een risicobeoordeling uitvoeren.
[1:00:00] Kan de minister toelichten hoe deze beoordelingen zich tot elkaar verhouden?
[1:00:05] Hoe wordt voorkomen dat deze trajecten los van elkaar plaatsvinden of leiden tot dubbelingen en vooral veel papierwerk?
[1:00:11] En hoe verhoudt dit zich tot de nationale strategie die ook nog moet worden opgesteld?
[1:00:16] Het CDA hecht eraan dat deze instrumenten elkaar versterken en niet onnodig bijdragen aan extra regeldruk.
[1:00:21] We hadden het er al over.
[1:00:22] De minister heeft in de schriftelijke vragenronde aangegeven dat kleinere entiteiten in het kader van tegengaan van regeldruk zelf de afweging kunnen maken om de risicobeoordeling te laten samenvallen met andere wettelijke verplichtingen die bijvoorbeeld worden voorgesteld in de cybersecuritywet.
[1:00:37] Het CDA vindt het goed dat er wordt gekozen voor maatwerk, maar hoe borgt de minister dat entiteiten weten wat ze nu wel en niet hoeven te doen, welke risicobeoordelingen echt noodzakelijk zijn en welke ook niet?
[1:00:51] Voorzitter, daarbovenop bestaat het beleid rondom de vitale infrastructuur, zoals de Aanpak Vitaal, een collega begon erover, van de NCTV, die sinds 2023 van kracht is.
[1:01:00] Ook deze aanpak richt zich op het vergroten van de weerbaarheid tegen allerlei soorten dreigingen.
[1:01:05] Kan de minister uiteenzetten hoe deze wet zich verhoudt tot de Aanpak Vitaal en andere risicobeoordelingen die door deze wet tot stand moeten komen?
[1:01:14] Op welke manier wordt overlap en versnippering
[1:01:17] voorkomen en wordt ervoor gezorgd voor één samenhangend stelsel waarin duidelijk is wie waarvoor verantwoordelijk is.
[1:01:24] Ook ben ik benieuwd of de minister inmiddels met de Europese Commissie heeft gesproken over het borg van informatieuitwisseling, vertrouwelijkheid en betrouwbaarheid.
[1:01:34] Voorzitter, het lijkt de CDA een goede keuze om de vakministers verantwoordelijk te maken voor de toepassing van de elementen uit deze wet waarbij de minister van Justitie en Veiligheid mede verantwoordelijk is.
[1:01:43] Dat betekent ook dat de risicobeoordeling door de vakminister wordt gedaan wat aansluit bij de sectorspecifieke kennis die nodig is.
[1:01:49] Gaat de minister van Justitie en Veiligheid dan ook waarborgen dat kennis en informatiedeling tussen de vakministers en de kritieken en tijden op orde is?
[1:01:56] Het lijkt me nuttig als ze niet steeds het wiel opnieuw hoeven uit te vinden, maar dat er gebruik kan worden gemaakt van eerdere best practices.
[1:02:04] Hoe gaat de minister voorkomen dat er te veel op eilandjes wordt gewerkt?
[1:02:09] Voorzitter, daarnaast wil ik kort even stilstaan bij de uitvoerbaarheid van deze wet, met name voor kleinere en publiek-private kritiekentiteiten.
[1:02:17] Hoe wordt ervoor gezorgd verplichtingen proportioneel zijn en aansluiten bij de capaciteit en schaal van deze organisaties?
[1:02:24] En op welke wijze ondersteunt de overheid kritiek in tijden bij het versterken van hun weerbaarheid, bijvoorbeeld via richtsnoeren of kennisteding.
[1:02:32] Ook ben ik benieuwd wat de precieze gevolgen gaan zijn voor Nederland en wat betreft de niet-tijdige implementatie van de CR-richtlijn.
[1:02:39] De oorspronkelijke deadline was 17 oktober 2024.
[1:02:43] Wordt hierdoor inderdaad een boete opgelegd aan Nederland?
[1:02:46] En zijn andere lidstaten ook nog steeds bezig met de implementatie of loopt alleen Nederland achter?
[1:02:52] Tot slot op dit eerste wetsvoorstel.
[1:02:54] Een goede samenhang tussen fysieke en digitale weerbaarheid is essentieel.
[1:02:57] In een wereld waarin dreigingen steeds vaker hybride van aard zijn, kan fysieke verstoring niet los worden gezien van cyberdreigingen.
[1:03:04] We zien deze wet dan ook als een belangrijke bouwsteen die goed moet aansluiten op andere wetgevingen, zoals de cyberbeveiligingswet, waar ik het straks over ga hebben.
[1:03:12] Hoe gaat de minister deze samenhang borgen in de praktijk?
[1:03:15] De weerbaarheid van kritieken en tijden is geen luxe, maar een noodzaak.
[1:03:20] Met deze wet zetten we een stap vooruit.
[1:03:23] Vervolgens wil ik ingaan op de cyberbeveiligingswet, de digitale kant, waarmee Nederland de NIS2-richtlijn implementeert.
[1:03:30] Het CDA vindt cybersecurity van grote waarde.
[1:03:32] We hebben de afgelopen weken in het nieuws gezien wat de impact kan zijn.
[1:03:35] Van organisaties die essentiële diensten leveren, mag je verwachten dat ze hun digitale veiligheid op orde hebben.
[1:03:41] En dat geldt des te meer voor entiteiten die onze samenleving draaiende houden.
[1:03:44] Denk aan je telefoonprovider, je bank, energieleverancier, afvalinzameler en ook de gemeente.
[1:03:51] Het is goed dat er een zorgplicht komt en dat we meldplichten en toezicht aanscherpen.
[1:03:55] Het raakt aan de weerbaarheid van onze samenleving en tegelijkertijd geldt met dit wetsvoorstel leggen we wel weer extra verplichtingen vast.
[1:04:02] Dat kan noodzakelijk zijn, maar dan moeten we het stelsel wel robuust en uitvoerbaar maken.
[1:04:07] En juist daar wil ik vandaag een paar punten over uitlichten.
[1:04:11] Allereerst samenhang, variatie en overlap in het toezicht.
[1:04:14] Het kabinet erkent de overlap in toezicht, dat dat niet altijd te voorkomen is en wanneer er verschillende toezichthouders betrokken zijn, maar dat het zoveel mogelijk beperkt moet worden via afstemming, samenwerkingsafspraken en structureel overleg.
[1:04:26] Dat betekent in de praktijk verschillende verplichtingen, verschillende toezichthouders en mogelijk ook verschillende interpretaties.
[1:04:33] Toezicht zal door sectorale toezichthouders worden uitgeoefend die in meer of mindere mate al ervaring hebben op dit gebied van cyberbeveiliging.
[1:04:40] De mate en kwaliteit van toezicht zal ook zeker in het begin waarschijnlijk wisselend zijn en de autoriteit persoonsgegevens geeft aan dat wanneer naast de NIS 2 toezichthouders zij ook bevoegd zijn, niet duidelijk is wie ervoor gaat in het opleggen van eventuele boeten.
[1:04:55] Daarom vraagt de minister hoe ziet de coördinatie er in de uitvoering precies uit.
[1:04:59] En specifieker is er voor organisaties helder wie wanneer hun eerste aanspreekpunt is bij toezicht, handhaving en incidentafhandeling met betrekking tot de cyberbeveiligingswet.
[1:05:10] De afdeling Advisering van de Raad van State vroeg in dit verband terecht om duidelijkheid over de invulling van de kolonierende rol en de taakafbakening in dit stelsel met vele sectoren en partijen.
[1:05:23] Het CDA wil dat niet alleen op papier, maar ook in de praktijk dat strak geregeld zien, juist om die stapeling te voorkomen.
[1:05:30] Ik vraag daarom een toezegging.
[1:05:32] Kan de minister ervoor zorgen
[1:05:33] dat de samenwerksafspraken tussen toezichthouders tijdig, publiek of anders duidelijk zijn, zodat organisaties vooraf weten waar ze aan toe zijn.
[1:05:42] Denk ook aan de kosten.
[1:05:44] Die zijn verbonden aan kennisnamen van hoe het werkt en de eventuele beveiligingsscan of een beveiligingsaudit volgens de ATR, die toezicht op het verminderen van de regeldruk.
[1:05:56] Het volgende onderwerp is AI-gedreven cyberbedreigingen.
[1:06:00] Want het CEA wil een punt aanstippen dat ook in ons gesprek met de Cyber Security Raad nadrukkelijk naar voren kwam.
[1:06:07] De razendsnelle ontwikkelingen rondom Artificial Intelligence vergroot niet alleen onze mogelijkheden aan de verdedigende kant, maar ook de slagkracht van aanvallers.
[1:06:15] Gecoördineerde cyberaanvallen met een groot aantal AI agents ligt op de loer.
[1:06:21] En juist daarom is het van belang dat kennisoverdreigingen, kwetsbaarheden en aanvalspatronen veel sneller en structureler worden gedeeld.
[1:06:29] Die kennisdeling is tot nu toe te beperkt en te versnipperd, zowel tussen organisaties in Nederland als tussen landen die met vergelijkbare dreigingen te maken hebben.
[1:06:38] Is de minister bereid om te bezien hoe die kennisdeling stevig kan worden georganiseerd, niet alleen tussen die uitvoeringsorganisaties en bedrijven hier, maar ook met landen als Frankrijk, Duitsland en het Verenigd Koninkrijk?
[1:06:50] In het kader van snel ontwikkelende AI-gedreven cyberdreigingen is het van belang dat we niet allemaal afzonderlijk het wiel blijven uitvinden.
[1:06:58] Dan kom ik bij uitvoering door het Rijk.
[1:07:01] De uitvoering van het Rijk.
[1:07:02] In de memorie van toelichting staat een tabel met budgettaire gevolgen per departement en dat loopt structureel op tot bijna 83 miljoen euro en dat is fors.
[1:07:12] Op zich ook prima als dat leidt tot aantoonbaar betere ondersteuning, respons en toezicht.
[1:07:18] Betreft dit bijvoorbeeld dan ook de extra capaciteit bij onze uitvoeringsdiensten, zoals een ILT en de NVWA, zodat hier ook geen vertragingen of wachtlijsten ontstaan.
[1:07:26] Ook vraag ik aan de minister, welke concrete prestaties gaan we hiervoor terugzien in het toezicht?
[1:07:32] In dit verband is het ook relevant dat in de memorie wordt vermeld dat het Nationaal Cyber Security Centrum de uitvoerbaarheid haalbaar acht, mits aan randvoorwaarden wordt voldaan, waaronder een realistisch groeipad.
[1:07:46] Kan de minister toelichten hoe dat groeipad eruit ziet nu en hoe wordt geborgd dat toezicht en ondersteuning niet achterblijven bij de snelle verbreding van de doelgroep?
[1:07:56] Welke rol kan de Rijksinspectie Digitale Infrastructuur, RDI, hierin pakken?
[1:08:01] Zij is naast toezichtshouder namelijk ook uitvoerder en kan helpen met die centrale regie.
[1:08:06] Dan kom ik bij het onderwerp van risico op onbewuste non-compliance.
[1:08:10] De rijkwijdte van dit wetsvoorstel is groot.
[1:08:13] In de stukken staat dat naar verwachting circa zo'n 8100 organisaties grotendeels automatisch van rechts wegen onder de cyberbeveiligingswet zullen vallen.
[1:08:24] Ze worden niet individueel aangewezen en niet actief op de hoogte gesteld, maar ze zullen zelf moeten beoordelen of ze onder de wet vallen met ondersteuning van een
[1:08:32] zelf evaluatie tool.
[1:08:34] En dit creëert het risico wat het CDA echt heel serieus neemt, namelijk op onbewuste non-compliance.
[1:08:41] Niet uit ondeel, maar omdat organisaties simpelweg niet doorhebben dat ze onder de wet vallen.
[1:08:46] Zeker als ze onderdeel zijn van een concern structuur of als hun dienstverlening net op een grens zit.
[1:08:52] Ook kunnen organisaties twijfelen over of ze het goed doen en dit willen laten toetsen om eventuele overtredingen op een later moment te voorkomen.
[1:09:00] Is de minister bereid om met name het MKB en kleinere gemeenten hierin te faciliteren?
[1:09:06] Hoe voorkomen we dat juist kwetsbare organisaties met minder capaciteit en expertise achter gaan blijven?
[1:09:13] Het is ook mooi als bedrijven elkaars geleerde lessen kennen.
[1:09:16] Ik refereer er net al even aan.
[1:09:18] De ene ondernemer die het andere vertelt, dat werkt natuurlijk ook altijd goed.
[1:09:22] Op die manier is een hack of een andere kwetsbaarheid geen taboe, maar sta je samen sterker.
[1:09:27] En maak je ook je medewerkers digibewust en bekwaam.
[1:09:32] We hebben ook de oproep ontvangen om organisaties die objectief kenbaar tot taak hebben om die dreigingsinformatie en informatie over cyberincidenten te delen, de zekerheid te geven dat zij ook onder de wet aangemerkt zullen worden als een relevante partij.
[1:09:47] Kan het kabinet zekerheid geven over de status van zulke schakelorganisaties in Nederland?
[1:09:52] Hier zit ook een element van wederkerigheid.
[1:09:54] We mogen veel vragen, maar dan moet de overheid ook leveren.
[1:09:58] Duidelijkheid, praktische hulpmiddelen en uniformiteit in de uitleg en toezicht zijn hierbij onze uitgangspunten.
[1:10:05] De onderwijsinstellingen.
[1:10:08] De CDA-fractie heeft eerder gevraagd naar bepalingen over onderwijsinstellingen.
[1:10:12] De regering geeft in de nota na aanleiding van het verslag aan te hebben besloten dat de bekostigde HBO- en WO-instellingen onder de rijkwijd van de wet worden gebracht zonder onderscheid te maken tussen instellingen met kritieke onderzoeksactiviteiten, mede vanwege samenwerking en onderlinge afhankelijkheid en vanwege uitvoerbaarheid.
[1:10:33] Tegelijk wordt de aanwijzing van deze instellingen als belangrijke of essentiële entiteit nog nader uitgewerkt.
[1:10:38] En mijn vraag is, bedoelt de regering dat de instellingen als geheel worden aangewezen of dat alle instellingen in deze categorie onder het regime moeten vallen, ongeacht profiel, risico en de aanwezigheid van die kritieke onderzoeksactiviteiten?
[1:10:54] En hoe borgt de minister daarbij proportionaliteit, uitvoerbaarheid en die heldere criteria?
[1:10:59] Er leeft hierover ook zorgen in de sector.
[1:11:02] De Universiteit van Nederland wijst op de administratieve lasten, risicoopdubbelingen en onduidelijkheid, juist in een tijd van financiële druk.
[1:11:10] Ook SURF heeft aandacht gevraagd voor de werkbaarheid en het voorkomen van extra administratieve lasten.
[1:11:16] Het CDA zoekt hier een duidelijke middenweg.
[1:11:19] Als we onderwijs aanwijzen, doen we het dan op een manier zodat het voor iedereen werkt en het voortbouwt op hun eerdere inspanningen.
[1:11:26] Dan kom ik bij gekwalificeerde vertrouwensdiensten.
[1:11:29] De autoriteit persoonsgegevens heeft haar zorg met ons gedeeld als het gaat om de verwerking en bewaren van persoonsgegevens.
[1:11:35] In de NIS 2-richtlijn staat dat lidstaten essentiële en belangrijke entiteiten moeten aanmoedigen om gekwalificeerde vertrouwensdiensten te gebruiken.
[1:11:43] In gewone taal gaat het om digitale middelen die helpen om online zeker te vaststellen met wie je zaken doet en of informatie of documenten echt en betrouwbaar zijn.
[1:11:54] Voor dit soort vertrouwensdiensten bestaat al heel veel Europese regels.
[1:11:59] Maar ik zie nog niet duidelijk hoe Nederland het gebruikje van nu actief wil stimuleren.
[1:12:05] Kan de staatssecretaris de minister daarop reflecteren?
[1:12:09] En is hij bereid toe te zeggen, de Kamer daarover te informeren?
[1:12:13] Bijvoorbeeld voor de zomer met een brief.
[1:12:16] Tot slot, voorzitter, ik rond af.
[1:12:18] Het CDA steunt beide wetsvoorstellen in hun doel.
[1:12:21] Het versterken van de weerbaarheid van onze samenleving, fysiek en digitaal.
[1:12:25] Maar grote wetten met een grote rijkwijd moeten ook begrijpelijk, uitvoerbaar en proportioneel zijn.
[1:12:31] Als we veel vragen van organisaties, moet de overheid ook zichtbaar leveren, zodat organisaties weten waar ze aan toe zijn.
[1:12:37] Ik hoor graag de reactie van de minister op de gestelde vragen en de gevraagde toezeggingen.
[1:12:41] Dank u wel.
[1:12:42] Dank u wel voor het bijdragen en dan gaan we naar mevrouw El Boedjani van D66.
[1:12:52] Dank u wel, voorzitter.
[1:12:54] Voorzitter, cyberveiligheid en weerbaarheid van kritieke entiteiten klinkt voor veel mensen als iets abstracts.
[1:13:01] Iets voor experts en techbedrijven, maar niets is minder waar.
[1:13:05] Cyberveiligheid gaat over het dagelijks leven van mensen.
[1:13:08] Over of je ochtends je pinpas kan gebruiken, of je de trein naar je werk haalt, of het licht het nog doet wanneer je thuiskomt.
[1:13:15] Het gaat over vertrouwen, vertrouwen dat de systemen waar we elke dag op leunen het gewoon doen.
[1:13:21] Want stel je eens voor dat dat vertrouwen wegvalt, dat het betalingsverkeer dus plat ligt, drinkwatervoorzieningen, de energievoorzieningen of telecomnetwerken uitvallen.
[1:13:30] Dat mensen letterlijk in het donker zitten, geen verwarming, geen bereik, geen toegang tot informatie.
[1:13:37] Dat zijn reële scenario's.
[1:13:39] Scenario's die we in Europa al hebben zien gebeuren.
[1:13:42] En juist daarom is de weerbaarheid van onze kritieke entiteiten geen technisch detail, maar een maatschappelijke randvoorwaarde.
[1:13:50] Als we dit niet goed regelen, zijn het niet systemen die falen, het zijn mensen die de gevolgen dragen en er last van hebben.
[1:13:58] Voorzitter, voor D66 betekent dit dat we de digitale infrastructuur net zo serieus beschermen als onze fysieke infrastructuur.
[1:14:07] Daarom spreken we vandaag ook over de wet weerbaarheid, kritieke entiteiten en de cyberbeveiligingswet.
[1:14:13] En dat is hard nodig, want Nederland loopt achter met de implementatie terwijl de dreiging toeneemt.
[1:14:19] Deze wetten moeten voor zorgen dat kritieke entiteiten zoals energievoorzieningen, drinkwatervoorzieningen, gemalen en telecombedrijven beter beschermd en voorbereid zijn op incidenten.
[1:14:30] Dat organisaties risico's in beeld hebben, maatregelen nemen en samenwerken om schade te beperken.
[1:14:37] En dat gemeentes en veiligheidsregio's weten wat hen te doen staat.
[1:14:41] Want de vraag is niet of we onze weerbaarheid versterken, maar hoe we dat gaan doen.
[1:14:46] Met wetgeving die ambitieus is, maar ook helder en uitvoerbaar.
[1:14:50] Want we kunnen digitaal en fysiek weerbaarder worden.
[1:14:54] Dat vraagt om een balans tussen veiligheid en uitvoerbaarheid, tussen toezicht en vertrouwen, tussen Europese verplichtingen en nationale aanpak.
[1:15:02] In dat licht wil ik vandaag een aantal punten bespreken.
[1:15:06] Allereerst sta ik stil bij de kwestie rondom Odido.
[1:15:11] Daarna bespreek ik de wet weerbaarheid kritieke entiteiten, vervolgens de cyberbeveiligingswet en tot slot hoe deze wetten volgens onze fractie nog robuuster kunnen worden.
[1:15:22] Ik begin bij Odido, voorzitter.
[1:15:23] De Odido-kwestie benadrukt waarom wij vandaag debatteren over deze wetten.
[1:15:28] Het maakt pijnlijk duidelijk hoe kwetsbaar onze digitale infrastructuur is als beveiliging tekortschiet.
[1:15:35] Want wanneer gegevens van miljoenen mensen op straat belanden, raakt dat niet alleen hun privacy, maar ook het vertrouwen in de overheid en bedrijven.
[1:15:43] Met risico's als identiteitsfraude, misbruik en langdurige onzekerheid.
[1:15:48] Dit raakt mensen dus echt.
[1:15:50] De Odido kwestie laat ook zien dat wetgeving op zichzelf niet genoeg is.
[1:15:55] Vanuit de telecomwet is er al een meldplicht en een zorgplicht over serbeveiligheid, maar uiteindelijk moet het dus in de praktijk goed gaan en het moet gaan leven.
[1:16:05] Daarom mijn vraag.
[1:16:07] Hoe gaan we ervoor zorgen dat de consequenties zo klein mogelijk zijn bij dit soort datalekken van zo'n omvang?
[1:16:13] Want helemaal voorkomen kan jammer genoeg niet.
[1:16:16] En ziet de minister dan ook dat de cyberbeveiligingswet en de wet weerbaarheid kritieke entiteiten de kans op dit soort datalekken kan verkleinen?
[1:16:25] Voorzitter, het grootschalige incident van Odido staat niet op zichzelf.
[1:16:30] Daar is veel misgegaan, maar een cyberaanval kan iedere sector overkomen.
[1:16:35] Naar verwachting zullen ruim 8100 organisaties onder de cyberbeveiligingswet en de wet weerbaarheid kritieke entiteiten vallen.
[1:16:44] Dat vraagt om een zorgvuldige wetsbehandeling, zodat onze cruciale sectoren beter voorbereid zijn op cyberbedreigingen en daar snel op kunnen reageren.
[1:16:54] Zo voorkomen we dat incidenten zoals bij Odido een nieuwe realiteit worden, of in ieder geval de consequenties ervan.
[1:17:02] Voorzitter, ik zei het al in mijn inleiding, maar de digitale wereld staat onder druk met gevolgen voor onze fysieke veiligheid.
[1:17:08] De wet weerbaarheid kritieke entiteiten beoogt deze veiligheid te waarborgen door organisaties die diensten aanbieden die cruciaal zijn voor het goed functioneren van onze maatschappij.
[1:17:19] Hier ook dus aan te laten voldoen.
[1:17:21] Een groot deel hiervan was ook al het geval onder de aanpak vitaal.
[1:17:25] In plaats van vitale aanbieders worden er onder de nieuwe wet zogenaamde kritieke entiteiten aangewezen.
[1:17:31] of althans, zij moeten zichzelf aanwijzen.
[1:17:35] Dat zijn dus organisaties die één of meerdere essentiële diensten aanbieden die onze maatschappij draaiende houden.
[1:17:42] Wanneer dit wordt verstoord en uitvalt door een cyberaanval heeft dat dus grote gevolgen voor mensen.
[1:17:47] Het is daarom van groot maatschappelijk belang dat de overgang van Aanpak Vitaal naar de wet Weerbaarheid Kritieke Entiteiten helder is voor organisaties.
[1:17:57] Daarom mijn volgende vragen.
[1:17:59] Welk deel van de wet Weerbaarheid Kritieke Entiteiten vervangt de Aanpak Vitaal en hoe verhouden deze twee regimes zich straks ten opzichte van elkaar?
[1:18:09] Zijn straks alle vitale aanbieders kritieke entiteiten onder de WWKE?
[1:18:14] En welke organisaties worden daar eventueel nog aan toegevoegd?
[1:18:19] En tot slot is er een verschil tussen een kritieke entiteit en een essentiële entiteit onder de Cyberbeveiligingswet.
[1:18:26] Want een kritieke entiteit is ook automatisch een essentiële entiteit onder de Cyberbeveiligingswet.
[1:18:33] Verder wil ik toch nog aandacht vragen voor digitale soevereiniteit.
[1:18:38] Want weerbare kritieke entiteiten zijn belangrijker dan ooit, met name in het licht van het maatschappelijk debat over digitale soevereiniteit.
[1:18:46] Er moeten strategische keuzes worden gemaakt van wie wil je nou digitale diensten afnemen en waarvoor.
[1:18:52] Waar deze worden ingekocht doet er daadwerkelijk toe.
[1:18:56] Digitale soevereiniteit gaat ook verder dan alleen de overheid.
[1:18:59] Dat laten deze wetten zien.
[1:19:01] Het gaat om de keuzes die andere organisaties en bedrijven maken.
[1:19:07] Want alleen als overheid, samenleving en bedrijven hier samen aan werken, worden we als Nederland digitaal weerbaar.
[1:19:13] Veel organisaties, dus ook de kritieke entiteiten, staan voor hetzelfde vraagstuk als de overheid.
[1:19:19] Zoals de betaalinfrastructuur, ziekenhuizen en onderwijsinstellingen.
[1:19:24] Want hoe moeten zij digitaal soeverein worden?
[1:19:27] Kunnen we misschien een gezamenlijke aanpak maken?
[1:19:29] Daarom mijn volgende vraag.
[1:19:31] Kan de minister aangeven of er gewerkt gaat worden aan een aanpak om deze kritieke entiteiten ook meer digitaal soeverein te maken?
[1:19:38] Zo niet is de minister bereid om dit te doen.
[1:19:42] Dan, voorzitter, wil ik nog licht schijnen op de particuliere beveiligingsbedrijven.
[1:19:47] Zij zijn ook vaak uitvoerders van weerbaarheidsmaatregelen bij kritieke entiteiten.
[1:19:52] Vanuit die hoek hebben we ook verschillende geluiden gehoord.
[1:19:54] Dit zijn bedrijven die werken aan toegangscontroles, bewaking en detectie, maar bijvoorbeeld ook aan personeelsbeveiliging en crisisbeheersing.
[1:20:04] Scherp hebben wat hun positie is in het kader van de WWKE is dus cruciaal.
[1:20:09] Kan de minister toelichten of en hoe de structurele betrokkenheid van de particuliere beveiligingssector bij oefeningen en scenario's voor incidenten wordt geborgd, zodat we met z'n allen goed voorbereid zijn?
[1:20:22] Kan de minister ook uiteenzetten of en hoe deze private beveiligingsbedrijven meer duidelijkheid kunnen krijgen over hun rollen, verantwoordelijkheden en aansprakelijkheden?
[1:20:31] bij de implementatie van deze wetten.
[1:20:34] En kan de minister toelichten hoe wordt geborgd dat er heldere afspraken komen over de noodzakelijke informatieuitwisseling tussen publieke crisisorganisaties, kritieke entiteiten en private veiligheidsbedrijven tijdens de crisis.
[1:20:48] U heeft een interruptie van de heer Van den Berg van JA21.
[1:20:51] Dank voorzitter.
[1:20:52] Ik hoorde net mevrouw El Boedjani van D66 het punt maken over de behoefte aan soevereiniteit voor bedrijven en of de minister daar ook eventueel werk van wil maken.
[1:21:01] Hoe ziet mevrouw El Boedjani dat voor zich in het kader van deze twee wetten?
[1:21:05] Ik vind het belangrijk, maar in het kader van deze wetten, hoe ziet mevrouw El Boedjani dat voor zich?
[1:21:11] Mevrouw El Boedjani.
[1:21:13] Ik denk dat deze twee wetten heel erg goed laten zien hoe belangrijk het dus is dat we onze kritieke entiteiten beschermen.
[1:21:20] En volgens onze fractie gaat dat ook wel verder dan alleen kijken naar wat hun taken zijn, maar ook waar maken zij daadwerkelijk gebruik van.
[1:21:30] We hebben de afgelopen maanden gezien dat het uitmaakt voor welke leveranciers en aanbieders je kiest.
[1:21:36] en dat ook in het kader van wij als overheidsorganisaties.
[1:21:40] En wij als overheidsorganisaties kunnen ook de bestempeling krijgen van een kritieke entiteit.
[1:21:47] Dus ik denk dat het heel belangrijk is dat we juist ook een stukje verder kijken naar voor welke leveranciers kiezen zij en brengt dat misschien ook bepaalde risico's met zich mee, want ook dat kan ervoor zorgen dat er bijvoorbeeld bepaalde cyberdreigingen om de hoek liggen.
[1:22:05] De heer van den Berge vroeg een interruptie.
[1:22:07] Ja, zou dat dan ook zijn in het kader van artikel 18 van het cyberbeveiligingsbesluit?
[1:22:11] Dus dat besluit wat dan de te vergaande bevoegdheid geeft aan de overheid om in het kader van nationale veiligheid bedrijven te dwingen om bepaalde diensten niet meer af te nemen?
[1:22:21] Of juist wel?
[1:22:23] Moet ik dat dan zo zien?
[1:22:24] Mevrouw Elbouchiani.
[1:22:27] Het woord dwingen, dat heb ik niet gezegd, voorzitter.
[1:22:35] Maar ik denk in eerste instantie dus dat het wel goed is om te kijken naar een aanpak hiervoor en of dat dan meteen afdwingbaar is.
[1:22:44] Of niet, dat ligt er eigenlijk aan of de wet daarop wordt aangepast.
[1:22:47] Ik vraag op dit moment dus niet om een amendement hierop, die heb ik ook niet.
[1:22:51] En daarom eigenlijk eerst de vraag aan de minister of hij bereid is om zo'n aanpak op te zetten.
[1:22:59] En daarna kunnen we denk ik verder kijken.
[1:23:02] En kijken wat we dus daadwerkelijk kunnen verplichten.
[1:23:07] De heer Van den Berg.
[1:23:09] Ja, nogmaals, het was meer de vraag ook inderdaad van bent u daartoe bereid en ik hoor daar duidelijk ja, nee, maar ook alweer de vraag en de minister van wellicht verplichten.
[1:23:18] Ik ben ons nogal benieuwd van wat is uw eigen visie erop of van mevrouw El-Badjani, hoe we dat dan in het kader van deze wet die echt gaat over cyberveiliging en over die weerbare kritieke entiteiten, hoe we in dat kader dan
[1:23:30] die soevereiniteit dan kunnen stimuleren, want ik zou weer niet willen zeggen borgen, omdat dat los staat van deze wet.
[1:23:37] Ik probeer hem gewoon even uit te denken hoe we dat praktisch zouden kunnen inpassen.
[1:23:43] Volgens mij zijn deze wetten er juist voor dat wij als samenleving zo veilig mogelijk ons leven kunnen leven en onze gegevens veilig staan en de organisaties die een maatschappelijke verantwoordelijkheid hebben over bijvoorbeeld energievoorzieningen of het verkeersmanagement of telecombedrijven, dat zij juist ook vanuit
[1:24:08] zeg maar hun eigen systemen ook veilig zijn van binnen, zodat ze die veiligheid ons ook kunnen garanderen.
[1:24:14] Dus nogmaals denk ik dat we daar dus wel naar moeten kijken, omdat het dus daadwerkelijk wel uitmaakt welke software en systemen je inkoopt als organisatie en wat er dan vervolgens wordt gebruikt om ons als samenleving die veiligheid te kunnen garanderen.
[1:24:32] We hebben allemaal gezien dat, en dit is echt een voorbeeld dat natuurlijk al vaker wordt gebruikt,
[1:24:37] Vorig jaar is het internationaal strafhof natuurlijk geraakt, door Microsoft ook, doordat ze in één keer hun diensten niet meer konden gebruiken, of althans een aantal mensen daarvan, omdat ze waren gesanctioneerd.
[1:24:51] Ik denk dat dat soort voorbeelden heel erg tekenend zijn, dat we niet moeten willen dat bepaalde kritieke entiteiten ook zo kwetsbaar kunnen zijn en zo afhankelijk zijn in de dienstverlening die zij ons verlenen, omdat ze dus een bepaalde keuze hebben gemaakt
[1:25:06] voor een leverancier.
[1:25:09] En klopt, er staat niks over in deze wetten, maar daarom dus eigenlijk ook mijn vraag richting de minister.
[1:25:14] Ik zou het in dit kader van de veiligheid die we moeten kunnen garanderen wel willen vragen om een aanpak.
[1:25:22] Mevrouw Obudjani, u kunt verder met uw betoog.
[1:25:25] Ja, dank u wel.
[1:25:27] Voorzitter, dan ga ik het over de Cyberbeveiligingswet hebben.
[1:25:31] Het is goed dat we deze wet gelijktijdig behandelen met de WWKE.
[1:25:35] Een kritieke entiteit onder de WWKE is dus ook een essentiële entiteit onder de Cyberbeveiligingswet.
[1:25:42] Daar dat gezegd hebben, wil ik het dus ook hebben over het lokaal bestuur.
[1:25:48] Want het lokaal bestuur is onze fractie veel waard.
[1:25:52] Wij zetten gemeenten dan ook graag in hun kracht.
[1:25:54] Stelt u zich eens voor de aansturing van gemalen wordt verstoord.
[1:25:58] Dit veroorzaakt wateroverlast in woonwijken of verkeersmanagementsystemen die worden gehackt en het niet meer doen.
[1:26:04] Dit betekent chaos in het verkeer.
[1:26:07] Dan zijn het dus gemeenten die moeten ingrijpen om de inwoners te beschermen en de orde in hun eigen gemeente weer te kunnen herstellen.
[1:26:16] De burgemeester met de veiligheidsregio's zijn daar verantwoordelijk voor.
[1:26:20] Maar zij moeten wel weten wat er precies aan de hand is, wat de oorzaak van het incident is, ook om preventieve maatregelen in de toekomst te kunnen nemen.
[1:26:29] En juist daarom is de uitvoering van de cyberbeveiligingswet zo cruciaal.
[1:26:34] Die wet is zo sterk als de informatie die wordt gedeeld en de partijen die daarop kunnen handelen.
[1:26:40] Daarom vinden wij het belangrijk dat de burgemeesters en de veiligheidsregio's weten wat er zich afspeelt binnen de gemeente om veiligheid te kunnen waarborgen.
[1:26:49] Die minister geeft in een schriftelijke beantwoording echter aan dat de Cyberbeveiligingswet, het NCSC, geen ruimte biedt om informatie te delen die geen betrekking heeft op de eigen cyberveiligheid van de gemeente.
[1:27:03] Dat betekent dat de gemeente als organisatie wel wordt geïnformeerd over hun eigen cyberveiligheid, maar niet over wat zich op het gebied van cyberveiligheid afspeelt bij belangrijke en essentiële entiteiten binnen hun gemeentegrenzen.
[1:27:19] Terzij er sprake is van nationale opschaling van zo'n incident.
[1:27:24] Juist die informatie hebben gemeenten nodig om de lokale impact van cyberbedreigingen op de openbare orde en veiligheid binnen hun gemeentegrenzen te kunnen duiden.
[1:27:34] Om die reden heb ik hierover een amendement ingediend.
[1:27:37] Wij begrijpen dat dit ook een extra verantwoordelijkheid is voor het NCSC, maar zij beschikken al over deze informatie en wij vragen of zij deze informatie willen delen met de burgemeesters en de voorzitters van de veiligheidsregio's.
[1:27:51] Hiermee wordt voorkomen dat gemeenten ieder afzonderlijk aanvullende afspraken moeten maken met bepaalde organisaties binnen hun gemeentegrenzen.
[1:28:01] Dit versterkt de aanpak van cyberincidenten die gevolgen hebben voor de openbare orde en veiligheid.
[1:28:07] En het zorgt er ook voor dat gemeentes zich veel beter kunnen voorbereiden op crisisincidenten binnen hun gemeentegrenzen in de toekomst.
[1:28:15] Wij kijken dan ook uit naar de appreciatie van de minister.
[1:28:19] Voorzitter, de WWKE en de Cyberbeveiligingswet zien op het Europees deel van Nederland.
[1:28:25] Mijn collega Van den Berg begon er ook al over.
[1:28:28] Dat is wetstechnisch begrijpelijk, omdat het hier gaat om de implementatie van Europese regelgeving.
[1:28:34] Tegelijkertijd mogen we het belang van het Caribisch deel van Nederland niet uit het oog verliezen.
[1:28:40] Ook in het Caribisch deel is het van groot belang dat de digitale weerbaarheid wordt versterkt.
[1:28:45] Zo was er in 2022 nog een ransomwareaanval op het enige water- en elektriciteitsbedrijf van Sint Maarten.
[1:28:52] Door de aanval verloor het bedrijf de toegang tot financiële data, terwijl er geen recente backup beschikbaar was.
[1:28:58] Tot op de dag van vandaag ervaren mensen hier nog de consequenties van op Sint Maarten.
[1:29:04] In Aruba was er ook een ransomwareaanval op een ziekenhuis.
[1:29:07] De aanval verstoorde de bedrijfsvoering en de operationele uitvoering van werkzaamheden.
[1:29:12] Dit had impact op de dienstverlening en richting de patiënten.
[1:29:18] Gemeenschappelijke voorzieningen, overheidsdiensten en bedrijven op het Caribisch deel van Nederland zijn ook in toenemende mate afhankelijk van digitale systemen.
[1:29:26] Daarom is het van belang dat ook inwoners van het Caribisch deel kunnen rekenen op een passend niveau van digitale bescherming en weerbaarheid.
[1:29:34] Er is al een veiligheidsstrategie voor het Koninkrijk der Nederlanden.
[1:29:38] Dat is een goed begin, maar biedt nog niet genoeg handelingsperspectief.
[1:29:42] Daarom heb ik de volgende vraag aan de minister.
[1:29:45] Werkt het kabinet aan een concreet plan of een routekaart om te komen tot een cybersecurity stelsel voor het Caribisch deel van Nederland dat zoveel mogelijk aansluit op het niveau van digitale bescherming en weerbaarheid als hier in Nederland?
[1:29:59] En wordt het Caribisch deel van het Koninkrijk bij de ontwikkeling van dat stelsel dan betrokken?
[1:30:04] Zo ja, op welke manier?
[1:30:06] En kan de minister aangeven welke tijd het kabinet voor ogen heeft om tot zo'n dergelijk beschermingsniveau voor het Caribisch deel te komen?
[1:30:14] Voorzitter, ik ben bijna klaar, maar ik wil het graag nog even hebben over toezicht.
[1:30:21] Want wij hechten aan een ambitieus, maar ook helder en uitvoerbaar pakket maatregelen om onze cyberveiligheid te versterken.
[1:30:29] Voor onze fractie geldt daarbij vereenvoudigen waar kan, maar maatwerk waar nodig.
[1:30:34] Afstemming tussen toezichthouders is essentieel om dubbele toezichtslasten te voorkomen.
