Het kabinet gaat bedrijven verplichten om maatregelen te nemen ter bescherming van belangrijke fysieke en digitale infrastructuur. Uit de Nederlandse uitwerking van deze zorgplicht blijkt dat de lagere regelgeving op punten strenger is dan de Europese wetgeving. Uit de toelichting bij het voorstel blijkt onvoldoende of de lagere regelgeving werkbaar is en waarom de nationale koppen nodig zouden zijn. Ook is de regeldruk nog niet volledig in beeld gebracht. Dat schrijft ATR in een advies aan de minister van Justitie en Veiligheid (J&V).
Context
Het doel van de Europese richtlijnen is om kritieke fysieke en digitale infrastructuur te beschermen. En de gevolgen van eventuele incidenten te beperken. In de lagere Nederlandse wetgeving legt het kabinet nu bijvoorbeeld vast dat bedrijven beleid moeten hebben over de beveiliging van netwerk- en informatiesystemen en dat beleid ook daadwerkelijk uitvoeren. Een ander voorbeeld is het verplichte bedrijfscontinuïteit- en noodvoorzieningenplan.
Werkbaarheid en regeldruk
Het blijft onduidelijk waarom de bestaande wetgeving tekortschiet in de doelstellingen van de Europese richtlijnen. Dat vraagt om een nadere toelichting. Uit de toelichtingen op de besluiten blijkt wel dat mkb’ers zorgen hebben geuit over de werkbaarheid. Ook de eerste reacties op de internetconsultatie wijzen erop dat Nederland zonder goede motivering soms hogere eisen oplegt dan dat Europa doet. Uit de toelichtingen blijkt niet waarom is gekozen voor de nationale koppen. En hoe met de zorgen van de mkb’ers is omgegaan, en of de kritiek in de internetconsultatie terecht is, blijkt niet uit de toelichtingen. Het is dus de vraag of mkb’ers, en andere bedrijven, uit de voeten kunnen met de zorgplicht zoals die nu is vormgegeven. Verder zijn de gevolgen voor de regeldruk niet volledig in beeld gebracht.
De formele titels van de besluiten zijn het Cyberbeveiligingsbesluit en het Besluit weerbaarheid kritieke entiteiten.