Bij de uitwerking van Europese cyberbeveiligingregels moet het kabinet meer aandacht hebben voor de effecten in de praktijk en het voorkomen van dubbele toezicht. Uit de toelichting blijkt niet waarom het kabinet kiest voor strengere eisen dan de richtlijn voorschrijft. Dat vraagt om betere onderbouwing, inclusief uitleg hoe eventuele (onvoorziene) knelpunten tijdig kunnen worden opgelost. Dat schrijft ATR in een advies aan de minister voor Volksgezondheid, Welzijn en Sport (VWS).
Context
Nederland implementeert de Europese richtlijn Network and Information Security Directive (NIS2-richtlijn). Deze richtlijn bevat maatregelen om de digitale veiligheid van belangrijke systemen te vergroten. Essentiële en belangrijke entiteiten dienen maatregelen te nemen om de risico’s voor hun netwerk- en informatiesystemen te beheersen. Verplichtingen omvatten onder meer een zorgplicht en een meldplicht.
Risico op stapeling toezicht en meldingen
Zowel bij de zorgplicht als de meldplicht vraagt het college aandacht voor mogelijke stapeling van toezicht en het risico op dubbele meldingen. Dit geldt onder meer voor entiteiten die onder meerdere sectorale regelingen vallen alsook in diverse landen werkzaam zijn. Het college adviseert te onderbouwen hoe onnodige stapeling van meldingen worden voorkomen en ten behoeve hiervan één centraal (waar nodig ook binnen Europees verband) meldpunt te faciliteren.
Nationale kop bij rapportageverplichtingen
Het college constateert dat de regeling nadere eisen bevat over gegevens die aangeleverd moeten worden bij de vroegtijdige waarschuwing, de melding en het voortgangs- en eindverslag. Het college constateert dat hiermee sprake is van extra eisen ten opzichte van de richtlijn en hetgeen bij wet en besluit is bepaald. Onduidelijk is waarom deze extra eisen noodzakelijk zijn. Hiermee is er sprake van een nationale kop..
Werkbaarheid en regeldruk
Het college adviseert toe te lichten of aan de noodzakelijke randvoorwaarde van voldoende gekwalificeerd personeel in de zorg is voldaan. Ook gaat de toelichting bij de regeling niet in op hoe zorgorganisaties bij de uitwerking van deze verplichting praktisch worden ondersteund. ATR adviseert na een jaar een invoeringstoets te doen zodat tijdig kan worden bepaald of de invulling van de zorgplicht en criteria voor significante incidenten en de meldplicht passend en werkbaar zijn voor de zorgsector of bijsturing behoeft. Tot slot behoeft de regeldrukanalyse aanvulling: onduidelijk is wat zogenaamde trickle down effecten zullen zijn.
De formele titel van het voorstel luidt Cyberbeveiligingsregeling Zorg