Wijziging Besluit beveiliging netwerk- en informatiesystemen
Op 12 februari 2020 ontving ATR voor advies het voorstel tot wijziging van het Besluit beveiliging netwerk- en informatiesystemen (Bbni). Op grond van de Wet en het Besluit zijn aanbieders van essentiële diensten (AED’s) verplicht om ernstige ICT-incidenten te melden bij het Nationaal Cyber Security Centrum (NCSC) en bij de sectorale toezichthouder. Ook moeten zij zich houden aan de beveiligingseisen uit de wet. Het wijzigingsvoorstel voegt enkele AED’s toe waarop het Bbni van toepassing is. Verder worden met dit voorstel voorzieningen die behoren tot de digitale overheidsvoorzieningen aangewezen als een vitale aanbieder. Dat betekent concreet dat deze aanbieder ernstige ICT-incidenten moet melden bij het NCSC. Het wijzigingsvoorstel geeft ook nadere regels over de door AED’s te nemen beveiligingsmaatregelen. Deze maatregelen betreffen de beheersing van de risico’s voor de beveiliging van hun netwerk- en informatiesystemen en om ernstige ICT-incidenten te voorkomen en de gevolgen van dergelijke incidenten zo veel mogelijk te beperken.
Het doel van de toevoeging van enkele AED’s, die vooral betrekking heeft op de sectoren elektriciteit en gas, is om de risico’s van de onderlinge afhankelijkheid in de keten te verkleinen. De toevoeging van de genoemde digitale overheidsvoorzieningen is nodig omdat, als deze zouden uitvallen, dit kan leiden tot maatschappelijk ongewenste verstoringen. ATR vindt nut en noodzaak van de wijziging voldoende onderbouwd. In het verlengde hiervan constateert ATR dat de wijzigingen uit dit besluit weliswaar regeldruk veroorzaken, maar er zijn geen minder belastende alternatieven. Hierbij zijn de regeldrukgevolgen goed en volledig in beeld gebracht. Omdat de beveiligingseisen uit dit besluit voldoende ruimte laten voor een eigen sectorale invulling en het tijdstip van inwerkingtreding van de wijzigingen kan variëren, is ATR van mening dat het voorstel werkbaar en uitvoerbaar is. ATR adviseert dan ook om het voorstel in te dienen.