Uitzonderingen voor de overheid in de Cyberbeveiligingswet

Eind mei is het wetsvoorstel voor de Cyberbeveiligingswet (Cbw) in consultatie gegaan. Dit wetsvoorstel implementeert de nieuwe Netwerk- en informatiesystemen-richtlijn en is gericht op een hoog niveau van cyberweerbaarheid.[1] De Cbw gaat gelden voor een groot aantal organisaties in allerlei kritieke sectoren in de samenleving, waaronder ook overheidsorganisaties. Voor deze overheden zijn een paar bijzondere regels opgenomen.

Wat doet de Cbw?

De Cbw beoogt een hoog gemeenschappelijk niveau van cyberweerbaarheid en het beperken van de gevolgen van cyberincidenten in kritieke sectoren. Denk aan de energie-voorziening, drinkwater en IT-diensten. De Cbw bevat verplichtingen voor organisaties die onder deze wet gaan vallen.[2] Voor deze organisatie geldt een registratieplicht.[3] Het wetsvoorstel regelt bovendien dat deze organisaties hun risico’s in kaart brengen,[4] passende en evenredige maatregelen treffen voor het beheersen van de risico’s [5] en als toch een incident plaatsvindt, dit incident melden.[6]

Daarnaast legt de Cbw verplichtingen op aan het bestuur van een organisatie. De bestuursleden dragen de verantwoordelijkheid voor de implementatie van de maatregelen. De bestuursleden moeten daarvoor bepaalde deskundigheid bezitten. Deze verplichting houdt in dat bestuurders een opleiding moeten hebben gevolgd die hen in staat stelt de risico’s en consequenties van het al dan niet nemen van maatregelen in te schatten.[7]

Welke organisaties vallen onder de Cbw?

De Cbw geldt voor middelgrote en grote ondernemingen die een dienst aanbieden in een van de in de wet genoemde sectoren. De wet gaat ook gelden voor de overheid. Zo zal de wet van toepassing zijn op ministeries, provincies, waterschappen en gemeenten. Provincies en gemeenten zijn niet alleen een overheidsorganisatie, maar ook een publiekrechtelijke rechtspersoon. Zo zijn provincies verantwoordelijk voor het beheer van provinciale wegen [8] en gemeenten verantwoordelijk voor hun gemeentelijke wegen, het rioleringsstelsel en het verwerken van vast afval.[9] Sommige gemeenten zijn bijvoorbeeld ook eigenaar van een haven.

Daarnaast wordt deze wet van toepassing op zelfstandige bestuursorganen (als bedoeld in de Kaderwet zelfstandige bestuursorganen). De Cbw is echter niet van toepassing op publiekrechtelijk beroepsorganisaties[10], organisaties die activiteiten uitvoeren op het terrein van nationale veiligheid, openbare veiligheid of rechtshandhaving [11] en ook niet op een aantal expliciet uitgezonderde organisaties (zoals de rechterlijke macht, het parlement en de Nederlandsche Bank). Er bestaat overigens wel een mogelijkheid dat een organisatie (zoals een publiekrechtelijke beroepsorganisatie) nog wordt aangewezen onder deze wet, of onder de Wet weerbaarheid kritieke entiteiten [12], en daardoor alsnog onder deze wet komt te vallen.[13]

Uitzondering: Opleidingsverplichting voor ambtelijke leiding

Voor ministeries, provincies, waterschappen, gemeenten, en gemeenschappelijke regelingen rust de verplichting om over kennis en vaardigheden te beschikken niet op de bestuurders, maar op de ambtelijke leiding.[14] De politiek benoemde bestuurders zijn wel net als de bestuurders van privaatrechtelijke rechtspersonen verantwoordelijk voor het goedkeuren van de maatregelen die getroffen moeten worden.[15] De memorie van toelichting van de Cbw merkt op dat de opleidingsverplichting niet past bij politiek benoemde ambtsdragers en dat het bovendien niet bij de aard van de benoeming past om politieke ambtsdragers te sanctioneren voor het niet naleven van deze wet.[16] De ambtelijke leiding ondersteunt de politieke top bij diens taken. De politieke top hoeft in deze wet niet zelf deskundig te zijn. Dat brengt spanning met zich mee. Kan het politiek benoemde bestuur de benodigde goedkeuring geven of onthouden, als ze zelf niet deskundig hoeven te zijn? Laten we hopen dat de politieke laag van het overheidsbestuur digitaal vaardig is en zich uit eigen beweging op het terrein van cyber-weerbaarheid bekwaamt. Het wordt interessant om te zien hoe in de internetconsultatie op deze uitzonderingspositie gereageerd wordt.

