In samen­wer­king met EY Advi­seurs (Tech­no­lo­gy Con­sul­ting) en EY Accoun­tants (Tech­no­lo­gy Risk) heb­ben Brent Crijns en Gigi van Hout van onze Digi­tal, Cyber & Pri­va­cy prak­tijk een uit­ge­brei­de reac­tie inge­diend op de con­cept­ver­sie van de Cyber­be­vei­li­gings­wet bij de publie­ke con­sul­ta­tie daar­van. Cyber­se­cu­ri­ty is van groot belang voor orga­ni­sa­ties en indien er onvol­doen­de aan­dacht aan wordt besteed, kan dit tot gro­te ver­lie­zen lei­den. Daar­om is het van belang dat de wet­ge­ving op dit gebied vol­le­dig, maar ook dui­de­lijk is. Hoe­wel de Cyber­be­vei­li­gings­wet een gro­te stap voor­uit is in de har­mo­ni­sa­tie van bevei­li­gings­stan­daar­den in de Euro­pe­se Unie, zijn er vraag­te­kens te zet­ten bij de gover­nan­ce-ver­eis­ten, de (spe­ci­fi­ca­tie van) maat­re­ge­len, het toe­zicht­stel­sel en (het gebrek aan) defi­ni­ties in de con­cept­ver­sie van de Cyber­be­vei­li­gings­wet. Met onze reac­tie beo­gen wij aan de Neder­land­se wet­ge­ver inzich­te­lijk te maken waar ver­be­te­rin­gen in de wet­tekst moge­lijk zijn. De uit­ge­brei­de reac­tie is te vin­den op de web­si­te van de Rijksoverheid, waar­bij we hier­on­der een samen­vat­ting bie­den.

De Euro­pe­se Unie heeft eind 2022 de Net­work and Infor­ma­ti­on Secu­ri­ty Direc­ti­ve 2 inge­voerd, beter bekend als de NIS2-Richt­lijn, met als doel een gehar­mo­ni­seer­de aan­pak van cyberrisico’s te rea­li­se­ren in de gehe­le Euro­pe­se Unie. Lid­sta­ten die­nen deze richt­lijn tegen 17 okto­ber 2024 om te zet­ten in nati­o­na­le wet­ge­ving. In Neder­land gebeurt dit via de Cyber­be­vei­li­gings­wet, waar­van de con­cept­ver­sie recent ter con­sul­ta­tie werd voor­ge­legd.

1. Gover­nan­ce en aan­spra­ke­lijk­heid: Het for­ma­li­se­ren van bestuurs­ver­ant­woor­de­lijk­heid voor infor­ma­tie­be­vei­li­ging is cru­ci­aal. Arti­kel 26 van de Cyber­be­vei­li­gings­wet legt deze ver­ant­woor­de­lijk­heid vast, maar EY merkt op dat de for­mu­le­ring te breed is. Hier­door kun­nen bestuur­ders onte­recht ver­ant­woor­de­lijk wor­den gehou­den voor de iden­ti­fi­ca­tie van cybersecurityrisico’s in het alge­meen, waar­on­der bij­voor­beeld ook risico’s val­len bui­ten de con­text van de dien­sten van de enti­teit waar zij ver­ant­woor­de­lijk voor zijn. Aan­pas­sing van deze bepa­ling wordt aan­be­vo­len om de ver­ant­woor­de­lijk­heid te beper­ken tot de con­text van de betref­fen­de enti­teit.
2. Maat­re­ge­len: De Cyber­be­vei­li­gings­wet stelt glo­ba­le ver­wach­tin­gen vast voor risi­co­ma­na­ge­ment, maar laat ver­de­re invul­ling over aan Alge­me­ne Maat­re­ge­len van Bestuur. EY advi­seert een uni­for­me aan­pak voor sec­to­ra­le maat­re­ge­len om frag­men­ta­tie te voor­ko­men en sec­to­ren voor­spel­baar­heid te bie­den. Ook wordt aan­be­vo­len om dui­de­lij­ke­re tijds­lij­nen en mini­mum­ei­sen vast te stel­len voor tech­ni­sche, ope­ra­ti­o­ne­le en orga­ni­sa­to­ri­sche maatregelen​​.
3. Hand­ha­ving en Toe­zicht­hou­ders: HVG Law erkent de waar­de van effec­tief toe­zicht en stelt voor om het toe­zicht meer te cen­tra­li­se­ren. Het bestaan­de sec­to­ra­le toe­zicht, onder de Wet bescher­ming net­werk- en infor­ma­tie­sys­te­men, leidt tot incon­sis­ten­ties en inef­fi­ci­ën­ties. Daar­bij zien wij drie moge­lij­ke opties om deze pro­ble­ma­tiek te ver­hel­pen:
   1. Vol­le­di­ge cen­tra­li­sa­tie van het toe­zicht bij één toe­zicht­hou­der.
   2. Een hybri­de model met een cen­tra­le toe­zicht­hou­der en rap­por­ta­ge van­uit sec­to­ra­le toe­zicht­hou­ders.
   3. Toe­zicht op basis van cen­tra­le stan­daar­den, zoals het Bel­gi­sche Cyber­Fun­da­men­tals Framework​​.
4. Reik­wijd­te en Defi­ni­ties: De hui­di­ge defi­ni­ties bin­nen de Cyber­be­vei­li­gings­wet, als­me­de de NIS2-Richt­lijn, bie­den onvol­doen­de dui­de­lijk­heid voor enti­tei­ten om zelf te beoor­de­len of zij onder de NIS2-Richt­lijn val­len. HVG Law pleit voor dui­de­lij­ke kaders en defi­ni­ties, moge­lijk geïn­spi­reerd door ver­ge­lijk­ba­re wet­ge­ving zoals de Digi­tal Ope­ra­ti­o­nal Resi­lien­ce Act. Dit zal de rechts­ze­ker­heid ver­gro­ten en de imple­men­ta­tie van cyber­se­cu­ri­ty­ve­r­eis­ten uit de Cyber­be­vei­li­gings­wet verbeteren​​.

Con­clu­sie
De reac­tie op de con­cept­ver­sie van de Cyber­be­vei­li­gings­wet door HVG Law, EY Advi­seurs, en EY Accoun­tants, bena­drukt de nood­zaak voor ver­fij­ning en ver­be­te­ring van de Cyber­be­vei­li­gings­wet om daar­mee de doel­stel­lin­gen van deze wet ook daad­wer­ke­lijk te kun­nen beha­len. HVG Law blijft zich bezig hou­den met nauw­keu­ri­ge ana­ly­se en advies omtrent ver­an­de­rin­gen in wet- en regel­ge­ving op het gebied van cyber­se­cu­ri­ty. HVG Law advi­seert dan ook over een duur­za­me en prak­ti­sche imple­men­ta­tie van zowel de Cyber­be­vei­li­gings­wet als ande­re toe­pas­se­lij­ke cyber­wet­ge­ving.

Consultatie Cyberbeveiligingswet.pdf