NLdigital uit kritiek op toegevoegd artikel in Cyberbeveiligingsbesluit
Belangenorganisatie NLdigital luidt de noodklok over een onverwacht en vergaand nieuw artikel in het concept Cyberbeveiligingsbesluit. In een kritische brief aan minister Van Weel van Justitie en Veiligheid waarschuwt de organisatie voor ernstige juridische gebreken. Het gewraakte artikel 18 geeft ministers de bevoegdheid om het gebruik van specifieke IT-leveranciers te verbieden, een bepaling die niet in eerdere consultatierondes was opgenomen.
Consultatieproces genegeerd
De plotselinge toevoeging van artikel 18 komt als een totale verrassing voor de digitale sector. Volgens NLdigital wordt hiermee het zorgvuldige en doorlopen consultatieproces, dat bedoeld is om alle belanghebbenden te betrekken, effectief genegeerd. Bovendien wordt de Raad van State gepasseerd door een verregaande interpretatie van het begrip 'zorgplicht', die enkel in de Memorie van Toelichting is opgenomen en niet in de wet zelf.
NLdigital stelt dat deze actie in strijd is met eerdere beloftes van het ministerie om de Europese NIS2-richtlijn direct te implementeren zonder extra Nederlandse toevoegingen. De organisatie waarschuwt dat dergelijke maatregelen het Nederlandse ondernemersklimaat verder aantasten en minder aantrekkelijk maken voor bedrijven.
Fundamentele juridische gebreken
Het nieuwe artikel doorkruist de systematiek van de NIS2-richtlijn, die is gebaseerd op een risicogebaseerde aanpak waarbij organisaties zelf verantwoordelijk zijn voor hun cyberbeveiliging. Artikel 18 doorbreekt dit principe door ministers de mogelijkheid te geven om zeer specifieke maatregelen op te leggen, wat volgens NLdigital fundamentele juridische tekortkomingen kent:
- Onvoldoende wettelijke grondslag: De bevoegdheid is niet verankerd in de wet.
- Te vage criteria: Ministers krijgen een onbegrensd mandaat zonder objectieve kaders voor de beoordeling.
- Ontbrekende rechtswaarborgen: Er is geen voorziening voor hoor en wederhoor en de beroepsmogelijkheden en compensatieprocedures zijn onduidelijk.
- Aantasting rechtszekerheid: Het artikel is inconsistent met bestaande wetgeving en kan in strijd zijn met Europees recht.
Duits model als alternatief
NLdigital dringt er bij de minister op aan om artikel 18 te schrappen en, indien noodzakelijk, een nieuw, juridisch solide voorstel te ontwikkelen. Als alternatief wijst de organisatie naar de Duitse implementatiewet van NIS2, die wel een duidelijke, in de wet geborgde aanpak biedt. Dit Duitse model bevat onder andere een afgebakende scope, de mogelijkheid voor leveranciers om hun veiligheid aan te tonen via betrouwbaarheidsverklaringen en duidelijke preventieve meldingsplichten.
De organisatie benadrukt dat zij het belang van nationale veiligheid erkent, maar pleit voor een technisch verantwoorde en proportionele aanpak. De brief is verstuurd naar minister Van Weel en met kopieën naar de minister van Economische Zaken en de vaste commissie voor Justitie en Veiligheid van de Tweede Kamer.
Meer over cybersecurity
Over Witold Kepinski