[1:30:39] De minister geeft aan dat hierover sectorale samenwerkingsafspraken zullen worden gemaakt en dat de toezichthoudende instanties op de Cyberbeveiligingswet samenwerken in het door de RDI opgerichte directeurenoverleg, het DTWD, om zo te werken aan een gezamenlijk en meer geharmoniseerde aanpak van toezicht op digitale weerbaarheid.
[1:31:03] Maar daar ziet mijn fractie zeker, dat zien we als wenselijke stappen.
[1:31:08] Tegelijkertijd hebben we wel nog enkele vragen.
[1:31:11] Worden deze samenwerkingsafspraken uiteindelijk in alle sectoren gemaakt of zijn er nog sectoren waar dat nog niet gebeurt?
[1:31:19] En zijn in die zin dan alle blinde vlekken in het toezicht daarmee in kaart gebracht en straks ook opgelost?
[1:31:25] En hoe verhoudt de coördinerende taak en stelselverantwoordelijkheid van de minister zich tot dit directeurenoverleg?
[1:31:33] En tot slot, in hoeverre worden organisaties die onder dit toezicht vallen betrokken of geconsulteerd bij de afspraken die in dit overleg worden gemaakt?
[1:31:44] Voorzitter, ik rond af.
[1:31:46] Deze wetten gaan uiteindelijk over mensen.
[1:31:49] Over de zekerheid dat je ochtends gewoon naar je werk kunt, dat het lichte doet, dat je water uit de kraan krijgt en dat je erop kunt vertrouwen dat je gegevens veilig zijn.
[1:31:58] De wet Weerbaarheid, Kritieke Entiteiten en de Cyberbeveiligingswet zijn belangrijke stappen om die zekerheid beter te beschermen in een wereld waarin dreigingen steeds minder zichtbaar zijn, maar steeds ingrijpender worden.
[1:32:11] Daarom zijn duidelijke regels, waar organisaties mee uit de voeten kunnen, belangrijk.
[1:32:16] Zodat verplichtingen niet alleen op papier werken, maar ook in de praktijk.
[1:32:20] Als we dat goed doen, dan bouwen we aan weerbaarheid en voorzieningen die blijven draaien.
[1:32:25] En daar ziet mijn fractie na uit.
[1:32:27] Dank u wel.
[1:32:28] Dank voor uw bijdrage.
[1:32:29] U heeft verder geen interrupties.
[1:32:30] Dan gaan we naar de heer Van Dijk van de PVV.
[1:32:33] Ja, dank u wel, voorzitter.
[1:32:35] Voorzitter, de cyberbeveiligingswet, de Nederlandse vertaling van de Europese NIS2-richtlijn, is Brusselse regelgeving in optima forma.
[1:32:42] Het is weer een berg nieuwe regels die vanuit de EU op worden gelegd aan Nederland.
[1:32:47] En het is waar, het klinkt op papier niet eens zo heel slecht.
[1:32:50] Zorgen dat onze digitale systemen beter beschermd zijn tegen hackers, ransomware en andere cyberdreigingen.
[1:32:55] Want ja, niemand wil dat de stroom uitvalt, treinen stilvallen, ziekenhuizen plat liggen of banken gehackt worden.
[1:33:01] Maar zoals altijd met EU-regelgeving wordt het een enorme administratieve rompslomp met hoge kosten, vooral voor bedrijven en uiteindelijk ook voor de gewone Nederlander.
[1:33:10] Voorzitter, deze wet treft zo'n 8100 bedrijven en organisaties in Nederland en dat is veel meer dan onder de oude regels.
[1:33:16] Denk aan energiebedrijven, vervoerders, luchtvaart, spoor, wegscheepvaart, drinkwater en afvalbedrijven, ziekenhuizen, zorginstellingen, banken en financiële partijen die deels overlappen met andere regels, grote cloudaanbieders, internet providers, social media platforms,
[1:33:31] Zoekmachines, postbedrijven, noem het maar op.
[1:33:33] Maar ook gemeentewaterschappen en sommige onderwijsinstellingen.
[1:33:36] Er wordt onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten.
[1:33:41] Veel middelgrote en grote bedrijven vallen er automatisch onder als ze meer dan 50 werknemers hebben of meer dan 10 miljoen euro omzet draaien.
[1:33:48] En wat moeten die bedrijven dan allemaal doen straks?
[1:33:51] Ze krijgen dus een zorgplicht, moeten risico's inschatten,
[1:33:53] maatregelen nemen om hacks te voorkomen, betere beveiliging van systemen, trainen van personeel, bescherming van hun toeleveranciers, een veilige ontwikkeling van software en fysieke beveiliging van servers.
[1:34:04] En bij een serieuze cyberaanval of storing moet ze binnen 24 uur melding doen bij de overheid via een centraal loket, gevolgd door updates en een eindrapport.
[1:34:12] Bestuurders moeten een cybertraining volgen en zich blijven bijscholen.
[1:34:15] Er komt ook een registerplicht en periodieke checks door toezichthouders en wie niet meewerkt riskeert boetes tot 10 miljoen euro of
[1:34:22] 2% van de wereldwijde omzet.
[1:34:24] En dat zijn forse bedragen die een bedrijf kapot kunnen maken.
[1:34:28] De kosten die zijn niet mals.
[1:34:29] Bedrijven betalen het grotendeel zelf audits, externe adviseurs, trainingen, nieuwe software for hardware en uit schattingen blijkt dat middelgrote bedrijven structureel zo'n 1246 uur per jaar kwijt zijn aan al die regels.
[1:34:41] En dat is meer dan een half jaar fulltime werk voor één persoon.
[1:34:44] Eenmalig investeren ze gemiddeld rond de 25.000 euro en grote bedrijven zelfs 44.000 euro of meer, plus jaarlijks 10.000 euro's aan doorlopende kosten.
[1:34:53] Voor kleine ondernemers in de keten seipelt het allemaal door.
[1:34:56] Hogere prijzen voor energie, zorg, vervoer of online diensten.
[1:35:00] Uiteindelijk betaalt de burger het.
[1:35:02] Hogere rekeningen, duurdere boodschappen en tragere leveringen.
[1:35:05] En dat terwijl Nederland al kampt met hoge lasten en een economie die kraakt onder de regeldrukt.
[1:35:10] En de PVV is daar geen voorstander van.
[1:35:12] Wij zeggen hier nee tegen.
[1:35:13] De cyberbeveiliging is belangrijk.
[1:35:15] We willen immers geen Chinezen of Russische hackers die ons land lam leggen.
[1:35:18] Maar dit moet nationaal en slim gebeuren en niet via diktaten uit Brussel met een one-size-fits-all aanpak.
[1:35:25] Meneer Van Dijk, u heeft eerst een introductie, als ik het goed heb, van mevrouw Swinkels en dan van mevrouw Martens van Amerika.
[1:35:30] Mevrouw Swinkels.
[1:35:31] Die kleine en middelgrote bedrijven de nek omdraaien.
[1:35:33] Ik had dus niet een goed puntje gevonden.
[1:35:35] Ik dacht van wel.
[1:35:36] Mevrouw Swinkels van het CDA.
[1:35:39] Ja, dank voorzitter.
[1:35:40] Ja, op zich terechte punten dat we de regeldruk in de gaten moeten houden.
[1:35:44] En ja, daar heb ik ook een punt van gemaakt in mijn inbreng.
[1:35:47] Alleen de kant waar dit nu helemaal op gaat met PV.
[1:35:50] Dat kan ik echt helemaal niet volgen, want we hebben vorige week ook nog een debat gehad over over Odido en aanleiding van de heksen die daarin plaatsgevonden.
[1:35:58] En dan blaast PVV ook hoog van de toren met hoe kan dit en wat schande en weet ik het allemaal.
[1:36:06] Ja, maar deze wetgeving is juist voor bedoeld om dat grotendeels te voorkomen en ervoor te zorgen dat die bedrijven zoals Olido ook een zorgplicht hebben naar hun klanten, burgers die daar hun data hebben.
[1:36:19] Dat kan niet allebei waar zijn.
[1:36:21] Dus waarom is de PVV echt niet bereid om hierin te investeren en voorzien ze er ook niet in dat dit juist ook heel veel risico's bij die bedrijven en daarmee ook voor onze burgers voorkomen kunnen worden.
[1:36:33] Die databeschermingregelgeving bestond natuurlijk bij Odidal.
[1:36:38] Ze hebben zich niet aan de regels gehouden.
[1:36:40] Ze hebben data onnodig lang opgeslagen en dat is dus met de huidige regelgeving al niet voorkomen.
[1:36:46] Dus als we nu al de huidige regelgeving niet verbieden om bepaalde data zoals kopies van paspoort, rijbewijs, adresgegevens langer dan nodig te bewaren, als dat nu dus al niet gehandhaafd wordt,
[1:36:57] Ja, wat heeft het dan voor nut om nog zo'n hele lading Brusselse regelgeving erop los te laten, terwijl dus Odilo die zaak juist bewezen heeft dat het al niet werkt zoals het nu gaat?
[1:37:09] Mevrouw Swinkels.
[1:37:10] Ja, heel simpel.
[1:37:11] Dat is ook helemaal de reden waarom we dit beleid moeten aanscherpen met elkaar.
[1:37:15] Waarom deze maatregelen nodig zijn.
[1:37:16] Omdat we in de praktijk zien dat het niet toereikend is.
[1:37:20] En dan hoor ik de PV ook van, ja, wat een schande dat er allemaal boetes zouden worden uitgedeeld.
[1:37:25] Maar dan denk ik bij mezelf, ja, het is ook voor een bedrijf vrij duur als ze allemaal losgeld moeten betalen.
[1:37:30] En dat ze voor het dilemma komen te staan dat ze het wel of niet gaan doen.
[1:37:34] Ja, en ik vraag me dan af, zou dan Odido, ja, eventueel geen boete moeten betalen volgens het PVV.
[1:37:39] Ik kan, ik volg het gewoon totaal niet waar de pleidooi van het PVV naartoe gaat.
[1:37:44] En ik hoop toch echt dat, ja, dat er wel iets meer steun kan komen voor hoe we dit samen, ja, hoe we samen weerbaarder gaan worden.
[1:37:53] Nou voorzitter, daar zijn wij als partij niet over uit wat we met dit pakket doen.
[1:37:59] We hinken op twee benen.
[1:38:00] Aan de ene kant is het belangrijk dat je actie onderneemt voor je eigen cyberveiligheid.
[1:38:05] Aan de andere kant is dit weer Brusselse overregulering en ik denk dat we de Europese Unie daar niet voor nodig hebben om zelf onze zaakjes op orde te hebben.
[1:38:15] Om terug te komen op het Odilo-verhaal is natuurlijk een compleet andere situatie.
[1:38:20] Er was regelgeving en er is regelgeving.
[1:38:22] actief momenteel.
[1:38:29] Ondanks dat we die regelgeving op zijn plek hebben, heeft het bedrijf zich daar niet aan gehouden.
[1:38:34] Dus om dan in de reflex te schieten van die regelgeving die we nu hebben en die nu in werking is, daar wordt niet aan gehouden, dus komen we met een hele lading aan extra regelgeving.
[1:38:44] Ik snap die logica echt niet en ik ga daar dan ook niet in mee, voorzitter.
[1:38:48] Mevrouw Swinkels.
[1:38:51] Ja, dank, voorzitter.
[1:38:53] Mijn punt blijft ook staan ten aanzien van die boetes, waarvan ik dan denk, ja, dat regelen we nu juist met elkaar om daar op een structurele manier een aanpak voor te hebben.
[1:39:02] Ja, en tot slot ten aanzien van Europa.
[1:39:03] Ik denk juist voor bedrijven die ook bijvoorbeeld in meerdere landen actief zijn, dat het echt heel erg belangrijk is dat we
[1:39:10] niet allerlei verschillende interpretaties hebben, maar dat we zulke Europese wetgeving juist implementeren op zo'n uniform mogelijke manier, dat harmoniseren, zodat bedrijven daar ook vanop aan kunnen waar ze aan toe zijn.
[1:39:23] Dus ik denk dat het juist heel erg belangrijk is dat niet alle lidstaten los van elkaar weer allemaal regels gaan bedenken, maar dat we dit op een vergelijkbare manier uitvoeren.
[1:39:33] Dus ik denk dat dat juist kan leiden tot minder regeldruk.
[1:39:39] Het zou kunnen leiden tot minder regeldruk, maar in de praktijk zien we altijd dat de Europese Unie niet zorgt voor minder regeldruk, maar enkel voor meer regeldruk.
[1:39:46] En nogmaals om terug te komen op het verhaal van Odido, als je 7 miljoen adressen en persoonsgegevens en dergelijke op straat hebt laten komen door nalatigheid, doordat je je niet aan de huidige figerende regelgeving hebt gehouden,
[1:40:04] Ja, dan zou je daar een boete voor kunnen krijgen.
[1:40:08] En dat vind ik heel normaal, want de klanten van Audito, die hebben gewoon het nakijken gehad.
[1:40:13] En als wij ergens een keuze moeten maken, dan kiezen we niet voor het bedrijf die nalatig is geweest, maar dan kiezen we voor die burger die nu misschien de komende jaren met identiteitsfraude en allerlei problemen met bankzaken, met hypotheken, met noem maar op, geconfronteerd wordt.
[1:40:30] Mevrouw Martens, Amerika.
[1:40:32] Ja, dank.
[1:40:33] Ik luister wel met enigszins een verontrustend gevoel naar de bijdrage van de PVV.
[1:40:42] Deels ook omdat ik denk dat we de fase wel voorbij zijn met z'n allen dat je bedrijf veilig houden anno 2026 meer is dan een extra schuifje op de voordeur.
[1:40:51] Je verdienmodellen vinden op een andere manier plaats dan fysiek.
[1:40:54] Dat vraagt ook dat we misschien 10, 20 stappen vooruit moeten zetten in plaats van moeten afwachten.
[1:40:59] Maar goed, iedere fractie kiest hier natuurlijk zijn of haar eigen woorden.
[1:41:04] Het goede nieuws is wel, wat ook niet altijd zo is, dat ik de PVV zich zorgen hoor maken over onze ondernemers, over het bedrijfsleven.
[1:41:10] Dus mijn glas is halfvol, ik grijp dat graag met beide handen aan.
[1:41:13] Maar is de heer Van Dijk het dan niet ook met mij eens dat we juist deze ondernemers gaan helpen door op Europees niveau te zorgen dat de wet- en regelgeving gelijk wordt getrokken, waardoor het hele concurrerende speelveld tussen Europese landen steeds minder wordt en de Nederlandse ondernemers er alleen maar beter van worden.
[1:41:31] Dus ik snap die zorgrichting afspraak op Europees niveau niet zo goed.
[1:41:37] Maar misschien kan de heer Van Dijk dat nog even toelichten.
[1:41:39] De heer Van Dijk.
[1:41:41] Ja, gelijkspeelvold is natuurlijk perfect.
[1:41:43] Dat is waar de Europese economische gemeenschap juist voor opgericht was.
[1:41:46] Het is alleen nu een politieke unie geworden.
[1:41:49] Een grote geopolitieke, tenminste ze willen een grote geopolitieke speler zijn en ze zullen niks nalaten als het gaat om
[1:41:58] regelgeving uitstrooien over de lidstaten om daar stapjes verder in te zetten.
[1:42:04] Dus een gelijk speelveld, ja.
[1:42:05] Politieke unie, nee.
[1:42:08] En even kijken, wat was uw eerste vraag?
[1:42:11] Was over de ondernemers, dat wij aan de kant van de ondernemers staan en dat was positief.
[1:42:15] Ja, dat heeft u goed geconstateerd.
[1:42:18] Mevrouw Martens-Amerika.
[1:42:20] Uw antwoord is natuurlijk in volledige abstractie en dat snap ik, want u geeft geen antwoord via de voorzitter op mijn vraag.
[1:42:28] U maakt er een geopolitiek vraagstuk van, dat mag, maar mijn vraag is welke negatieve gevolgen Europese ondernemers op dat niveau op dit moment zouden ondervinden van afspraken op een gelijk speelveld?
[1:42:39] Dus welk nadeel gaan onze bedrijven hiervan ondervinden?
[1:42:43] De heer van Dijk.
[1:42:46] Dat is een beetje het probleem, voorzitter.
[1:42:48] Dat gelijke speelveld hadden we onder de EEG kunnen bereiken en dat hoeft niet via de Europese Unie te lopen.
[1:42:56] Ja, ik snap niet wat daar heel complex aan is.
[1:42:59] Europese economische samenwerking is prima.
[1:43:03] Maar op het moment dat dat zich ontwikkelt tot Brusselse hegemonie op alle facetten van het leven, dan vind ik dat we daar een paal in perka moeten stellen.
[1:43:14] En daarom twijfelen wij ook of dit wetsvoorstel, dat het een uitvoering is van die NIS 2-richtlijn, of dat de manier is om dat aan te pakken.
[1:43:24] Mevrouw Martens van Amerika.
[1:43:26] Ja, voorzitter.
[1:43:28] Ik ga proberen mijn vraag nog simpeler te stellen, want ik denk dat het wel belangrijk is dat ondanks wat je vindt van de rol van de Europese Unie, waar mijn fractie maakt zich ook zorgen over nationale koepen op Europese wet en regelgeving.
[1:43:42] En dit is nou juist zo'n wet via de voorzitter die ervoor gaat zorgen dat wij op Europees niveau elkaar niet blijven beconcurreren, maar elkaar aan dezelfde wet en regelgeving moeten houden.
[1:43:52] Die laten we heel eerlijk zijn.
[1:43:53] van essentieel belang zijn voor u en ik, zeg ik via de voorzitter, om te zorgen dat onze persoonsgegevens daadwerkelijk veilig blijven.
[1:44:00] Dus welk nadeel gaan ondernemers ondervinden van Europese en wette regelgeving als het gaat over de veiligheid van u en ik?
[1:44:09] Dat heb ik net aangestipt.
[1:44:11] Dat gaat over investeringen die ze moeten maken over 1250 uur per jaar die ze kwijt zijn aan regelgeving, over de meldplicht, over alle administratieve rompslomp, over de trainingen, de bijscholingen en dergelijke die ze moeten gaan doen.
[1:44:27] En nogmaals, dat heeft dus niet voorkomen dat Odido, die zich gewoon aan nationale regelgeving had moeten houden, dat die data alsnog op straat heeft gelegen.
[1:44:38] Ik zie het nut niet van extra regelgeving als we de huidige regelgeving niet handhaven.
[1:44:43] Een gelijk speelveld prima, maar dan wel in beperkte mate.
[1:44:50] Ja, dank, voorzitter.
[1:44:51] Ik wil de heer Van Dijk toch al bijvallen, want ik hoor volgens mij iets wat ik net ook inbracht in mijn bijdrage, dat er inderdaad dus een gelijk Europese speelveld moet zijn en dat het niet moet leiden tot extra lastendruk.
[1:45:02] En mijn vragen zijn ook aan de heer Van Dijk van de PVV, van hoe kijkt de heer Van Dijk nou naar dat we in andere landen, dat je meer een coöperatieve houding ziet bij de toezichthouders en dat er dus niet gelijk wordt beboet en dat dat hier in Nederland, dus nog niet zo strak is opgenomen in de wetgeving, dat dat wel zo kan uitpakken?
[1:45:20] De heer Van Dijk.
[1:45:22] Daar ben ik geen voorstander van.
[1:45:24] Ik zou zeggen dat er iets van coulance moet zijn.
[1:45:27] Het voorbeeld wat u noemde met Frankrijk, dat vind ik op zich de meest logische manier, zeker als je dus continu met ontwikkelingen te maken hebt die van invloed zijn op hoe die wet uitwerkt voor die bedrijven.
[1:45:44] lijkt het me dat je niet meteen boetes gaat opleggen.
[1:45:47] Kijk, wij zijn er in Nederland heel goed in om meteen overal een boete en aanmaningen en brieven en dergelijke te sturen.
[1:45:55] Ik zou daar wat milder in zijn richting bedrijven in de uitvoering van deze wet als die doorgaat en in welke mate die doorgaat.
[1:46:06] De heer Van den Berg.
[1:46:07] En dan nog een open vraag aan de heer Van Dijk.
[1:46:10] Wat zou er nou concreet aan deze wet moeten veranderen dat die wel eigenlijk acceptabel zou worden voor de heer Van Dijk of voor de PVV ten opzichte van hoe die nu voor ligt?
[1:46:20] De heer Van Dijk.
[1:46:21] Ik had liever gezien dat het initiatief vanuit Nederland zelf was gekomen zonder dat wij daar diktaten vanuit Brussel nu over ons heen gestrooid krijgen.
[1:46:31] Want dan kunnen we echt maatwerk doen en dan hebben we niet te maken met het grotere ideaal van een Europees gelijkspeelveld zodat ze in Griekenland, want wat heeft een universiteit in Griekenland ervoor baat bij dat de universiteit in Nederland dezelfde cyberbeveiligingsstandaarden heeft.
[1:46:48] Ik zie daar nut absoluut niet van in.
[1:46:49] En tegelijkertijd moeten we ons wel eraan conformeren en kost het ons een enorme bureaucratische rompslomp die uiteindelijk aan de burger wordt doorberekend.
[1:47:01] Mevrouw El-Boudiani.
[1:47:05] Ja, dank u wel, voorzitter.
[1:47:07] Er ligt heel veel nadruk op dat het dus iets heel negatiefs is voor bedrijven, terwijl als we dit juist vanuit Europa aanpakken, dan creëren we dus dat gelijke speelveld.
[1:47:18] Ik hoorde hier van Dijk ook veel over de boetes, maar
[1:47:22] Tegelijkertijd heeft de Europese Commissie ook ingeschat dat het per jaar 180 tot 290 miljard euro zou besparen op cyberincidenten.
[1:47:32] Dat is wat het ons op dit moment kost, al die cyberincidenten.
[1:47:37] heel veel kansen biedt, juist als we dit goed doen, goed oppakken, dat het uitvoerbaar is, dat we juist ook bedrijven hierin kunnen helpen, doordat het hen niet meer zulke grote bedragen kost aan wat ze zelf moeten regelen op het moment dat er dus zo'n cyberincident heeft plaatsgevonden.
[1:47:54] Dus ik denk wel in het kader van voorkomen is beter dan genezen, gaan deze wetgeving ons enorm helpen.
[1:48:02] Is de heer Van Dijk dat ook met mij eens?
[1:48:04] Ziet u dat ook zo als ik dat zo uitleg?
[1:48:07] Ik begrijp waar mevrouw Boudjani van D66 vandaan komt, maar het grootste verschil tussen D66 en de PVV is dat wij liever zien dat we de regie nationaal houden, dat we onze soevereiniteit behouden.
[1:48:24] En dat als we dus vinden dat we geld moeten besparen door, of tenminste dat we geld zouden kunnen besparen door onze cyberveiligheid op orde te krijgen, dan zou dat initiatief vanuit Nederland moeten komen, dan zou dat initiatief vanuit het ministerie moeten komen of vanuit de Tweede Kamer als het ministerie dat na zou laten.
[1:48:44] En nationale koppen op Brusselse regelgeving, die doen natuurlijk iets anders dan een gelijkspeelveld.
[1:48:52] We zijn nu dus, als ik de lijn van de collega's volg, zouden we een gelijkspeelveld moeten krijgen met de implementatie van de NIS 2-richtlijn.
[1:49:03] Maar wat gebeurt er dan?
[1:49:04] Dan worden de nationale koppen opgezet.
[1:49:06] Aan de ene kant snap ik dat ook niet, want die nationale koppen zorgen juist voor een ongelijk speelveld.
[1:49:11] En je hebt de gigantische toename aan bureaucratie en aan regelgeving voor bedrijven.
[1:49:17] En tegelijkertijd creëer je dus een ongelijk speelveld door die nationale koppen erop te zetten.
[1:49:23] Mevrouw El-Boudiani.
[1:49:26] Ik denk dat wat de heer Van Dijcken benoemt, het verschil tussen de PVV en D66, dat dat dus wel klopt.
[1:49:35] Wij zien zeker wel de meerwaarde van juist deze wetgeving vanuit Europa.
[1:49:42] Het mooie is juist dat we nog steeds de ruimte krijgen voor maatwerk,
[1:49:45] ons eigen Nederland om te kijken wat past er nou het best op onze bedrijven hier in Nederland en de organisaties en wat ten goede komt voor onze samenleving.
[1:49:55] Dus ik zou dan eventjes als laatste vraag aan de heer Van Dijk mee willen geven om toch misschien te kijken naar waar ook de voordelen liggen voor bedrijven in deze wetgeving omdat het echt niet alleen maar negativiteit is en het echt wel kansen biedt
[1:50:14] ook om geld te besparen.
[1:50:17] De heer Van Dijk.
[1:50:18] Dank u wel, voorzitter.
[1:50:19] Afsluitend, wij zijn altijd bereid om te kijken waar de voordelen zijn.
[1:50:24] Wij zien hier echter alleen meer nadelen.
[1:50:27] En ja, toch nog even een reactie.
[1:50:30] Mooi dat we de ruimte krijgen van de EU om ons eigen beleid te voeren.
[1:50:34] Ja, dat is dus precies waar het grote verschil tussen de partij van mevrouw Budjani en de PVV zit.
[1:50:42] Wij vinden het principe van soevereiniteit zo belangrijk dat het eigenlijk schandalig is dat we hier een kruimeltje krijgen van de EU om ons eigen beleid te mogen voeren.
[1:50:51] Het zou niet zo moeten zijn.
[1:50:52] Wij zouden in ons eigen land moeten kunnen bepalen hoe we de dingen aanvliegen.
[1:50:57] en niet blij zijn op het moment dat de EU ons de ruimte heeft gegeven om binnen de richtlijnen en de verordeningen die zij over ons uitstrooit nog kleine keuzes te maken.
[1:51:09] Meneer Van Dijk, u kunt verder met uw betoog.
[1:51:12] Dank u wel, voorzitter.
[1:51:14] Voorzitter, echt de focus op de echte vitale systeem van de overheid, de gemeenten, kritieke infrastructuur, defensie en telecom.
[1:51:20] Bescherm die sectoren streng met Nederlandse oplossingen die passen bij onze situatie en dus geen EU-lagen die innovatie remmen en kosten opdrijven.
[1:51:28] Wij staan voor Nederland eerst.
[1:51:29] Sterke cyberweerbaarheid, ja, maar betaalbaar en zonder dat hardwerkende ondernemers en burgers opdraaien voor Brusselse overregulering.
[1:51:37] Stoppen met de eindeloze regelstroom die onze economie verder verswakt.
[1:51:40] Investeren in eigen capaciteit bij de politie, inlichtingendienst en experts om dreigingen aan te pakken in plaats van bedrijven te dwingen tot dure administratieve oefeningen.
[1:51:49] We willen een Nederland waar bedrijven kunnen ondernemen zonder overmatige bureaucratie vanuit de EU en waarbij de burger niet direct op kosten wordt gejaagd door elke nieuwe EU-richtlijn.
[1:51:58] Zou je bedreiging aanpakken?
[1:51:59] Absoluut.
[1:52:00] Maar doe het op zijn Nederlands, proportioneel en zonder de gewone man in het MKW kapot te reguleren.
[1:52:04] Dank u wel.
[1:52:05] Dank u voor uw bijdrage.
[1:52:07] Dan vraag ik even aan de heer Van den Berg of hij het voorzitterschap over wil nemen om het woord te kunnen geven aan het lid Katman van GroenLinks Partij van de Arbeid.
[1:52:14] At your service.
[1:52:15] En dan geef ik het woord aan mevrouw Katman van GroenLinks Partij van de Arbeid.
[1:52:20] Dank u wel, voorzitter.
[1:52:21] Veiligheid, weerbaarheid, het toverwoord cyber.
[1:52:24] Het is het heetste onderwerp in de politiek.
[1:52:26] Eindelijk, zou ik willen zeggen.
[1:52:28] Een onzekere wereld dwingt tot actie en maar goed ook, want het denken over onze infrastructuur moet radicaal anders.
[1:52:34] De computers waar onze economie en ons land op draait zijn eindelijk onderwerp van gesprek.
[1:52:38] Het doet ertoe wie de baas is over die computers en hoe ze beveiligd worden.
[1:52:42] Want door die kabels, chips en serverkasten blijft ons land overeind.
[1:52:46] of je nou een ziekenhuis, een postbedrijf of een middelgrote gemeente bent, je hebt een verantwoordelijkheid.
[1:52:51] Te lang is dat niet zo geweest.
[1:52:52] Grote bedrijven en de overheid kochten hun ICT-spullen in alsof het kantoorartikelen waren.
[1:52:56] Niks meer dan pennen, printpapier en een niet-machine.
[1:52:59] Achteraf zijn we daar waarschijnlijk naief in geweest, want het is in onze digitale infrastructuur dat we het hardst geraakt kunnen worden.
[1:53:06] Eén gerichte cyberaanval en een deel van onze economie functioneert niet meer.
[1:53:10] Eén leverancier die zich terugtrekt en gemeenten liggen op hun gat.
[1:53:13] Digitale spionage en DDoS-aanvallen zitten inmiddels in de gereedschapskist van iedere boef.
[1:53:18] Maar ook ons denken over fysieke veiligheid moet beter.
[1:53:21] Want sabotage ligt niet alleen digitaal op de loer.
[1:53:24] Een onbeschermde datakabel, een deur die te gemakkelijk opengaat of een hek waar je zo'n gat doorheen knipt, ook dat zijn kwetsbare plekken.
[1:53:31] Op die manier kunnen boeven toegang krijgen tot een sluis, een laboratorium met kostbare spullen of een gemeentehuis.
[1:53:36] En als je rommelt met zulke belangrijke organisaties, heeft dat hele grote gevolgen.
[1:53:41] Want dit zijn de kritieke entiteiten die onmisbaar zijn voor ons land.
[1:53:44] Kortom, ik wil maar zeggen, goed dat deze wetten er zijn.
[1:53:47] GroenLinks Partij van de Arbeid steunt de Cyberverveiligingswet en de Wet Weerbaarheid kritieke entiteiten.
[1:53:52] Met deze wetten gaan we samen met andere Europese landen één plan trekken voor onze cyberveiligheid en de fysieke veiligheid van belangrijke organisaties.
[1:54:00] Veiligheid hoort thuis aan elke bestuurstafel, met name de cyberveiligheid.
[1:54:04] En deze wetten dwingen dat af.
[1:54:06] Maar hoe groot deze wetten zijn, begin ik even bij stap 1.
[1:54:10] Ik vraag de minister het volgende.
[1:54:12] Kan hij heel concreet samenvatten wat er straks eigenlijk gaat veranderen als deze wetten worden aangenomen?
[1:54:18] Wat is nou precies een essentiële entiteit, een belangrijke entiteit, een kritieke entiteit?
[1:54:23] En kan hij per entiteit een paar voorbeelden opnoemen?
[1:54:26] Op welke manier wordt Nederland weerbaarder en veiliger van deze wetten?
[1:54:29] Wat gaan burgers hiervan merken?
[1:54:31] En wat gaan de entiteiten merken van de nieuwe wetten?
[1:54:35] Wat is de zorgplicht?
[1:54:36] Wat is de meldplicht?
[1:54:37] En hoe wordt er toezicht gehouden?
[1:54:38] Welke crisis teams, de zogenaamde CSIRTs, worden er straks aangewezen voor de sectoren?
[1:54:43] En welke nieuwe moeten er nog worden opgericht?
[1:54:46] Ik vraag die dongen omdat ik wil dat mensen begrijpen wat er nu eigenlijk gaat veranderen.
[1:54:50] Wij moeten duidelijk maken hoe we burgers veilig houden.
[1:54:53] Cyberveiligheid en weerbaarheid is iets voor ons allemaal.
[1:54:56] Niet zomaar buzzwords voor bestuurders en politici om over te kletsen.
[1:54:59] Het is een belofte die wij aan burgers geven dat wij hun recht op een veilig leven ook serieus nemen.
[1:55:05] Ik wil wat langer doorgaan over de positie van de burger.
[1:55:08] Deze wetten richten zich namelijk volledig op wat er binnen organisaties moet gebeuren.
[1:55:12] Welke maatregelen je moet nemen om je beter te beschermen, de zogenaamde zorgplicht.
[1:55:17] En ook hoe je melding moet maken als er iets misgaat.
[1:55:20] Dat is dan de meldplicht.
[1:55:22] We leven niet op een eiland met alleen maar bestuurders, CEO's en toezichthouders die samen afspraken maken.
[1:55:27] Een datalek of een aanval op je infrastructuur is allang niet meer een kwestie van bedrijfsvoering.
[1:55:32] Het is een kwestie van nationaal belang.
[1:55:34] Het heeft gevolgen voor mensen.
[1:55:35] Neem het voorbeeld van een groot datalek.
[1:55:37] We hoeven niet ver te zoeken voor dat voorbeeld, want we hebben het meegemaakt met de miljoenen Odido-klanten van wie de gegevens nu op straat liggen en alle vrouwen die getroffen zijn in het datalek bij het bevolkingsonderzoek Baarmoederhalskanker.
[1:55:48] Terwijl de ministeries, de toezichthouders en de organisaties druk met elkaar in de weer zijn, blijven de slachtoffers eigenlijk nog steeds bekaaid achter.
[1:55:56] Met hele terechte, praktische vragen.
[1:55:58] Wat moet ik doen om mezelf te beschermen?
[1:56:00] Waar moet ik op letten?
[1:56:01] Welke telefoontjes of mailtjes kan ik niet meer vertrouwen?
[1:56:03] Kan ik mijn burgerservice nummers vervangen om fraude te voorkomen?
[1:56:06] Dat zijn de vragen die ik als Kamerlid binnenkrijg van de mensen die ik vertegenwoordig.
[1:56:10] Want vergeet niet hoe belangrijk de cyberveiligheid van bedrijven en overheden wel niet is.
[1:56:14] Als het misgaat, zijn individuele klanten en burgers de allergrootste pineut.
[1:56:19] Met name denk ik aan de kwetsbare groepen in Nederland.
[1:56:21] Mensen voor wie een privacy en essentiële veiligheidsgarantie is.
[1:56:24] Denk aan slachtoffers van huiselijk geweld waarvan hun huisadres is gelekt.
[1:56:28] Of publieke personen die anonimiteit nodig hebben om ongestoord door de dag te komen.
[1:56:32] LHBTI'ers die voor hun eigen veiligheid zijn wegverhuisd en nu met één zoekdichte op het darkweb weervindbaar zijn geworden.
[1:56:39] Ik wil een wet die hun rechten beschermt.
[1:56:41] Daarom pleit ik ervoor om een wettelijke nazorgplicht te introduceren.
[1:56:44] Een wet waarin precies staat hoe na een grote cyberaanval of een datalek slachtoffers geïnformeerd en geholpen moeten worden.
[1:56:51] Als we niet steviger opkomen voor die slachtoffers dan verliezen zij hun vertrouwen in de overheid en de grote bedrijven die zij
[1:56:58] die onmisbaar zijn in ons land.
[1:56:59] En zonder dat vertrouwen breekt precies datgene af wat we met deze nieuwe wet willen beschermen.
[1:57:04] Daarom vraag ik het volgen van de minister.
[1:57:06] Hoe kijkt hij naar het maken van een nieuwe wet met een nazorgplicht?
[1:57:09] Is hij het met me eens dat dit de rechten van slachtoffers van een data-lek meer zekerheid kan geven?
[1:57:14] Is de positie van slachtoffers goed genoeg vastgelegd in de cyberbeveiligingswet en de wet weerbaarheid kritieke entiteiten?
[1:57:20] Welke verplichtingen gelden er voor de overheid en entiteiten als een cyberaanval onhoop slachtoffers maakt?
[1:57:26] Op welke hulp kunnen slachtoffers zich beroepen?
[1:57:29] Is de minister bereid om te verkennen hoe hun rechten wettelijk vastgelegd kunnen worden met een nazorgplicht voor de overheid en entiteiten?
[1:57:36] Dan een basispakket digitale veiligheid.
[1:57:39] Eerder pleitte ik ook voor een basispakket digitale veiligheid, een bundel van cybersecurity software gemaakt door het Nederlandse bedrijfsleven, wat centraal wordt aangeboden door de overheid in samenwerking met diezelfde bedrijven.
[1:57:50] Ja, ik weet dat er genoeg oplossingen zijn in de markt, maar als cybersecurity alleen is weggelegd voor mensen die weten wat een VPN is en die snappen welke wachtwoordmanager het beste uit de test komt, dan constateer ik dus dat het gewoon niet toegankelijk genoeg is.
[1:58:03] De opdracht is helder.
[1:58:04] Ook mijn oude buurvrouw moet online veilig zijn.
[1:58:06] Niet alleen de techneut die thuis zijn eigen mailserver draait.
[1:58:09] GroenLinks Partij van de Arbeid wil een toegankelijk pakket met een VPN, een wachtwoordmanager, antivirus software en een adblocker.
[1:58:15] Gemaakt met gebruiksgemak voor elke doelgroep en makkelijk te installeren op meerdere apparaten.
[1:58:21] De motie die ik hierover heb ingediend heb ik aangehouden omdat de staatssecretaris Digitale Economie de tijd nodig had om hem te appreciëren.
[1:58:27] De appreciatie is er nog niet, dus probeer ik het hier in dit debat nog een keer.
[1:58:31] Is de minister met me eens dat cyberveiligheid ook voor individuele burgers bereikbaar, betaalbaar en begrijpelijk moet zijn?
[1:58:37] Hoe kijkt de minister naar mijn voorstel voor een basispakket digitale veiligheid?
[1:58:41] Op welke manier zou dit samen met de markt vormgegeven kunnen worden?
[1:58:45] Is de minister bereid samen met economische zaken en binnenlandse zaken te bezien hoe een basispakket digitale veiligheid gerealiseerd kan worden?
[1:58:54] Dan weer de wetten.
[1:58:56] Die roepen bij mij een hele hoop vragen op, want hoe blij ik ook ben dat ze er zijn, wel een beetje laat, maar er valt wel nog wat af te dingen op die wetten.
[1:59:04] Onder andere door de hele waslijst aan dingen die nog moeten worden uitgewerkt.
[1:59:08] Hoeveel belangrijke zaken niet eens in de wet staan, maar in regeltjes die nog moeten worden gemaakt.
[1:59:14] En ook een hoop praktische dingen en randgevallen zijn nog niet duidelijk.
[1:59:18] En ik zal er niet een aantal noemen, want dan gaat het heel lang duren, maar dit is al één pagina, dit is al één pagina.
