Uitbreiding bescherming fysieke en digitale infra onvoldoende onderbouwd
De voorstellen waarmee verschillende Europese richtlijnen ter bescherming van fysieke en digitale infrastructuur worden geïmplementeerd, zijn nog onvoldoende onderbouwd. Zo wordt niet goed duidelijk gemaakt waarom het nodig is eisen aan te scherpen en voor meer ondernemingen van kracht te laten worden. Ook is niet toegelicht waarom de Nederlandse voorstellen op punten strenger worden dan de Europese richtlijn. De regeldrukgevolgen zijn nog niet volledig ingeschat. Ook dat vraagt om nadere uitwerking. Dat schrijft het ATR in een advies aan de minister van Justitie en Veiligheid (JenV).
Inhoud voorstel
Doel van de voorstellen is het versterken van de weerbaarheid van organisaties tegen fysieke dreigingen. Denk daarbij aan (terroristische) misdrijven, sabotage en natuurrampen. Daarnaast wil de wetgever de digitale infrastructuur – zoals internet en het betalingsverkeer – beter beschermen tegen dreigingen.
Noodzaak onvoldoende onderbouwd
Deze maatregelen worden genomen in de context van toegenomen dreigingen voor de vitale infrastructuur respectievelijk de digitaal veilige samenleving. De toelichting maakt echter niet duidelijk in welke zin en in welke mate de bestaande wetgeving daarvoor tekortschiet. Het voorstel zou beter toe moeten lichten waarom de doelgroepen worden uitgebreid en de eisen worden aangescherpt.
Mogelijk strenger dan nodig
Bepaalde zogeheten ‘kritieke’ organisaties moeten straks aan strengere minimumeisen voldoen. Lidstaten kunnen zelf hogere eisen opleggen als zij dat noodzakelijk vinden. Het kabinet schrijft in de Nederlandse voorstellen daar naar verwachting gebruik van te gaan maken om een hoger cyberbeveiligingsniveau te waarborgen. Hierbij moet dan wel beter worden toegelicht waarom Nederland zwaarder minimumeisen zou moeten overwegen.
Werkbaarheid
Uit de toelichting van de voorstellen blijkt niet of het voor ondernemingen voldoende duidelijk is wat er van hen verwacht wordt. De regelgeving kan voor ondernemingen dusdanig ingewikkeld zijn, dat ze externe expertise moeten inschakelen om aan de eisen te kunnen voldoen. Het zou goed zijn een MKB-toets uit te voeren waarmee bepaalde subjectieve begrippen in de voorstellen beter kunnen worden uitgewerkt. Ook zou het goed zijn een jaar na inwerkingtreding van de wetten en invoeringstoets uit te voeren.
Regeldruk
De regeldrukgevolgen zijn in het voorstel onvoldoende uitgewerkt. Zo is het aannemelijk dat de regeldrukkosten voor bedrijven groter zijn dan nu ingeschat. Het is daarom belangrijk die kosten alsnog volledig in beeld te krijgen en die analyse goed te onderbouwen in de wetsvoorstellen.
De formele titels van de voorstellen luiden wetsvoorstel Cyberbeveiligingswet (Cbw) en het wetsvoorstel Weerbaarheid kritieke organisaties (Wwke).