Onlangs is een
internetconsultatie gestart rond de Wet weerbaarheid kritieke entiteiten (Wwke). Dit wetsvoorstel implementeert de Europese CER-richtlijn. Deze CER-richtlijn beoogt, ter ondersteuning van vitale maatschappelijke functies en de economische activiteiten in de Europese Unie, de continuïteit van de levering van essentiële diensten binnen de Europese Unie zoveel mogelijk te borgen. Op deze manier wordt de werking van de interne markt verbeterd. De richtlijn beoogt dit te bereiken door de verschillen weg te nemen die tussen lidstaten van de Europese Unie bestaan op het gebied van technische, beveiligings- en organisatorische eisen die worden gesteld aan entiteiten die vitale maatschappelijke functies en economisch belangrijke activiteiten verrichten of diensten verlenen.
Reactie Security Adviesgroep als onafhankelijk partner in beveiliging en veiligheid
Als veelzijdig en onafhankelijk partner adviseert en ondersteunt Security Adviesgroep uiteenlopende organisaties in de zorg- en meldplicht ten aanzien van beveiliging en veiligheid. Een multidisciplinair team van beveiligingsprofessionals en juristen hebben de uitnodiging aangenomen om inhoudelijk te reageren op het wetsvoorstel dat via benoemde internetconsultatie is voorgelegd. Vertegenwoordigers van Security Adviesgroep zijn ook aangesloten bij een initiatief van koepelorganisatie Stichting SERN – Stichting Security Expert Register Nederland. De stichting
SERN heeft het doel de kwaliteit van de beveiliging (security) in Nederland te bevorderen. De stichting SERN komt met een gezamenlijke reactie op de internetconsultatie, deze notitie valt onder verantwoordelijkheid van Security Adviesgroep.
Governance bepalingen verdienen aandacht
In de NIS2-richtlijn en (concept) Cyberbeveiligingswet (Cbw) zijn heldere bepalingen opgenomen over de governance binnen essentiële en belangrijke entiteiten. Dergelijke bepalingen ontbreken in de Wwke, zelfs als het gaat over weerbaarheid van kritieke entiteiten. Voor de effectieve werking van de Wwke en eenduidigheid in aanpalende wet- en regelgeving lijkt het logisch om governance bepalingen in de Wwke op te nemen. Bepalingen die eenzelfde mate van betrokkenheid van bestuur en werknemers waarborgen, zoals van toepassing in de Cbw.
Maatregelen ten aanzien van de zorgplicht
Artikel 16 lid 1 van het voorstel Wwke werkt de zorgplicht uit zoals bedoeld in artikel 13 van de CER-richtlijn. De uitwerking is in het wetsvoorstel beperkt tot de zorgplicht zelf, zonder een opsomming van mogelijke maatregelen zoals vermeld in artikel 13 lid 1van de CER-richtlijn. Hierdoor wordt onduidelijk wat de wetgever met de bepaling van artikel 16 beoogt. Het lijkt logisch om in ieder geval ook in de wet de opsomming van de mogelijke maatregelen vanuit de CER-richtlijn op te nemen. Dan is duidelijk dat de wetgever in ieder geval voortborduurt op de richtlijn. Een en ander geldt ook ten aanzien van de risicobeoordeling, met het voorstel om risico’s uit de categorie ‘fysieke beveiliging’ meer expliciette benoemen. Ten aanzien van de maatregelen is consistente definitie een belangrijk aandachtspunt, met voorstel om consistent te specificeren naar organisatorische, bouwkundige en elektronische (OBE) maatregelen’.