[1:59:23] Er zijn nog meer pagina's te vinden, een meldportaal wat nog niet duidelijk is, de rol van de toezichthouder, het National Cyber Security Centrum die nieuwe taken krijgt, maar welke dan?
[1:59:33] Dit is echt nog maar een hele kleine greep uit alles wat nog boven de markt hangt.
[1:59:37] Voor wetten die zo lang in de oven hebben gezeten had ik eerlijk gezegd meer zekerheid verwacht.
[1:59:42] We tuigen een heel nieuw systeem van regelstoezicht en handhaving op, maar niemand weet nog hoe dat er echt precies uit gaat zien.
[1:59:48] En we nemen straks dus misschien wetgeving aan waarvan we niet weten of het allemaal uitvoerbaar is.
[1:59:53] In gesprekken met bedrijven, gemeenten en andere organisaties die straks aan de wetgeving moeten voldoen, hoor ik dat ook terug als een van hun grootste zorgen.
[2:00:00] Herkent de minister die kritiek op de uitwerking van de wetten?
[2:00:04] Hoe zorgt hij ervoor dat als de wetten eenmaal zijn aangenomen, de naleving niet een groot fiasco wordt?
[2:00:09] Kan de minister aangeven wanneer hij verwacht dat alle punten die ik net niet allemaal heb opgenoemd, maar die wel allemaal in allerlei memorie van toelichtingen en beantwoordingen zijn genoemd, wanneer die zijn uitgewerkt?
[2:00:21] Is de minister bereid om schriftelijk een overzicht te geven met alle punten waarop de wetten nog nader worden uitgewerkt met een tijdlijn van wanneer we een uitwerking kunnen verwachten?
[2:00:30] Het brengt me meteen bij een belangrijke kritiek op de wetten.
[2:00:32] Er is namelijk gewoon ontiegelijk veel uitgewerkt in lagere regelgeving.
[2:00:36] In normale mensentaal zegt dat eigenlijk, we hebben een wet geschreven, maar hoe je die regels eigenlijk naleeft, dat moet je maar zien in de bijlagen die we later nog wel gaan opsturen.
[2:00:45] In sommige gevallen snap ik dat echt.
[2:00:47] Maar met twee wetten die zo lang op zich hebben laten wachten, waar zoveel urgentie achter zit, snap ik het eigenlijk minder goed.
[2:00:53] We bespreken twee wetten met zware verplichtingen met heel veel open eindjes.
[2:00:57] Toen ik vroeg in de schriftelijke ronde waarom de zorgplicht pas in het cyberbeveiligingsbesluit, dat is dus die bijlage waar ik het over had, hoorde ik terug, ja, dat gaat alleen maar om een uitwerking.
[2:01:06] Nou, dat is niet helemaal zo.
[2:01:08] Ten eerste is de uitvoering knetterpolitiek.
[2:01:11] Opschrijven je moet meer doen aan je veiligheid is één ding, maar precies wat moet je doen?
[2:01:17] Dat is nog steeds een politieke vraag.
[2:01:19] Wanneer ben je als entiteit cyberveilig?
[2:01:22] Hoe bescherm je je fysieke infrastructuur?
[2:01:24] Kortom, wanneer voldoen je aan de wet?
[2:01:27] Die vragen moet je duidelijk kunnen beantwoorden.
[2:01:29] En als je de hele kern van de wet in lage regels pas uitwerkt, is dat moeilijk.
[2:01:33] Gelukkig hebben we het cyberbeveiligingsbesluit en het besluit weerbaarheid kritieke entiteiten goed ontvangen.
[2:01:38] Maar ook daar staan nog zaken in die niet uitgewerkt zijn.
[2:01:41] Voor de entiteiten en voor de volksvertegenwoordiging is dat lastig controleren.
[2:01:45] Daarover heb ik een aantal vragen.
[2:01:47] Heeft de mate waarmee dingen nog verder worden uitgewerkt te maken met haast?
[2:01:51] Is het te laat implementeren van de richtlijnen een reden geweest om veel dingen in lagere regelgeving te bepalen?
[2:01:57] Heeft de minister overwogen om meer zaken op het niveau van de wet duidelijk te maken?
[2:02:02] Waarom is de afweging gemaakt om vooral de zorgplicht, een heel zwaar middel, in algemene maatregelen van bestuur te zetten?
[2:02:08] Is de minister bereid om in evaluatie van de wetten, die ergens in de komende vier of vijf jaar plaatsvindt, ook te bezien of met een wetswijziging alsnog meer zaken in de wet zelf geregeld kunnen worden en wat daar de voor- en nadelen van zijn?
[2:02:21] Dit is waarom ik voor alle beide wetten een abonnement heb ingediend om een voorhangprocedure toe te voegen.
[2:02:26] Als er iets in de uitwerking van de wetten verandert, specifiek in het uitwerken van de zorgplicht, dan moet de Kamer geïnformeerd worden.
[2:02:32] Zo wordt de uitvoering van de wetten beter controleerbaar en geven we onszelf de kans om in te grijpen als de wetten niet goed worden uitgewerkt.
[2:02:39] Hoe kijkt de minister naar mijn voorstel voor een voorhang op de zorgplicht in beide wetten?
[2:02:43] Hoe gaat hij ervoor zorgen dat de uitwerking van de twee wetten zorgvuldig, transparant en met inspraak van zoveel mogelijk de entiteiten als de Kamer plaatsvindt?
[2:02:52] In die lage regelgeving staat iets heel zwaars.
[2:02:55] Dat gaat om de interventiebevoegdheid.
[2:02:58] Ik zat wel even te zoeken, ik wilde uw vlammende betoog niet onderbreken, maar je hebt een interruptie van de heer Van den Berge en dan ben ik zelf.
[2:03:05] Ja, ik hoor eigenlijk spreken over dat u heeft wel steun voor beide wetten, zowel de Zuigerbeveiligingswet als de wet Weerbereid Kritieke Entiteiten.
[2:03:14] Maar ik hoor tegelijkertijd ook eigenlijk een bak aan, ik vind, terechte kritiek, heel veel vragen.
[2:03:19] de wettelijke nazorgplicht moeten komen, waarom is de lagere regelgeving uitgewerkt?
[2:03:24] Is er haast geweest?
[2:03:25] Als u al die kritiekpunten heeft, zegt vierde voorzitter, waarom zou je dan aan de voorkant dan toch alvast steun uitspreken als er nog zoveel moet veranderen?
[2:03:35] Is dat niet de omgekeerde richting?
[2:03:37] Nee, de urgentie voor de cyberveiligheid van Nederland, waar deze wetten een hoop op gaan doen, is echt ongelofelijk belangrijk.
[2:03:43] Dus dat moeten we gewoon zo snel mogelijk met elkaar willen doen.
[2:03:46] En ik ben dus heel blij dat deze wetten er nu liggen en dat ze er zijn.
[2:03:51] Ja, ik heb alleen wel met, volgens mij zijn het vier amendementen, gepoogd om die onduidelijkheden beter te maken.
[2:03:59] Dus vooral meer duidelijkheid te krijgen met die voorhang.
[2:04:03] Dus dat we ook als Kamer heel goed geïnformeerd worden over de verdere uitwerking en dat we daar nog dan dingen kunnen veranderen.
[2:04:09] Dan heb ik net de minister gevraagd, kunnen we misschien nog als we de wet, u heeft ook gezegd laten we hem nou eerder evalueren, bij de evaluatie kijken of we dan nog misschien dingen echt in de wet willen regelen in plaats van in lage regelgeving of bij algemene maatregelen van bestuur.
[2:04:25] En er zijn nog een aantal dingen die ik per amendement of per motie hoop dat we meer duidelijkheid kunnen scheppen.
[2:04:33] Dus het gaat mij vooral om die onduidelijkheid.
[2:04:35] Ik heb ook wel het idee dat in beantwoording van eerdere vragen de minister dat ook ziet.
[2:04:42] Dus ik hoop dat we vooral vandaag heel veel zaken kunnen doen en dat we dan dus ook nog zaken kunnen doen als de wet geëvalueerd wordt.
[2:04:50] Ja, dank u wel.
[2:04:50] Maar u heeft dus wel het gevoel dat als al die zaken worden doorgevoerd, dat de wetten dan allebei goed genoeg zijn om ook echt een bijdrage te kunnen leveren aan de zuiver veiligheid van Nederland.
[2:05:02] Ja, dat heb ik zeker.
[2:05:04] Zeker als wij onze controlerende taak als Tweede Kamer dus beter kunnen borgen.
[2:05:10] Die vind ik echt heel erg belangrijk.
[2:05:12] Ik ga het zo even hebben over die interventiebevoegdheid.
[2:05:16] Daar wil ik ook gewoon meer duidelijkheid op.
[2:05:19] En dus inderdaad, ik zei het net al, die voorhang.
[2:05:21] Dus dat zijn op zich wel wat elementaire dingen.
[2:05:24] waarin wij ook ons werk beter kunnen doen.
[2:05:26] We de wet misschien in een later stadium nog kunnen aanscherpen.
[2:05:29] En dan zou ik zeggen ja, zo snel mogelijk gaan met die banaan, want we kunnen gewoon niet langer wachten.
[2:05:36] Nou, dan geef ik als voorzitter het woord terug aan mevrouw Katman voor vervolg van haar betogen.
[2:05:41] Dank u, voorzitter.
[2:05:43] In die lage regelgeving staat iets heel zwaars.
[2:05:45] Dat gaat om de interventiebevoegdheid, oftewel artikel 18 van het cyberbeveiligingsbesluit en artikel 13 van het besluit weerbaarheid kritieke entiteiten.
[2:05:54] Dit is een uitwerking van de zorgplicht die de vakminister de mogelijkheid geeft om diensten en producten te verbieden, oftewel de interventiebevoegdheid.
[2:06:01] Laat ik vooropstellen, dat is helemaal geen gek idee.
[2:06:04] Als we weten dat ergens een component in een systeem zit of een stukje software wordt gebruikt of dat er een bepaald onderdeeltje in de harde infrastructuur is wat ons kwetsbaar maakt, dan moet je dat kunnen uitfaseren.
[2:06:14] GroenLinks Partij van de Arbeid staat dus achter die interventiebevoegdheid, maar laten we wel wezen, het is een heel zwaar middel en dat niet even in een lagere regel moet worden neergezet.
[2:06:24] Bijna uit het niks als een onderdeeltje van de zorgplicht en dat is eigenlijk een beetje een grote verrassing.
[2:06:29] Daarom heb ik twee amendementen ingediend, eentje voor de cyberbeveiligingswet en eentje voor de wet weerbaarheid kritieke entiteiten.
[2:06:35] Die doen niks anders dan de interventiebevoegdheid uit de lagere regels halen en netjes in de wet zetten.
[2:06:41] Voor de cyberbeveiligingswet stel ik voor om artikel 21a toe te voegen.
[2:06:45] Dat is letterlijk dezelfde tekst als wat zijn minister al wil, plus een beetje.
[2:06:49] Ik stel namelijk twee extra dingen voor.
[2:06:51] Ten eerste dat ingrijpen door de vakminister een laatste redmiddel is.
[2:06:55] Echt een last resort.
[2:06:56] Eerst moet vaststaan dat er geen andere maatregelen zijn die de risico's voor de nationale veiligheid wegnemen.
[2:07:02] Spreek misschien voor zich, zou je denken, maar door dit in de wet te zetten voorkom je dat we dit zware middel zonder goede reden inzetten.
[2:07:09] Dat moet altijd gegrond zijn en dat zorgt voor rechtzekerheid voor entiteiten.
[2:07:13] Ten tweede stel ik een inspanningsverplichting voor.
[2:07:16] De vakminister en het sectorale crisisteam, het CSIRT, moeten samen met de entiteit die iets moet afsluiten, kijken of daar ondersteuning bij nodig is.
[2:07:24] Je kan niet zomaar verwachten dat entiteiten dit in hun eentje kunnen doen.
[2:07:28] Vooral als het gaat om een bijna onmisbaar deel van hun dienstverlening.
[2:07:31] Er hoeft niks te gebeuren, dat kan ook een uitkomst zijn van de inspanningsverplichting.
[2:07:35] Maar als je een entiteit vraagt om iets helemaal uit te faseren, dan vind ik het de verantwoordelijkheid van de vakminister en het crisisteam om daarbij te helpen.
[2:07:43] Daarbij blijft de dienstverlening van de entiteit ook overeind.
[2:07:47] Ik ga echt uit van de beste intenties bij het inzetten van de interventiebevoegdheid, maar de vakminister zomaar op zijn of haar blauwe ogen geloven, dat is volgens mij niet hoe we hier met elkaar wetgeving moeten beoordelen.
[2:07:58] Hoe de bevoegdheid nu is opgeschreven is dan ook echt tekort door de bocht.
[2:08:01] Met mijn amendement hoop ik op meer zekerheid.
[2:08:04] Politieke willekeur van het kabinet hoop ik ook te voorkomen, maar blijft wel de mogelijkheid om in te grijpen gewoon overeind.
[2:08:11] Alleen met een paar nieuwe vangrilzen zodat de vakministers niet uit de bocht kunnen vliegen.
[2:08:16] Voor de wet weerbaarheid kritieke entiteiten gaat het trouwens om een heel nieuw artikel 15a, wat dan een uitwerking is van de zorgplicht in artikel 15.
[2:08:24] Het amendement is vrijwel identiek, alleen gaat het om kritieke entiteiten en fysieke diensten en producten.
[2:08:29] Er is in de inspanningsverplichting van dit amendement ook geen rol weggelegd voor de toezichthouder, omdat deze wet een groepje aangewezen ambtenaren de toezichthoudende partij is.
[2:08:38] Dat zou dus dubbelop zijn.
[2:08:39] Daarom is het de vakminister die samen met de entiteit dit uitzoekt.
[2:08:42] Over mijn amendement heb ik een paar vragen.
[2:08:44] Ten eerste ben ik heel benieuwd hoe de minister de amendementen beoordeelt.
[2:08:47] Het is vrijwel dezelfde tekst als in de lage regelgeving, maar dan in de wet.
[2:08:52] Is hij het met me eens dat we op deze manier een duidelijker kader geven aan de interventiebevoegdheid?
[2:08:56] Hoe kijkt hij specifiek naar de nieuwe toevoegingen die stellen dat het een last resort maatregel moet zijn en dat er een inspanningsverplichting moet komen?
[2:09:04] Hoe kijkt de minister naar de mogelijkheid om, als dat nodig wordt geacht, ook financiële steun te leveren bij het weren van een dienst of product?
[2:09:11] Is hij daartoe bereid?
[2:09:12] En zo ja, wat is de hoogte van zo'n bijdrage zonder dat het staatssteun wordt?
[2:09:17] Ik zeg het ook even hardop.
[2:09:18] Deze amendementen zijn een uitgestoken hand, want mijn doel is duidelijk.
[2:09:21] De interventiebevoegdheid moet blijven, maar hoort thuis in de wet met een duidelijke grens.
[2:09:26] Dit weegt voor mijn fractie zwaar.
[2:09:28] Ik hoop dan ook dat de minister niet met een harde nee, maar met me meedenkt hoe we dit een beetje netjes in de wet kunnen krijgen.
[2:09:35] Zou hij anders ook schriftelijk terug kunnen komen met een alternatieve beantwoording, mochten de amendementen niet op zijn steun kunnen rekenen.
[2:09:42] Over de interventiebevoegdheid heb ik nog één grote vraag.
[2:09:46] GroenLinks Partij van Arbeid heeft duidelijk gemaakt dat één van onze grootste veiligheidsproblemen de totale eenzijdige afhankelijkheid van vooral Amerikaanse software en hardware is.
[2:09:55] De interventiebevoegdheid wordt ingezet als er sprake is van dienststofproducten uit een land dat op spannenvoet staat met Nederland, van bedrijven die verplicht is om inlichtingen met de overheid te delen en uitgebreide toegang geven tot onze systemen.
[2:10:07] Daar is nu dus eigenlijk volop sprake van.
[2:10:10] Ons land is massaal afhankelijk van Amerikaanse ICT-diensten, waardoor bedrijfsgeheimen en burgersgegevens direct onder de rijkwijden van spionagewetten vallen.
[2:10:19] Denk aan de Cloud Act, de Foreign Intelligence Services Act en de Executive Order 12333.
[2:10:25] Daarover wat vragen over die interventiebevoegdheid.
[2:10:28] Is de minister bereid om deze in te roepen om gevaarlijke afhankelijkheden in onze dienstverlening terug te dringen?
[2:10:33] Kan hij klip en klaar uitleggen waarom ICT-diensten uit de Verenigde Staten niet zouden voldoen aan de eisen waaronder de interventiebevoegdheid wordt ingezet?
[2:10:42] Wanneer zou hier wel sprake van zijn?
[2:10:43] Kortom, kan de minister heel duidelijk zeggen wanneer hij bereid is om de interventiebevoegdheid in te roepen?
[2:10:49] Volgens mij is mijn punt duidelijk.
[2:10:50] Hoe, wanneer en waarom de interventiebevoegdheid ingezet zal worden, moet transparant en controleerbaar zijn.
[2:10:55] Ik roep de minister op om dit zo concreet mogelijk te maken voordat de wetten in werking treden.
[2:11:01] Er zijn straks duizenden organisaties die worden aangemerkt als entiteiten als ze onder de nieuwe wetten vallen.
[2:11:07] De cyberbeveiligingswet gaat uit van zo'n 8.100 essentiële en belangrijke entiteiten.
[2:11:13] Let wel op, in het cyberbeveiligingsbesluit is er sprake van 7.550 entiteiten.
[2:11:19] Ik hoor graag wat het echte aantal is.
[2:11:21] Voor de wet weer bij het kritiek entiteit, die gaat uit van 500 organisaties die worden bestempeld.
[2:11:26] als kritieke entiteiten.
[2:11:28] Er is dus wel een schatting gemaakt, maar of je ook echt een entiteit bent, dat moet je toch zelf uitzoeken.
[2:11:35] Organisaties moeten een vitaal beoordeling doen om te kijken of ze eronder vallen.
[2:11:39] Voor wetten die streng een nieuwe verplichting opleggen is dat toch best vrijblijvend.
[2:11:43] Mijn zorg is dat er straks organisaties zijn die misschien wel onbedoeld helemaal niet weten of ze onder deze wet vallen.
[2:11:49] Daarover wat vragen.
[2:11:51] Hoe verwacht de minister dat alle entiteiten zich met zo'n vitaal beoordeling identificeren?
[2:11:55] Ziet u ook het risico dat er organisaties zijn die de beoordeling niet doen en dus niet op de hoogte zijn dat ze onder de nieuwe wet vallen?
[2:12:02] Is er geen risico voor onderrapportage doordat organisaties de beoordeling niet invullen om de verplichting uit de weg te gaan?
[2:12:09] Hoe snel verwacht de minister dat alle entiteiten in kaart zijn?
[2:12:12] Hoe gaat hij alle vermoedelijke entiteiten zover krijgen om die beoordeling in te vullen?
[2:12:17] GroenLinks Partij van de Arbeid vraagt zich af waarom het kabinet wel in staat is om zo'n schatting te maken, maar niet in staat is om die bedrijven proactief aan te schrijven met het simpele bericht U bent vermoedelijk een entiteit, doe nu de test.
[2:12:29] Is de minister bereid om alsnog alle organisaties aan te schrijven waarvan hij vermoedt dat het entiteiten zijn volgens zijn eigen inschatting?
[2:12:36] Kan hij met de Kamer via de voorzitter delen hoe die inschatting van het aantal entiteiten heeft gemaakt, dit getal uiteenzetten per sector en laten zien hoe hij die organisaties gaat benaderen?
[2:12:46] Daarnaast is er al een hele waslijst aan handreikingen, handboeken, infosheets, brochures en online tools gemaakt over de NIS2 en de CER.
[2:12:55] Kan de minister iets zeggen over hoe vaak deze al zijn gebruikt en is dat in lijn met wat hij zou verwachten?
[2:13:01] Worden de besprikbare hulpmiddelen nog gebundeld en op één centrale plek aangeboden, zodat organisaties heel makkelijk alle informatie kunnen vinden?
[2:13:10] Het omschakelen van papier naar praktijk wordt een uitdaging, want hoe graag we met deze wet ook alles willen opknippen in keurige sectoren met dezelfde standaarden voor welke maatregelen je neemt en hoe je informatie deelt, weten we al te goed dat de realiteit weer barstiger is.
[2:13:24] En er zijn al allemaal vragen gesteld over hoe gemeentes dat dan moeten doen, volgens mij door een x aantal partijen.
[2:13:29] Dus ik zal dit heel even inkorten.
[2:13:32] Dat blijft over eigenlijk die uitvoeringsstoets decentrale overheden.
[2:13:36] Die is niet uitgevoerd en is de minister bereid om die wel uit te voeren voordat de wetten in werking treden?
[2:13:44] En wat gaat de minister doen om de rollen van vakministers, toezichthouders en de sector zo goed mogelijk vast te leggen?
[2:13:50] En wanneer en hoe worden deze stelselafspraken
[2:13:54] gesloten.
[2:13:56] Nou, deze kan ik ook overslaan, die zijn volgens mij ook allemaal al gevraagd.
[2:14:00] Dan één zo'n praktisch punt waar entiteiten mee te maken krijgen is het doen van een melding.
[2:14:05] Melding doen van een cyberaanval is straks niet meer vrijwillig, maar het is verplicht als je aan een bepaalde drempelwaarde verdoet als entiteit.
[2:14:13] En ik kijk er een beetje naar met het motto je bent een held als je meldt, want we moeten echt zoveel mogelijk meldingen binnenkrijgen.
[2:14:19] Laten we ervan uitgaan dat iedereen melding doet als er iets ergs gebeurt.
[2:14:22] Dat moet zo makkelijk mogelijk zijn.
[2:14:24] Het liefst op één gestandardiseerde manier voor alle soorten meldingen.
[2:14:28] Ook meldingen die je moet doen voor andere sectorale wetgeving of die volgen uit de AVG als er sprake is van persoonsgegevens.
[2:14:35] Kortom, ik pleit voor één integraal meldpakket.
[2:14:39] Meld low-cat voor entiteiten.
[2:14:41] Overzichtelijk en integraal en daarover een aantal vragen.
[2:14:44] Hoe kijkt de minister naar één centraal meldloket voor alle soorten meldingen die entiteiten moeten doen?
[2:14:50] Zijn er mogelijkheden om dit goed te bundelen?
[2:14:52] Zo ja, wat voor soort meldingen kunnen centraal in één zo'n loket worden gebundeld?
[2:14:57] Is de minister bereid om tot één meldloket te komen voor zoveel mogelijk soorten meldingen om het voor entiteiten zo makkelijk mogelijk te maken om informatie door te geven aan de toezichthouder?
[2:15:06] Hoe dan ook moet de meldingsbereidheid omhoog.
[2:15:09] GroenLinks Partij van de Arbeid vraagt zich af hoe het nu staat met de meldingsbereidheid.
[2:15:13] Kan de minister aangeven hoe het er nu voor staat met de meldingsbereidheid onder organisaties die een lek, aanval of kwetsbaarheid aantreffen?
[2:15:19] En wordt nou eigenlijk in de meeste gevallen melding gemaakt?
[2:15:25] Dan gegevensdeling.
[2:15:27] Daar zijn volgens mij ook al een aantal vragen over gesteld.
[2:15:29] Even kijken of ik dit nog een beetje kan inkorten.
[2:15:36] Ja, de cyberveiligheid van die CSIRTs, die moeten net zo waterdicht zijn als van alle entiteiten waar ze op toezien.
[2:15:44] Ja, ik hoor de heer van den Berg al ja zeggen.
[2:15:46] Heb jij daar vragen over gesteld?
[2:15:49] Nee.
[2:15:50] Hoe ziet de minister toe dat de gegevens...
[2:15:52] Ja, nee, inderdaad, die bewaartermijn, daarbij sluit ik me aan bij de vragen van JA21.
[2:15:59] Nog wel even de vraag, hoe ziet de minister toe dat de gegevens die de CSIRTs gaan verwerken goed beveiligd worden?
[2:16:05] Kan hij vertellen welke technische veiligheidsmaatregelen hij neemt om daarvoor te zorgen?
[2:16:12] Dan de bewaartermijn, ja, daar zijn al de nodige vragen over gesteld.
[2:16:21] Ik heb wel een vraag aan mevrouw Katman van GroenLinks Partij van de Arbeid.
[2:16:26] U sprak over eigenlijk een centraal meldpunt, maar ook over de veiligheidseisen bij de CSIRS, dat die natuurlijk waterdicht moeten zijn.
[2:16:32] Want juist als je natuurlijk heel erg lang die bijzondere gegevens bewaart, dan zijn natuurlijk ook zelf een doelwit van die gegevens die bijvoorbeeld vijandige mogelijkheden zouden willen hebben.
[2:16:43] En daar heb ik ook een amendement voor voorbereid, die dan zegt van nou, we moeten ook dus minimum waarborgen toevoegen voor onafhankelijk toezicht.
[2:16:50] Dus dat je ook, wanneer je dus onder het ene ministerie valt, dat niet datzelfde ministerie of een toezichthouder daar van het ministerie ook weer toezicht kan houden op de slager die zijn eigen vlees keurt.
[2:17:03] Hoe kijkt mevrouw Katman naar die aanpak?
[2:17:05] Zou dat goed zijn?
[2:17:06] Ja, dat zou een goede aanpak zijn.
[2:17:09] Ik ga zo dus met heel veel enthousiasme naar uw amendement kijken, want ik had op dat terrein gewoon eigenlijk nog wat vragen die ik dus had overgeslagen om tijd te winnen, maar die lopen we nu gewoon weer in.
[2:17:20] Dus ik ga zeker met veel enthousiasme naar uw amendement kijken.
[2:17:24] Hartstikke mooi.
[2:17:24] Gaat u verder met uw betogen.
[2:17:27] Ook onmisbaar in ons informatielandschap zijn de gegevens die publiek-privaat worden gedeeld.
[2:17:32] Hoewel we trots kunnen zijn op alle bedrijven die hun kostbare gegevens nu al met autoriteiten delen, past het niet dat we volledig afhankelijk zijn van private inlichtingen voor ons dreigingsbeeld.
[2:17:41] Onze publieke instellingen moeten die competentie gaan kweken.
[2:17:45] Maar we zijn niet van de een op de andere dag daartoe in staat.
[2:17:48] We hebben nu organisaties die volgens de wet data mogen uitwisselen met het National Cyber Security Centre, de zogenaamde OKTT-organisaties.
[2:17:58] Nu is er wat onduidelijkheid ontstaan of dit onder de nieuwe wetten nog steeds relevante partijen zijn die data mogen uitwisselen.
[2:18:04] Kan de minister bevestigen dat onder de twee nieuwe wetten de OKTT-organisaties nog steeds relevante dreigingsinformatie mogen ontvangen om te delen met hun achterban binnen de sectoren?
[2:18:15] Zo nee, waarom niet?
[2:18:16] En hoe wordt die taak dan wel ingevuld?
[2:18:19] De volgende grote zorg van GroenLinks Partij van de Arbeid zijn de centen.
[2:18:22] Het verbeteren van je ICT-kennis, het opleiden van je bestuur, het opstellen van een cyberplan en het nemen van allerlei maatregelen om jezelf digitaal en fysiek te beschermen, komen met een prijskaartje.
[2:18:34] En er zijn straks duizenden organisaties die daarmee aan de bak moeten.
[2:18:37] En dat is kostbaar.
[2:18:38] En er komt een flinke nieuwe taak bij voor het bestaande personeel.
[2:18:41] En als organisaties zulke expertise van buiten moeten inkopen, dan vis je ook nog eens met z'n allen uit dezelfde vijver.
[2:18:47] En ik wil eigenlijk dat iedereen klaar is voor deze start zodra de wetten zijn aangenomen.
[2:18:52] Met genoeg geld op de plank en een goed idee over welke stap je als organisatie moet nemen om de wet te volgen.
[2:18:57] Kan de minister helder schetsen wat er van entiteiten wordt verwacht in het eerste jaar nadat de wetten zijn aangenomen?
[2:19:03] Welke deadlines gelden er?
[2:19:05] En hoe moeten entiteiten of organisaties die dat waarschijnlijk zijn zich voorbereiden op de nieuwe wetten?
[2:19:11] Hoe maken zij een realistische inschatting van de nieuwe taken en financiële lasten?
[2:19:15] Welke indicaties heeft hij dat entiteiten voorbereid zijn op de nieuwe taken en financiële lasten van de nieuwe wetten?
[2:19:21] En verschilt deze paraatheid ook per sector en waar zitten de risico's?
[2:19:26] Als er praktische of financiële drempels zijn voor entiteiten om aan de wet te voldoen, welke publieke taak heeft de minister dan om hem bij te staan?
[2:19:33] Al die nieuwe taken komen met een nieuw stelsel van toezicht.
[2:19:36] Sommige bestaande inspecties en waakhonden worden uitgebreid en voor sommige sectoren komen geheel nieuwe toezichthouders.
[2:19:42] En dat is maar goed ook, want elke sector verdient een aansprekpunt en een handhaver van de nieuwe wetten.
[2:19:48] GroenLinks Partij voor de Arbeid maakt vaker het punt dat cyberwetgeving te weinig oog heeft voor de positie van de toezichthouder.
[2:19:54] Veel te vaak wordt er gesteld dat er amper extra taken bij komen, dat het budget wel voldoende is en dat er altijd verdere afspraken gemaakt kunnen worden.
[2:20:02] Bij deze wetten ben ik er ook niet gerust op, want de toezicht staat in Nederland al onder druk en er gaan al zoveel incidenten aan ons voorbij omdat we de tegenmacht niet genoeg knaken geven voor al hun taken.
[2:20:12] Dat mag bij de Cyberbeveiligingswet en de wetweerbare kritieke entiteiten niet gebeuren.
[2:20:17] Kijk naar de inspectie Gezondheidszorg en Jeugd, waarvan nu al wordt gesteld dat er mogelijk meer geld nodig is om de naleving van de wet te kunnen controleren.
[2:20:24] Hoe kun je dat nou zeggen en vervolgens ook aangeven dat je pas nadat de wet in werking is getreden het zeker zal weten?
[2:20:31] Wat gaat de minister doen om toezichthouders, zoals de IGJ, van tevoren al zekerheid te geven over hun budget?
[2:20:37] Als blijkt dat toezichthouders onvoldoende geld hebben, hoe gaat de minister hen dan ondersteunen zodat ze niet interen op hun eigen reserves?
[2:20:44] Maar kijk ook naar de ANVS bijvoorbeeld, de nucleaire toezichthouder.
[2:20:50] Die stellen dat er nu geen boetebevoegdheid hebben, maar dat er wel onderdeel is van de wet.
[2:20:54] Nu kijk ik even naar mevrouw Faber.
[2:20:55] Had u daar nou vragen over gesteld?
[2:20:57] Want dan kan ik ze ook overslaan.
[2:20:58] Ja, dan sluit ik me aan bij de vragen van mevrouw Faber.
[2:21:01] Dat scheelt weer heel veel tijd.
[2:21:02] Hetzelfde geldt eigenlijk voor de Nederlandse Voedsel- en Warenautoriteit.
[2:21:07] Die heeft mevrouw Swinkels al genoemd van de CDA.
[2:21:09] De Schoolingspartij van de Arbeid.
[2:21:11] Dat sluit zich van harte aan bij die vragen.
[2:21:14] En dan sluit ik me ook van harte aan bij de vragen over Caribisch Nederland.
[2:21:18] die zijn gesteld door JA21 en ND66, want wat daar gewoon echt van heel heel groot belang is, is dat zij in ieder geval een stip op de horizon krijgen.
[2:21:30] Er waren een aantal vertegenwoordigers hier vorig jaar en die zeiden ook er zijn gewoon piraten actief en ze hebben niet meer zo'n lapje.
[2:21:37] voor hun ogen, maar ze zitten volledig, het zijn allemaal cyberpiraten en het wordt tijd dat wij ons in het Caribisch deel van het Koninkrijk ook gewoon maximaal daartegen kunnen beschermen.
[2:21:49] Het mag duidelijk zijn, GroenLinks Partij van de Arbeid staat in voor de cyberveiligheid en de weerbaarheid van Nederland en er woedt een oorlog achter de schermen.
[2:21:56] Een van onze grootste economische spelers, onze inmisbare leveringsketens en onze volledige overheid mag je dan gewoon de opperste paraatheid verwachten.
[2:22:04] Maar ik maakte het punt al eerder.
[2:22:06] Paraatheid is niet alleen iets voor bestuurders en CEO's, maar iets van ons allemaal.
[2:22:10] En naast deze belangrijke wetgeving verwacht ik van het kabinet een plan voor de veiligheid van alle Nederlanders.
[2:22:16] Praktische, individuele oplossingen die je veilig houden in de online wereld.
[2:22:21] Er is handelingsperspectief voor wat je zelf kan doen.
[2:22:24] Laten we ook toewerken naar een nazorgplicht.
[2:22:26] Een wettelijke plicht voor hoe je omgaat met een massaal data-lek of cyberaanval waar persoonsgegevens van Nederlanders massaal worden buitengemaakt.
[2:22:34] Cyberveiligheid houdt niet op bij het beheersen van risico's.
[2:22:37] Je moet nog veel meer doen.
[2:22:39] Je hebt als burger recht op informatie en hulp als je data wordt gestolen van een bedrijf of overheid.
[2:22:44] Ik kijk uit naar de beantwoording van de minister.
[2:22:48] Dan zie ik verder geen interrupties meer en dan wil ik mevrouw Katman hartelijk danken voor haar vuurige bijdrage.
[2:22:52] Dan geef ik het woord graag terug aan de voorzitter mevrouw Katman.
[2:22:55] Dank voorzitter.
[2:22:56] Dan kijk ik even naar rechts en dan kijk ik ook even naar de klok.
[2:23:00] Hoe lang we zullen schorsen.
[2:23:04] Wij zullen dat zeker met een lunchpauze combineren en dan is het denk ik een uur meestal wel.
[2:23:11] Dan schorsen wij tot half twee.
[3:32:51] We gaan weer van start met de tweede termijn voor het bespreken van de Cyberbeveiligingswet en de wet Weerbaarheid, Kritieken, Entiteiten.
[3:32:59] We zijn bij de beantwoording van de minister, dus het woord is aan de minister.
[3:33:06] Dank, voorzitter.
[3:33:07] En u ziet hier een hele stapel papier voor mij liggen.
[3:33:10] U heeft meer dan 230 vragen afgevuurd over deze twee wetten in een paar uur.
[3:33:15] Dat is bijna twee keer zoveel als het aantal schriftelijke vragen dat over de wet is gesteld door uw Kamer.
[3:33:21] Daarmee wil ik aangeven dat als ik dit nu voorlees en ik neem één minuut per vraag, dan zijn we al zo'n 4,5 uur bezig en dan heeft u nog geen interrupties kunnen plegen.
[3:33:31] Dus met alle welnemen zou mijn voorstel zijn dat ik door de vragen heen ga, dat diegene die feitelijk vragen naar de weg
[3:33:39] zoals die in de wet beschreven staan, dat ik die probeer zoveel mogelijk achterwege te laten en te focussen op de vragen waar echt vragen zaten over de implementatie en voldoet deze wet en willen we daar verandering in hebben.
[3:33:50] Dat kan betekenen dat u aan het einde uw lijstje afkruist en zegt ja ik heb nog 45 vragen waar ik geen directe antwoord op heb gehad.
[3:33:57] dan kunnen we die ook allemaal langslopen, maar dan krijgen we misschien een herhaling van zetten daarin.
[3:34:04] Dus ik marqueer dit alleen naar het begin, omdat het best een uitzonderlijke hoeveelheid is, ook voor mij, in wetsbehandelingen, en dat ik even met u wil toetsen hoe ik dat in ieder geval wil aanvliegen, en dan kijken we wel hoe dat u bevalt of niet.
[3:34:21] Het is in ieder geval goed dat u deze bijsluiter geeft, want we hebben inderdaad tot vier uur.
[3:34:27] Dat is een redelijke harde deadline.
[3:34:28] Het is uiteindelijk aan ons hoe lang het gaat duren, maar het is een goede bijsluiter.
[3:34:33] Ik denk in ieder geval dat het goed is dat, ik zie namelijk verschillende mapjes, dan zijn er vaak ook verschillende blokjes, dus dat we wel echt steeds het hele blok afwachten.
[3:34:43] En dan pas even kijken of er nog, dan de vragen ook doen en kijken of er nog iets mist.
[3:34:49] En dan kunnen we kijken, helemaal aan het einde, of we even inventariseren mochten er Kamerleden zijn die echt nog 45 vragen over hebben staan.
[3:34:57] Dan kunnen we misschien ook dan even kijken of we een deel bijvoorbeeld schriftelijk doen.
[3:35:00] Dan gaan we het zo doen.
[3:35:05] En dan zou ik ook iedereen vriendelijk willen verzoeken om in ieder geval kort te zijn met de interrupties.
[3:35:11] En als je hem toch doet, ook gewoon een korte vraag, want dan kunnen we zoveel mogelijk meters met elkaar maken.
[3:35:17] Het woord is aan de minister.
[3:35:19] Dank, voorzitter.
[3:35:20] Ik heb een korte inleiding zometeen.
[3:35:22] Dan doe ik de algemene vragen en de rijkwijdte van de beide wetten.
[3:35:26] Dan kom ik op de meld- en zorgplichten.
[3:35:28] Er waren een hoop vragen over.
[3:35:29] Dan het toezicht.
[3:35:30] Ook daar een hoop vragen.
[3:35:32] Dan de actualiteiten, waaronder bijvoorbeeld Odido.
[3:35:35] Het weren van leveranciers ben ik even apart bij stilstaande artikelen daarover.
[3:35:40] En dan hebben we nog een mapje overig.
[3:35:42] Alvorens ik kom bij Caribisch Nederland.
[3:35:45] Aparte vragen die echt ingaan op de CBW.
[3:35:48] en aparte vragen die echt ingaan op de WWKE.
[3:35:51] En dan tot slot, aan het einde van mijn termijn, wil ik in ieder geval de ingediende amendementen alvast van appreciatie voorzien.
[3:35:59] Voorzitter, vandaag staan twee belangrijke wetsvoorstellen centraal.
[3:36:02] Het wetsvoorstel voor de cyberbeveiligingswet en het wetsvoorstel voor de wetweerbaarheid kritieke entiteiten.
