Cyberbeveiligingswet: onnodige regeldruk en rechtsonzekerheid

Digitale veiligheid is geen luxe meer, het is pure noodzaak. Cyberaanvallen zijn aan de orde van de dag en richten zich steeds vaker op het mkb. De Europese NIS2-richtlijn is dan ook een logische en noodzakelijke stap vooruit. Zo’n tienduizend bedrijven in Nederland – van chemie tot levensmiddelen – krijgen een zorgplicht voor hun digitale veiligheid, moeten incidenten melden en hun bestuurders opleiden. Prima. Maar bij de Nederlandse uitwerking in de Cyberbeveiligingswet en het bijbehorende besluit gaat het op drie punten toch mis.

Onnodige regeldruk

Ten eerste nemen onnodige regeldruk en administratieve lasten voor deze ondernemers toe. Het Adviescollege Toetsing Regeldruk waarschuwt daar ook al voor. Er wordt gefocust op papierwerk – plannen indienen, procedures ontwerpen, beleid maken – in plaats van op de praktische resultaten die bedrijven moeten bereiken. Dat is zonde, want het gaat erom dat de digitale weerbaarheid verbetert, niet dat bedrijven bewijzen stukken in drievoud te kunnen indienen.

Twee toezichthouders

Ten tweede krijgt een groep bedrijven straks met twee toezichthouders te maken, die beide toezicht houden op naleving van de Cyberbeveiligingswet. Dat kost meer tijd, geld en energie en leidt met een beetje pech tot verwarring. Laat daarom één toezichthouder de regie nemen. En richt één centraal meldpunt in en één meldformulier, in plaats van een wirwar aan loketten en formulieren.

Bevoegdheid zonder overleg

Ten derde mogen ministers bedrijven straks verplichten om leveranciers uit risicolanden te weren en/of producten van hen te verwijderen uit hun systemen. Veiligheid staat uiteraard voorop, maar deze bevoegdheid is zonder overleg toegevoegd, zonder duidelijke criteria of wettelijke waarborgen, en grenzen. Hoe worden de risico’s beoordeeld? Hoe voorkomen we dat de continuïteit van essentiële diensten in gevaar komt? Ook wordt voorbijgegaan aan de vraag hoe inzet van de bevoegdheid kan worden voorkomen. Dat begint bij informatievoorziening van de overheid aan bedrijven over leveranciers uit risicolanden. Daarnaast is het een nationale kop op Europese regels die het investeringsklimaat en gelijke speelveld schaadt. Lees in dat kader ook de brief die wij schreven aan minister Van Weel van J&V.

Overbelasting

Zonder heldere spelregels dreigt rechtsonzekerheid. En dat schaadt niet alleen bedrijven, maar ook onze economie en maatschappij. Kortom: het doel van de NIS2-richtlijn steunen ondernemers zeker. Maar als we willen dat bedrijven effectief investeren in cybersecurity, dan moet de uitvoering praktischer, onnodige regeldruk voorkomen worden en het bedrijfsleven beter betrokken worden. Veiligheid vraagt om samenwerking. Niet om extra papierwerk.

Sabine Gielens
Beleidsadviseur veiligheid en weerbaarheid