Uitzondering: Geen potentiële schorsing van de politiek bestuurder

In de Cbw is de bevoegdheid voor de toezichthouder opgenomen om de burgerlijke rechter te verzoeken een bestuurder te schorsen.[14] Deze bevoegdheid wordt gezien als een ultimum remedium. Deze bevoegdheid kan overigens niet worden ingezet voor overheidsinstanties (in de zin van het wetsvoorstel).[15] De NIS2-richtlijn bevatte deze uitzondering al, die is overgenomen in het wetsvoorstel. Andere toezicht- en handhavingsbevoegdheden, waaronder het benoemen van een controlefunctionaris, audits, dwangsommen en boetes gelden wel gewoon voor overheden. De ambtelijke top is ook verantwoording verschuldigd aan de politieke bestuurders. De politiek benoemde bestuurders zijn en blijven politieke verantwoording verschuldigd aan de democratische vertegenwoordiging. Die vertegenwoordiging zal zijn controlerende taak op dit punt moeten waarmaken.

Conclusie

De beide excepties voor overheidsorganisaties maken dat overheidsbestuurders iets minder persoonlijk geraakt kunnen worden door het wetsvoorstel in vergelijking met de bestuurders van ondernemingen. Het verschil zal vooral bij het opleidingsvereiste voelbaar zijn. Ondanks de in dit blog beschreven verschillen, zullen de overheidsorganisaties (hun besturen incluis) aan de slag moeten met de Cyberbeveiligingswet. Een goed beginpunt daarvoor is de site van de Cyberbeveiligingswet van het NCSC.

Meer weten, neem contact op met Beerend van Dijk.

[1] Richtlijn 2022/2555/EU (NIS 2-richtlijn)

[2] Dit is handig hulpmiddel om te bepalen of de Cbw op jouw organisatie van toepassing is: NIS2 Zelfevaluatie NL (regelhulpenvoorbedrijven.nl).

[3] Artikel 45 van het concept-wetsvoorstel.

[4] Artikel 23, eerste lid, van het concept-wetsvoorstel.

[5] Artikel 23 van het concept-wetsvoorstel.

[6] Artikelen 27 en verder van het concept-wetsvoorstel.

[7] Artikel 26 van het concept-wetsvoorstel.

[8] Dit is een dienst die is opgenomen in bijlage 1 bij het wetsvoorstel.

[9] Wegbeheer en afvalwaterverwerking zijn essentiële diensten opgenomen in bijlage 1 bij het wetsvoorstel en verwerking van vast afval is opgenomen in bijlage 2.

[10] Zoals de Nederlandse orde van advocaten of de Koninklijke beroepsorganisatie voor gerechtsdeurwaarders.

[11] Zoals het ministerie van Defensie, of de nationale politie.

[12] Dit wetsvoorstel is gelijktijdig in consultatie gegaan, zie: Overheid.nl | Consultatie Wet weerbaarheid kritieke entiteiten (internetconsultatie.nl)

[13] De Cbw is ook van toepassing op kritieke entiteiten, die aangewezen zijn op grond van de Wet weerbaarheid kritieke entiteiten. Die wet ziet beoogt de fysieke weerbaarheid te verbeteren, in aanvulling op de cyberweerbaarheid.

[14] Uit het wetsvoorstel wordt niet volstrekt duidelijk wie daar wel of niet toe behoort, maar in ieder geval is dat de secretaris-generaal, de gemeentesecretaris, de provinciesecretaris. Wellicht zijn andere personen ook onderdeel van de ambtelijke leiding.

[15] Anders zouden het college van burgemeester en wethouders of gedeputeerde staten een deel van de bij wet aan hen toegekende verantwoordelijkheden niet meer zonder meer kunnen uitoefenen.(vgl. de artikelen 160 van de Gemeentewet, respectievelijk 158 van de Provinciewet)

[16] Par 5.4, pagina 24 van de concept-memorie van toelichting.

[17] In de artikelen 74 tot en met 76 van het wetsvoorstel.

[18] Artikel 76a van het wetsvoorstel. Op pagina 69 van de memorie van toelichting staan de criteria genoemd voor overheidsinstantie.