[3:36:07] En allereerst dank dat we dat gezamenlijk kunnen behandelen in één debat, want deze twee wetsvoorstellen hangen nauw met elkaar samen en het is belangrijk dat ze niet uit elkaar gaan lopen,
[3:36:17] en zowel wat betreft de inhoud, maar ook het proces.
[3:36:20] Ze regelen belangrijke onderwerpen, namelijk de weerbaarheid en de digitale veiligheid van bedrijven en organisaties die essentiële diensten verlenen.
[3:36:28] En ze zijn ook hard nodig, want de Nederlandse vitale infrastructuur en onze digitale processen worden steeds vaker geconfronteerd met de stapeling van dreiging.
[3:36:37] Door toegenomen geopolitieke spanningen zijn onze vitale infrastructuur en digitale processen steeds vaker doelwit van aanvallen door staatlijke actoren, cybercriminelen en andere kwaadwillenden.
[3:36:49] Dit kan leiden, en heeft ook al geleid, tot verstoring of uitval van belangrijke processen.
[3:36:55] De continuïteit van onze vitale en digitale processen is essentieel voor het goed functioneren van onze maatschappij.
[3:37:01] En meerdere van u hebben daar al aan gerefereerd.
[3:37:03] Grootschalig verstoring of uitval daarvan raakt onze samenleving, onze economie en onze nationale veiligheid.
[3:37:11] En deze onderwerpen leven dan ook bij de inwoners van ons land.
[3:37:14] Dat zien we ook in het laatste risico- en crisisbarometer
[3:37:17] publiekse onderzoek van de NCTV naar de beleving van de inwoners van Nederland van risico's en dreigingen, waarbij bleek dat meer dan de helft van de inwoners zich zorgen maakte over cyberdreigingen en het stoppen van vitale processen.
[3:37:30] De risico's voor de vitale infrastructuur zien we niet alleen in Nederland, want we zagen vorig jaar ook een grote sabotage op Poolse spoorlijnen en begin dit jaar zaten heel veel huishoudens en bedrijven in Berlijn dagenlang zonder stroom, internet of verwarming en ook dat kwam toen door een sabotageactie.
[3:37:47] De uitval en verstoring van de vitale infrastructuur en de digitale processen houdt dus niet op bij onze grens.
[3:37:52] En daarom ben ik blij, zeg ik ook in antwoord op een interruptiedebat wat u onderling had, dat we hier een Europese NIST-V-richtlijn en een CER-richtlijn hebben, die in Nederland worden geïmplementeerd in de Cyberbeveiligingswet en de wet weerbaarheid kritieke entiteit.
[3:38:09] Voor bedrijven en organisaties die onder de wetten komen te vallen, geldt slechts de wettelijke verplichting om maatregelen te nemen voor weerbaarheid en de beveiliging van hun netwerken en informatiesystemen.
[3:38:19] En ook moeten zij grote incidenten melden.
[3:38:22] De impact van die wetsvoorstellen is aanzienlijk en daarom heb ik de omzetting van de richtlijnen zorgvuldig aangepakt.
[3:38:28] Ondertussen hebben we samen met de andere betrokken ministeries, bedrijven en organisaties uitdrukkelijk opgeroepen om alvast aan de slag te gaan met de komst van beide wetten.
[3:38:37] De risico's die de bedrijven en de organisaties lopen, die zijn er immers ook nu al.
[3:38:43] Tot slot, dank voor de vragen die u heeft gesteld, maar daar hadden we het al even over.
[3:38:49] Ik zal nu overgaan tot de beantwoording.
[3:38:51] Ik begin met een kopje algemeen.
[3:38:58] Hoe wordt Nederland weerbaarder en veiliger van deze wetten?
[3:39:01] En wat gaan burgers hiervan merken?
[3:39:03] Dat was een vraag van mevrouw Kapman.
[3:39:05] En wat gaan ook de entiteiten die betrokken zijn merken van deze nieuwe wet?
[3:39:10] Als we kijken naar de twee wetten, dan is het doel van de cyberbeveiligingswet echt om de digitale weerbaarheid van Nederland te vergroten.
[3:39:17] En dat betekent dat met deze wet er een zorgplicht komt voor een groot aantal organisaties en bedrijven die onder die wet gaan vallen.
[3:39:24] Ze moeten maatregelen nemen onder risico's,
[3:39:26] van de beveiliging van het netwerk en informatie systemen te beheren en ze krijgen ook een meldplicht, met andere woorden de verplichting om grote incidenten te melden bij de daarvoor aangewezen instanties.
[3:39:37] En daarop vindt ook toezicht plaats.
[3:39:39] Dus langs die lijnen zal ik ook zometeen de wetten behandelen, want dat zijn de kernelementen daaruit.
[3:39:46] Als het gaat om beheerbare kritieke entiteiten, dan gaat het, zoals gezegd, om kritieke entiteiten voor het doorgaan van processen in ons land.
[3:39:56] En dat gaat breder dan alleen cyber.
[3:39:59] Dat is niet helemaal nieuw.
[3:40:00] Er werd al gewezen op de aanpak Vitaal, die al een aantal jaar loopt binnen mijn departement en een hoop van die vitale aanbieders.
[3:40:08] Die gaan nu naadloos op in de kritieke entiteiten, zoals we die in de wet kritieke entiteiten zien.
[3:40:15] Wat verandert er dan voor hen?
[3:40:17] Er was ook een vraag van een aantal van u.
[3:40:18] Onder andere dat nu een aantal dingen wettelijk geregeld worden.
[3:40:21] Dat geldt dus ook weer voor die zorgplicht, die meldplicht.
[3:40:23] En dat toezicht.
[3:40:25] Voor diegenen die daar niet onder vallen, loopt Project Vitaal gewoon door zoals dat al deed.
[3:40:29] Maar voor de entiteiten die onder de WWKI komen te vallen, is de WWKI hun nieuwe project vitaal, om het zo te zeggen.
[3:40:37] Ik denk dat we gezorgd hebben dat die beide implementaties naadloos op elkaar aanstaan.
[3:40:45] En ook de cyberbeveiligingswet komt niet in het niets.
[3:40:49] We hadden al de wet Beveiliging, Netwerk en Informatiesystemen.
[3:40:53] Daar bouwt de cyberbeveiligingswet op voort.
[3:40:56] Maar het grootste verschil is, denk ik, dat het aantal sectoren wat er onder valt en het aantal entiteiten enorm is uitgebreid.
[3:41:02] Het aantal van 1.800 werd al genoemd.
[3:41:04] Ik kom later terug op de ondergrond van die schatting.
[3:41:09] Herkent de minister kritiek op de uitwerking van de wetten?
[3:41:12] Uiteraard niet, zou ik zeggen tegen mevrouw Kapman, voorzitter.
[3:41:18] Maar dat meen ik ook oprecht.
[3:41:20] Dit zijn hele omvangrijke wetten en ik denk dat daar ook de voornaamste reden in zit voor de vertraging in de implementatie die we hebben gezien.
[3:41:27] Zonder te willen wijzen denk ik dat een aantal landen hebben gemeld dat zij deze wet geïmplementeerd hebben, waarbij je dan vervolgens kan afvragen, is alles wat daaronder zit aan de uitvoering, aan toezicht, aan systemen,
[3:41:39] Aan registratie van bedrijven is dat dan allemaal gebeurd, dat je daar grote vraagtekens bij kunt zetten.
[3:41:46] Nogmaals, ik zou geen namen noemen.
[3:41:48] Wij hebben ervoor gekozen om dat op een heel degelijke manier te doen.
[3:41:51] Met andere woorden, wij willen ook zeker weten dat we uiteindelijk een wet van kracht laten gaan die ook kan rekenen op systemen die werken, op bedrijven die weten wat ze moeten doen, dat er loketten zijn waar mensen heen kunnen gaan, dat toezichthouders met elkaar samenwerken.
[3:42:05] Ook daar komen we natuurlijk op te spreken.
[3:42:08] tijd gekost.
[3:42:11] We hebben ook geprobeerd om zoveel mogelijk bedrijven en organisaties te benaderen.
[3:42:15] Want ja, bedrijven moeten zelf die zelftoets doen, maar dan moeten we natuurlijk ook wel zorgen dat wij onze plicht hebben gedaan in het zorgen dat dat zoveel mogelijk bekend is.
[3:42:23] Er zijn brochures ingezet, flyers, nieuwsbrieven, webinars, vakbladen, Q&A's op alle websites.
[3:42:31] En daarmee hebben we geprobeerd om daar een invulling te geven.
[3:42:35] En dan nog zijn we nog niet klaar.
[3:42:37] En een hoop van u refereerde daar al aan.
[3:42:39] Er zijn echt een hoop zaken die nog nader moeten worden uitgewerkt in ministeriële regelingen of ANVB's.
[3:42:45] Ik denk dat ook daar liggen we op schema.
[3:42:47] Dat is natuurlijk ook geen vreemde methodiek.
[3:42:50] Dat kennen we van wetten, dat je zaken daarna uitwerkt in onderliggende en lagere regelgeving.
[3:42:59] We komen zo specifiek denk ik nog even te spreken over de
[3:43:04] de leverantieinterventies en waar die dan mogelijk thuis horen.
[3:43:08] Daar is ook een amendement over ingediend.
[3:43:10] Maar in de kern is dat wel, denk ik, hoe wetten uitvoerbaar blijven.
[3:43:14] En dat zeg ik ook in reactie op de heer Van den Berg, voorzitter, daar waar het gaat om.
[3:43:20] Zou je een hoop van die zaken nou niet naar een hoger niveau van wetgeving willen hebben?
[3:43:25] Nogmaals, tijd is hier niet de bepaalde factor geweest in of wij dingen wel of niet in de wet hebben opgenomen.
[3:43:31] Het is voornamelijk ook het niveau waarvan we dat thuishoren, maar twee, ook de veranderlijkheid van zaken.
[3:43:39] Want de zaken die het snelst veranderen, een aantal referent daar al aan, die wil je dus niet in de wet zelf hebben geregeld.
[3:43:45] Die wil je juist in de ANVB hebben geregeld, want je wil dat die wet in principe gewoon de komende 10, 15 jaar door kan.
[3:43:52] Als je realiseert dat die technologische veranderingen heel snel gaan, de kwantum werd al genoemd, dan wil je dus hier een wet hebben die wel het raamwerk creëert waarbinnen je ook daarop kan anticiperen, maar wil je de ruimte houden om in ANVB's of ministeriële regelingen heel snel in te kunnen spelen op zaken die zich daar voordoen.
[3:44:11] En dan kan ik me voorstellen, want het kunnen hele relevante ontwikkelingen zijn, dat uw Kamer zegt, ja, daar willen we dan wel bij betrokken zijn, daar willen we ook wat van vinden.
[3:44:18] In die zin heeft een aantal van u ook aandacht gevraagd voor de voorhang van ANWB's of wijzigingen die op deze wet of in ministeriële regelingen anders komen en daar kan ik me alles bij voorstellen.
[3:44:30] Dus dat zult u zo in de appreciatie ook van mij horen.
[3:44:33] Ik denk dat dat het samenspel is tussen kabinet en parlement om hier een weg te vinden waarin we wel
[3:44:42] die snelheid kunnen creëren waar die nodig is, maar de zorgvuldigheid en de politieke toets kunnen behouden waar die gewenst is en nodig is.
[3:44:51] Kan ik een schriftelijk overzicht geven wanneer ik verwacht dat alle voorgenoemde punten duidelijk zijn uitgewerkt?
[3:44:58] Ja, dat wil ik doen, want we weten wel welke stappen er gezet moeten worden en sommigen kan ik daar een datum aan hangen, anderen nog niet.
[3:45:06] Daar ben ik ook afhankelijk van collega ministers, maar dat is geen punt.
[3:45:10] Ik kan wel een aantal dingen
[3:45:11] Toelichten over waar we op dit moment staan.
[3:45:13] De ANVB's weten we inmiddels van.
[3:45:15] Die zijn er voor beide wetten.
[3:45:18] Bedrijven en organisaties kunnen zich op dit moment ook al registreren.
[3:45:21] Ze kunnen ook een melding doen al.
[3:45:23] En ze hebben nu al een CSCIT en een toezichthouder.
[3:45:26] Dus daarmee kunnen bedrijven eigenlijk aan de slag conform de wet, ook nu al.
[3:45:33] Maar het behoeft nog wel nadere beleidswerken en uitvoeringsafspraken.
[3:45:37] En daarmee proberen we nou juist zoveel mogelijk aan te sluiten
[3:45:41] bestaande processen.
[3:45:43] En dat is een ander punt wat een hoop van Utrecht heeft aangekaart, dat is de regeldruk.
[3:45:48] En hoe houden we die regeldruk, zeker voor bedrijven, nu zo laag mogelijk?
[3:45:52] Dat is bijvoorbeeld onder andere door aan te sluiten bij toezichthouders die zo hebben, niet een nieuwe toezichthouder.
[3:45:58] Zodat in ieder geval de sectoren al bekend zijn met een toezichthouder en vice versa.
[3:46:04] En dat doen we bijvoorbeeld ook, en ik kom zo nog over de gemeentes terug,
[3:46:07] door aan te sluiten bij processen die er nu al bestaan of eisen die nu al worden gesteld, zoals de bio-eisen, waar ook gemeentes nu al aan voldoen.
[3:46:15] Dus het is wat dat betreft een beetje zoeken en het verschilt ook per sector hoe ver men is, wat men heeft aan middelen en wat nou de makkelijkste manier is voor sectoren, bedrijven, overheidsorganisaties om te voldoen aan de plichten uit deze twee wetten.
[3:46:31] En dat is dan ook meteen de vaagheid die sommigen van u daar nog in lezen.
[3:46:35] van ja, hoe ga je dat dan exact invullen?
[3:46:38] Nou ja, liefst op een manier die zoveel mogelijk aansluit bij de behoeften van de sector, maar die wel zorgt dat de waarborgen uit de wet worden gehanteerd.
[3:46:46] En dat betekent dat die zorgplicht dus nog niet in beton is gegoten.
[3:46:51] Want als we dat nu in beton zouden gieten voor elk bedrijf, voor elke organisatie, groot, klein, welke branche dan ook, dan loopt het risico dat we dingen zwaarder optuigen of onnodig bureaucratisch maken dan hoe ze hoeven te zijn.
[3:47:05] Nogmaals, de beginselen zitten hierin, maar daarom ben ik ook, hecht ik er ook aan dat die ministeriële regelingen vanuit die vakministers komen voor hun verantwoordelijke domein, omdat je dan ook kunt inzetten op die dingen doen waar het nodig is.
[3:47:21] Ik kom daar zo wat betreft onderwijs nog op terug, want dat is denk ik een heel aansprekend voorbeeld van hoe je daar maatwerk moet kunnen leveren.
[3:47:32] Daar komt nog bij dat we uit regeldruk onderzoeken en het MKB-panel rondom deze wet al terug hebben gekregen dat bedrijven zich vaak al bewust zijn van de rol die ze hebben en die ze ook moeten spelen onder deze wet.
[3:47:42] Wat dat betreft is cybersecurity natuurlijk de afgelopen tien jaar ook binnen de boardrooms en de directies van bedrijven natuurlijk een steeds belangrijker onderwerp geworden.
[3:47:53] Dus deze wet komt niet uit het niets vallen.
[3:47:59] Dat was een vraag van, ja, zijn deze wetten nou begrijpelijk en proportioneel en in hoeverre zit hier nou nationale koppel?
[3:48:08] Het antwoord op het tweede is eigenlijk kort gezegd nee.
[3:48:11] Wij implementeren hierbij de NIS2-richtlijn.
[3:48:14] We implementeren hiermee de CER-richtlijn.
[3:48:19] En het enige waar we gebruik van maken, en het werd al genoemd in uw inbreng, het keren en weren van water.
[3:48:26] is gebruikmaken van sommige mogelijkheden die de wetten bieden om op nationaal niveau bepaalde sectoren bijvoorbeeld toch onder te brengen binnen de rijkwijten van deze wet.
[3:48:38] Keren en weren van water is in een hoop landen nice to have, maar ik denk dat het evident is, zoals we hier zitten, dat voor Nederland dit nou juist absoluut een kritiek element is van onze veiligheid.
[3:48:52] U kunt zich voorstellen dat toegang verkrijgen tot
[3:48:56] onze Delta-werken in technische zin enorme gevaren kan opleveren voor onze gezondheid hier en ons land in Den Brede.
[3:49:07] Dat is waarom we onder andere die uitzondering hebben gemaakt.
[3:49:11] Daar waar het gaat om onderwijs ging uw vraag uiteraard over
[3:49:16] Ja, gaat het niet met name om een specifieke kennisveiligheid binnen een deel van dat onderwijs en moet je dan wel alles doen?
[3:49:24] Ik denk dat daar de vraag ook voor ons gestart is van in hoeverre willen wij dat hogescholen hierbij komen te staan.
[3:49:29] We hebben een aantal jaar geleden natuurlijk ook een hek gehad op een van onze hogescholen met grote gevolgen destijds.
[3:49:38] Uiteindelijk is de afweging geweest dat hoogscholen al op een behoorlijk niveau zitten, daar waar het gaat om
[3:49:44] het voldoen aan de cyberverveiligingswet, dat het juist moeilijker wordt om daarbinnen die onderwijssector dan te gaan separeren tussen welke opleidingen wel, welke niet, welke instellingen wel, welke niet.
[3:49:58] En daarom heeft de minister van OCW in overleg met mij overigens gekozen om de volledige sector daaronder te laten vallen.
[3:50:07] Zij krijgen wel meer tijd om hun eigen pad ook te
[3:50:11] in hoe ze die zorg, die meldplicht gaan inregelen.
[3:50:19] En hoe kom je nou tot een essentiële entiteit, een belangrijke entiteit of een kritieke entiteit, was de vraag van mevrouw Kapman.
[3:50:27] De Cyberbeveiligingswet kent twee categorieën, de essentiële en de belangrijke.
[3:50:32] Zoals ik altijd eindig met het kopje over belangrijke vragen.
[3:50:36] Belangrijk is de laagste categorie, maar wel een relevante nog steeds in het kader van deze wet.
[3:50:42] En in de bijlages bij de wet kun je ook specifiek zien welke sectoren nou vallen onder welke.
[3:50:51] Dan heb je binnen de wet weer bij kritieke entiteiten, heb je dus de kritieke entiteiten.
[3:50:56] En een kritieke entiteit is automatisch ook een essentiële entiteit, maar het omgekeerde is niet per se het geval.
[3:51:04] Dus er zijn essentiële entiteiten die geen kritieke entiteit zijn vanuit de
[3:51:10] voor het bestaan van de overheid, maar nog steeds vanuit cyberopzicht wel een essentiële entiteit zijn.
[3:51:27] Mevrouw Schinkels heeft een vraag.
[3:51:32] Ja, dank voorzitter.
[3:51:33] Ja, volgens mij wilde u eventuele gemiste vragen per blokje toch?
[3:51:35] Maar een interruptie kan tussendoor wel.
[3:51:38] Het is het handigst om eigenlijk interrupties en vragen alles aan het einde van het blokje te doen.
[3:51:44] Ja, dus dat we eigenlijk het hele blokje afmaken omdat er zoveel vragen zijn gesteld.
[3:51:48] Want anders dan zitten we hier vanavond nog.
[3:51:50] Ja, ben ik met u eens.
[3:51:54] De ANVB's en daarin verlengde dan de voorhang.
[3:51:59] Ja, er is uitgebreid internetconsultatie geweest via de websites, onder andere van de NCTV.
[3:52:07] En burgers en bedrijven hebben ook gereageerd op de ANVB's en we hebben die kritiek of suggesties ook meegenomen.
[3:52:14] Ik had het net al even over hoe gaan we daar nou in de toekomst mee om met de ANVB's en de rol van uw Kamer.
[3:52:21] Die internetconsultatie gaan we sowieso altijd doen.
[3:52:25] Spreekt voor zich.
[3:52:26] En dat geeft dus aan burgers, bedrijven, maar ook mede-overheid de gelegenheid om daarop te reageren.
[3:52:32] Maar mevrouw Kapman heeft ook twee amendementen ingediend om een voorhangprocedure te regelen voor de uitwerking van de zorgplichten in de ANVB's.
[3:52:39] En daar ben ik positief in.
[3:52:42] Vooral omdat die zien op toekomstige wijzigingen.
[3:52:44] Dus we hoeven nu niet het proces om te keren, maar wel voor de toekomst.
[3:52:50] daar rekening mee te houden in de vorm van een...
[3:52:54] Dit is nog niet mijn appreciatie, maar ik loop er wel een beetje over uit.
[3:52:58] Ik zie de G4 al kijken hoe moet ik hiermee omgaan, maar ik geef een voorschot wat mogelijk in de discussie kan helpen.
[3:53:17] Kan ik schetsen wat er van entiteiten wordt verwacht in het eerste jaar nadat de wetten zijn aangenomen en welke deadlines gelden daarbij?
[3:53:24] Dat was ook een vraag van mevrouw Kapman.
[3:53:27] Al die bedrijven en organisaties die onder die wet vallen, die moeten voldoen aan de zorgplicht.
[3:53:32] En dat is dus de verplichting om maatregelen te nemen om de risico's voor de beveiliging van netwerken en informatiesystemen te beheersen.
[3:53:39] Daarnaast moet ze voldoen aan de meldplicht.
[3:53:41] Nogmaals, de meldmogelijkheid is er nu al, maar de meldplicht wordt dan echt van kracht
[3:53:46] En dat betekent dat je grote incidenten moet melden bij de aangewezen instanties.
[3:53:50] En daar vindt in zijn geheel toezicht op plaats.
[3:53:54] Dat is de kern van wat er gebeurt op het moment dat deze wet van toepassing wordt.
[3:53:59] En die geldt vanaf dan dus ook voor alle organisaties.
[3:54:06] En hoe helpen we dan die organisaties?
[3:54:08] We kwamen zelf al op die schatting van 8100 om dan ook de weg te vinden.
[3:54:12] En weten ze dat dan wel?
[3:54:14] En wat kunnen we daar nog meer aan doen?
[3:54:16] Nou, daar heeft de RDI een zelf-evaluatietool voor gelanceerd.
[3:54:21] Gemeenten zijn aangewezen in de wet, dus daarmee is het voor hen in ieder geval duidelijk dat zij hier onder zullen gaan vallen.
[3:54:27] En gemeenschappelijke regelingen van gemeenten is door het ministerie van Binnenlandstaken gevraagd
[3:54:34] om validatie te doen of zij onder de CBW vallen.
[3:54:38] Dat is gevraagd doormiddel van een brief en bij vraag hebben we uiteraard met hen nader contact.
[3:54:45] Vanwege het grote aantal entiteiten, met name de private, is het niet mogelijk om vanuit de Rijk voor iedere entiteit te bepalen of zij onder de wet gaan vallen, maar in plaats daarvan is er juist zoveel mogelijk aan gedaan om met campagnes, met Q&A's, met websites, met verwijzingen, ze de juiste informatiepositie te geven om die beoordeling wel
[3:55:03] zelf te kunnen maken.
[3:55:09] En vervolgens kunnen organisaties zich dan, als ze die zelfrevaluatietool hebben doorlopen, kunnen zich gaan voorbereiden op wat betekent dat dan.
[3:55:17] En daarmee hebben we stappenplannen aangeboden op de website van het NCSC, de National Cyber Security Center, en op de website van de NCTV.
[3:55:27] Er is geen inschatting gemaakt van de kosten, dat is ook in het kader van de regeldruk,
[3:55:31] Het zijn ingeschatte gemiddelden, dus per entiteit kan dat verschillen, bijvoorbeeld wanneer er tekortkomingen zijn, juist in de digitale weerbaarheid, die dan moeten worden gerectificeerd, terwijl bedrijven die eigenlijk al aan de hoge kant zitten, wat betreft sitebeveiliging, wellicht zelfs geen kosten zullen hoeven te maken.
[3:55:48] Dus dat hangt echt af waar staat de organisatie.
[3:55:54] De heer Van den Berg vroeg al, zou het beveiligingsbesluit of er afzonderlijk wordt gestemd?
[3:55:59] En zo ja, wanneer?
[3:56:00] Ja, het is een ANVB, dus in die zin kent hij geen parlementaire behandeling.
[3:56:05] Maar we hebben wel, en dat heb ik dus ook toegezegd voor het vervolg, een concept voorgangen hier in de Kamer voor de zomer, om u daarin mee te nemen.
[3:56:19] En in de verslagen van het wetsvoorstel hebben verschillende Tweede Kamerfracties gereageerd op dat concept,
[3:56:24] ook van de ANWB, en dat hebben we meegenomen in de nota naar aanleiding van het verslag.
[3:56:28] Dus in die zin hebben we wel degelijk een wisseling van gedachten kunnen hebben, zij het niet in de formele zin.
[3:56:37] Waarom gaan we toch door, ondanks het negatieve advies van het adviescollege Toetsing en Regeldruk?
[3:56:42] Ja, dat is wel vanwege het bijzondere karakter van deze twee wetten.
[3:56:46] En dat heeft te maken
[3:56:47] met het feit dat je niet je cyberveiligheid op een hoger niveau kunt krijgen landelijk, als je daar niet ook verplichtingen oplegt aan bedrijven en organisaties om daar wat mee te doen.
[3:56:58] Er werden al een aantal voorbeelden genoemd hier in de actualiteit, ik zal er vanuit het kabinet niet per se een oordeel over hebben, maar het is op dit moment vrij divers hoe organisaties en bedrijven omgaan met hun cyberbeveiliging.
[3:57:10] En het is gewoon noodzakelijk, juist vanwege de essentie van
[3:57:15] de services die ze bieden, dat we ook kunnen rekenen als bevolking, zeg ik via de voorzitter tegen mevrouw Kapman, dat daar een bepaald basisniveau is, dat we niet incidenten hebben waarbij vitale processen in gevaar komen waarvan we achteraf erachter kwamen dat hij eigenlijk met pet is gegooid naar de cyberbeveiliging.
[3:57:37] Dat is wat deze wetten doen en dat kun je nou eenmaal niet doen door dat op een bepaalde manier toch in regels te vatten.
[3:57:45] Dat brengt dus altijd iets van de last met zich mee, maar daar hebben we een aantal mitigerende maatregelen opgenomen.
[3:57:52] Eén is de proportionaliteit.
[3:57:53] Dat is echt een leidend principe geweest bij deze wetten en daarom zijn ze ook risicogebaseerd.
[3:57:59] Dus iedere organisatie moet die maatregelen nemen die passend zijn voor de organisatie zelf.
[3:58:06] Dat maakt het maatwerk, dat maakt het waarom je soms zegt waarom is die tot achterkomma uitgewerkt.
[3:58:10] Ja, dat heeft dus ook te maken met het proberen te verminderen van die
[3:58:14] Regeldruk.
[3:58:15] En wat ik al eerder zei, en die regeldruk onderzoek komt ook naar voren, dat hoopbedrijven zich eigenlijk wel realiseren dat ze hier wat te doen hebben, dat ze hier ook een rol te spelen hebben.
[3:58:25] Dus het is niet per se dat deze wet voor een heleboel bedrijven, die al bewust zijn, ook heel veel meer met zich meebrengt.
[3:58:33] Die opereren eigenlijk al via dat principe.
[3:58:49] Kunnen we bij de invoeringstoets dan ook kijken naar de werkelijke regeldruk?
[3:58:52] Dat was een vraag van de heer Van den Berg.
[3:58:54] Ja, de invoeringstoets is echt bedoeld voor grote knelpunten, om die zo snel mogelijk op te kunnen lossen, om te zorgen dat die wet alsnog ingevoerd kan worden.
[3:59:02] Maar ik wil daar wel bij de evaluatie naar gaan kijken.
[3:59:07] En laat ik die koel dan meteen bij de horens vatten.
[3:59:11] Een aantal van u hebben het daarover gehad en vinden vijf jaar te lang.
[3:59:14] Het helpt ons dat we enigszins verlaat zijn met de invoering van onze eigen wet, waardoor het punt waarop de commissie komt met haar eerste evaluatie al dichterbij komt.
[3:59:24] Dat is al volgend jaar.
[3:59:26] Dus ik wil wel gaan kijken of we spoedig na de evaluatie van de commissie, dus laten we zeggen binnen twee jaar na invoering van de wet, dan een evaluatie kunnen doen.
[3:59:36] Daar nemen we dan ook de regeldruk in mee.
[3:59:42] Dat zijn alweer zes vragen, denk ik.
[3:59:46] Waarom wordt de verantwoordelijkheid voor de uitvoering ook bij de decentrale overheden neergelegd?
[3:59:59] De uitvoering van de Zuidbeveiligingswet en de wet weerbaar kritieke entiteiten wordt niet bij decentrale overheden belegd.
[4:00:09] Er worden sectoren aangewezen die onder de wet vallen.
[4:00:12] En onder die sectoren vallen ook decentrale overheden.
[4:00:15] Dus het is niet iets wat zij als een service doen.
[4:00:18] Het is in die zin niet een taak die wij overhevelen van rijk naar gemeente.
[4:00:21] Ik hoorde al de knaak-en-de-taak-discussie.
[4:00:24] Nee, elke entiteit die wordt aangewezen onder deze twee wetten... zal daar zelf maatregelen op moeten nemen.
[4:00:30] En dat betreft dus ook gemeenten.
[4:00:32] Dus in die zin volgt het een andere systematiek.
[4:00:36] En we steunen natuurlijk de lokale overheden daar wel bij.
[4:00:39] Daar zijn voldoende middelen voor.
[4:00:45] En we hebben dit overigens ook overlegd.
[4:00:47] En dat brengt mij een beetje op de UDO, de Uitvoeringstoets Decentrale Overheden.
[4:00:53] Die is ook hier gedaan.
[4:00:54] Dat is overigens geen document met een rapport en een stempel van de UDO-dienst.
[4:01:00] Nee, dat is een proces waarin je samen met de lokale overheden
[4:01:04] De centrale overheden kijkt naar hoe kunnen we hier deze wet op een zo goed mogelijke manier invoeren en welke knelpunten lopen tegenaan.
[4:01:12] En die zijn dus ook meegenomen in de memorie van toelichting bij het wetsvoorstel in de wijze van implementatie.
[4:01:21] Dus daar vindt u de uitkomsten daarvan terug.
[4:01:24] MKB-toets is een andere toets die natuurlijk vaak wordt gedaan.
[4:01:29] Er is een volwaardige MKB-toets uitgevoerd.
[4:01:32] Ik heb al gezegd dat regeldruk een belangrijk punt was voor de manier waarop we deze wet invoeren.
[4:01:38] En uit die MKB-toets bleek steun voor de risicogebaseerde aanpak, want dat is natuurlijk uiteindelijk wat het behapbaarder maakt.
[4:01:48] Daarnaast is verduidelijkt in de wet en de omliggende besluiten dat bijvoorbeeld de risicobeoordeling onder beide wetten,
[4:01:55] zoveel mogelijk door bedrijven kunnen worden gecombineerd.
[4:01:58] Dus dat ze niet twee keer een risicobeoordeling hoeven te doen, maar dat één middel uiteindelijk ook verstaat voor de verplichtingen onder beide wetten.
[4:02:07] Ook dat is een poging om die regeldruk naar beneden te brengen.
[4:02:15] Dan nog meer van die samenloop tussen samenhang tussen fysieke en digitale weerbaarheid.
[4:02:20] Dat was een vraag van mevrouw Swinkels hierover.
[4:02:22] Hoe gaan we dat borgen?
[4:02:23] We behandelen tenslotte die wetten ook hier samen vandaag.
[4:02:26] Dat heeft ook zijn reden.
[4:02:29] Ze zijn in samenhang ook opgesteld door ons.
[4:02:32] En dat geldt ook voor de Europese richtlijnen waar ze van afgeluid zijn.
[4:02:35] Dus om dat in de praktijk te borgen, werken we aan de inrichting van één meldpunt voor beide wetten.
[4:02:41] Dat meldportaal zal door het National Cyber Security Center worden beheerd.
[4:02:47] En wat ik al net zei, de risicobeoordeling voor beide wetten kan ook gezamenlijk worden gedaan door bedrijven die onder beide vallen, waardoor je in ieder geval niet twee keer een risicobeoordeling hoeft op te stellen en alle dreigingen in één keer kan meenemen.
[4:03:03] Die evaluatie dan nog even, als we zaken nou...
[4:03:07] in die evaluatie toch liever in de hogere wetgeving zouden willen hebben, mevrouw Kapman vroeg, maar de heer Van den Berge ook.
[4:03:13] Staan we daar dan voor open?
[4:03:14] Ja, uiteraard.
[4:03:14] Ik denk dat dat de evaluatie ook ons moet geven.
[4:03:18] Nogmaals, ik vind niet dat we daar hier ons met een jantje verleiden van af hebben gemaakt.
[4:03:22] Er zit echt een gedachte achter.
[4:03:23] Wat staat er wel in die wet en wat zit in de lagere regelgeving?
[4:03:26] Als uit die evaluatie blijkt dat je dat beter anders kunt doen, dan zullen we dat TCT natuurlijk niet nalaten.
[4:03:50] Misschien nog even over de centrale overheden.
[4:04:02] Ook de provincies werden nog genoemd.
[4:04:07] Het is wat ons betreft dus nog geen noodzaak tot een algemene compensatie van mede-overheden voor de implementatie van deze wet.
[4:04:13] En dat is omdat in de praktijk al een hoop van die verplichtingen al van toepassing zijn op het niveau.
[4:04:18] Ik noemde al de BIO, nu kan ik ook zeggen waar dat ook weer voor staat.
[4:04:21] Dat is de Baseline Informatiebeveiliging Overheid.
[4:04:26] En ook voor de meldplichtcriteria is aangesloten bij datgene wat zij al moesten doen, want die meldplicht gold al voor hen.
[4:04:32] En we hebben daar geen wijzigingen naar aangebracht in deze wet.
[4:04:35] Er zijn marginaal extra verplichtingen voor de centrale overheden,
[4:04:39] De registratieplicht en de trainingsplicht voor bestuurders, die werd ook al door enkele aangehaald, maar naar verwachting zijn de financiële gevolgen voor de mede-overheden daarmee beperkt.
[4:04:50] BZK, Binnenlands Zaken, kijkt samen met de mede-overheden hoe ze kunnen worden ondersteund, en dat geldt natuurlijk met name voor de kleinere organisaties, bijvoorbeeld gezamenlijke opleidingen volgen, waardoor je dat niet als elke gemeente afstandelijk hoeft in te vullen.
[4:05:09] Ik heb nog twee vragen bij dit blokje, voorzitter.
[4:05:15] Dan, waarom is het verschil in de bewaartermijnen?
[4:05:17] Hebben we niet een apart kopje AVG?
[4:05:21] Nee, oké, dan behandel ik hem hier.
[4:05:23] Waarom is er verschil in bewaartermijnen tussen die CSIRTs, dus de Computer Security Incident Response Teams, en het toezicht houden zo groot?
[4:05:32] Ja, dat heeft te maken met de andere taakopvatting die ze hebben.
[4:05:35] Voor de CSIRTs gaat het erom
[4:05:37] Op het moment dat ze een melding krijgen, gaat het er om te kunnen helpen bij het oplossen van het probleem wat er is.
[4:05:44] Om andere organisaties te kunnen informeren en zo hopelijk verdere uitbreiding van de problemen te voorkomen.
[4:05:51] En daar de contacten te leggen die nodig zijn.
[4:05:54] Bijvoorbeeld ook met andere partijen die zouden kunnen ondersteunen.
[4:05:57] Dat is allemaal gericht op het hier en nu.
[4:05:59] Dat is ook wat CSIRT's doen.
[4:06:01] Dat is ook wat ze het leukste vinden.
[4:06:02] Die zitten niet in ronde archiefkasten te neuzelen naar het verleden.
[4:06:07] Maar dat moeten toezichthouders natuurlijk wel af en toe doen, omdat toezichthouders ook uiteindelijk bestuurlijke dwangmiddelen moeten kunnen inzetten.
[4:06:15] Je kunt je voorstellen, inclusief beroepsprocedures, boetes, et cetera.
[4:06:20] Denk aan de meest zware variant, dat een bestuurder persoonlijk aansprakelijk wordt gesteld.
[4:06:25] Ja, dat kunnen zaken zijn die rustig een paar jaar voortduren.
[4:06:28] En daarom moet de toezichthouder wel over ruimere
[4:06:31] ...middelen moeten kunnen beschikken dan de korte bewaartermijn... ...die we wel graag voor die CSUNs willen hanteren.
[4:06:45] Kan ik al iets zeggen over hoe vaak de bestaande hulptools... ...heel ander onderwerp weer, maar ze zijn gebruikt door bedrijven en entiteiten.
[4:06:55] We zien dat ze in toenemende mate worden gebruikt... ...en dat die actieve mediacampagne daar ook wel bij helpt.
[4:07:00] De eerste stap is het checken of bedrijven onder die cyberbeveiligingswet gaan vallen.
[4:07:05] En die zelfreliberatietool waarmee je dat kunt doen, die is tot nu toe meer dan 205.000 keer geraadpleegd.
[4:07:11] Dus dat is wel echt heel veel.
[4:07:14] En dat is een positieve stap.
[4:07:15] En we zien na die eerste stap ook dat steeds meer organisaties naar de website van het National Cyber Security Centre gaan om daar de beschikbare middelen en de tools te gaan gebruiken.
[4:07:25] Dus ik denk dat...
[4:07:27] dat een goede eerste stap is, de quickscantool, waarmee organisaties nou inzicht krijgen in hoe de sitebeveiliging van een organisatie ervoor staat.
[4:07:34] Dus 31.000 keer doorlopen.
[4:07:37] En hiervan hebben 6100 organisaties de scan volledig ingevuld.
[4:07:43] Van oudsher draagt het National Cyber Security Centre de hulptools, de handleidingen, infosheets actief uit via relatiebeheerders en sinds vorig jaar zetten ze ook online webinars op.
[4:07:55] om op grotere schaal die hulptools et cetera toe te lichten.
[4:07:59] Per webinar zien we dat meer dan 1500 organisaties deelnemen, dus ook dat is echt aanzienlijk.
[4:08:05] De LinkedIn-pagina van het NCSC, je telt niet mee als je die niet hebt, die heeft inmiddels 70.000 volgers, maar die volgen dus ook de wekelijkse posts over de Cyberbeveiligingswet.
[4:08:19] Dus in die zin denk ik dat die outreach
[4:08:21] een geslaagd onderdeel is geweest van deze wet en dat met die bekendheid echt wel goed zit.
