Simplificatie NIS2-richtlijn kan juist leiden tot meer complexiteit

Vereenvoudiging van de NIS2-richtlijn kan leiden tot méér complexiteit, precies het tegenovergestelde van wat de Europese Commissie beoogt. Het kabinet waarschuwt voor te zware certificeringsverplichtingen voor de it-markt. Certificering mag geen papieren tijger worden en toezicht niet vervangen. Toezichthouders moeten audits kunnen blijven uitvoeren. Dat blijkt uit antwoorden van minister David van Weel (Justitie en Veiligheid) op Kamervragen. Aanleiding zijn de EU-voorstellen voor de herziening van de Cybersecurity Act (CSA; Europese verordening voor de certificering van it-producten, -diensten en -processen binnen de Europese Unie) en de vereenvoudiging van de NIS2-richtlijn (Europese wetgeving die de digitale en fysieke weerbaarheid van organisaties in vitale sectoren moet versterken). Het kabinet plaatst stevige kanttekeningen bij de risico’s van certificering. Ook dreigen verlies van nationale beleidsruimte, te ruime EU-bevoegdheden en onduidelijke criteria voor risicoleveranciers. Brussel Nationale toezichthouders moeten ruimte houden voor risicogebaseerd toezicht. Nederland wil zich daar in Brussel hard voor maken. Certificering mag daarnaast niet leiden tot onnodige beperkingen van auditbevoegdheden. Het kabinet wil voorkomen dat certificering als extra laag bovenop bestaande nationale toezichtsystemen komt. Concreet zet het kabinet in op een duidelijke samenhang tussen certificering en toezicht, het voorkomen van dubbele verplichtingen – zoals parallelle audits en certificering – en praktische uitvoerbaarheid voor bedrijven, vooral organisaties die in meerdere lidstaten actief zijn. Als certificering wordt ingezet, moet deze aantoonbaar bijdragen aan lagere toezichtlasten en niet leiden tot een stapeling van verplichtingen. Het kabinet benadrukt dat certificering moet aansluiten bij reële dreigingen en risico’s. Het is geen vervanging voor het daadwerkelijk nemen van beveiligingsmaatregelen. Het certificeringsraamwerk moet daarom adaptief en flexibel worden ingericht. Nederland wil dit punt actief inbrengen tijdens de onderhandelingen met de EU. Het kabinet heeft ook bedenkingen bij het voorstel van de Europese Commissie om auditbevoegdheden te beperken wanneer certificering aanwezig is. Certificering kan waardevol zijn, maar dekt niet altijd alle ict-onderdelen, is vaak een momentopname en geeft niet altijd inzicht in actuele risico’s en kwetsbaarheden. Nederland wil daarnaast ruimte houden voor strengere nationale eisen. Het kabinet plaatst kanttekeningen bij maximumharmonisatie: lidstaten moeten bij nationale dreigingen aanvullende eisen kunnen blijven stellen. Bij maximumharmonisatie verliezen lidstaten de mogelijkheid om, zoals nu nog wel kan, aanvullende bepalingen vast te stellen of te handhaven die een hoger cyberbeveiligingsniveau waarborgen. Zorgen over aanwijzen risicoleveranciers In Den Haag bestaan zorgen over de voorgestelde bevoegdheid van de Europese Commissie om landen of leveranciers als ‘hoog risico’ aan te wijzen. Het kabinet vindt de criteria daarvoor onduidelijk, te breed en mogelijk geopolitiek gevoelig. Nederland wil dat lidstaten meer zeggenschap houden. Het aanwijzen van een derde land als geheel kan volgens het kabinet verstrekkende economische, juridische en geopolitieke gevolgen hebben. Het risico hangt sterk af van het specifieke ict-onderdeel, de te beschermen belangen, de geleverde kritieke dienst en de genomen technische en organisatorische maatregelen. PRO (voorheen GroenLinks-PvdA) stelt dat de Cybersecurity Act verschuift van een instrument om cyberveiligheid te vergroten naar een wet die ook wordt ingezet voor Europese economische veiligheid en diplomatieke doeleinden. Volgens de fractie is de herziening niet los te zien van de wens om met name Chinese leveranciers van de Europese markt te weren. Het kabinet erkent dat de herziening van de Cybersecurity Act niet uitsluitend een technisch cybersecurity-instrument is, maar ook een geopolitieke en economische dimensie heeft. Het vindt het legitiem dat de Europese Unie bij cyberveiligheid rekening houdt met die bredere context, maar benadrukt dat voorstellen risicogebaseerd, casusgericht, proportioneel en juridisch houdbaar moeten blijven.