De uitwerking van Europese regels voor cyberbeveiliging in de publieke sector hebben indirecte gevolgen voor bijvoorbeeld leveranciers aan de overheid. Zij zullen duidelijk moeten maken of ze hun cyberbeveiliging op orde hebben. Inzicht ontbreekt in de gevolgen hiervan voor ketenleveranciers en of die gevolgen voor hen wel werkbaar zijn. Dat schrijft ATR in een advies aan de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK).
Context
De regeling werkt onder meer de Europese NIS2-richtlijn en het nationale cybersecuritystelsel uit voor overheidsorganisaties. Overheden moeten passende beveiligingsmaatregelen treffen, risico’s in hun keten identificeren en significante cyberincidenten melden. Hoewel de regeling zich richt op overheden, zullen de gekozen verplichtingen en procedures indirect gevolgen hebben voor ICT-leveranciers van de overheid, bijvoorbeeld doordat aanvullende informatie of ondersteuning moet worden geleverd.
Nationale koppen niet uitgesloten
De toelichting maakt niet inzichtelijk welke onderdelen verplicht uit Europese regelgeving voortkomen en welke nationaal zijn toegevoegd. Daardoor is niet te beoordelen of bepaalde rapportage- of procesverplichtingen verder gaan dan het Europese minimum. ATR adviseert dit onderscheid helder te maken en te motiveren waarom eventuele nationale aanvullingen noodzakelijk zijn.
Risico op stapeling van meldingen
Zowel bij de zorgplicht als de meldplicht bestaat het risico dat organisaties incidenten bij meerdere loketten moeten melden. Dit geldt ook voor ketenpartners die door overheden worden benaderd voor aanvullende informatie. ATR adviseert te onderbouwen hoe stapeling wordt voorkomen en één centraal meldpunt te faciliteren, waar nodig aansluitend op Europese structuren.
Werkbaarheid en regeldruk onvoldoende inzichtelijk
Overheidsorganisaties maken gebruik van bijvoorbeeld externe ICT-dienstverleners voor de uitvoering van hun taken. De huidige toelichting gaat niet in op de extra lasten die voor deze leveranciers kunnen ontstaan, bijvoorbeeld door informatieverzoeken, aanvullende beveiligingsverplichtingen of betrokkenheid bij incidentafhandeling. Deze gevolgen zijn relevant om de proportionaliteit van de regeling te kunnen beoordelen. Evenmin is uitgewerkt welke administratieve lasten ontstaan voor deze ketenpartners. ATR adviseert deze effecten inzichtelijk te maken en waar nodig te onderbouwen hoe de regeling zo lastenluw mogelijk kan worden ingericht.
De formele titel van het voorstel luidt: Cyberbeveiligingsregeling Overheid