[4:08:27] Dat was mijn eerste blokje.
[4:08:28] Ja, als ik het goed heb, was dit het blokje Rijkwijten.
[4:08:32] Want we gaan dus nog naar zorgplicht, toezicht, dat komt er allemaal nog aan.
[4:08:36] Dit was blokje Rijkwijten en ik kijk dan even naar links of mensen vinden dat er nog vragen zijn blijven liggen.
[4:08:42] Mevrouw Swinkels.
[4:08:46] Ja, dank u wel, voorzitter.
[4:08:47] Ja, ik had eigenlijk gewoon één interruptie naar aanleiding van een antwoord.
[4:08:49] Ik ben blij met de antwoorden ten aanzien van kleinere gemeenten.
[4:08:52] Goed om dat te horen.
[4:08:55] En ook ten aanzien van de coördinatie werden er al wat punten aangehaald.
[4:08:59] Maar ik maak toch wel zorgen over die onderwijssector.
[4:09:01] Want het antwoord was toch, ja, die hele sector valt er gewoon onder.
[4:09:04] En we hebben juist met elkaar proportionaliteit hoog in het vaat nog staan.
[4:09:09] We willen juist dat het risico gebaseerd is.
[4:09:12] En dat zie ik dan niet helemaal terugkomen als het gaat om de rijkwijdheid van het onderwijs.
[4:09:15] Dus graag toch de vraag aan de minister.
[4:09:19] Kan hij op de een of andere manier ons geruststellen dat er ook proportionaliteit richting het onderwijs wordt getracht te borgen?
[4:09:28] De minister.
[4:09:29] Ja, voorzitter, zeker.
[4:09:32] Proportionaliteit, maar hier lopen we ook juridisch tegen een aantal begrenzingen aan.
[4:09:36] En daar zullen we ook nog over komen te spreken in een ander format als het gaat over kennisveiligheid.
[4:09:41] dat het ontzettend moeilijk is om te bepalen welk deel binnen een onderwijssector nou onder een ander regime moet vallen dan het overige deel van een onderwijssector.
[4:09:51] Dat is juridisch moeilijk, dat ligt bij bonden ook moeilijk, maar dat is ook in de uitvoering niet altijd makkelijk, omdat je het ook kunt hebben over delen binnen één onderwijsorganisatie en dan zou je dan verschillende regimes van toepassing moeten verklaren en dan vallen bestuurders deels wel onder een cyberbeveiligingswet en deels weer niet.
[4:10:08] Dus dat is echt heel complex.
[4:10:10] En vandaar dat de minister van Onderwijs heeft gezegd van, nou dan, we hebben al die organisatie van onze eigen CSIRT.
[4:10:17] SIRT heet dat, Binnenonderwijssector.
[4:10:19] Dat bedient nu al die volledige sector.
[4:10:23] Dus laten we dan ook die volledige sector brengen naar datzelfde niveau.
[4:10:26] Dus ook dat is deels proportionaliteit, om te zorgen dat je het niet complexer maakt voor de sector.
[4:10:31] door ze eronder te brengen.
[4:10:33] Terwijl vanuit de inhoud zou je zeggen, ja, ligt het grootste risico natuurlijk bij sommige delen van die sector.
[4:10:37] Daar ben ik helemaal met u in.
[4:10:40] Mevrouw Swinkels.
[4:10:42] Ja, tot slot op dit punt.
[4:10:43] Dit antwoord stelt mij al wel iets meer gerust.
[4:10:48] Ja, de minister gaf ook aan van we geven het onderwijs ook wat meer tijd.
[4:10:52] Het tijdspad, dat is ook wat ruimer.
[4:10:55] Kan er dan toegezegd worden dat er dan op die manier ook samen met het onderwijs, met SURF en andere partijen die al veel inspanning hebben verricht, kan worden gekeken wat dan prioriteit krijgt.
[4:11:05] Wat doen we eerst en wat kan ook later?
[4:11:08] De minister.
[4:11:10] Ja, zeker, voorzitter.
[4:11:11] En dat zeg ik dan ook mede namens de minister van Onderwijs, want ik wil, zeg ik in de algemene zin, zeker niet de algemeen verantwoordelijker worden voor alle sectoren.
[4:11:19] Ik was juist erg blij dat in de wet dat risico al in ieder geval gespreid is.
[4:11:23] Dus hij zal dat doen.
[4:11:24] Maar zoals gezegd, zij hebben 36 maanden om te voldoen aan de verplichtingen vanuit de wet.
[4:11:30] En die zou ook worden benut om dat op een verantwoorde en proportionele manier te doen.
[4:11:35] De heer Van den Berg.
[4:11:37] Ja, dank, voorzitter.
[4:11:38] Ook een vervolgvraag naar mevrouw Swinkels van het CDA.
[4:11:43] Kijk, wij hebben een amendement in voorbereiding die eigenlijk simpelweg stelt dat je inderdaad de hele sector hebt qua hoger onderwijs.
[4:11:50] En die NIS II-richtlijn laat expliciete ruimte over om ervoor te kiezen om die instellingen wel of niet onder de wet te brengen.
[4:11:59] En wat we, denk ik, zouden kunnen doen, is dat je een lid toevoegt die zegt dat het hoger onderwijs en het wetenschappelijk onderzoek
[4:12:07] die kritieke onderzoeksactiviteiten verricht.
[4:12:11] En volgens mij is dat, denk ik, best wel proportioneel om dat in te schatten bij die hoge scholen, of ze dat wel of niet doen, en zodoende die instellingen wel of niet onder de wet te brengen.
[4:12:22] Kortom, doen we dat niet, dan krijgen we overbodige regeldruk, wat geen doel dient.
[4:12:27] Hoe kijkt de minister daarnaar?
[4:12:29] Ja, ik schetste net al even wat u zegt.
[4:12:31] Die instellingen die en dan die woorden die u daarna kiest, daar gaat een hele wereld onder schuil.
[4:12:37] Want die zul je dan in wetgeving moeten definiëren.
[4:12:41] Die zul je dan verder moeten uitwerken.
[4:12:43] En daar loop je tegen hele complexe zaken aan.
[4:12:46] Wanneer is iets nou kritisch?
[4:12:48] Zeker daar waar het gaat om kennisoverdracht.
[4:12:51] Daar zijn een aantal voorbeelden uit het verleden waar dat wel tot mogelijkheden heeft geleid.
[4:12:57] Denk aan het weren van bepaalde studenten bij opleiding tot kernfysicus.
[4:13:04] Maar we zien in bredere zin dat dat voor bijvoorbeeld iets als informatica of lucht- en ruimtevaart ontzettend moeilijk is om te doen.
[4:13:12] Want je loopt al heel snel aan tegen
[4:13:14] ofwel discriminatie, ofwel selectiviteit, ofwel de inhoudelijke afweging om onderscheid te maken tussen instellingen.
[4:13:23] Vandaar dat ik zeg, die weg leek ook de minister van Onderwijs niet begaanbaar, niet voor dit doeleinde.
[4:13:32] Bovendien, ze vallen al binnen één cyberbeveiligingsregime, dus je zou ook weer meer druk creëren door dat dan weer op te knippen.
[4:13:40] Dus vandaar de keuze om het toch in zijn geheel te doen.
[4:13:44] De heer van den Berg.
[4:13:46] Ja, dank.
[4:13:46] Maar dan zou het dus in de praktijk zo zijn en dat is dan niet alleen omdat ik zelf christen ben, maar dat de hogeschool voor theologie ook onder deze wet zou vallen.
[4:13:56] En ik durf met zekerheid te stellen dat die geen kritieke onderzoeksactiviteiten verrichten in het kader van deze wet.
[4:14:03] Dus is de minister niet bij mij eens dat dat, ondanks dat ik wel aanhoor, dat dat een stuk moeilijker zou zijn, dat dan de uitkomst dan wel is dat gewoon
[4:14:12] Hoge scholen die hier niks mee te maken hebben, toch moeten rapporteren met bijkomende lastendruk.
[4:14:18] De minister.
[4:14:23] Het kan een faculteit Theologie zijn binnen een universiteit die wel weer interessante vakgebieden heeft.
[4:14:28] Die hebben dan één ICT-systeem.
[4:14:31] Er zijn zelfs meerdere hoge scholen die gezamenlijk één IT-organisatie hebben.
[4:14:37] Dus dan ga je daar alweer in knippen.
[4:14:40] De gevoelige informatie is ook niet alleen maar de inhoudelijke informatie.
[4:14:43] Die moet je beschermen.
[4:14:45] Dat kun je soms op inhoud ook nog wat verder aanscherpen.
[4:14:48] Maar het gaat hier ook om de algemene cybersecurity.
[4:14:50] Dus ook al de persoonsgegevens van studenten, dat hebben we met de Odido-hack wel gezien, ook dat is wel interessante informatie voor criminelen.
[4:15:00] Of het überhaupt kunnen op zwart zetten van het systeem.
[4:15:03] Dat is ook voor theologie-studenten.
[4:15:04] Die willen op een gegeven moment wel afstuderen.
[4:15:06] Ja, dan moet er wel een systeem beschikbaar zijn.
[4:15:10] vanuit die optiek.
[4:15:11] Ik snap de kennisveiligheidsroute, maar ik denk dat het in praktische zin makkelijker is om toch de sector als geheel aan te wijzen.
[4:15:21] Ik kijk even naar de minister, want daarnet werd al wel even die bewaartermijnen aangereikt.
[4:15:25] Was dit blokje ook de bewaartermijnen?
[4:15:29] Ik heb best een goed geheugen, maar ik heb ze alle 233 gelezen, maar ik weet het niet.
[4:15:34] Die komt bij Overig.
[4:15:36] Gelukkig heb ik een extra.
[4:15:37] Hij kwam heel even voorbij, maar dan wacht ik daar op.
[4:15:39] Dan is het woord weer aan de minister voor het volgende blok.
[4:15:42] Heeft de heer van den Berg nog een vraag?
[4:15:47] De heer Van den Berg.
[4:15:48] Ja, het waren een hoop vragen inderdaad.
[4:15:51] Dus ook ik moest even het overzicht weer zoeken.
[4:15:55] De minister gaf eigenlijk aan, als ik het goed hoorde, dat er dus inderdaad wel de facto een eerste evaluatie komt twee jaar na invoering van de wet.
[4:16:04] Maar hoe zit het dan met een terugkerende evaluatie?
[4:16:07] Dus in de wet weerbereid kritieke entiteiten is die helemaal niet voorzien.
[4:16:13] En bij de Zuiderbeveiligingswet staat die dan weer op
[4:16:17] drie jaar doorlopend, als ik het goed zeg, of vijf jaar.
[4:16:20] Dan breng je zelf ook te twijfelen.
[4:16:21] Maar hoe kijkt de minister ernaar dat hij bij die wet weerbereid kritieke entiteiten in zich heel ontbreekt?
[4:16:28] Ja, voorzitter, je hoeft niet alle wetten continu te evalueren.
[4:16:34] Dus het is wat mij betreft geen uitgangspunt dat je continue evaluaties hebt.
[4:16:39] Dat is natuurlijk wel van belang als je iets invoert, want dan wil je gewoon
[4:16:42] op enige termijn kunnen constateren.
[4:16:44] Heeft de wet zijn werk gedaan?
[4:16:46] Wat is er dan mee gebeurd?
[4:16:48] Hoeveel keren zijn die boetes uitgedeeld?
[4:16:50] Heeft dat geleid tot een veranderend beeld?
[4:16:53] Ik denk dat de cyberwereld wat dat betreft dus aan de fluïde is.
[4:16:57] Dat die driejaarlijkse is, het 36 maanden terugkerende evaluatie
[4:17:02] heel nuttig kan zijn.
[4:17:04] Ik zie hem op voorhand niet per se bij de WWKE.
[4:17:08] In principe, als je dit systeem hebt ingeregeld, we weten wat die kritieke entiteiten zijn, dan is het verder een redelijk stabiel beeld.
[4:17:15] Dat is het onderscheid, denk ik, tussen die twee werelden.
[4:17:20] Ik wil niet zeggen dat er niks gebeurt verder aan de aanscherping van beleid.
[4:17:24] Ja, exact, dat ben ik met de minister eens, maar zeker ook omdat we hier te maken hebben met een best wel verregaande samenhang tussen de Zuiderbeveiligingswet en de wet weerbereid kritieke entiteiten.
[4:17:34] Het werd net al genoemd.
[4:17:35] Als je dan eens een kritieke entiteit bent, dan ben je tegelijkertijd ook een essentiële instelling in het kader van de CBW.
[4:17:42] Dus als daar met die evaluaties nuttige punten terugkomen die goed zijn voor verbetering,
[4:17:50] Kan de minister dan toezeggen dat we dat, ja, is er dan een andere manier hoe we dat dan ook weer in de wet weerbaarheid kritieke entiteiten kunnen meenemen zodat het wel synchroon blijft?
[4:18:00] De minister.
[4:18:03] Ja, dat lijkt me werkbaar.
[4:18:05] Dus dat je in de evaluatie die je elke drie jaar doet voor het Zuidbeveiligingswet kijkt wat de implicaties van de uitkomsten daarvan zouden zijn op de WWKI.
[4:18:16] Dat is een light form van de evalueren, maar dan hou je die twee inderdaad wel samenlopend.
[4:18:20] Ik denk maar wat over de leveranciers, Klaus Udel, bijvoorbeeld.
[4:18:23] Je zou niet willen dat dat uit elkaar gaat lopen.
[4:18:26] Ik ga het overwegen, dank u wel.
[4:18:27] De minister kan verder met de volgende blok.
[4:18:31] Melden en zorgplicht.
[4:18:32] Een hoop vragen over, kunnen we komen tot een meldloket?
[4:18:37] En ik liet net al een tipje van de stuier omhoog gaan.
[4:18:42] Ja, dat gaan we op een lastenlieuwe manier inrichten en we gaan dat bundelen in één meldpunt en dat meldpunt komt bij het Nationaal Cyber Security Centrum.
[4:18:52] Dus zowel voor de Cyberbeveiligingswetmeldingen als voor de WWKE-meldingen komt daar één loket.
[4:19:01] Daarnaast kan voor het Digital Operational Resilience Act voor de financiële sector en voor de netcode
[4:19:07] van de elektriciteitssector ook worden gemaakt van dit meldpunt.
[4:19:12] Dus in die zin vangen we nog twee andere richtlijnen en verordeningen onder dat ene meldpunt.
[4:19:20] We gaan ook kijken of het haalbaar en uitvoerbaar is over andere cybermeldingen, ook een nationaal meldlokaal in te rechten, voor meerdere wetgevende kaders.
[4:19:28] Dus dat is dan buiten de Cyberbeveiligingswet om, maar dat onderzoek loopt nog.
[4:19:35] Hoe worden bestuurders geïnformeerd over alle stappen die zij moeten nemen?
[4:19:40] Nou, in de communicatie die ik net noemde zijn bestuurders en CISO's de belangrijkste doelgroepen die wij proberen te bereiken.
[4:19:47] Die communicatie loopt ook actief en ik heb net een aantal van de middelen, waaronder de webinars, daarvoor toegelicht.
[4:19:54] En ze worden daarnaast niet alleen geïnformeerd, maar ze worden ook ondersteund.
[4:19:57] bij het nemen van de stappen die ze moeten hebben voor de meldplicht, de zorgplicht, maar ook voor de registratieplicht.
[4:20:03] Bij de WVKE werkt dat nog wat directer, want daar worden de bestuurders gewoon direct benaderd door de verschillende vakdepartementen vanuit de overheid dus.
[4:20:17] De vraag van de heer Van den Berge, hoe kun je rechtsongelijkheid voorkomen tussen sectoren in de verschillende interpretatie van die zorgplicht?
[4:20:26] De Zuidbeveiligingswet en de WWKE maken het mogelijk om via ministeriële regelingen sectorspecifieke regels te maken voor de invulling van de zorgplichtmaatregelen.
[4:20:36] De vakministers hebben hier ook gebruik van gemaakt en een groot deel van deze ministeriële regelingen zijn in november van afgelopen jaar in consultatie gegaan.
[4:20:44] Het is uiteindelijk aan de toezicht houden omdat de beoordelen of de entiteit voldoende invulling heeft gegeven aan de zorgplichtmaatregelen en die zal daarbij ook risicogebaseerd te werk gaan.
[4:20:54] En dat is om rechtse ongelijkheid inderdaad te voorkomen.
[4:21:00] Waarom mogen entiteiten zelf inschatten wat proportioneel en wat effectief is?
[4:21:04] En waarom zijn er geen heldere normen?
[4:21:06] Dit borduurt daar een beetje op voort weer om die regeldruk zoveel mogelijk te vermijden.
[4:21:13] Dat hangt echt af van de risicoanalyse die ze zelf moeten gaan uitvoeren.
[4:21:16] Dat zal de basis zijn uiteindelijk voor welke maatregelen je dan neemt.
[4:21:21] En dat is echt per entiteit verschillend.
[4:21:24] En daarmee, door die ruimte te laten, doen we ook recht aan de sectorale verschillen die er zijn.
[4:21:29] Nou ja, we hadden het net over de onderwijssector en hoe je daar binnen één sector al verschillen kunt creëren.
[4:21:35] Daarbij kunnen ze gebruikmaken bij die beoordeling van bestaande normenkraders, zoals de ISO 27001 en verschillende hulpmiddelen vanuit de Rijksoverheid.
[4:21:46] En in dat verlengde dan weer stelde de heer Van den Berge ook vragen over termen als kan en kunnen.
[4:21:52] Ja, dat vloeit precies voort uit het feit dat we ook die ruimte willen laten voor entiteiten om op een eigen manier invulling te geven aan die zorgplicht.
[4:22:01] En de maatregelen en de evenredigheid daarvan, die kan dus per entiteit verschillen.
[4:22:06] Vandaar de open normen, maar wel met dezelfde kaders, de ISO-norm en datgene wat wij bieden vanuit de Rijksoverheid.
[4:22:15] Hoe verhoudt zich die open norm van die zorgplicht dan tot hele hoge bestuurlijke boetes?
[4:22:20] Laten we eerlijk zijn, die hoge boetes
[4:22:21] zijn een eindstation en niet een beginstation.
[4:22:25] Dus elke boete die uiteindelijk zal worden opgelegd, die zal afgestemd worden op de ernst van de overtreding, maar ook de maten waarin die verwijpbaar is aan de entiteit.
[4:22:36] En u kunt zich echt voorstellen dat in ons algemene bestuursrecht alle rechtsbeginselen die daar gelden, die zijn natuurlijk ook van toepassing op deze wet.
[4:22:47] Dus dat zou echt betekenen dat niet altijd de maximale boete wordt opgelegd,
[4:22:51] Dan moeten ze altijd proportioneel moeten zijn, dat ze toetsbaar moeten zijn aan de normen zoals die zijn neergelegd, in bijzonder de ministeriële regelingen die uiteindelijk per sector komen.
[4:23:04] En er zijn ook heel veel best practices voorhanden, ook van het NCSC, waardoor entiteiten wel ongeveer mogen verwachten wat er voor hun van toepassing is.
[4:23:14] Dubbele beboeting, ik weet niet of die nog terugkomt.
[4:23:19] Maar die kan überhaupt niet in het Nederlandse stelsel.
[4:23:22] Volgens de algemene wet bestuursrecht kun je niet twee boetes opleggen voor hetzelfde delict.
[4:23:29] Dus ook in dit geval kan dat niet voorkomen.
[4:23:34] Zelfs dan zouden verschillende toezichthouders daar op onverklaarbare wijze toe uitkomen.
[4:23:41] Hoe zit het dan met die verschillende toezichthouders en de mogelijke overlap daartussen?
[4:23:46] Nou, gezegd is al, we sluiten zoveel mogelijk aan met de toezichthouders die de organisatie en de entiteiten al kennen, juist omdat je dan niet weer een extra laag creëert, niet weer een extra rechtspersoon waarmee entiteiten zaken moeten doen.
[4:24:02] Die toezichthouders, die moeten elkaar vinden, dat is essentieel en dat hoor ik ook uit uw vragen terug.
[4:24:09] Als dat niet goed gaat, dan krijg je dus wel die overlap.
[4:24:12] In de praktijk vindt die samenwerking nu al plaats in het samenwerkend toezicht digitale weerbaarheid en het directeurenoverleg toezicht digitale weerbaarheid.
[4:24:21] Ze werken inderdaad aan toezichtsprotocollen om dat voor iedereen duidelijk en transparant te maken en ook om die toezichtslasten te voorkomen.
[4:24:29] En de vraag was nog of we daarover kunnen communiceren als dat uiteindelijk tot wasdom is gekomen en dat zullen we gaan doen.
[4:24:42] Wat nou als grote organisaties uit meerdere entiteiten bestaan en wanneer is groepsregistratiefunctionaliteit operationeel?
[4:24:52] Ja, grote organisaties die uit meerdere entiteiten kunnen bestaan, kunnen zich straks als groep registreren en dan kan er
[4:24:59] gekozen worden om alle meldingen door één contactpersoon of één individu te laten verrichten namens de gehele groep.
[4:25:06] En die functionaliteit is al of die zal met ingang van 1 april operationeel worden.
[4:25:12] Vanaf dat moment hebben we ook de groepsregistratie.
[4:25:16] Hoe voorkom je nou dat je op meerdere plekken moet registreren of tegenstrijdig wordt geregistreerd?
[4:25:22] Ook een vraag van de heer Van den Berg met betrekking tot de beide wetten.
[4:25:26] Er is slechts één meld- en registratieportaal waar alle bevoegde autoriteiten en de CSIRTs toegang krijgen, voor zover dit relevant is voor hun werkzaamheden.
[4:25:36] En er zullen daarom geen meerdere of tegenstrijdige registraties zijn.
[4:25:40] Als een organisatie zich registreert met haar unieke KVK-nummer, dan kan deze niet nog een keer worden geregistreerd in hetzelfde systeem.
[4:25:47] Dus ook daar kan geen dubbeling in komen.
[4:25:49] En de beschikbare informatie wordt door middel van e-herkenning bij de Kamer van Koophandel opgehaald.
[4:25:54] Voor overheden worden gegevens uit het register van overheidsorganisaties daarvoor gehaald.
[4:26:00] Voor de WWKI geldt geen registratieplicht, want die entiteiten worden aangewezen door de overheid.
[4:26:06] En mocht de organisaties door meerdere departementen worden aangewezen, dan zal dit onderling moeten worden afgestemd.
[4:26:12] En bij het doen van een melding kan de organisatie aanvinken onder welke wet zij deze melding doen.
[4:26:17] En daarbij kunnen ook beide wetten worden aangevinkt.
[4:26:21] Dus dat geldt weer voor de meldplicht.
[4:26:29] Hoe voorkomt het kabinet dat bestuurders in de problemen komen omdat ze een meldtermijn hebben verplicht?
[4:26:34] Een vraag van mevrouw Martens.
[4:26:37] Die meldplichttermijn moet er natuurlijk gehaald worden en daar zal de toezichthouder primair op toezien.
[4:26:43] Die zal de rechtspersoon daar ook op aanspreken, maar het schorsen van bestuurders in een eerste
[4:26:48] Missen van de meldplicht durf ik wel aan.
[4:26:51] Dat zal niet heel snel de eerste stap zijn die een toezichthouder daarin neemt.
[4:26:55] Dat is ook niet de manier waarop toezichthouders omgaan met bestuurders.
[4:26:59] Dan moet er echt wel sprake zijn, dan is er wel wat meer aan de hand.
[4:27:06] Moeder- en dochteromneming hebben we het over gehad, dat is de groepsmelding.
[4:27:09] Ik denk dat ik daarmee aan het einde ben van de meld- en zorgplicht.
[4:27:13] Ja, dit was blokje meld- en zorgplicht.
[4:27:16] Hierna volgt toezicht.
[4:27:17] Ik kijk even naar links.
[4:27:18] Zijn er nog Kamerleden die vragen gemist hebben?
[4:27:20] Ja, in ieder geval mevrouw Faber en daarna mevrouw Swinkels en de heer Van den Berg.
[4:27:24] Mevrouw Faber.
[4:27:26] Ja, even ter verduidelijking.
[4:27:27] Hier viel ook toezicht onder of komt dat nog laat?
[4:27:29] Ja, dat komt nu.
[4:27:31] Oh, dan hou ik nog even mijn mond.
[4:27:33] Mevrouw Swinkels.
[4:27:36] Ja, dank, voorzitter.
[4:27:37] Ja, ik was net als mevrouw Faber even in de war, want het ging al veel over toezicht, maar ik ga dan toch mijn vraag stellen, omdat de minister daarop inging.
[4:27:44] Het gaat over die twee boetes voor hetzelfde delict kunnen opleggen.
[4:27:47] Waar ik net naar vroeg was vooral ook die overlap dat er dus meerdere toezichthouders zich geroepen voelen om een bedrijf of een andere organisatie tot de orde te roepen.
[4:27:55] En ik was toch wel benieuwd, is er dan ook
[4:27:57] straks vastgelegd welke toezichthouder voorrang krijgt.
[4:28:00] Dus welk van de twee gaat dan daadwerkelijk een procedure starten tot niet dat allemaal weer dubbel naast elkaar loopt, nog los van hoe uiteindelijk het oordeel zal zijn.
[4:28:11] Wat is het antwoord van de minister?
[4:28:12] Ik kijk ook even naar de minister of dat misschien toch onder toezicht valt.
[4:28:16] Ja, ik heb het zelf ook een beetje uitgelokt door deels al de toezichthouders te noemen in de meld-en-zorgplicht.
[4:28:23] Op deze vraag, één, twee boetes voor hetzelfde kan niet.
[4:28:27] Twee toezichthouders voor één organisatie kan wel gebeuren.
[4:28:31] Sommige organisaties vallen ook zonder deze wet al onder meerdere toezichthouders.
[4:28:35] Dan waar het de CBW en de WWKE aan gaat, moeten die toezichthouders dus die samenwerkingsafspraak gaan maken.
[4:28:43] Daar moeten dit soort zaken,
[4:28:44] en protocollen nou juist naar voren komen.
[4:28:47] Van welke toezichthouder handhaaft bij constatering van wat voor overtreding van een van beide wetten.
[4:28:55] Dat zijn die samenwerkingsafspraken die ze in dat directeuroverleg aan het uitwerken zijn en die ze voor invoering van de wet gereed willen hebben.
[4:29:02] En wat ik zei, ik wil die ook wel naar uw Kamer toe over communiceren als die er zijn.
[4:29:08] Maar dat moet die helderheid in principe gaan geven aan de organisaties.
[4:29:12] Dan de heer van den Berg.
[4:29:13] Oh, sorry, meneer van den Berg, mevrouw Swinkels.
[4:29:16] Ja, dank.
[4:29:16] Heel kort, voorzitter.
[4:29:18] Ja, ik ben blij met die toezegging en ik verwacht dat dan, dat het al in april of iets dergels naar ons kant kan komen, want net verwees de minister naar 1 april.
[4:29:24] En dan was ik ook wel benieuwd.
[4:29:25] Ik had ook de vraag gesteld welke rol de Rijksinspectie, digitale infrastructuur daar nog eventueel in kan spelen om ook wat meer die centrale regie op te pakken.
[4:29:32] De minister.
[4:29:33] Dat laatste doen ze.
[4:29:34] Die 1 april was gerelateerd aan het als groepen kunnen registreren van entiteit.
[4:29:40] Dus ik wil die april niet per se ophangen aan de samenwerkingsafspraken.
[4:29:45] Of heb ik dat eerder wel gezegd?
[4:29:47] Nee toch?
[4:29:47] Maar voor invoering van de wet.
[4:29:50] De minister zegt toe voor invoering van de wet.
[4:29:53] De heer Van den Berg.
[4:29:55] Ja, voorzitter, wederom opvolgend op mevrouw Swinkels.
[4:30:00] Ik denk het is goed dat er onderling wordt gecoördineerd, maar als ik het goed begrijp, dan is die onderlinge afstemming niet geborgd in de wet.
[4:30:08] En volgens mij wordt van die onderlinge afspraken die gemaakt zullen worden ook geen melding gedaan in de staatskorant.
[4:30:15] En ik zou de minister willen vragen hoe de minister daar naar kijkt of dat niet een betere borging is van die afspraken waarvan hij zelf onderkent dat die belangrijk zijn.
[4:30:24] en dat die dus ook door middel van de staatskrant gewoon openbaar en transparant zullen worden gemaakt.
[4:30:29] De minister.
[4:30:31] Ja, voorzitter, ik vrees dat die niet met een schaartje te knippen is.
[4:30:36] Dus je zult moeilijk op wetsniveau kunnen vastleggen welke toezichthouder nu het voortouw heeft in de implementatie van deze wetten.
[4:30:46] En dan zou je dus bij het vastleggen in de wet niet verder komen dan het listen van alle toezichthouders.
[4:30:51] die hierbij betrokken zijn, maar dat heeft dan weer weinig toegevoegde waarde, want het ging er nou juist om, om helderheid te creëren in wie is in de lead.
[4:30:59] Dus ik denk dat die samenwerkingsafspraken, die gaan ons helpen om in ieder geval meer helderheid te geven voor die kritieke entiteiten, maar ik denk niet dat je hem zou kunnen aanwijzen in de wet zelf, juist vanwege de diversiteit van het landschap.
[4:31:16] De heer Van den Berg.
[4:31:17] Oké, dank.
[4:31:19] En dan als laatste nog over die zorgplicht.
[4:31:22] Ik hoor de minister zeggen dat er...
[4:31:26] Zij kunnen één melding doen bij het punt.
[4:31:29] Er zal niet gelijk een boet worden opgelegd.
[4:31:31] Er zal uiteindelijk één toezichthouder zijn met wie ze te maken hebben.
[4:31:36] Maar is de minister het er desondanks wel mee mee eens dat de zorgen die leven bij het bedrijfsleven, is dat die kades, die criteria van die zorgplicht, die zijn bij heel veel bedrijven, worden hier toch als onduidelijk geacht.
[4:31:47] En die begrijpen niet goed wanneer ze er nou wel aan hebben voldaan en wanneer niet.
[4:31:52] Kan de minister daarop referenteren hoe dat nou alsnog duidelijker gemaakt kan worden?
[4:31:56] Ja, dat is het werk wat nu moet gebeuren op basis van de cyberbeveiligingswet zelf, datgene wat nu al online staat bij de NCDV en de NCSC aan handelingskader, de self-assessment die bedrijven kunnen doen.
[4:32:15] Die geeft dus heel veel inzicht in wat die zorgplicht dan zou behelzen.
[4:32:18] En uiteindelijk komt daar dan overheen de ministeriële regelingen, zoals die per sector door de vakministers zullen worden uitgegeven.
[4:32:26] Die zullen weer nadere richtlijnen voor de specifieke sector bevatten, die ook weer houvast geven aan die bedrijven.
[4:32:31] Uiteindelijk zullen ook de toezichthouders in overleg met bedrijven uit sectoren weer komen tot nieuwe casus die ze tegenkomen.
[4:32:40] Zij zullen een aantal casus al in die samenwerkingsafspraken naar voren brengen.
[4:32:45] Dus langzaam bouwt dat net zich.
[4:32:49] Alleen we hebben er juist voor gekozen om dat niet vanaf het begin, vanaf de Ivoretoren in Den Haag te doen, maar juist dat ook te laten aan de bedrijven en sectoren die meer kennis hebben over wat er specifiek nodig is in het kader van die zorgplicht.
[4:33:01] Dus nogmaals, ik denk dat de samenwerkingsafspraken, ik kan over de 1 april nog steeds niet toezeggen, maar ik kan wel toezeggen dat we die zullen publiceren in de Staatskorand om die helderheid te creëren, maar ook die
[4:33:15] Betrouwbaarheid.
[4:33:16] Wat kun je van een toezichthouder verwachten?
[4:33:18] Wat vraagt de toezichthouder eigenlijk van u?
[4:33:24] En dan heb ik nog een vraag over die een loket functie.
[4:33:26] Heel blij met die toezeggingen dat dat er eigenlijk gewoon komt.
[4:33:29] Alleen sprak de minister nog over toch nog een ander loket voor twee andere richtlijnen.
[4:33:34] Dus er wordt onder dat loket voor deze twee wetten ook nog wel andere dingen geschaard.
[4:33:40] Dat is dan één loket.
[4:33:41] Maar dan komt er toch nog een loket.
[4:33:43] Dat niet.
[4:33:44] Ik zie al neescheuwen.
[4:33:45] Dus de vraag is even komen er nou twee loketten of zoveel mogelijk één loket?
[4:33:49] Zoveel mogelijk één loket, waarbij we ook die twee andere richtlijnen, die op andere sectoren van toepassing zijn, maar ook weer samen komen in dat ene punt.
[4:33:57] Dus eigenlijk krijg je een soort one size fits all.
[4:34:01] Dus de makkelijkheid voor bedrijven en entiteiten is, je belt één nummer, je gaat naar één punt en dan is het aan ons om wat verder door te gaan.
[4:34:10] Nou, blij met deze beantwoording en volgens mij kunnen we dan door naar het blokje toezicht.
[4:34:15] Ja, een deel staat er al volop in, voorzitter.
[4:34:18] Dus ik zou even kijken wat we nog niet hebben genoemd.
[4:34:20] De samenwerkingsprotocollen helder dus, die komen eraan.
[4:34:25] Ik heb ook uitgelegd waarom het niet mogelijk is om specifiek één toezichthouder aan te wijzen, al op wetsniveau, dat dat echt bij de bestaande toezichthouder zou moeten blijken en uit die samenwerking.
[4:34:41] Hoe verhoudt de stelselverantwoordelijkheid van de minister, dat was een vraag van mevrouw Bajani, zich tot het directeurenoverleg?
[4:34:47] Het is een van de onderdelen van het stelsel, dat directeurenoverleg, specifiek gericht op het onderdeeltje toezicht.
[4:34:53] En het bestaat daarmee naast andere onderdelen van het stelsel, zoals de samenwerking tussen CSIRDS onderling en de publiek-private informatie-uitwisseling.
[4:35:01] In het kader daarvan is er regelmatig contact over de afstemming tussen de toezichthouders en de NCTV en die rapporteert dan weer aan mij als minister.
[4:35:09] Zo zitten we samen in dat speelveld.
[4:35:15] Worden die saamwijze afspraken uiteindelijk in alle sectoren gemaakt?
[4:35:19] Ja.
[4:35:21] Dus die dekken alle sectoren uiteindelijk af.
[4:35:26] Worden organisaties ook nog geconsulteerd bij de afspraken die daar worden gemaakt?
[4:35:31] In principe is het nu strikt samenwerksafspraak tussen toezichthouders zelf, die natuurlijk wel hun sectoren heel goed kennen.
[4:35:39] Dus in die zin denk ik dat indirect hun belangen wel zullen worden meegenomen in diverse vaatstukken, maar ze zitten daar niet aan tafel om hun eigen toezicht in te regelen.
[4:35:51] En uiteindelijk horen zij wel wat er speelt in hun organisatie en dat nemen ze mee, daar ga ik van uit.
[4:35:59] Is het helder wie het eerste aansprekpunt is bij toezicht, handhaving en incidentenafhandeling?
[4:36:07] Ja, daar zit een doorverwijsboom in bij de Cyberbeveiligingswet.
[4:36:12] Die staat ook op de website van de NCTV.
[4:36:14] Daarnaast die samenwerksaanspraken gaan natuurlijk daar nog meer helderheid in creëren.
[4:36:18] Met name voor bedrijven die tussen verschillende toezichthouders in opereren.
[4:36:30] Ja, hoe kijk ik aan tegen boetes en de methodes van andere landen?
[4:36:33] Ik denk dat dat niet gaat afwerken van de praktijk zoals we die ook in Nederland zullen gaan zien.
[4:36:38] Ook hier zul je niet in één keer maximale boete krijgen en dat als enige middel qua sanctie.
[4:36:44] Ook hier zullen toezithouders beginnen met waarschuwingen en pas bij herhaaldelijke overtreden komen tot sancties.
[4:36:52] Dat is normaal in onze rechtsgang in dit land.
[4:36:57] Dubbele boetingen heb ik het over gehad.
[4:36:58] Dat is overigens artikel 5.43 van de Algemene Bestuursrecht.
[4:37:05] Zien de structurele middelen in de memorie van toelichting ook op de extra capaciteit bij uitvoeringsdiensten, zoals de ILT en de MVWA?
[4:37:13] Ja, de geraamde structurele middelen door de vakdepartementen geven een integraal financieel beeld, dus ook inclusief de toezichtlasten.
[4:37:20] Dat is indirect ook een antwoord op de vraag van mevrouw Kapman over worden toezichthouders hiervoor uitgerust?
[4:37:27] De Zuidbeveiligingswet ziet op een significante uitbreiding van de taken en de scope van de doelgroep, dus dat betekent ook voor toezicht veranderingen met financiële gevolgen.
[4:37:36] De capaciteit voor toezicht moet groeien vanwege de toename van het aantal entiteiten en daar is dus rekening mee gehouden in deze wet.
[4:37:47] Hoe worden boetes dan ook proportioneel gezien ten opzichte van schaal?
[4:37:50] Draagkracht en omzet van een entiteit, omzet, schaal en draagkracht zijn relevante aspecten bij het bepalen van de hoogte van een boete.
[4:38:00] Toezichthouders zijn altijd gehouden aan de algemene bestuursrecht en de algemene beginselen van behoorlijk bestuur.
[4:38:06] Dus een boete wordt altijd afgestemd op de ernst van de overtreding en de mate waarin die verwijpbaar is aan een entiteit.
[4:38:12] En dat geldt ook voor proportionaliteitsbeginsel.
[4:38:15] Dus dat betekent dat de nadelige gevolgen van een boete op een entiteit, op een bedrijf,
[4:38:20] niet onevredig mogen zijn in verhouding tot met het besluit te dienen doelen.
[4:38:25] Dus dat ondervangt in de algemene zin het risico wat werd genoemd op een bedrijf wat dit als een fooi beschouwt versus een bedrijf waarvan zo'n boete bijna desastreus zou zijn.
[4:38:38] Dat wordt ondervangen met dit proportionaliteitbeginsel.
[4:38:43] En meestal hebben toestreedhoudende instanties in hun boetebeleid ook een
[4:38:47] omschrijving van hoe ze de omvang van de organisatie meewegen in de hoogte van de boetes.
[4:38:54] En draagkracht telt daarin mee.