Weerbaarheidsplan of gelijkwaardig document
Artikel 16 lid 2 van het voorstel Wwke is een zeer korte bepaling waarin een kritieke entiteit de verplichting krijgt de maatregelen te beschrijven. In artikel 13 lid 2 wordt melding gemaakt van een weerbaarheidsplan of een gelijkwaardig document of gelijkwaardige documenten, waarin de maatregelen worden beschreven. De richtlijn bepaalt ook dat lidstaten zorgdragen dat een kritieke entiteit de maatregelen beschreven in voornoemde documenten daadwerkelijk toepast. Zowel het hebben van een weerbaarheidsplan of gelijkwaardige documenten als het zorgdragen voor de toepassen van de maatregelen komt in de huidige formulering niet helder naar voren. Wij denken dat het helder vastleggen dat een kritieke entiteit een weerbaarheidsplan (of gelijkwaardige documenten) opstelt met daarin de beschrijving van de maatregelen zorgt voor meer coherentie van de maatregelen binnen de kritieke entiteit zelf en dat dit bijdraagt aan de effectiviteit van de zorgplicht. En ook voor de effectiviteit van de maatregelen. Zeker als de Wwke ook governance binnen een kritieke entiteit waarborgt, zoals hiervoor beschreven.
Normenkader voor eenheid (en synergie) tussen sectoren
Artikel 16 lid 3 van het voorstel Wwke bepaalt dat er bij AMvB regels worden gesteld over de maatregelen, waarbij er onderscheid kan worden gemaakt tussen sectoren en subsectoren. Wij kunnen ons vinden in een sectorgewijze uitwerking, maar zien een risico dat grote verschillen gaan ontstaan tussen deze sectoren. Het opstellen van een normenkader (vergelijk de BIO voor de Cbw) kan dit voorkomen. Mogelijk kan in de Wwke een aanwijzingsbevoegdheid voor de Minister van Justitie en Veiligheid worden opgenomen waar sectorale bevoegde autoriteiten zich hebben te voegen.
Rubriceren van (niet digitale) informatie
Bij de opsomming van mogelijke maatregelen zoals vermeld in artikel 13 lid 1van de CER-richtlijn wordt melding gemaakt van de toegang tot gevoelige informatie. Dit in het kader van eigen personeel, maar ook het personeel van externen. In de praktijk blijkt veel onduidelijkheid te bestaan over wat gevoelige informatie is. Veel organisaties komen niet toe aan het rubriceren van hun (niet digitale) informatie. De rubricering van informatie verdient meer aandacht, zodat ook in het verwervingsproces in de toeleveringsketen beter rekening kan worden gehouden met veiligheidsaspecten. Door goede rubricering kunnen bepaalde opdrachten onder de
wetten.nl - Regeling - Aanbestedingswet op defensie- en veiligheidsgebied - BWBR0032898 (overheid.nl) worden aanbesteed. Hierdoor kunnen kritieke entiteiten ook in het verwervingsproces de veiligheid effectiever borgen. Wij stellen voor rubricering van informatie expliciet op te nemen als maatregel in het kader van de Wwke wat per sector uitgewerkt kan worden in een AMvB.
Audits en kwalificaties onafhankelijk advies en ondersteuning
Het spreekt voor zich dat onafhankelijke specialisten kritieke entiteiten en bevoegde autoriteiten graag faciliteren in hun zorgplicht. Ontwikkeling van normenkader en kwalificaties die gesteld worden aan deze specialisten zijn essentieel.
Stichting SERN – Stichting Security Expert Register Nederland komt met praktische aanbevelingen vanuit de DHM Security Management methodiek, waar wij graag op aansluiten.
Tot slot
In het belang van publieke en private opdrachtgevers, waarvan de meesten worden aangewezen als belangrijke, essentiële of kritieke entiteit, houdt Security Adviesgroep zich aanbevolen om ontwikkelingen rond de Wwke en aanpalende AMvB’s te (blijven) spiegelen. Beleidsmakers en eindgebruikers kunnen vrijblijvend
contact opnemen met Security Adviesgroep hierover.
Deze notitie is
hier ook beschikbaar op de website
www.internetconsultatie.nl/wetweerbaarheidkritiekeentiteiten