[4:38:58] Toezicht op de kerncentrale.
[4:39:00] Wie houdt de toezicht bij een incident bij een kerncentrale?
[4:39:03] De minister of de ANVS.
[4:39:05] Dat was een vraag van mevrouw Faber.
[4:39:08] De ANVS houdt toezicht op de kerncentrale voor de schalingsbescherming en de nucleaire veiligheid.
[4:39:13] Daar is al uitgebreide sectorale wetgeving.
[4:39:16] En de RDI is de instantie die toezicht houdt vanuit het perspectief van de leveringszekerheid van elektriciteit.
[4:39:23] Hier heb je alweer een kerncentrale, kent dus alweer verschillende entiteiten.
[4:39:28] Uiteindelijk is de afweging om daar als defensie ook nog bescherming aan te leveren, die hangt dan weer vast aan de nationale dreiging die er wordt gezien, jegens een bepaald object.
[4:39:39] En ja, die wordt ook door sommige landen anders gemogen door.
[4:39:45] Bent u klaar met het blokje?
[4:39:48] Oh, nog twee.
[4:39:49] En dan, mevrouw Faber, dan kom ik gelijk bij u.
[4:39:54] Hoe borgen we dat toezicht en ontsteuning niet achterblijven bij de enorme uitbreiding van de doelgroep?
[4:40:00] Dat is dus meegenomen in die samenwerkse afspraken, maar ook in de memo van toelichting en de intensiveringsgelden die daarvoor zijn genoemd.
[4:40:12] En dat was de laatste vraag.
[4:40:13] Dat brengt ons meteen naar mevrouw Faver.
[4:40:20] Dank u wel voorzitter.
[4:40:21] Even over die kenniscentralen.
[4:40:22] Er moest een ZBO worden opgetuigd omdat men zelfstandig moest kunnen beslissen in zaken veiligheid.
[4:40:31] Maar dan is het natuurlijk wel zo, er zijn natuurlijk ook andere belangen en de minister gaf dat al af, dan is er een andere organisatie die erover gaat dat er elektriciteit bijvoorbeeld geleverd moet worden.
[4:40:44] Maar dan is het natuurlijk wel zo, wat gaat dan voor?
[4:40:47] Gaat dan de veiligheid voor of dat men elektriciteit moet kunnen leveren?
[4:40:52] Want ik denk wel dat het op zich een essentiële vraag is, want het kan natuurlijk best zijn dat zo'n kerncentrale onder druk staat, dat ze eigenlijk bijvoorbeeld stilgelegd moeten worden, maar omdat men dan zegt ja, maar je moet leveren, dat het een gevaar kan zijn.
[4:41:04] En wat is dan de doorslaggevende factor in deze?
[4:41:09] De minister.
[4:41:11] Dat vind ik een interessante vraag, daar heb ik oprecht het antwoord niet op.
[4:41:15] Ik weet ook niet of ik dat voor de tweede termijn heb.
[4:41:17] Ik wil hem in ieder geval meegeven aan de toezichthouders als een van de casus en kom er dan ook schriftelijk op terug op een nader moment.
[4:41:27] Mevrouw Faber.
[4:41:29] Nog een andere vraag, dat ging ook over meerdere toezichthouders, ook bijvoorbeeld als er een ZBO is.
[4:41:34] Want de minister heeft aangegeven dat er wordt niet financieel ondersteund.
[4:41:41] Want de minister heeft niet gekozen dat kritieke entiteiten financieel ondersteund worden.
[4:41:46] Maar stel dat er bijvoorbeeld twee vakministers zijn op één entiteit.
[4:41:50] En men moet het doen vanaf de eigen begroting.
[4:41:52] Dan heb je kans dat ze de zaak naar elkaar toeschuiven om het niet te laten, om niet hun eigen begroting te laten belasten.
[4:42:00] Ja, en dan?
[4:42:01] Ik bedoel, is dat afgevangen?
[4:42:05] De minister.
[4:42:06] Ja, ik vrees het wel, want de afvanger, de afvanger zit hier voor u.
[4:42:12] Want uiteindelijk ben ik de coördinerende minister voor Tweede Stelsel.
[4:42:16] Dus ik zal dan de beide vakministers bij elkaar moeten brengen en zorgen dat daar een oplossing komt.
[4:42:22] Mevrouw Faber.
[4:42:23] Dat is dan de laatste.
[4:42:27] Het is zo dat 80 procent van de entiteiten, dat zijn commerciële instellingen en daar heeft ook het Rijk toezicht op, maar alles wat met de overheid te maken heeft valt onder Binnenlandse Zaken.
[4:42:40] De minister van Binnenlandse Zaken is daar toezichthouder op.
[4:42:43] Maar dan controleert de overheid de overheid.
[4:42:48] Hoe gaat u dat dan scheiden, vraag de vierde voorzitter.
[4:42:52] We kennen natuurlijk binnen de overheid meerdere toezichthouders die weliswaar onder ministeriële verantwoordelijkheid vallen, bijna allemaal namelijk, zonder dat dat de onafhankelijkheid van hun bevinding in de weg staat.
[4:43:06] Dus de overheid kan de overheid controleren, denk aan de AP als voorbeeld, zonder dat het compleet los hoeft te staan van de overheid.
[4:43:20] Mevrouw Faver.
[4:43:21] Ja, ik denk dat de minister wel met de goede intenties dit vertelt, maar ik vind het toch een beetje vreemd, want we hebben natuurlijk wel meer organisaties die worden dan wel op afstand gezet van de overheid.
[4:43:32] Is dat dan bijvoorbeeld een ZBO die dat doet?
[4:43:34] Of welke constructie is dat dan?
[4:43:37] De minister.
[4:43:38] Ja, voorzitter.
[4:43:39] Er is een onafhankelijke instantie, weliswaar binnen de overheid, maar wel een onafhankelijke instantie.
[4:43:44] Dus is het een ZBO?
[4:43:46] Nou, ik kijk of ik dat voor de tweede termijn voor u kan achterhalen.
[4:43:50] Maar we staan in ieder geval op afstand en ze hebben die onafhankelijkheid.
[4:43:55] Ja, dank voorzitter.
[4:43:56] Is dat dan niet een beter idee om dat ook wettelijk te regelen dat het onafhankelijk toezicht op die overheidsinstanties op die manier wordt geborgd?
[4:44:04] Want juist omdat we het hier hebben over kritieke entiteiten zijn natuurlijk juiste mensen die ook toezicht hebben op deze entiteiten in principe kwetsbaar voor statelijke actoren die deze mensen wel heel interessant zouden kunnen vinden.
[4:44:19] Dus juist om die wet te versterken zou het niet ook juist goed zijn
[4:44:22] om die aspecten wettelijk te borgen zodat we nooit een samenloop hebben van belangen en toezicht.
[4:44:30] De minister.
[4:44:31] Ja, maar voorzitter, we doen nu echt de overheid tekort in de manier waarop wij ons toezicht hebben georganiseerd.
[4:44:38] Ik heb zelf ook de inspectie, justitie en veiligheid.
[4:44:41] Ik heb geen enkele twijfel over de onafhankelijkheid van deze organisatie.
[4:44:46] Die geeft mij ook gevraagd en ongevraagd adviezen
[4:44:49] inspecteert en neemt die toezichthoudende taak uiter serieus.
[4:44:55] En ik weet als bestuurder ook donders goed dat ik daar ook niet met mijn vingers tussen moet gaan zitten.
[4:45:01] Dus we hebben talloze toezichtsorganen binnen de overheid, die weliswaar overheidsorganen zijn, er zou niemand anders voor willen betalen namelijk, zonder dat we daar inhoudelijk tegen problemen aanlopen.
[4:45:13] Dat is bij de RDI dus ook het geval, dus de toezichthouder in dit geval.
[4:45:17] Maar ik kijk nog wel even naar wat nou precies de bestuursvorm is die daarvoor is gekozen om die onafhankelijkheid te borgen, heb ik aan mevrouw Faber toegezet.
[4:45:27] De heer Van den Berg.
[4:45:28] Nou, hartstikke fijn.
[4:45:29] Ik wil onderstrepen, ik weet niet of de minister dat zo bedoelde, maar ik wilde niet een directe aanval inzetten op de onafhankelijkheid van ambtenaren.
[4:45:37] Daar heb ik alle vertrouwen in.
[4:45:39] Mijn punt is natuurlijk meer van dat als je dat kan scheiden en die belangen van elkaar kan ontvlechten.
[4:45:46] Het is natuurlijk wel een feit dat we juist bij deze entiteiten met zeer gevoelige informatie te maken hebben.
[4:45:50] En die risico-inschattingen gaan natuurlijk juist over onze kritieke processen.
[4:45:55] Dus juist daar moet je zeer vertrouwelijk mee omgaan.
[4:45:59] En in die zin vind ik dat wel een hele belangrijke.
[4:46:02] Maar dan nog over die toezichthouders.
[4:46:05] Hoe ik het heb begrepen zijn natuurlijk wel meerdere stelsels waar enerzijds het toezicht vanuit de overheid zelf wordt bekostigd.
[4:46:11] Anderen zitten in een breder systeem waar de bedrijven het geld ervoor afstaan.
[4:46:19] Dat is in deze wet dan weer niet geregeld.
[4:46:21] Zou het niet in het kader van deze wet ook gewoon goed zijn als de overheid die bekostiging van de inspecties of de audits voor zijn rekening neemt?
[4:46:30] Dan krijgt de minister daarnaar.
[4:46:31] De minister.
[4:46:33] Dat doen we al, want in de Memorie van Toelichting is aangegeven wat vakdepartementen denkend nodig hebben voor de implementatie van deze wetgeving.
[4:46:42] Dan zit de bekostiging van de individuele toezichthouders die zij hiermee belasten, die zit er al in.
[4:46:47] De reden waarom het niet allemaal centraal is geregeld in deze wet is omdat je nu eenmaal meerdere toezichthouders hebt en die kun je dus niet afbakenen.
[4:46:55] We gebruiken de bestaande instituties en dat is dan ook weer in het kader van de verlage van de regeldruk een van de
[4:47:01] proportionaliteitsmaatregelen van deze wet.
[4:47:08] Oké, ik had zo met een bedrag van de audit volgens mij van 432 euro in m'n hoofd die ik zou staan, maar daar kom ik nog even op terug dan.
[4:47:17] Dan als laatste nog de proportionaliteit van de boete.
[4:47:19] Het is heel fijn dat de minister daar ook op reflecteert dat we inderdaad altijd een breder afweging maken met de zwaarte van de overtreding en is het een herhaling enzovoort.
[4:47:31] Maar het blijft naar mijn idee nog steeds zo dat wanneer een bedrijf dus kleiner is, laten we zeggen 100 miljoen euro omzet, krijgt een boete in principe,
[4:47:38] in principe van 10 miljoen euro, dan hebben we toch te maken met een zwaarte van 10 procent.
[4:47:44] En het blijft wel een feit dat als de ondernemer groter is, dat dan het 2 procent van die omzet wel het maximale boetebedrag blijft.
[4:47:52] Dat klopt volgens mij.
[4:47:55] Kunnen we daar dan niet op een andere manier voor kiezen dat we dat in alle tijden wel gewoon proportioneel houden, ondanks de zorgvuldige afweging van de toezichthouders?
[4:48:03] De minister.
[4:48:04] Ja, wat ik zei, die hebben dus vaak al boetebeleid waar die proportionele tijd in staat, waar dit soort aspecten worden meegewogen.
[4:48:10] Dus het feit dat een bedrijf over de kop zou gaan omdat ze 2% van hun jaaromzet moeten afstaan, dat wordt meegewogen voordat je de sanctie oplegt.
[4:48:20] En dan ook weer afgewogen tegen, ja, wat heeft iemand eigenlijk gedaan?
[4:48:25] En ook afgewogen tegen, kon hij daar eigenlijk wat aan doen?
[4:48:28] Dus die hele set van maatregelen, dat is onderdeel van
[4:48:31] groepbestuur en dat zit dus al ingebakken in die toezichthouders.
[4:48:36] Dus het maximum bedrag wat je meegeeft is niet meer dan dat en is niet de leidraad voor hoe zo'n toezichthouder uiteindelijk in de praktijk om moet gaan met die boetes, want die hebben gewoon te maken met die rechtsbeginselen van groepbestuur.
[4:48:53] De heer Van den Berg.
[4:48:54] Ja, dan de laatste.
[4:48:57] Oké, fijn.
[4:48:58] Maar wat als we nou met een zeer groot bedrijf te maken hebben, die bijvoorbeeld met een jaaromzet valt van meerdere miljarden.
[4:49:04] En je zou zo'n bedrijf in zo'n geval toch willen beboeten voor overtredingen die ze hebben begaan.
[4:49:10] Dan zitten we alsnog vast aan die 2% maximale boete van de jaaromzet.
[4:49:14] Dus in dat geval is juist misschien wel de prikkel die we ze kunnen geven dan weer relatief licht.
[4:49:21] Dat zie ik toch goed dan?
[4:49:23] De minister.
[4:49:24] Nou, 2% van een heleboel of 2% van wat minder is in het eerste geval een heleboel.
[4:49:31] Dus 2% van de jaaromzet van Apple...
[4:49:34] Ik zou het graag op mijn begroting terugzien, laat ik het zo zeggen.
[4:49:39] Nee, dat voelen die bedrijven ook.
[4:49:43] U kunt verder met uw volgende blok en dat is volgens mij, dat weet u beter dan ik, volgens mij zijn wij actuele onderwerpen.
[4:49:49] Ja, actueel en dat is eigenlijk vrij kort.
[4:49:52] Dat zijn maar twee onderwerpen.
[4:49:53] Dat ging over Odido en dat ging over digitale soevereiniteit.
[4:49:59] Gaan deze wetten nou helpen om dit soort zaken zoals bij Odido te voorkomen?
[4:50:03] Dat kun je nooit honderd procent garanderen, want we weten ook nog niet alle details van wat er bij Odido allemaal goed en fout is gegaan.
[4:50:12] Daar zou nog onderzoek naar gedaan worden, maar die zorgplicht is er natuurlijk wel op gericht om dit soort incidenten te voorkomen.
[4:50:19] Daar zitten allerlei maatregelen achter die de kans dat zoiets gebeurt moeten verkleinen.
[4:50:24] Of het nu gaat om de omgang met data, om de externe beveiliging, om de training van personeel.
[4:50:30] Dat zit allemaal in die cyberhygiëne, toegangsbeleid, beheer van assets.
[4:50:37] Nou, die hele wascijfers valt om die zorgplicht.
[4:50:39] Dus ik denk dat dat wel de drempel verhoogt, ook voor grotere organisaties, om dit soort zaken beter te kunnen voorkomen.
[4:50:49] En het toezicht gaat daar, denk ik, bij helpen.
[4:50:51] Dus ik kan, nogmaals, ik wil niet nu impliceren dat ik weet wat er bij Odido allemaal verkeerd is gegaan, maar ik denk dat we in de algemene zin deze wetten gaan helpen om dit soort incidenten te voorkomen in de toekomst.
[4:51:03] En dan de digitale soevereiniteit.
[4:51:05] En kunnen we deze wet daar ook voor gebruiken?
[4:51:10] Ik wil het wel houden in mijn beantwoord bij de relatie tussen deze wetten direct, dus ik wil niet de digitale soevereiniteitsdiscussie kapen van mijn collega staatssecretaris van de EZK, maar deze beide wetten bieden wel de mogelijkheid om de risico's van de toeleveranciersketen aan te pakken.
[4:51:28] Dus de vakminister kan entiteit de verplichting opleggen om in bepaalde gevallen geen gebruik te maken van producten of diensten van specifieke leveranciers wanneer dit noodzakelijk is voor de nationale veiligheid.
[4:51:40] wat uitgebreider over te spreken.
[4:51:43] Niet direct gericht op het vergroten van de digitale strategische autonomie, maar ik denk dat het wel een onderdeel is van een stap daarnaartoe, die ook entiteiten zullen meewegen in hun inrichting en ook in hun strategische afhankelijkheden die ze hebben laten gebeuren door de afhankelijkheid van een bepaalde leverancier.
[4:52:07] De preventieve werking die hier mogelijk vanuit gaat van deze wetten, los van de specifieke ingrepen op nationale veiligheid, denk ik, gaat wel wat doen in dat kader.
[4:52:17] Verder zou ik de bredere discussie graag willen doorgeleiden naar mijn collega.
[4:52:25] Dit was het blokje actuele onderwerpen.
[4:52:26] Kijk nog even naar links.
[4:52:30] Nee, volgens mij kunnen we dan...
[4:52:39] Ja, we kunnen naar het volgende blokje, leveranciers.
[4:52:43] Ja, tot mijn spijt moet ik u wel zeggen dat mijn linker blokje nog steeds hoger is dan het rechter blokje.
[4:52:48] Ik toets dat regelmatig aan nu, maar wat dat betreft ben ik nog niet door de helft van mijn stapel papier.
[4:52:55] Ja, wij doen ons best aan deze kant van de kaart.
[4:52:58] Ik geef u een update.
[4:53:02] Het weeren van leveranciers.
[4:53:03] Waarom hebben we dit in lagere regelgeving gedaan in plaats van op wetsniveau?
[4:53:09] Dat hebben we gedaan omdat we het ook zien als de uitwerking van de zorgplicht.
[4:53:14] En dan is het niveau van de ANVB passend.
[4:53:19] Je wil ook niet alles in wetgeving vastleggen omdat je ook wil kunnen inspelen op technologische ontwikkelingen.
[4:53:26] Maar ik liet al even doorschemeren.
[4:53:28] Er liggen ook nog twee amendementen voor met betrekking hiertoe.
[4:53:31] Ik ben bereid om daar wel willig naar te kijken, dus ik kom daar zo in de appreciatie nog op terug.
[4:53:41] Overigens hebben we wel geluisterd naar het bedrijfsteven, dat natuurlijk naar aanleiding van de opname in de Cijferverveiligingswet wel brieven heeft gestuurd naar ons.
[4:53:50] En dat hebben we meegenomen in de nota van toelichting die bij de ANVB zit.
[4:53:54] Dus we hebben helder er neergezet welke criteria gelden onder voorspelbaarheid
[4:53:59] van het nemen van dit besluit voor bedrijven en voor de investeringen die ze moeten maken, groter te maken.
[4:54:06] Daarbij wordt er dus telkens getoetst aan dezelfde criteria en die staan dus nu in de noten van toelichting.
[4:54:11] En ook is daarin beschreven hoe de procedure voor de vakminister voorafgaande aan het nemen van het besluit dient te lopen.
[4:54:18] En de betrokkenheid van de entiteit is daar ook in meegenomen in die procedure.
[4:54:22] Bovendien kan de entiteit nog bezwaar en beroep instellen tegen het besluit.
[4:54:30] Welke concrete criteria zijn dat dan rond de baan dat een leverancier een risico vormt?
[4:54:35] Nou, er wordt gekeken of de leverancier de intentie heeft om schade aan te richten bij een identiteit, of dat een entiteit nauw banden heeft of onder controle staat van een partij met kwaadwinnende intenties.
[4:54:47] En dan kunt u denken aan leveranciers die via wet geen verplicht kunnen worden om mee te werken met een buitenlandse overheid.
[4:54:53] Dat is dus een van de criteria.
[4:54:54] zoals ook door enkele van u in vragen neergezet.
[4:54:57] Denk aan staatslijke actoren met een offensief programma gericht tegen de Nederlandse belangen en al die criteria staan in de toelichting van de ANVB.
[4:55:13] Willen we daarbij ook kijken naar de mogelijkheid om financiële steun te geven bij het weren van een dienst of product?
[4:55:19] Dat was een vraag van mevrouw Kapman.
[4:55:21] De algemene wet bestuursrecht en daarbinnen de regels over nadeelcompensatie, die bepalen in elk geval welke financiële vergoeding men recht op heeft als de overheid tussendoor de spelregels verandert, want daar komt het hier op neer.
[4:55:37] Om goede redenen weliswaar, maar dan is er automatisch sprake op nadeelcompensatie en dat zal dan elke keer door de vakminister worden bekeken.
[4:55:47] Ik kan dus niet in de algemene zin daar
[4:55:49] Uitspraken over doen.
[4:55:50] Ik zou het op voorhand vergoeden van alle schade voor een leverancier als je zo'n besluit zou nemen, zou ik willen voorkomen.
[4:55:59] Daarmee halen we ook een stuk incentive weg bij entiteiten om zelf kritisch te kijken naar hun toeleveranciersketen, omdat de overheid, als het dan toch een keer aan het licht komt, daar wel de portemonnee voor trekt.
[4:56:10] Dat zou ik ons collectief niet willen aandoen.
[4:56:12] Dus ik denk dat die nadeelcompensatie daarin voldoet.
[4:56:17] Dan ben ik bij overige belangrijke onderwerpen, voorzitter.
[4:56:21] Dan kijk ik even naar links bij dit blokje, of mensen nog vragen hebben.
[4:56:24] Dit was het blokje leveranciers.
[4:56:26] Nee, overig.
[4:56:28] Lefranciers, ja.
[4:56:31] Lefranciers geldt, nu gaan we naar overigen.
[4:56:34] Dank.
[4:56:34] Over de concrete criteria waarop we baseren dat een lefrancier een risico voor de nationale veiligheid vormt.
[4:56:43] Ik hoor de minister zeggen bijvoorbeeld staatlijke actoren die een offensief zaaiprogramma hebben richting ons.
[4:56:49] Op basis van welke feiten en omstandigheden stellen we deze landen vast?
[4:56:54] Want ik kan me ook voorstellen dat daar best wel een AIVD dan wel een MIVD component aan zit.
[4:56:59] Dus kortom, hoe kunnen we dit als parlement controleren?
[4:57:06] Ja, voorzitter, daar zit zeker een AIVD-MIVD component aan.
[4:57:10] Er zit ook een NCTV component aan.
[4:57:13] Maar er zit ook een openbaar component aan.
[4:57:15] Dus we proberen juist met dit soort zaken ook op structurele basis, dit gaat over individuele gevallen, op structurele basis zoveel mogelijk van het dreigingsbeeld zoals wij dat zien, zoals de diensten dat zien, ook met uw Kamer te delen.
[4:57:28] En een voorbeeld daarvan is het dreigingsbeeld staatslijke actoren.
[4:57:32] In het laatste dreigingsbeeld wordt er ook ingegaan op welke landen offensieve cyberprogramma's hebben tegen ons, welke risico's we daarvan zien, welke concrete gevallen.
[4:57:42] En dat is allemaal op ongeurubiseerd niveau, maar geeft wel, denk ik, een aardig aanknopingspunt, ook voor entiteiten, om door te lezen van ja, waar kan ik beter niet mee in zee gaan, of loop ik het risico op enig moment dat ik daar tegen knelpunt in mijn keten aan loop.
[4:57:57] Dus daarmee proberen we wel te helpen in de afwegingen die entiteiten daarbij maken.
[4:58:05] De heer Van den Berg.
[4:58:05] Dat kan ik alleen maar ondersteunen, dank u wel.
[4:58:08] De minister, en we kunnen naar het volgende blokje.
[4:58:11] Overig, ik begin bij de positie van slachtoffers.
[4:58:14] Is de positie van slachtoffers goed genoeg vastgelegd in deze wetten?
[4:58:18] Voor significante incidenten regelt de Cyberbeveiligingswet dat de betrokken entiteiten ontvangers van een dienst in kennis moet stellen, indien dat incident een aardelige invloed kan hebben op de verlening van die dienst.
[4:58:30] Ook wordt hierin geregeld dat de entiteit ontvangers van een dienst, die door een significante dreiging in relatie tot die dienst kunnen worden getroffen, mee moet demen
[4:58:39] in welke maatregelen ze daarvoor kunnen nemen.
[4:58:42] Maar er is geen specifieke regeling over de positie van slachtoffers opgenomen.
[4:58:47] Ik wil wel verwijzen naar een motie van Dieter Haykowski, die is aangenomen, die gevraagd heeft om te kijken naar de positie van slachtoffers en nadeelcompensatie.
[4:58:55] Ik zie een aantal van uw leden knikken.
[4:58:57] Dat proces loopt natuurlijk nog, maar dat is natuurlijk los van deze cyberbeveiligingswet.
[4:59:02] Maar dat gaat nadrukkelijk om slachtoffers.
[4:59:13] Kunnen we kennisdelingen over dreigingen, kwetsbaarheden en aanvalspatronen beter organiseren?
[4:59:17] Niet alleen in Nederland, maar ook met landen om ons heen.
[4:59:21] Ja, het doel is met deze wet juist het delen van kwetsbaarheden en dreigingen, waaronder ook AI-gegenereerde cyberdreigingen, om dat beter te organiseren en beter te verbreden.
[4:59:32] Het CCIT krijgt hiervoor ook een specifieke grondslag in deze wet en nationaal werken de CCITs al met elkaar samen in het CCIT-netwerk.
[4:59:40] En ook internationaal is er een C-suite-netwerk waarin dagelijks op operationeel niveau informatie wordt uitgewisseld.
[4:59:47] Nederland is ook actief in het Cyclone Network voor samenwerking bij crisis en incidenten en in de NIS Corporation Group, waarin experts van Europese lidstaten leren van elkaars ervaringen en best practices.
[5:00:00] Daarnaast biedt de Cyberbeveiligingswet een uitdrukkelijke grondslag om makkelijke informatie met derde landen, zoals het Verenigd Koninkrijk, te delen, ook over aanvalspatronen.
[5:00:09] Tot slot moeten we opmerken dat we naast de AI-gegenereerde dreigingen... we ook steeds meer AI-gegenereerde verdediging zien.
[5:00:16] En uiteindelijk gaat ons dat ook helpen.
[5:00:19] Ik kan me nog levendige discussies herinneren met de topmannen van Apple en Google... over of de verdediging nou meer baat heeft bij AI of de aanval.
[5:00:30] Ik zou het niet verklappen, maar de twee waren in ieder geval tegenovergesteld... in hun opvatting hierover.
[5:00:34] Ik denk dat de nabije toekomst ons dat gaat leren.
[5:00:38] Informatieuitwisseling in crisis tussen kritieke entiteiten, private beveiligingsbedrijven.
[5:00:48] Kunnen we daarbij versnippering en inefficiëntie voorkomen, was een vraag van mevrouw El-Bajani.
[5:00:53] In eerste instantie moeten kritieke entiteiten zelf de verantwoordelijkheid nemen voor een crisisrespons en de daarbij behorende informatieuitwisseling.
[5:01:01] En ze kunnen daarbij zeker private beveiligingsbedrijven
[5:01:04] De meesten doen dat overigens ook als ze iets van een incident hebben van een bepaalde omvang.
[5:01:10] Elk ministerie neemt daarnaast maatregelen op het eigen beleidsterrein om crisis aan te pakken.
[5:01:14] En daarvoor hebben ze allemaal een departementaal crisiscoördinatiecentrum.
[5:01:18] En bij de nationale crisis, en wanneer dat gaat spelen, dat is niet helemaal in beton te gieten, maar op een of ander moment schalen wij op, is er een nationaal crisiscentrum.
[5:01:30] en dat wordt dan coördinerend onder mijn verantwoordelijkheid.
[5:01:33] En dat is een 24-7 informatieloket en ondersteunt ook de lokale, de nationale crisisstructuur en alle partijen.
[5:01:41] Daarnaast zijn er sectorale afspraken gemaakt over informatieuitwisseling en een voorbeeld hiervan is het NCSC, dat binnen het cyberdomein zorgt voor gerichte informatiedeling tussen publieke en private partijen.
[5:01:53] En daarmee wordt versnippering voorkomen en de efficiënte informatievoorziening tijdens crisis gewaarborgd.
[5:02:03] Mevrouw Bocciali vroeg ook nog hoe deze private beveiligingsbedrijven meer duidelijkheid kunnen krijgen over hun rollen.
[5:02:10] Ze hebben geen formele rol in deze wetten.
[5:02:16] Het is echt de verantwoordelijkheid van de kritieke entiteit om zelf de passende maatregelen te nemen, maar natuurlijk zullen zij gebruikmaken.
[5:02:22] Er is ook geen verbod op het gebruik van private partijen om te helpen bij de implementatie, naleving of crisisrespons van deze wetten.
[5:02:36] De heer Vermeer vroeg nog over duidelijkheid komt over wat wel of niet redelijk is om van leveranciers te eisen.
[5:02:42] Ja, onder deze cyberbeveiligingswet moeten de entiteiten uitsluitende inzicht krijgen in leveranciers die van invloed kunnen zijn op de beveiliging van haar netwerk of informatiesysteem.
[5:02:54] En dat zegt meteen de afkadering tot hoe diep moet je nou in die foodchain, zeg ik dan maar hier letterlijk, om te kijken naar waar is het relevant of waar niet.
[5:03:05] De entiteiten toetsen of er vandaan wordt door die leveranciers aan de beveiligingseisen.
[5:03:10] Dat kan met de satirisering van de toeleveranciers of clausules in de leveringsovereenkomsten die zij stuiten.
[5:03:18] Hoe voorkomen we dat grote ketenpartners hun verantwoordelijkheden afwentelen op kleine ondernemers?
[5:03:24] Nou, die verantwoordelijkheid kan niet worden afgewenteld door grote entiteiten.
[5:03:28] Die staan per definitie niet aan de lat in het kader van deze beveiligingswet.
[5:03:32] Zij moeten zelf wel inzicht krijgen.
[5:03:34] en uiteindelijk toetsen kunnen doen voor hun toeleveranciers, maar daar ligt dus ook een gedeelde verantwoordelijkheid om dat te certificeren.
[5:03:54] Later heb ik het over gehad.
[5:04:02] Ja, de bewaartermijnen, voorzitter, daar ben ik even in de handen van uw Kamer.
[5:04:05] Ik heb gezegd waarom er een onderscheid is tussen de CSC'ers en de toezichthouders, maar ik weet niet of dat voldoende helder was.
[5:04:15] Ik kan daar alleen nog aan toevoegen dat elke toezichthouder wel per dossier kijkt of de 60 maanden termijn noodzakelijk is.
[5:04:25] En daar hebben ze al processen voor.
[5:04:28] In die zin sluiten deze wetten aan bij
[5:04:30] wat al gebruikelijk is voor toezichthouders in een toezichthoudende rol in de brede.
[5:04:51] En de motie van vrouw Rijkhofsky voor het handelingskader voor slachtoffers van datelijk had ik al genoemd, maar die was van 10 maart.
[5:04:58] Daar wordt eraan gewend.
[5:04:59] Dat was het einde.
[5:04:59] Ja, dan was dit blokje overig en dan heeft de heer van den Bergh een vraag.
[5:05:03] En mevrouw Schink is een vraag.
[5:05:04] De heer van den Bergh.
[5:05:06] Ja, dank, voorzitter.
[5:05:09] Nog even over het opslaan van die gegevens.
[5:05:11] Als ik het nou goed lees, dan zou het dus maximaal 120 maanden zijn voor de toezichthouders.
[5:05:15] En over gewettelijke taken geldt een maximaal bewaartermijn van 60 maanden.
[5:05:21] Maar hoe kijkt de minister dan naar die 10 jaar?
[5:05:24] En is dat niet veel te lang?
[5:05:26] Zou dat niet korter kunnen?
[5:05:28] En kan de minister ook bevestigen dat dat dan niet elke keer opnieuw gaat lopen?
[5:05:33] Volgens mij is het aangepast zo dat de juistheid van de gegevens bevestigd moet worden.
[5:05:38] Ik vraag mij af wat is nu het eikpunt?
[5:05:40] Wat bepaalt wanneer die gegevens eigenlijk weer een verlenging krijgen van de opslag?
[5:05:44] De minister.
[5:05:46] Ja, voorzitter, die 120 maanden is echt gericht op die gevallen waarin er specifieke juridische procedures lopen.
[5:05:54] En die kunnen echt rustig vijf jaar in beslag nemen.
[5:05:57] Ik ken deze zaken ook nu binnen het ministerie.
[5:06:01] Er zijn zaken die gewoon zo'n looptijd hebben.
[5:06:03] Als je dan aanloopt tegen de wettelijke bewaartermijn van je gegevens, ja, dan komt zo'n zaak dus in gevaar, terwijl je zo'n zaak ook niet sneller kan laten gaan dan dat die gaat.
[5:06:13] Maar het betreft dus wel echt een maximum termijn.
[5:06:16] Het is niet dat het streven is om al die gegevens voor 10 jaar te bewaren.
[5:06:23] Maar als je al die trajecten loopt, van een zaak naar een beroep, dan een hoger beroep, dan kun je wel tegen die termijnen uiteindelijk aanlopen.
[5:06:30] Maar zeker niet als norm.
[5:06:32] De meneer van den Berg.
[5:06:33] Oké, helder.
[5:06:35] Maar hoe werkt het dan in de praktijk?
[5:06:36] Hoe wordt dan per dossier daadwerkelijk beoordeeld of een kortere bewaartermijn dan toch mogelijk is en dat het niet in de praktijk alsnog uitpakt dat we die gegevens gewoon laten staan?
[5:06:45] De minister.
[5:06:48] Ja, daar hebben toezichthouders hun eigen procedures voor.
[5:06:50] Die zijn alvast niet naar aanleiding van deze wetten, maar dat geldt voor alles wat toezichthouders in het werk doen.
[5:06:56] Dus de criteria waarop zij hun bestanden vegen, die zijn een op een van toepassingen hierop.
[5:07:01] Daarom sluiten we hier ook aan, bij de termijnen zoals ze die kennen, ook voor hun reguliere toezichtswerk.
[5:07:07] Mevrouw Swinkels.
[5:07:09] Ja, dank u wel, voorzitter.
[5:07:11] Ik was blij met het antwoord rondom de cyberaanvallen die tot stand komen met AI.
[5:07:18] Ik ben ook benieuwd of we daarover kunnen worden geïnformeerd als het gaat om die samenwerking met andere Europese lidstaten terzijde tijd.
[5:07:25] Maar mijn vraag is eigenlijk tweeledig, want ik heb nog twee gemiste vragen.
[5:07:29] Want dit was blokje overig en volgens mij het laatste blokje daarmee.
[5:07:33] Hierna komen we pas bij de wet.
[5:07:39] Ik had nog een vraag over de gekwalificeerde vertrouwensdiensten en ik had nog een vraag over de uitvoeringscapaciteit bij ILT en NVWA.
[5:07:50] Als die aan bod komen dan zijn mijn vragen verder allemaal beantwoord vandaag.
[5:07:54] Dan kijk ik even naar de minister.
[5:07:56] Dat hou ik er liever in gedachten.
[5:07:57] Nee, die tweede vraag heb ik beantwoord.
[5:07:58] Dat gaat over dat in de mevrouw van toelichting is meegenomen door het vak departement datgene wat nodig is aan capaciteit bij de verschillende toezichthouders, waaronder de tweede uur noemt.
[5:08:09] Dus die zitten mee in deze wet.
[5:08:12] De eerste vraag hoop ik nog tegen te komen.
[5:08:15] It doesn't ring a bell now.
[5:08:16] Anders kijken we zo naar die twee blokjes.
[5:08:20] Ik denk dat ik een heleboel al gehad heb, voorzitter, uit die wetsblokken, maar ik zal er met prudentie doorheen gaan.
[5:08:27] Ja, dan heb ik nog twee vragen voor u.
[5:08:28] Een gaat over de slachtoffers.
[5:08:31] Waar ik het over had, was letterlijk een nazorgplicht opnemen in de wet.
[5:08:35] En het is terecht dat u wijst naar de motie over het handelingskader van mevrouw Rijkowski, want het is niet voor niks een hele breed ondersteunde motie.
[5:08:43] Zij vroeg dat er in ieder geval een groter handelingskader kwam.
[5:08:49] Dat we in ieder geval iets kunnen, want we hebben gewoon gezien, zowel na dat lek bij bevolkingsonderzoek Baarmoederhalskanker als nu bij Audido, mensen zijn echt in paniek.
[5:08:57] En nog steeds ook bij, waar moederhalskanker dat onderzoek, nog steeds heel veel vraagtekens.
[5:09:04] Mensen weten gewoon niet, waar moet ik heen als ik wil weten wat er is gelekt?
[5:09:08] Waar moet ik heen als ik iets wil vervangen?
[5:09:11] Of hoe regel ik dat?
[5:09:13] Of waar krijg ik hulp?
[5:09:15] Dus dat handelingskader van mevrouw Rijkowski is echt fantastisch.
[5:09:18] Alleen is de vraag van, zouden we niet toch nog echt expliciet iets in de wet willen opnemen hierover?
[5:09:29] De minister.
[5:09:32] Ik heb een aantal specifieke punten genoemd die wel zien op zorg naar afnemers van diensten van entiteiten en de verplichting die bedrijven op basis van de cyberbeveiligingswet hebben om daar wat mee te doen.
[5:09:46] Ik sta niet onsympathiek tegenover uw gedachten over nazorg, maar ik zou hem heel graag willen koppelen aan de
[5:09:58] verkenning die we doen naar aanleiding van de motie Rajkowski, dat daar ook in meenemen, zodat we ook een gedegen grond hebben op basis waarvan we beleid dan gaan maken.
[5:10:10] Dank voor deze beantwoording.
[5:10:13] En dan heb ik toch nog een vraag, want ik vond dat de minister hier best kort door de bocht ging over die bewaartermijnen.
[5:10:19] Want heel fijn dat er dus echt goed wordt nagedacht van soms kan je ook gewoon minder lang opslaan dan wettelijk noodzakelijk.
[5:10:26] Maar we weten nu al hoe vaak het misgaat met wettelijk noodzakelijk is het niet, maar we doen het lekker toch.
[5:10:35] Hoe gaan we nou echt goed toezien dat gewist wordt wat gewist kan worden?
[5:10:39] Hoe gaan we dat explicieter maken, zodat we eigenlijk misschien wel als Kamer of in ieder geval daar gewoon beter zicht op hebben dat dat ook echt gaat gebeuren, omdat daar ook juist de grote risico's van uitgaan?
[5:10:51] Voorzitter, daar ben ik met u eens.
[5:10:52] Alleen, ik denk niet dat deze groep de grootste risicogroep daar is.
[5:10:56] In het algemeen zijn toezichthouders redelijk prudent met de omgang met met gegevens.
[5:11:04] Kijk, in bredere zinnen is dit een issue, denk ik.
[5:11:06] Dat heeft ook Diolek ook wel aan
[5:11:09] de kaart gesteld, in hoeverre wordt er toegezien op het wisselen van gegevens op het moment dat die niet meer noodzakelijk zijn om te bewaren.
[5:11:18] Dus dat geldt voor overheidsinstanties, maar even goed voor bedrijven en hun omgang met persoonsgegevens.
[5:11:26] Dus ik vind dat een bredere vraag, waarvan ik ook vind dat we moeten oppakken, maar niet binnen de scoop van deze wet, want die termijnen zien echt op de toezicht houden, dus daar heb ik eigenlijk de minste zorg over.
[5:11:39] Dan gaan we naar het ene laatste blokje, de CBW.
[5:11:44] Ik begin nog even met Caribisch Nederland en de toepassing.
[5:11:47] Sorry, die had ik er nog even tussen gefietst.
[5:11:51] Maar dat wil ik zeker niet meer zeggen dat we dat niet van belang vinden, want natuurlijk willen we Caribisch Nederland op hetzelfde niveau krijgen als de rest van Nederland.
[5:12:00] Maar we hebben wel te maken met lokale uitvoeringscapaciteit en dat beïnvloedt het tijdpad wat we daar kunnen lopen.
[5:12:06] Dus we moeten gaan voor een verantwoorde stapsgewijze invoering.
[5:12:10] En we gaan eerst kijken welke ondersteuning we daarbij kunnen bieden, zonder dat we afbreuk doen aan de lokale verantwoordelijkheid die daar ligt.
[5:12:22] Mijn ambitie heb ik trouwens wel om te komen tot een cybersecuritystelsel voor het Caribisch deel van het Koninkrijk op hetzelfde niveau.
[5:12:28] Dat zit ook in de veiligheidsstrategie van het Koninkrijk der Nederlanden.
[5:12:32] en daarom zit Caribisch Nederland ook specifiek in het cyberweerbaarheidsnetwerk.
[5:12:37] We hebben ook een eerste verkenning gedaan naar de uitrol van het bouwplan en daar blijkt dat er behoefte is aan verankering van de digitale weerbaarheid en het cybersecuritystelsel op Caribisch Nederland.
[5:12:48] Vanwege de digitale afhankelijkheden erkennen we de noodzaak om hier gezamenlijk op te treden met Aruba Curaçao in Sint Maarten, maar daar moeten we natuurlijk ook wel letten op de autonome status van deze landen, want zij bepalen hun eigen landsniveau daar waar het gaat om cyber
[5:13:02] Security.
[5:13:04] Dus zij moeten ook een belang zien in het samenwerk hiervan, maar daar spannen we ons wel voor in.
[5:13:34] Nee, het zijn varianten op hetzelfde.
[5:13:40] Ik kan er nog één ding aan toepassen.
[5:13:43] Dat het mogelijk is om de toepassing van de wet mee te nemen... ...richting de eerste evaluatietermijn.
[5:13:49] Dus die toezegging kan ik wel doen aan de heer Van den Berg.
[5:13:52] Maar ik heb wel gezegd, de randvoorwaarden ter plekke... ...die gaan wel bepalen hoe snel we hierin kunnen gaan.
[5:13:59] En dat gaan we in gezamenlijkheid doen.
[5:14:01] Dit was wel het einde van het blokje, dan kijk ik even naar links.
[5:14:06] Vraag van mevrouw Elbowjani.
[5:14:08] Dank u wel voor de beantwoording, zeg ik via de voorzitter.
[5:14:12] Ik ben blij te horen dat in ieder geval dus het wel wordt gezien dat het belangrijk is dat daar ook het beschermingsniveau en het weerbaarheidsniveau echt op orde moet zijn.
[5:14:24] ook met mensen van daar gesproken.
[5:14:27] En daar is inderdaad wel echt heel veel behoefte aan, juist dat er ook wat meer inzicht komt in wanneer kunnen we daar dan komen en wat is er dan precies voor nodig.
[5:14:36] En we hebben inderdaad een veiligheidsstrategie van het Koninkrijk, maar dat is een goede basis, maar is nog niet echt toereikend genoeg.
[5:14:47] En daarom wil ik toch nog de minister vragen om...
[5:14:50] aan te geven of er dus een routekaart zou kunnen komen, om daar ook wat meer perspectief te kunnen bieden van hoe we nou echt komen tot dat beschermings- en weerbaarheidsniveau, wanneer we dat ook voor elkaar kunnen krijgen, samen met hen natuurlijk.
[5:15:03] De minister.
[5:15:04] Ja, voorzitter, ik ga die vraag doorgeleiden aan mijn collega staatssecretaris van BCK, omdat die naar de integraliteit van het Koninkrijkspakket kijkt, maar ik vraag hem om dit mee te nemen.
[5:15:16] Dan gaan we naar het ene laatste look.
[5:15:19] Ja, ik ga er zo snel als ik kan doorheen, voorzitter, met CBW.
[5:15:24] Waarom heeft de implementatie zo lang geduurd?
[5:15:25] Dat heb ik, denk ik, aan het begin van mijn inleiding eigenlijk wel gezegd.
[5:15:28] Wij hebben gekozen voor de zorg dat alles werkt voordat we verklaren dat de wet van toepassing is, in plaats van de wet van toepassing verklaren en dan maar kijken hoe we dat gaan invullen.
[5:15:39] Dat kost tijd, maar komt de zorgvuldigheid en uiteindelijk de werkbaarheid, denk ik, ook ten goede.
[5:15:44] En wat dat betreft ben ik blij dat we er zijn.
[5:15:50] evalueren hebben het overgehad.
[5:15:54] Mevrouw Kapman vroeg nog welke CSIRTs worden aangewezen voor de sectoren en welke nieuwe worden er nog opgericht?
[5:16:00] Voor de meeste entiteiten wordt de minister van Justitie als CSIRT aangewezen en de bijberoemde taken worden namens mij uitgevoerd door de NCSC.
[5:16:09] De andere Computer Security Incident Response Teams zijn ZSIRT voor de zorgsector, SIRT Water Management, die zegt het eigenlijk al een beetje, maar dan in het Engels,
[5:16:20] De informatiebeveiligingsdienst, dat is voor gemeenten, en SurfSert, dat is voor de onderwijssector.
[5:16:26] Op dit moment hebben wij niet zicht op nieuwe certs die worden opgericht.
[5:16:33] Hoe kunnen de gegevens van die certs nou goed beveiligd worden en welke technische veiligheidsmaatregelen zijn daarvoor?
[5:16:40] De NIST-V-richtlijn stelt hele strenge eisen aan C-certs en een van de eisen is dat de ondersteunende informatiesystemen zich op beveiligde locaties bevinden.
[5:16:49] Een andere eis is de betrouwbaarheid en de vertrouwelijkheid van de activiteiten van het CSIRT.
[5:16:53] En die zijn bij ons vastgelegd in het Cyberbeveiligingsbestuit, dus in de ANVB.
[5:16:58] In de aanvulling erop kunnen bij ministeriële regeling nadere functionele, technische en organisatorische eisen worden geregeld.
[5:17:06] En verder ga ik het openbaar niet heel veel uitspraken doen over de techniek om evidente redenen.
[5:17:14] Dan mevrouw Bouchani, de tijdige informatiedeling met de burgemeesters en de voorzitters van de Veiligheidsregio.
[5:17:21] Laat ik beginnen, ik ben ook voorzit van het Veiligheidsberaad, van het Landelijk Overleg Veiligheid en Politie, dus ik ben zeer begaan met onze nationale veiligheid en de structuren die we daarvoor hebben en de individuele verantwoordelijkheden, maar ik worstel een beetje met hoe de informatiedeling op basis van deze wet zou moeten verlopen.
[5:17:41] Omdat het voor de CSIRTs die hier bezig zijn met de calamiteit die at hand is, onmogelijk is om te overzien welke fysieke gevolgen voor de openbare orde en veiligheid dat dan waar zou hebben.
[5:17:56] Denk aan een Odido gebeurt.
[5:18:01] Odido heeft een hoofdkantoor waarschijnlijk ergens op de Zuidas in Amsterdam.
[5:18:05] Is het dan relevant voor de burgemeester van Amsterdam om te worden ingedicht over een data-hack bij Odido?
[5:18:11] Ik denk het niet direct.
[5:18:12] Ik denk dat dit een landelijk kader vereist en dat hebben we ook gezien, dat groeit dan ook automatisch.
[5:18:21] Maar heb je bijvoorbeeld een hek bij een waterschap wat impact heeft op een bepaalde polder en een gemeenschap, ja, dan wil je natuurlijk dat daar wel
[5:18:32] informatie terechtkomt.
[5:18:33] Maar dan loopt de lijn eigenlijk vaker via de kritieke entiteiten dan dat die loopt via de lijn van het CSIRT en de Cyberbeveiligingswet.
[5:18:44] Dus ik ben huiverig om die triage taak, zeg maar, neer te leggen bij de mensen die bezig zijn met het cyberincident.
[5:18:52] Om dan ook nog te moeten afwegen, is hier een link met de fysieke openbare orde of niet?
[5:18:57] En wat doen we dan?
[5:18:58] Terwijl ik denk dat op het moment dat die gevolgen groter worden,
[5:19:01] Denk maar aan geen treinverkeer, dan heb ik eigenlijk tot nu toe altijd gezien dat die fysieke openbare orde veiligheidsroute zich wel redt, maar dan buiten deze wet op.
[5:19:20] Amerikaanse ICD-diensten.
[5:19:21] Vraag van mevrouw Kapman.
[5:19:25] Ik heb het gehad over de criteria die er gelden, maar ik wil niet hier nu ingaan op specifieke landen of casus of wat dan ook.
[5:19:32] Dus ik denk dat de criteria voldoende aanknopingspunten bieden, ook voor entiteiten, om na te kunnen denken.
[5:19:38] Alleen willen we nu even niet wagen aan landen.
[5:19:47] Geldt dat de OKTT-organisaties nog steeds relevante rechtsinformatie mogen ontvangen om te delen met de achterban?
[5:19:57] Het antwoord is ja.
[5:19:58] Zij zijn in de site beveiligingswet een andere relevante partij en daarmee hebben ze die bevoegdheid nog steeds.
[5:20:06] Kwalificeerde vertrouwensdiensten, daar is die.
[5:20:10] Namens de staatssecretaris Digitale Economie en Soevereiniteit kan ik vertellen dat geprobeerd wordt om het gebruik van gekwalificeerde vertrouwensdiensten op te nemen in de past-toe- of leg-uitlijst.
[5:20:20] Dit is een set van verplichte open standaarden voor ICT-inkoop door de overheid en de past-toe- of leg-uitverplichting over het gebruik van open standaarden geldt voor gemeenten, provincies, het Rijk, Waterschap en alle uitvoeringsorganisaties.
[5:20:32] Dat betekent dat de standaarden die op de lijst staan in principe moeten worden gebruikt, tenzij er serieuze redenen zijn dat deze niet kunnen worden gebruikt.
[5:20:40] Dit heeft tenzij ook een krachtig effect aan de uitstraling naar de private sector, maar het is niet zeker of de opname op de lijst gaat lukken.
[5:20:48] Daarom zal samen met de staatssecretaris worden onderzocht welke alternatieven daarvoor zijn.
[5:20:54] Zij verwacht uw Kamer hierover voor het einde van het jaar te kunnen informeren.
[5:21:06] Eindeblokje, ja.
[5:21:09] Ik leg hem toch even apart voor de zekerheid.
[5:21:15] Hier even wat het over gaat.
[5:21:19] Basispakket cyberveiligheid, zoals geopperd door mevrouw Kapman.
[5:21:24] Ik vind het ook belangrijk dat cyberveiligheid ook voor individuele burgers, ongeacht de draagkracht, van belang is.
[5:21:30] Je kunt immers niet meer om een digitaal leven heen.
[5:21:33] tegenwoordig, wat ook verder je levensomstandigheden zijn.
[5:21:37] Tijdens de wetgevingsoverleg BZK heeft u hierover met mijn collega's gesproken en mijn collega van EZK heeft hierover opgemerkt dat diverse marktpartijen veiligheidspakketten aanbieden.
[5:21:49] Een deel van de genoemde producten wordt ook gratis aangeboden.
[5:21:52] Zij heeft aangegeven dat zij met de aanbieders van deze producten de inhoud en de toegankelijkheid van het aanbod wil bezien en ook kijken hoe die eventueel verbeterd kunnen worden.
[5:22:01] Wat haar betreft moet de overheid niet concurreren met de markt.
[5:22:04] Dat mag namelijk ook niet volgens de wet, markt en overheid.
[5:22:06] Maar het is wel belangrijk dat dergelijke pakketten door de markt worden aangeboden.
[5:22:11] En een motie heeft u inderdaad aangehouden tijdens dat debat.
[5:22:23] Wat ga ik doen?
[5:22:24] Het was ook van mevrouw Kapman om de rollen van vakministers, toezichthouders en het sector zo goed mogelijk vast te leggen.
[5:22:29] Ik noem al de doorverwijsboom.
[5:22:30] Die geeft helderheid aan waar hoor je in het landschap.
[5:22:35] Dat geeft in ieder geval een overzicht van welke partijen daarbij betrokken zijn.
[5:22:38] Onderling hebben we het al gehad over die samenwerkingsprotocollen en afspraken van bijvoorbeeld de toezichthouders, die ook meer helderheid moet geven voor individuen.
[5:22:47] Dat is volgens mij de cyberbeveiligingsvet, voorzitter.
[5:22:50] Dan zijn we aan het einde van het blokje.
[5:22:51] Mevrouw Swinkels had sowieso een vraag en daarna mevrouw El Boudjani.
[5:22:55] Ja, dank u wel, voorzitter.
[5:22:56] Ja, het ging inderdaad om die gekwalificeerde vertrouwensdiensten.
[5:23:00] Ik begrijp van de minister dat die ook namens de staatssecretaris beantwoord.
[5:23:04] Dus ik kan me ook voorstellen dat het wat lastig is om inhoudelijk verder op in te gaan.
[5:23:06] Ik ben blij met toezeggingen om er eind van het jaar op terug te komen, maar ik zou natuurlijk ook graag willen weten waarom het eventueel niet lukt om dit op die lijst te krijgen waar de minister het over had.
[5:23:15] Want dan zou ik ook graag daar vanuit Kamerlicht nog op kunnen bijsturen.
[5:23:18] Dus ja, nogmaals, ik snap dat de inhoudelijke beantwoording misschien tot hier reikt voor nu, maar ik zou de minister via hem willen meegeven, richting kabinet, dat ik daar graag tijdig op word geïnformeerd, zodat we daar eventueel nog iets op kunnen doen voor het einde van het jaar.
[5:23:34] De minister.
[5:23:35] En deze boodschap neem ik graag mee naar mijn collega van SNK.
[5:23:39] Damevrouw El Boudiani.
[5:23:44] Ja, dank u wel, voorzitter.
[5:23:45] En ik wil graag even terugkomen op de beantwoording van de minister op mijn vraag over de informatiepositie van burgemeesters en de veiligheidsregio's.
[5:23:56] Want eigenlijk waar we nou op zoek zijn is ook een wettelijke grondslag juist om op voor te kunnen bouwen dat de burgemeesters en de veiligheidsregio's die dus verantwoordelijk zijn voor crisisbeheersing en, nou, ordehandhaving,
[5:24:14] om juist hen meer in hun kracht te zetten.
[5:24:17] Want ik heb zelf ook voorbeelden vanuit de praktijk.
[5:24:21] Dus bijvoorbeeld dat afgelopen jaar was er een stroomstoring hier in Den Haag, waardoor het OV bijvoorbeeld ook stil viel en waardoor er ook verkeerschaos ontstond.
[5:24:32] En de gemeente zelf was in de veronderstelling dat het ging om een cyberincident, een cyberaanval.
[5:24:39] terwijl dus eigenlijk vanuit landelijk het NCSC al de analyse had gemaakt en eigenlijk al had kunnen concluderen dit gaat niet om een cyberaanval.
[5:24:47] En lokaal waren ze daar nog niet van op de hoogte en wel in de veronderstelling.
[5:24:51] Dus het kan lokaal heel juist ook de gemeentes enorm versterken om dit soort informatie wel te krijgen om én te werken aan preventie voor in de toekomst, maar juist ook om sneller in te kunnen grijpen en sneller te kunnen beslissen wat er nou echt nodig is
[5:25:06] om de orde te handhaven en de crisis te kunnen beheersen.
[5:25:11] Dus ziet de minister dit ook zo, als ik dit op deze manier uitleg met dit voorbeeld?
[5:25:17] De minister.
[5:25:18] Ik vind het op zich een aansprekend voorbeeld, maar hij komt voor mij in de categorie dat op een gegeven moment dingen impact gaan en kunnen hebben op de openbare orde en veiligheid.
[5:25:28] En dan zie ik al heel snel een taak voor mijzelf dan wel mijn vakcollega's naar boven komen.
[5:25:35] Dus op het moment dat er een grote verstoring is in het OV, dan is de staatssecretaris van INW degene die daar dan voor aan de lat is en die moet dat natuurlijk doen samen met het lokale en regionale bestuur.
[5:25:49] Zoals ik dat ook doe, daar waar het gaat om, ik noem maar wat de dreiging op Joods gemeenschappen in heel Nederland.
[5:25:56] Uiteindelijk, als er dan fysiek wat moet gebeuren, dan zullen uiteindelijk de burgemeesters en de veiligheidsdiensten dat moeten nemen en zie ik mezelf als de roeder van die informatie.
[5:26:08] Wat ik lastig vind is om vast te leggen wettelijk dat er een brengplicht is van specialistische organisaties naar
[5:26:18] specifieke burgemeesters, waarvan erg moeilijk op voorhand is in te schatten, is er überhaupt een relatie met de openbare orde en veiligheid of niet?
[5:26:27] En zo ja, is die dan heel lokaal af te bakenen?
[5:26:31] En waar moet die dan neerstaan?
[5:26:32] Dat vind ik buiten de scope.
[5:26:34] Dan zou ik daar weer mensen van mijn crisiscentrum tegenaan moeten zetten, die met die bril continu kunnen kijken naar alles wat er afgehandeld wordt, terwijl ik hem eigenlijk andersom zie.
[5:26:43] Op een gegeven moment bereikt iets een bepaalde schaal.
[5:26:45] en dan gaan deze raderen in beweging komen.
[5:26:49] Dus ik zit even te denken of we u nog kunnen helpen in een motie die de geste hiervan draagt, namelijk dat er zorggedragen moet worden voor, indien relevant, informatie richting burgemeesters daar waar een significant cyberincident lokaal gevolgd zou kunnen hebben van de openbare orde, maar dan kunnen we iets vrijer laten over wie dat dan moet doen,
[5:27:15] en op welk moment, en zit hij ook niet heel diep in die wet, dan zou ik daar wel voor open zijn om daar mee te denken.
[5:27:25] Fijn dat de minister daar ook voor open staat om mee te denken, want de andere kant ervan is wel dat als we dit niet goed regelen, dan is het ook weer aan de gemeentes zelf om dus afspraken te maken met de verschillende kritieke entiteiten, wat ook best wel een grote uitvoeringslast is voor de gemeentes om per kritieke entiteit te kijken van hoe gaan we nou de informatie uitwisselen, terwijl eigenlijk er al een centraal
[5:27:54] informatiepunt is, omdat de NCSC monitoringsverantwoordelijkheid heeft en die informatie sowieso al heeft en in principe alleen hoeft door te geleiden.
[5:28:02] En zelf denk ik ook wel dat ze lokaal inderdaad best wel goed kunnen inschatten van wanneer ze welke informatie kunnen gebruiken.
[5:28:09] Zoals ik eigenlijk al eerder aangaf in mijn betoog, heb ik hier ook een amendement op ingediend.
[5:28:17] Ik denk dat we later nog komen op de appreciatie, maar laten we dat afwachten.
[5:28:22] Anders sta ik ook zeker open voor een motie om te kijken wat we daarin kunnen doen.
[5:28:28] Maar het liefst heb ik natuurlijk het amendement.
[5:28:31] Dank.
[5:28:32] Minister, wilt u nog...
[5:28:33] Nee.
[5:28:33] Nou, ik had wel zo'n vermoeden.
[5:28:37] Nee, voor mij is het... Kijk, informatie is waardeloos zonder duiding.
[5:28:42] En als minister van Nationale Crisis ben ik het meest beducht voor mensen die zomaar informatie neerleggen op plekken.
[5:28:50] Zonder dat daar ook een handelingsperspectief of wat dan ook bij komt.
[5:28:53] En het NCCC is naar mijn mening niet in staat om die informatie met die duiding en handelingsperspectief op de goede manier neer te kunnen leggen
[5:29:01] Ik zie daar wel een taak voor mezelf op het moment dat iets naar groter komt, of voor de NCTV zelfs, vanuit de crisisstructuur die we hebben.
[5:29:09] Dus ik zie het probleem, alleen ik voorzie een andere weg naar de oplossing.
[5:29:19] Dus ik neem u echt heel serieus daarin, maar wil voorkomen dat mijn lieve mensen van de NCSC in de lokale crisisbeheersing een rol gaan spelen, in plaats van gewoon de digitale problemen oplossen.
[5:29:36] Mevrouw Elbouchiane, ik zie u al, u heeft nog een vraag.
[5:29:38] Ja, nog één laatste.
[5:29:40] Misschien is het niet helemaal een vraag, maar kijk, het is inderdaad natuurlijk ook niet de bedoeling van mijn fractie om heel veel uitvoeringslast neer te leggen bij de NCC.
[5:29:49] Dus juist omdat de NCC sowieso wel dat centrale punt is van informatieverzameling eigenlijk, is het dus relatief ten opzichte van de gemeentes, die anders zelf dus die
[5:30:03] één op één afspraken moeten maken met de kritieke entiteiten om bepaalde informatie binnen te halen.
[5:30:09] Dus daarin hebben we ook wel een beetje de balans proberen te vinden, zeg maar.
[5:30:16] En ik zou het heel fijn vinden als we dus inderdaad wel tot een weg kunnen komen om dit voor iedereen werkbaar te kunnen maken en lokale bestuurders in hun kracht te kunnen zetten.
[5:30:26] Dus fijn dat de minister mee wil denken.
[5:30:30] En dan voordat we naar het laatste blok gaan nog even een vraag en een mededeling.
[5:30:35] Onze ondersteunende staf is weer zo flexibel geweest dat ze zeggen nou tot vijf uur daar doen we ook wel aan mee.
[5:30:42] Dat kan gelukkig.
[5:30:43] Heel veel dank daarvoor.
[5:30:44] Want vier uur gaan we niet halen.
[5:30:46] En ik weet dat deze minister zich ook graag flexibel opstelt, maar dan moet het wel in de mogelijkheden liggen.
[5:30:51] Dus daar kijk even naar de minister.
[5:30:53] Is er mogelijkheid tot uitloop naar vijf uur?
[5:30:56] Nou, ik ben niet op reis en de koning heeft mij ook niet ontboden, dus buiten die twee zaken hoor ik nergens anders te zijn, behalve hier.
[5:31:04] Nou, dat is fijn, dus dan denk ik dat we vijf uur wel moeten halen.
[5:31:07] Dan gaan we nu naar het laatste blokje.
[5:31:10] Ik vind vier uur ook nog steeds goed, hoor.
[5:31:11] Nou, dat zou een prestatie zijn.
[5:31:14] Ik ga voor vier uur, maar mocht dat niet lukken, hebben we tot vijf.
[5:31:19] Ik denk dat we een heleboel al gehad hebben, ook rondom de WWKE, maar ik loop nog even specifieke dingen langs.
[5:31:26] De verhouding tot aanpak vitaal.
[5:31:28] Ik heb daar aan het begin van gezegd hoe die twee zich tot elkaar verhouden, namelijk dat voor die bedrijven en entiteiten die in de WWKE gaan, sluiten naadloos aan, maar hebben ze nu een wettelijk verplichting, voor de rest van de entiteiten loopt vitaal gewoon door.
[5:31:54] Hoe voorkomen we overlap en versnippering binnen de WWKE en hoe hebben we een duidelijk samenhangend stelsel?
[5:31:59] Een vraag van mevrouw Swinkels.
[5:32:00] Daar voel ik me verantwoordelijk voor als coördinerend bewindspersoon.
[5:32:05] Verantwoordelijk voor de bescherming van de vitale infrastructuur.
[5:32:08] Dus ik zou kijken naar de samenhang tussen verschillende sectoren.
[5:32:13] En de vakministers zijn de bevoegde autoriteit en moeten in principe
[5:32:17] zelf vanuit hun beleidsverantwoordelijkheid de sectoren bedienen, want zij hebben weer de kennis en expertise van de sector die ik niet in alle gevallen heb.
[5:32:26] Ik denk dat die samenspel tussen die twee, dus wel een nationale samenhang en toch een sectorspecifieke aanpak, het beste model is.
[5:32:37] En dat stuit dan ook meteen aan op uw vraag, hoe voorkom je dat ze in eilandjes gaan werken?
[5:32:41] Deels vind ik eilandjes dus prettig, want daarin kunnen ze de diepte in qua kennis en expertise, maar er moeten ook bruggen geslagen worden tussen de eilandjes en dat ben ik dan weer en namens mij de NCTV.
[5:32:57] Hoe verhoudt de nationale risicobeoordeling en de risicobeoordeling door kritieke entiteiten zich tot elkaar?
[5:33:03] De nationale risicobeoordeling voor de wet weerbaarheid kritieke entiteiten wordt per sector uitgevoerd door de vakminister en gaat in op de risico's voor een bepaalde sector.
[5:33:12] En de risicobeoordeling van de kritieke entiteit zelf, die volgt daarna en die gaat weer in op de risico's die specifiek zijn voor die organisatie.
[5:33:19] Dus het gaat één categorie specifieker naarmate je dichterbij komt.
[5:33:24] Dus de minister van INW maakt bijvoorbeeld een risicobeoordeling voor de sector luchtvaart in zijn geheel.
[5:33:31] En daarbinnen maken de kritieke entiteiten dan weer een eigen risicobeoordeling die ze kunnen gebruiken voor de specifieke risico's voor hun entiteit en organisatie.
[5:33:40] Maar die bouwt voort op wat de minister dan vervolgens sectoraal heeft neergelegd.
[5:33:49] Ja, hoe voorkom je dat die los van elkaar plaatsvinden?
[5:33:51] Nou ja, dat zit hem in die volgoordelijkheid erin.
[5:33:53] Dus je hebt eerst de sectorale en daarna sluiten daarop aan de specifieke risicobeoordelingen van de entiteiten zelf.
[5:34:02] Daarbij moet ze natuurlijk wel samenwerken, want anders mis je in de sectorale elementen die uiteindelijk toch een rol gaan spelen bij de lokale beoordeling.
[5:34:19] Hoe verhoudt de uitvoeringsstrategie voor de WWKE zich tot de nationale strategie die ook nog moet worden opgesteld?
[5:34:24] Ook een vraag van mevrouw Swinkels.
[5:34:26] De uitvoeringsstrategie die zal ik vaststellen, samen met de vakministers, en die bevat de strategische doelstelling en prioriteiten om de gehele weerbaarheid te vergroten.
[5:34:35] Dus eigenlijk de stip op de horizon voor het geheel.
[5:34:38] En daaronder hangen dan weer de sectorale risicobeoordeling en daaronder dus weer de organisatiespecifieke.
[5:34:44] Dus het is een boom die zich vertakt onder hetzelfde bladerdak.
[5:34:55] Mevrouw Kapman vroeg hoe verwacht de minister dat alle entiteiten zich met zo'n vitaal beoordeling identificeren?
[5:35:01] Zien we ook het risico dat er organisaties zijn die de vitaal beoordeling niet doen en daarom niet op de hoogte zijn dat ze onder deze wet vallen?
[5:35:10] Nou, dat hoeft niet in het geval van de WWKE, want die worden gewoon aangewezen.
[5:35:14] Dus een kritieke entiteit hoeft niet zelf te bepalen of die kritiek is, of die onder de wet valt.
[5:35:19] Het is juist aan de vakministers om kritieke entiteiten aan te wijzen.
[5:35:23] op basis van de risicobeoordeling en de afweging van de criteria.
[5:35:27] En een aangewezen identiteit, en dat is dus anders dan een saai beveiligingswet, die wordt altijd direct geïnformeerd door de vakminister en vooraf geïnformeerd over de mogelijke aanwijzing daartoe.
[5:35:43] Hoe snel hebben we alle identiteiten dan in kaart?
[5:35:46] Gaan we ze anders over krijgen om die beoordeling in te vullen?
[5:35:49] Wat ik zei, ze kunnen dat niet zelf
[5:35:52] De eerste aanwijzingen door vakministers zullen binnen een maand na de inwerking training plaatsvinden.
[5:35:58] En er kunnen altijd weer ontwikkelingen zijn, technologisch, geopolitiek of anderszins, waardoor je op een later stadium als nog aanvullende entiteit zou willen aanwijzen.
[5:36:07] Maar die ruimte biedt de wet ook.
[5:36:11] Alle kritieke entiteiten, ik hoef ze dus ook niet aan te schrijven, ze krijgen bericht van de bevoegde vakminister.
[5:36:16] In die zin weten ze vanaf dat moment waar ze aan toe zijn.
[5:36:23] En daar worden ze vooraf over geïnformeerd.
[5:36:30] Hoe ondersteunen we de kritieke entiteiten dan bij het versterken van hun weerbaarheid?
[5:36:34] Bijvoorbeeld via richtsnoeren, was een vraag van mevrouw Swinkels.
[5:36:38] Dat loopt via de vakministers, die geven advies, die zorgen voor de uitwisseling van informatie, maar die verlenen ook bijstand.
[5:36:45] En de NCDV ondersteunt de vakdepartementen weer en wij nemen sectoroverstijgende acties en initiatieven op, zoals de afhankelijkhedenanalyses tussen sectoren.
[5:36:54] In het digitale termijn hebben we natuurlijk het NCSC, daar hebben we het al eerder over gehad, en de inrichting- en veiligheidsdiensten, die helpen met relevante dreigingsinformatie binnen de kaders die ze daarvoor hebben.
[5:37:13] Hoe komen we dan aan die schatting van die 500?
[5:37:15] Die is met name gebaseerd op het huidige aantal vitale aanbieders, plus de nieuwe sectoren waarin nu nog geen vitale aanbieders zijn aangemerkt, bijvoorbeeld gezondheidszorg en de sector productieverwerking en distributie van levensmiddelen.
[5:37:30] Uiteindelijk, zoals ik zei, is het aan de vakministers, maar dat is op basis waarvan we tot de 500 zijn gekomen.
[5:37:50] Hoe borgen we dat de kennis- en informatiedeling tussen vakministers en kritieke entiteiten op orde is?
[5:37:56] Ook een vraag van mevrouw Zwinkes.
[5:37:59] Tijdig informeren bij dreigingen is absoluut van belang en de basis hiervoor is een structurele, intensieve informatieuitwisseling.
[5:38:07] En daarom werken we, één, aan een informatie- en waarschuwingssysteem om informatiedeling te faciliteren, maar twee, ook aan een veilige platform
[5:38:16] ...en regulier contact tussen de kritieke entiteiten... ...de vakdepartementen en de veiligheidsdiensten.
[5:38:21] En ten derde kijken we naar afspraken rondom sectortafels... ...waar we ook de inrichtingendiensten kunnen laten aanschuiven... ...om bijvoorbeeld een algemeen dreigingsbeeld te geven... ...van wat kunt u nou verwachten van staatslijke actoren... ...of criminele samenwerkingsverbanden.
[5:38:41] Hebben we inmiddels met de Europese Commissie gesproken over borgen van de informatieuitwisseling, de vertrouwelijkheid en de betrouwbaarheid.
[5:38:49] Dat is natuurlijk een ontzettend belangrijke randvoorwaarde voor het uitwisselen van informatie.
[5:38:53] Het Nationaal Crisiscentrum is voor mij het nationaal aanspreekpunt voor grensoverschrijdende incidenten.
[5:38:59] En daarnaast zit de NCTV ook in de Europese expertgroep voor de weerbaarheid van kritieke entiteiten, de SER-groep.
[5:39:07] En dit gremium brengt de NCTV dit vraagstuk regelmatig onder aandacht
[5:39:11] Europese Commissie.
[5:39:14] Hoe zorgen we dat verplichtingen onder deze wet proportioneel zijn, ook naar kleinere ondernemers en entiteiten?
[5:39:22] Ja, de proportionaliteit is één van de uitgangspunten hier en daarom is die risico gebaseerd, net als bij de Zuidbeveiligingswet.
[5:39:28] Dus iedere organisatie moet maatregelen nemen die passend zijn bij die organisatie en ook in verhouding zijn en evenredig zijn.
[5:39:35] Maar dat maakt het dus wel een maatwerk.
[5:39:37] ook tussen de verschillende sectoren, want gezondheidszorg is echt weer wat anders dan de productie van levensmiddelen en ook bedrijven die iets meer richting de vitale dienstverlening en de high-tech zitten.
[5:39:51] Maar ook daar merk ik weer op dat heel vaak, en ik ben al een paar jaar bezig met weerbaarheid, als je spreekt met bedrijven in sectoren, dan weten zij juist heel goed wat de risico's zijn waar zij zich op moeten wapenen.
[5:40:01] Daar hoeven wij vaak als overheid niet heel veel aan toe te voegen.
[5:40:09] Een antwoord op de heer Vermeer kan ik hier nog zeggen dat ik uiteraard niet verantwoordelijk ben voor de voedselketen, maar natuurlijk is het een cruciaal belang voor Nederland en voedselzekerheid is een opgave waar we elke dag aan gaan werken en de WWKE draagt daar naar mijn mening aan bij door deze vitale sector ook op te nemen onder die wet.
[5:40:36] Hier hebben we gehad, evaluatietermijn ook.
[5:40:41] Krijgen wij een boete voor het niet tijdig implementeren van de SER-richtlijn?
[5:40:45] Ik hoop het niet, zeg ik daar maar op voorhand bij, maar de Europese Commissie is wel een inbruchprocedure gestart tegen Nederland.
[5:40:53] We zitten nu echt nog in de eerste administratieve fase en daarna zou de Commissie kunnen besluiten om bij het Europees Hof van Justitie een zaak aan de handig te maken en dat zou kunnen leiden tot een boete, maar we zijn inmiddels zover in het wetgevingstraject en wat ik zeg, wij kunnen ook goed onderbouwen waarom wij begonnen zijn
[5:41:09] Het zorgen dat er een goed fundament ligt onder deze wet voordat we hem behandeld hebben, dat ik ervan uitga dat dat goed gaat.
[5:41:17] En we zijn echt niet het enige land dat achterloopt of de richtlijn nog niet volledig heeft geïmplementeerd, onder andere ook Frankrijk en Spanje zijn daar nog mee bezig.
[5:41:29] Ik denk, voorzitter, dat ik dan alleen nog de amendementen heb in mijn eerste termijn.
[5:41:35] GESPREKSLEIDER.
[5:41:35] Ik kijk even naar links of dat klopt.
[5:41:38] Ik zie knikkende gezichten, behalve natuurlijk, ik had ook niet anders dan meneer van den Berg.
[5:41:42] Nee, ja.
[5:41:44] Ik durf bijna niet meer, voorzitter.
[5:41:47] Twee korte vragen nog.
[5:41:50] Over het cyberveiligheidsbesluit.
[5:41:51] Dat staat nu nog als concept in de interne stukken van Parlis.
[5:41:56] Wat voor status heeft dat document nu?
[5:41:58] Is dat nog precies het concept wat toen werd gestuurd naar de Kamer?
[5:42:02] Of zijn er wijzigingen aangebracht, zoals ze nu voorstaat?
[5:42:06] Of komen er nog wijzigingen?
[5:42:08] Daar ben ik wel benieuwd naar.
[5:42:09] Laat ik het ons maar gelijk clusteren.
[5:42:12] Ik had nog een vraag openstaan over
[5:42:14] in hoeverre kwantumencryptie wordt meegenomen, dus wel bij kritieke entiteiten als Cyberveiligingswet.
[5:42:21] En als laatste nog een...
[5:42:23] Ik las dat de kosten voor de overheid oplopen tot zo'n 83 miljoen euro structureel vanaf 2028.
[5:42:29] Ziet de minister nog mogelijkheden om daarin toch nog meer efficiëntie in aan te brengen?
[5:42:34] De minister.
[5:42:36] Op uw eerste vraag.
[5:42:38] Ja, die versie klopt nog.
[5:42:39] Die ligt nu bij de Raad van State voor advies.
[5:42:41] Dus dat is de laatste versie.
[5:42:43] Als het gaat om quantum-encryptie, ja, deze wet is nu juist technologie-onafhankelijk, om ruimte te houden voor technologische ontwikkelingen.
[5:42:53] Dus dat we niet een wet hebben waarin quantum niet genoemd wordt, maar AI wel, en dan over drie jaar weer een nieuwe wet moeten maken.
[5:43:01] Dus de wet dekt dat volledig, maar uiteindelijk zullen we weer een uitvoering daarmee moeten hebben.
[5:43:06] 83 miljoen euro, ik vind het een koopje, moet ik zeggen, voor een zeer omvangrijke wet.
[5:43:10] Zeker omdat u ook hoort hoeveel verschillende actoren daarbij betrokken zijn.
[5:43:15] Van toezichthouders tot instanties zoals het NCSC.
[5:43:21] En we gaan echt naar een enorme toename van entiteiten.
[5:43:24] Dus ik voorzie weinig mogelijkheden, maar zoals blijkt, er is in ieder geval dekking voor het bedrag zoals genoemd.
[5:43:34] Dan kijk ik nog een keer naar links.
[5:43:36] Alle vragen zijn beantwoord.
[5:43:37] Dat brengt ons dan bij de tweede termijn aan de zijde van de Kamer.
[5:43:42] Oh, nee.
[5:43:43] De amendementen.
[5:43:44] Ja, excuses.
[5:43:45] Ik kijk toch even naar de minister.
[5:43:46] De ingediende amendementen, zeg ik daarbij.
[5:43:51] En dat zijn er voor de Cyberbeveiligingswet drie.
[5:43:54] Twee van Van Kappen en één van Frau Albert-Djiani.
[5:43:57] En dat zijn er voor de WWKE.
[5:44:02] Ook drie, twee van mevrouw Kapman en een van mevrouw Faber.
[5:44:06] Ik begin met amendement nummer 12 van mevrouw Kapman.
[5:44:10] Dat gaat over de verplichting overheven naar de wet.
[5:44:13] En daar ga ik twee varianten geven.
[5:44:17] Indien u hem indient met het vierde lid, zoals dat nu opstaat, en dat voorziet in die inspanningsverplichtingen voor de vakminister, ja, die vind ik moeilijk, want daarmee verschuift de verantwoordelijkheid volledig naar de overheid.
[5:44:29] Ik noemde het net al even in mijn eerste termijn.
[5:44:32] Ik wil niet investeringen compleet derisken.
[5:44:37] Ik vind dat daar ook een eigen verantwoordelijkheid ligt voor leveranciers en voor entiteiten.
[5:44:41] om daar een verantwoordelijkheid te nemen.
[5:44:44] En we hebben natuurlijk al de nadeelcompensatie in de Algemene Wet Bestuursrecht, die denk ik heel goed te paspaar is, ook in dit geval.
[5:44:51] Dus met het vierde lid moet ik hem ontraden, maar zonder het vierde lid geef ik hem moordelijk aan.
[5:44:59] Dan pas ik het amendement zo aan, of dan maak ik er gewoon twee amendementen van.
[5:45:04] Dus dan één zonder en één met.
[5:45:08] Of nee, één zonder en één met alleen dat andere lid.
[5:45:13] Dus ik pas het in ieder geval aan zoals u zegt.
[5:45:15] Ja, excuses voor de verwachting.
[5:45:17] En die met alleen het vierde lid, die geef ik dan bij deze het hoordeel ontraden om de reden die ik net heb genomen, dan hoef je dat niet opnieuw te doen.
[5:45:27] Dan amendement nummer 13, de voorhangprocedure voor de uitwerking van de zorgplicht.
[5:45:33] Heb ik al eerder gezegd, zeker omdat u ziet dat toekomstgewijzigingen hiermee bedoeld worden, apprecieer ik hem met de Oordeel Kamer.
[5:45:45] En amendement nummer 14 van mevrouw El Bouchani, met referte aan de discussie die we net hebben gehad, die ontraad ik.
[5:45:51] Gaan en bereidt om mee te denken aan een motie die materieel regelt wat u wilt.
[5:45:56] maar niet via de wettelijke plicht op basis van de Cyberbeveiligingswet zelf.
[5:46:06] Mevrouw El Boudjani.
[5:46:09] Yes.
[5:46:11] En als het amendement wordt aangepast, dan is daar nog mogelijkheid toe, dat als het amendement wordt aangepast, dat die oordeel Kamer krijgt.
[5:46:21] Kijk, het gaat mij er namelijk heel erg om dat er een wettelijke grondslag komt,
[5:46:25] Nou ja, dan herhaal ik mezelf misschien ook wel, maar zodat het lokaal bestuur wel informatie kan krijgen, niet alleen maar over verschillende incidenten, maar bijvoorbeeld ook, wat zijn überhaupt de kritieke entiteiten?
[5:46:36] Want die informatie beschikken zij ook niet.
[5:46:39] En er staat ook niet in de wet dat ze die informatie kunnen krijgen van het NCSC, want in de beantwoording op vragen vanuit het kabinet... Of, sorry, op de vragen vanuit de Kamer heeft het kabinet geantwoord
[5:46:53] er inderdaad geen wettelijke grondslag is dat het NCC dit mag delen, dit soort informatie.
[5:46:59] Dus toch nog de vraag van of er nog een mogelijkheid is om het amendement hier en daar wat aan te passen, dat hij dan misschien toch wel oordeelkamer krijgt.
[5:47:06] De minister.
[5:47:08] Ik ben bang van niet en dat zit hem op het fundamentele dat deze wet ziet op hoe gaan wij om met cyberbeveiligingsincidenten in Nederland.
[5:47:20] En dat heeft in een heleboel gevallen helemaal niets te maken met de fysieke openbare orde.
[5:47:24] Dus het feit dat er een kritieke entiteit of de essentiële entiteit zich bevindt in Amsterdam, ja dat zijn er wel honderd in de vorm van de IT-bedrijven rondom Amsterdam.
[5:47:38] Maar dat heeft niks te maken met de openbare orde en veiligheid in Amsterdam.
[5:47:41] Dus er ligt geen enkele relatie met de taak van de burgemeester in dit opzicht.
[5:47:45] Het hoofdkantoor van Audido is niet, nou kan het worden, maar is niet een bedreiging.
[5:47:53] Dus dan vraag je aan mensen van het NCSC, van de CSIRTS, om elke keer die afweging te moeten maken van is dit nu een incident bij een kritieke entiteit die één, überhaupt iets te maken heeft met openbouw, orde en veiligheid, dat kost mij al capaciteit, want die capaciteit zit daar niet, dat is niet hun werk.
[5:48:10] En twee, om dan de afweging te maken
[5:48:13] legt dan een lijntje met lokale bestuur.
[5:48:15] Maar ik heb die lijntjes veel liever via de reguliere lijnen die ik heb voor openbare orde en veiligheid.
[5:48:21] En daar komt vaak die NCC-informatie wel binnen, want mij bereikt het wel op het moment dat zoiets speelt.
[5:48:28] En daar heb je dan weer geen wettelijke grondslag in de beveiligingswet voor nodig, want dat kunnen we dan gewoon doen via de nationale crisisstructuur.
[5:48:36] Dat voelt voor mij fijner, want dan word ik ook weer gebeld door een burgemeester en weet ik ook waar het over gaat.
[5:48:40] Terwijl als het NCSC zelf daar een afweging in maakt, al dan niet op basis van de juiste gronden, dan wordt het rommelig.
[5:48:48] Dus vandaar dat ik weinig mogelijkheden zie in het amendement, heel veel in een motie die de facto ervoor zorgt dat wat u wilt, namelijk op het moment dat er iets is wat effect heeft op de openbare orde in mijn gemeente, word ik daar dan over geïnformeerd.
[5:49:02] Mevrouw Obujani.
[5:49:04] Dan overweeg ik het amendement in te trekken en dan zal ik kijken naar een motie voor straks in de tweede termijn.
[5:49:16] Dank, dan de drie amendementen bij de WWKE.
[5:49:19] Nummer negen van mevrouw Faber, het verval van de grondslag om extra organisaties in te brengen, die ontraad ik omdat ik voor de toekomst crypto
[5:49:33] Quantum Crypto werd al even genoemd.
[5:49:38] Stel je voor dat wij een nieuwe kritieke entiteit hier krijgen die juist ziet op dat vlak wat cruciaal wordt voor de nationale veiligheid in de toekomst, ja, dan moeten we ook extra organisaties kunnen toevoegen.
[5:49:50] En dat hebben we nu dus specifiek voor Nederland gedaan, waar het gaat om het keren en het weren van water, juist vanwege de specifieke situatie in Nederland.
[5:50:02] Ik denk dat er altijd de aanleiding kan zijn om toch extra organisaties onder die WWKE te gaan brengen en daarvoor ziet dit deze grondslag in.
[5:50:15] En ik vind dus ook geen nationale kop, wil ik daar even bij opmerken, omdat het nou juist, het is expliciete voorziening die wordt gegeven door de wet waar we gebruik van maken.
[5:50:24] Het is niet iets wat we daarbij bij verzinnen.
[5:50:27] Mevrouw Faber.
[5:50:29] Ja, maar wat de minister nu noemt, dat is in feite gewoon een instrument die onder de sectoren al valt.
[5:50:34] Dus daar is in feite al in voorzien.
[5:50:37] Dus ik zie niet in en stel dat er nou wel een entiteit komt waar hij zegt van nou dat is iets nieuws dan kunt u dat altijd met aanvullende een spoedwet bijvoorbeeld zou u dat dan kunnen indienen.
[5:50:48] En de Kamer is daar dol op hier zo dus volgens mij moet dat dan heel snel kunnen.
[5:50:52] De minister.
[5:50:53] Nou daar delen wij wat andere ervaringen mee.
[5:50:58] En daarom vraag ik me af er gaat dus ook niks mis om deze grondslag wel te behouden om in voorkomend geval
[5:51:05] dan wel heel makkelijk en snel over te kunnen gaan tot zo'n aanwijzing.
[5:51:09] We doen nu niks, denk ik, wat buiten de orde is van deze wet, of wat raar is, of wat leidt tot heel veel extra inspanningen.
[5:51:16] Dus ik behoud hem graag, vandaar dat ik hem onthaat.
[5:51:20] Mevrouw Faber.
[5:51:21] Ja, ik kan er wel op reageren.
[5:51:23] Kijk, ik zie dat anders, want het is toch wel prettig, denk ik, om wel als parlement controle te houden over de entiteiten die toegevoegd moeten worden.
[5:51:31] En als er echt een nood aan de man is, dan weet ik wel dat, dat hebben we ook wel gezien met de coronamaatregelen, dan kan men heel snel acteren als het moet.
[5:51:41] De minister.
[5:51:41] Ja, voorzitter, wij hangen alles voor.
[5:51:43] Dat hebben we ook net afgesproken.
[5:51:44] Dus in die zin komt het sowieso in enige vorm dan langs de Kamer.
[5:51:49] Ook als het niet per wet is.
[5:51:52] Dan amendement nummer 10 van mevrouw Kapman.
[5:51:56] Ja, de mutatismeetande is hetzelfde.
[5:52:00] Ja, dus hier haal ik dan die inspanningsverplichting eruit, dan krijgt die oordeel Kamer en dan komt er een aparte waar de inspanningsverplichting in staat en die wordt dan onthalen, ja.
[5:52:14] Ik had het niet beter kunnen voorstellen.
[5:52:18] En dan de motie van mevrouw Kapman over de voorhangprocedure.
[5:52:23] Nou, daar geldt hetzelfde als voor de andere, omdat het zit op de komstgewijzigingen, oordeel Kamer.
[5:52:31] Dat brengt ons wel bij het tweede termijn van de Kamer.
[5:52:33] En dan kijk ik gelijk naar de heer Van den Bergh van JA21.
[5:52:38] Ik weet niet hoe de rest daarin staat, maar ze hebben wellicht ruimte voor een hele korte sanitaire stof.
[5:52:46] Ik denk dat het handig is om nu snel...
[5:52:48] Ik denk dat het handig is... Laten we het mee passen.
[5:52:51] Meneer Van den Bergh?
[5:52:53] Die schatting laat ik voor mevrouw Faber.
[5:52:55] Meneer Van Berchten, ik denk dat het handig is om nu heel snel de tweede termijn te doen en dan hebben we sowieso, denk ik, even een kleine schorsing.
[5:53:02] Of kunnen we anders sprekersvolgeoordeel even omwisselen?
[5:53:05] Dat even, dat ik mijn... Oké.
[5:53:07] Mevrouw Faber, uw tweede termijn.
[5:53:09] Zal ik het zo doen?
[5:53:10] Nee, geen tweede termijn.
[5:53:11] Mevrouw Martsen, Amerika.
[5:53:13] Ja, dank voorzitter.
[5:53:14] En ook dank aan de minister.
[5:53:15] Wij zijn blij met de toezeggingen met betrekking tot de evaluatietermijn, dat er dus nu gaat worden gekeken naar twee jaar.
[5:53:22] En dank aan de beantwoording.
[5:53:25] Mevrouw Swinkels.
[5:53:27] Ja, dank voorzitter.
[5:53:29] Ik wil nog een motie indienen in de tweede termijn, alleen die is nog onderweg, dus misschien kan ik straks aan de beurt zijn.
[5:53:36] Mevrouw El Boudiani.
[5:53:38] Ja, ik heb twee moties die ik graag wil indienen.
[5:53:42] Ik begin bij de motie over het versterken van de informatiepositie van burgemeesters en veiligheidsregio's.
[5:53:50] De Kamer, gehoord de beraadslaging, constaterende dat de burgemeester op grond van de gemeentewet verantwoordelijk is voor de handhaving van openbare orde binnen de gemeente en dat de voorzitter van de Veiligheidsregio is belast met crisisbeheersing op regionaal niveau, constaterende dat cyberincidenten
[5:54:09] bij organisaties in de gemeente zoals ziekenhuizen, energiebedrijven of vervoerders directe gevolgen kunnen hebben voor de openbare orde, verzoekt de regering de informatiepositie van burgemeesters en voorzitters van de veiligheidsregio's te versterken bij cyberincidenten met gevolgen voor de openbare orde en hiervoor indien nodig een grondslag te creëren voor informatiedeling met burgemeesters en voorzitters van de veiligheidsregio's en gaat over tot de orde van de dag.
[5:54:36] Dan wil ik u graag het dossier noemen bij de CBW is 36 764.
[5:54:42] Is dit CBW?
[5:54:44] Ja, ja, dit is CBW.
[5:54:45] Ja, dan is het 36 764, ja.
[5:54:48] Dan heb ik bij... Ja, dan een tweede motie ook voor de CBW, dus 36764.
[5:55:01] En dat gaat over plan of routekaart voor een cybersecuritystelsel voor Caribisch deel van...
[5:55:08] Het Koninkrijk, dus de Kamer, gehoort de beraadslaging, constaterende dat het Caribisch deel van het Koninkrijk ook te maken heeft met cyberdreigingen en digitale bescherming en weerbaarheid daar ook cruciaal is, constaterende dat de veiligheidsstrategie van het Koninkrijk der Nederlanden een goed begin is, maar nog niet toereikend genoeg, verzoekt het kabinet aan een concreet plan of een routekaart te werken om te komen tot een cybersecuritystelsel voor het Caribisch deel van het Koninkrijk dat zoveel mogelijk aansluit bij het niveau
[5:55:37] van digitale bescherming en weerbaarheid in Europees Nederland en dit samen met het Caribisch deel te doen en gaat over tot de orde van de dag en ondertekent door mijzelf, Elbowjani en mevrouw Kapman.
[5:55:49] En dan wil ik de minister ook nog graag bedanken voor de beantwoording en ook de suggestie aan het meedenken over de motie.
[5:55:57] Dan is het woord aan mevrouw Swinkels.
[5:56:00] Ja, dank u wel, voorzitter.
[5:56:02] Ja, ik wil allereerst ook beginnen met het bedanken van de minister voor de beantwoording en de diverse toezeggingen.
[5:56:08] Goed debat gehad vandaag hier.
[5:56:10] Ik heb tot slot één motie en die gaat over die ketenssamenwerking tussen bedrijven.
[5:56:15] De Kamer gehoort beraadslaging constaterende dat de digitale weerbaarheid niet alleen afhangt van de beveiliging van afzonderlijke organisaties, maar ook van de samenwerking en kennisdeling binnen ketens.
[5:56:24] Overwegend dat cyberbedreigingen zich snel ontwikkelen,
[5:56:27] en dat binnen ketens een gedeeld belang bestaat om de digitale beveiliging op orde te hebben.
[5:56:32] Overwegend dat kleinere bedrijven baat kunnen hebben bij betere toegang tot reikingsinformatie en de geleerde lessen, verzoekt de regering in kaart te brengen hoe de uitwisseling van reikingsinformatie en geleerde lessen binnen ketens kan worden versterkt, in het bijzonder zodat ook kleinere bedrijven daarvan beter kunnen profiteren.
[5:56:49] En de Kamer hierover te informeren gaat over tot de orde van de dag.
[5:56:52] En dit is ook 36.764, hè?
[5:56:56] Dit gaat over de CDU.
[5:56:57] Ja, dit gaat over de Zuidbeveiligingswet.
[5:56:58] Ja, dat klopt.
[5:57:01] Ik kijk even naar de heer Van Dijk of hij behoefte heeft.
[5:57:02] Nee, geen behoefte aan de tweede termijn.
[5:57:05] Dan kijk ik naar de heer Van den Berg, want ik kan ook hoor, dus zeg maar.
[5:57:10] Nee, we zijn er toch bezig, voorzitter.
[5:57:14] Allereerst dank aan de minister voor alle uitleg en toelichting op alle gestelde vragen.
[5:57:19] Het waren er inderdaad behoorlijk veel.
[5:57:21] Het is ook fijn om eens een keer in dit debat ook met minister Van Weel te sparren.
[5:57:25] Ik wil natuurlijk dat al even zien.
[5:57:26] Dat zijn de moties en amendementen die nog niet zijn ingediend.
[5:57:30] In ieder geval is het wel helder waar de minister heen wil en waar wel en niet draagvlak voor is.
[5:57:35] Dus wij zullen ons amendementen en moties nog indienen, maar natuurlijk wel rekening houdend met de discussie die we hier met elkaar hebben gevoerd, die overigens zeer constatief was.
[5:57:44] Laten we hem daar voor nu bij houden.
[5:57:46] Dank u wel.
[5:57:48] Ja, dan tweede termijn wordt lid Katman van GroenLinks Partij van de Arbeid.
[5:57:53] Ook ik wilde op eerste plaats de minister van harte danken voor de zorgvuldige beantwoording.
[5:57:59] Het is inderdaad heel helder op welke lijn de minister zit.
[5:58:02] Ik heb nog wel een aantal moties.
[5:58:04] De eerste gaat over nummer 36 7 6 4.
[5:58:09] De Kamer, gehoord de beraadslaving, constaterende dat de Cyberveiligheidswet een zorgplicht en een meldplicht introduceert om cyberveiligheidsrisico's te voorkomen en beheersen.
[5:58:18] Overwegende dat een grootschalig datalek directe gevolgen heeft voor slachtoffers wiens persoonsgegevens worden buitgemaakt, zoals bij de Odido-hek en het lek bij het bevolkingsonderzoek Baarmoederhalskanker.
[5:58:27] Overwegende dat er nog geen wettelijk kader bestaat voor hoe individuele slachtoffers geholpen en geïnformeerd moeten worden in de nasleep van een grootschalig datalek.
[5:58:36] verzoekt de regering om een wettelijke nazorgplicht te onderzoeken voor incidenten waarin op grote schaal persoonsgevens worden gelekt, met als doel om de rechten van individuele slachtoffers en de plichten voor de getroffen instanties in de wet vast te leggen.
[5:58:47] Verzoekt de regering om dit onderzoek uiterlijk in Q3 van 2026 af te ronden en de Kamer hierover te informeren en gaat over tot de orde van de dag.
[5:58:55] De Kamer, gehoord de beraadslaging, constateert dat de Cyberbeveiligingswet en de Wet Weerbaarheid kritieke entiteiten een meldplicht introduceren waarvoor een meldloket wordt ingericht.
[5:59:05] Overwegende dat entiteiten baat hebben bij één centraal en overzichtelijk meldloket die bruikbaar is voor alle soorten meldingen die volgen uit nationale en sectorale wetgeving.
[5:59:14] een centraal meldloket in te richten waar binnen alle relevante soorten meldingen gedaan kunnen worden.
[5:59:19] Ik verzoek de regering om de Kamer in Q4 van 2026 te informeren over de inrichting van het centraal meldloket en gaat over tot het oordeel van de dag.
[5:59:27] Deze motie wilde ik mogelijk misschien toe aanhouden of intrekken, want de minister heeft hier
[5:59:34] een uitgebreide toezegging wel op gedaan, maar ik wilde daarvan wel weten, van die toezegging gaat dat echt over inclusief alle meldmogelijkheden die nu al gelden voor bijvoorbeeld, ik weet niet precies hoe dit heet, is het CVSO-wetgeving of SEVSO-wetgeving?
[5:59:53] Volgens mij valt het bij INW, de AVG en andere sectorale regels.
[5:59:57] Dus dat het echt over een loket gaat die alles bundelt.
[6:00:00] En dat allemaal dat dat straks op één plek samen kan komen.
[6:00:05] En als dat de toezegging is, ja, dan is die.
[6:00:07] Het was al een mooie toezegging, maar dat zou hem zijn.
[6:00:09] En dan zou het mooi zijn als daar ook een termijn aan verbonden kan worden.
[6:00:13] En dan kan ik die motie gewoon intrekken.
[6:00:15] Dan de Kamer, gehoord de beraadslaging, constaterend dat het kabinet heeft ingeschat dat tussen de 7.750 en 8.100 entiteiten onder de Cyberveiligingswet zullen vallen en 500 entiteiten onder de wet weerbare kritieke entiteiten.
[6:00:30] Overwegend dat het kabinet vooralsnog uitgaat van het vrijwillig uitvoeren van een nationale vitaal beoordeling door deze entiteiten waar het blijkt of ze aan de wetgeving moeten voldoen.
[6:00:38] Voorzoekt de regering om organisaties die vermoedelijk aan de cyberveiligingswet en de wet weer bij het kritieken entiteit te moeten voldoen, proactief op te roepen om de vitaalboarding uit te voeren en hierop toe te zien.
[6:00:48] Voorzoekt de regering om dezelfde organisaties gelijktijdig te wijzen op relevante informatie en deadlines voor organisaties die als entiteit worden aangewerkt en gaat over tot de orde van de dag.
[6:00:58] En dan de Kamer, gehoord de beraadslaging, constateren dat er binnen vier tot vijf jaar na de inwerkentreding van de Cyberveiligingswet en de wet weerbare kritieke entiteiten een evaluatie wordt gedaan naar de effectiviteit van de wetten, overwegen dat dit een logisch moment is om te bezien of er aanvullende aanpassingen wenselijk en mogelijk zijn, zoals het onderbrengen van zaken uit een lagere regelgeving op het niveau van de wet en het uitbreiden van de rijkwijdte naar de Caribische delen van het Koninkrijk.
[6:01:21] verzoekt de regering om bij de evaluatie van de cyberveiligingswet en de wet weerbaarheid kritieke entiteiten de bezien op en zo ja hoe de wetten aangepast kunnen worden zodat verplichtingen uit de lage regelgeving zoveel mogelijk op het niveau van de wet zijn geregeld en de rijkwijd van de wetten binnen redelijke termijn wordt uitgebreid naar heel het koninkrijk en gaat over tot de orde van de dag.
[6:01:41] Dan heeft iedereen volgens mij zijn tweede termijn achter de rug.
[6:01:45] En dan kijk ik even naar de minister hoeveel tijd er nodig is.
[6:01:48] O, de heer Van den Berg heeft toch nog... Ja, inderdaad.
[6:01:51] U heeft nog even iets toe toevoegen aan uw tweede termijn.
[6:01:54] Jazeker.
[6:01:54] Nou, ik had het van tevoren wel even gecheckt van...
[6:01:57] Kunnen wij de moties eventueel nog laten indienen?
[6:01:59] Maar er was even wat...
[6:02:00] Er was even een misverstand.
[6:02:02] Dus ik moet mijn mooie boekje gaan offeren om er toch even een...
[6:02:05] Ik heb een boekje voor je.
[6:02:06] Oh, nee.
[6:02:06] Nee, nee, nee.
[6:02:07] Daar komt natuurlijk nog de steun uit.
[6:02:10] Dus ik ga het toch even zo doen.
[6:02:12] We zijn creatief.
[6:02:13] Voorzitter, de Kamer, gehoord de beraadslaging, constaterende dat entiteiten in de praktijk tegelijkertijd vallen, of tegelijk onder de cyberbeveiligingswet en de wet weerbaarheid, kritieke entiteiten kunnen vallen en daardoor met meerdere bevoegdheden, autoriteiten, audits, informatiebezoeken en bewijssets te maak kunnen krijgen, overwegende dat effectieve weerbaarheid vraagt om zo min mogelijk dubbel werk en dat toezichtslast niet onnodig mag afleiden van feitelijke beveiligings- en weerbaarheidsmaatregelen.
[6:02:40] ...verzoekt de regering om voor entiteiten die onder beide wetten vallen... ...uit te werken dat één gecoördineerd dossier, één auditkalender... ...en één zoveel mogelijk herbruikbare bewijs zet... ...en één coördinerend aanspreekpunt het uitgangspunt zijn.
[6:02:54] En dat dubbele informatieverzoeken alleen plaatsvinden... ...in die dat aantoonbaar noodzakelijk is.
[6:02:59] Dat gaat over tot de orde van de dag.
[6:03:01] En dan moet ik wel de achterkant nog even terug hebben, want daar staat er ook nog eentje op.
[6:03:07] Prachtig dit.
[6:03:08] Voorzitter, de Kamer gehoord de beraadslaging, constaterende dat voor overheidsinstanties de uitwerking van Cyberveiligingswet en de wet weerbereid kritieke entiteiten kan samenlopen met de BIO, en dat is de Baseline Informatie en Veiliging Overheid, en ANSIA, Eenduidige Normatiek Single Information Audit.
[6:03:25] Overwegende dat dubbele verantwoordings-, audit- en bewijsstatuurcapaciteit wegnomen die juist nodig is voor de feitelijke weerbaarheid.
[6:03:31] Verzoekt de regering om bij de uitwerking van lage regelgeving handreiken en toezichtpraktijk onder de Cyberveiligheidswet en de wet weerbaarheidkritieke entiteiten voor overheidsorganisaties expliciet te borgen dat verplichtingen, bewijslasten, auditlogica en verantwoordingsinformatie zoveel mogelijk worden geharmoniseerd met BO en NCA en de Kamer hierover voor de inwerking training te informeren en gaat over tot de orde van de dag.
[6:03:54] En dat is van de berg ook.
[6:03:57] En dan heb ik nog even die andere nodig.
[6:03:59] Ja.
[6:04:03] Ik maak hier wel een dubbele kopie van.
[6:04:04] Ja, dat komt goed.
[6:04:05] Deze wilt u weer terug.
[6:04:06] Ja, die heb ik nog nodig.
[6:04:08] Nee, dat is een... Ja, dat heb ik net afgestemd, ja.
[6:04:11] Creativiteit, maar het komt goed.
[6:04:14] De Kamer, gehoord de beraadslaging, constaterende dat artikel 34 van de wet weerbereid kritieke entiteiten een ruime vertrouwelijkheidsregeling bevat en dat bijen of krachtigste WWKAE leveranciersmaatregelen kunnen worden getroffen die diep ingrijpen in bedrijfsvoering, eigendom en continuïteit.
[6:04:28] Overwegend dat de Kamer ook op deze onderdelen haar controlerende taak moet kunnen uitoefenen zonder op rationele belangen, kwetsbaarheden of veiligheidsbelangen te schaden.
[6:04:37] ...verzoekt de regering om de Kamer vanaf de inwerkentreding van de WWKE... ...halfjaarlijks vertrouwelijk en geaggregeerd te informeren... ...over de toepassing van artikel 34 WWKE in zwaarwegende gevallen... ...en over de toepassing van leveranciersmaatregelen.
[6:04:51] Met in elk geval informatie over aantalle betrokken sectoren... ...de algemene aard van het risico... ...en de stand van eventuele bezwaar- en beroepspoststuurs... ...en gaat over tot de orde van de dag.
[6:05:02] Ik zie over u.
[6:05:03] En dan... Ja.
[6:05:04] Nou, en dan zijn we rond.
[6:05:06] De Kamer, gehoord de beraadslaging.
[6:05:08] Ik mis wel een beetje dat scheureffect.
[6:05:10] De Kamer, gehoord de beraadslaging, constatering dat entiteiten die zowel onder de Zuiderbeveiligingswet als de wet weer bereid kritieke entiteiten vallen met beveerde meerdere bevoegde autoriteiten te maken kunnen krijgen en dat in het dossier is gewezen op het risico van meervoudige beboeting voor hetzelfde feitencomplex.
[6:05:26] Overwegende dat effectieve handhaving niet mag otaarden in dubbel
[6:05:30] punitieve optreden voor dezelfde feiten en hetzelfde beschermde belang.
[6:05:35] Ik verzoek de regering om bij de uitwerking van samenwerkingsafspraken, handhavingsbeleid en lagere regelgeving te borgen dat voor hetzelfde feitcomplex en hetzelfde beschermde belang niet meer dan één punitieve sanctie wordt opgelegd onder de CBW en de WWKI en de Kamer voor de inwerking training te informeren hoe dit is geborgd en gaat over tot de oorlog van de dag van de werk.
[6:05:55] Dank.
[6:05:56] Alles komt weer tot een goed einde.
[6:05:57] Dan kijk ik toch nog één keer naar de heer Van den Berg.
[6:05:59] Dit was hem, hè?
[6:06:02] Dan zijn we echt klaar met de tweede termijn van de zijde van de Kamer.
[6:06:05] Dan kijk ik heel even naar de minister hoeveel tijd er nodig is.
[6:06:10] Dan gaan we drie minuten even schorsen.
[6:12:32] Achter de schermen is er weer kaart gewerkt om alles klaar te hebben.
[6:12:36] We wachten niet op motie 10 en 11, maar die komen er wel aan.
[6:12:40] En dan kunnen we alvast beginnen met de appreciatie.
[6:12:42] Het woord is aan de minister.
[6:12:44] Dank voorzitter en dank ook aan de leden van de inbreng in de tweede termijn.
[6:12:47] Ik ga in sneltreinvaart door de moties heen.
[6:12:51] Motie 1 van Baudjani over lokale overheden, orde op kamer.
[6:12:57] Motie nummer 2 over de routekaart van het Caribisch deel van Koninkrijk, orde op kamer.
[6:13:03] Motie nummer 3 van mevrouw Swinkels over de ketenssamenwerking, oordeel Kamer.
[6:13:08] Motie nummer 4 van mevrouw Kapman over de nazorgplicht, oordeel Kamer.
[6:13:13] Als ik hem zo mag opvatten, dat we hem betrekken bij de uitwerking van de motie Rijkoski, die ziet op hetzelfde onderwerp.
[6:13:20] Ja, zeker.
[6:13:22] Vindt u het prettig als ik dat aanpas in de tekst?
[6:13:25] Het helpt, maar dit is op deels een maagstaat.
[6:13:28] Dank, dan zal ik dat doen.
[6:13:31] Dank.
[6:13:32] Vijf.
[6:13:33] Ja, ik was erg scheutig in de centrale meldpunt, maar zo scheutig als u mij wilt laten zijn, dat kan ik toch net niet doen.
[6:13:41] Nee, die rijkwijdte die u noemt, wordt te groot.
[6:13:43] Die gaat over te veel verschillende sectoren heen en we riskeren daarmee een one size fits all, waarbij je eerst een kwartier door een belmenu heen moet, omdat het gewoon te breed is.
[6:13:55] met een aantal instanties die daarachter zitten.
[6:13:57] Dus we proberen zoveel mogelijk wat echt betrekking heeft op die cyberbeveiligingswet en die WWKE.
[6:14:02] Ik noemde al twee richtlijnen die we daar ook bij onderbrengen.
[6:14:05] Dus we zullen continu kijken naar het centraliseren, maar de rijkwijdte van het dictum hier moet ik helaas ontraden.
[6:14:13] Dan motie nummer zeven over de...
[6:14:19] Oh, excuus.
[6:14:22] Ja, die kan ik oordeelkamer geven als ik hem zo mag interpreteren dat wij proactief oproepen niet verstaan als individueel aanschrijven, maar als via media, social media, webinars, et cetera, oproepen tot.
[6:14:36] Voor de WWKE is het sowieso geen probleem, want die krijgen allemaal individueel al een benadering door de vakminister.
[6:14:41] Maar dan oordeelkamer.
[6:14:42] Ja, zo kan die geïnterpreteerd worden, zeg ik via de voorzitter.
[6:14:46] Dank.
[6:14:48] Motie nummer 7, evaluatie en bezien welke onderdelen naar wetgeving kunnen, die wil ik oordeel Kamer geven, maar ik wil de deel van het dictum wat zegt zoveel als mogelijk, dat is niet mijn enige leidende criterium daar.
[6:15:05] Dus ik zou zeggen waar nodig en opportuun, dan kan ik hem oordeel Kamer geven, maar het is geen doel op zich om alles vast te leggen in hoge regelgeving, omdat ons dat ook weer vast kan zetten voor toekomstige ontwikkeling.
[6:15:19] Als ik hem zo mag interpreteren, dan kan die ook door de Kamer krijgen.
[6:15:22] Ja, dat kan, zeg ik ook weer via de voorzitter, ja.
[6:15:29] Ja, mevrouw Swinkels.
[6:15:31] Ja, dank voorzitter.
[6:15:32] Ja, het is niet mijn eigen motie, maar ik ben altijd wel kritisch op ruime interpretaties van moties.
[6:15:41] En ten aanzien van zo'n punt als dit, kan ik me voorstellen dat het wel belangrijk is dat we hem in het boek hebben staan, zoals hij ook bedoeld is.
[6:15:49] Ja, ik ga er niet voor liggen, maar ik vind hem hier wel best wel wezenlijk.
[6:15:54] Dit zou aangepast kunnen worden, laat ik het zo zeggen.
[6:15:57] Ja, als voorzitter kan ik alleen maar zeggen dat is genoteerd en dan denk ik dat het aan de indiener is dat die even aangeeft dat de tekst zal worden aangepast.
[6:16:05] De minister.
[6:16:07] Ja, dus dan mijn advies voor de aanpassing zou zijn in plaats van zoveel mogelijk, waar nodig en opportun.
[6:16:15] En dan zegt de indiener dat het aangepast gaat worden.
[6:16:19] Dank u wel, voorzitter.
[6:16:21] Motie 8, oordeel Kamer.
[6:16:24] Motie 9, oordeel Kamer.
[6:16:25] Motie 10, oordeel Kamer.
[6:16:27] En motie 11, oordeel Kamer.
[6:16:31] En dat is niet omdat het kwart over vier is.
[6:16:35] Dan kijk ik even naar de linkerzijde van de Kamer.
[6:16:38] Volgens mij is iedereen tevreden en dan dank ik de minister voor de beantwoording, de toezeggingen en de appreciatie van de moties en amendementen.
[6:16:48] En dan hebben we natuurlijk nog een aantal toezeggingen staan.
[6:16:51] Die zal ik even met u doornemen.
[6:16:53] 1.
[6:16:53] De minister van JNV zegt toe een schriftelijk overzicht met de Kamer te delen over de punten in de cyberbeveiligingswet die nog nader uitgewerkt dienen te worden.
[6:17:01] inclusief waar het kan een vernoeming van termijnen wanneer deze uitgewerkt zullen worden.
[6:17:07] En dan is nog wel even de vraag binnen welke termijn kan dat naar de Kamer?
[6:17:12] Ja, voor de inwerking training en ik hoop natuurlijk dat dat ergens voor de zomer zal zijn, maar de inwerking training is wat mij betreft leidend hiervan.
[6:17:19] Ja, dan komt daarbij voor de inwerking training van de wet dan twee.
[6:17:22] De minister van JV zegt toe om de cyberbeveiligingswet binnen twee jaar naar invoering van de wet te gaan evalueren.
[6:17:28] Wel na de evaluatie van de betreffende commissie zal de regeldruk hierin meenemen en zal relevante punten voortvloeiend uit de periodieke evaluatie van de cyberbeveiligingswet die implicaties hebben voor de wet weerbaarheid kritieke entiteiten meenemen in de verdere uitvoering van de wet weerbaarheid kritieke entiteiten.
[6:17:46] Dan drie, de minister van JNV zegt toe om de samenwerkingsafspraken die zullen worden gemaakt tussen toezichthouders bij het directeuroverleg voor de invoering van de cyberbeveiligingswet met de Kamer te delen.
[6:18:01] En in de staatscourant te publiceren.
[6:18:05] Dan vier.
[6:18:06] De minister van JV zegt toeschriftelijk terug te komen op de door het lid Faber genoemde casus in zaken de wet weerbaarheid, kritieke entiteiten en het afhankelijkheid van het toezicht, bijvoorbeeld in het geval van de kerncentrale.
[6:18:17] Wanneer komt dat richting de Kamer?
[6:18:20] voor de zomer komt dat naar de Kamer.
[6:18:22] Vijf.
[6:18:23] De minister van JNV zegt toe de vraag over een nazorgplicht voor slachtoffers van cyber-ervallen gesteld door lid Katman mee te nemen in de verdere uitwerking van de betreffende motie van het lid Rajkowski.
[6:18:34] Toezegging zes.
[6:18:35] De minister van JNV zegt toe het gevraagde tijdspad door het lid Van den Berg over de uitwerking van de cyberbeveiligingswet richting Caribisch Nederland mee te nemen in de eerste evaluatie van de wet.
[6:18:45] en aan de staatssecretaris Koninkrijksrelaties de vraag door te geleiden van het lid El Boudjani in zaken een algemene routekaart voor het cyberbeschermings- en weerbaarheidsniveau van Caribisch Nederland?
[6:18:56] En toezegging 7.
[6:18:58] De staatssecretaris Digitale Economie en Soevereiniteit en de minister van JV zullen in samenwerking de Kamer voor het eind van het jaar informeren over de vragen van het lid Swinkels in zaken gekwalificeerde vertrouwensdiensten en mogelijke alternatieven in gehanteerde werkwijze hierbij.
[6:19:16] En dan knikt ook iedereen.
[6:19:18] En dan kijk ik toch nog even naar het lid Katman van GroenLinks Partij van de Arbeid over de één loket gedachte, want daar was in ieder geval wel een toezegging om één loket te doen, maar dan wel in de bewoordingen die de minister daaraan heeft gegeven.
[6:19:33] Ja, dan zijn we er en dan heeft mevrouw El Boudiani nog een vraag.
[6:19:39] Ja, voorzitter, ik zat even te denken, want inderdaad mijn vragen over het Caribisch deel van Nederland zouden kunnen worden ondervangen als mijn motie gewoon wordt aangenomen over die routekaart, zeg maar.
[6:19:49] Dus het ligt er even aan als de motie wordt aangenomen, dan hoeft die vraag ook niet meer door de staatssecretaris van BZK te worden beantwoord.
[6:19:57] Stemadvies hoor.
[6:20:00] Dit was in ieder geval een soort, we hebben net een campagne achter de rug, campagne voor de motie, mevrouw Swinkels.
[6:20:06] Ja, en ik had nog één vraag over toezeggingen die ik had gekregen ten aanzien van die samenwerksafspraak tussen toezichthouders.
[6:20:12] Of dat er nou wel of niet ook een termijn aangekoppeld is.
[6:20:16] Die hoorde ik zojuist niet.
[6:20:18] Het kan ook gewoon zijn, TZT, zodra dat gereed is en gepubliceerd kan worden in die staatscorand, maar... Ja, daar staat wel expliciet bij voor de invoering van de Cyberbeveiligingswet met de Kamer te delen.
[6:20:28] Ja, dus dat is voor de invoering van de IMA.
[6:20:32] Volgens mij is dan echt iedereen tevreden.
[6:20:34] Dan dank ik de minister en iedereen achter de schermen voor de goede zorgen.
[6:20:39] En dan kijk ik even naar links, want ik vergeet iets.
[6:20:45] Wat moet ik nog doen?
[6:20:52] De stemmingen, de moties zijn volgende week en de week daarop stemmen we over de amendementen en het wetsvoorstel.
[6:21:02] En dan sluit ik de vergadering.