Vitale sectoren moeten extra veiligheidsmaatregelen treffen om risico’s van (cyber)dreigingen te beperken. Het doel is ontwrichtende verstoringen van bijvoorbeeld wegen en watervoorzieningen te voorkomen of snel te kunnen handelen als incidenten plaatsvinden. Twee regelingen bevatten de voorschriften hierbij over de zorgplicht en meldplicht voor partijen. Onduidelijk is of deze regels werkbaar zijn voor bedrijven en wat de regeldrukeffecten zijn. Ook is onduidelijk of minder belastende alternatieven zijn overwogen. Dat schrijft ATR in een advies aan de minister voor Infrastructuur en Waterstaat (IenW).
Context
De twee regelingen van het ministerie van IenW zorgen voor de implementatie van de Europese CER-richtlijn (Critical Entities Resilience Directive) en de Europese NIS2-richtlijn (Network and Information Security Directive). Deze richtlijnen introduceren maatregelen om de digitale veiligheid van belangrijke systemen te vergroten. Belangrijke organisaties (zoals drinkwaterbedrijven en waterschappen) dienen maatregelen te nemen om de risico’s voor hun netwerk- en informatiesystemen te beheersen. Verplichtingen omvatten onder meer een zorgplicht en een meldplicht.
Afweging alternatieven onduidelijk
Zowel bij de uitwerking van de zorgplicht als de meldplicht vraagt het college aandacht voor een transparante afweging van alternatieven. Zo regelen de voorstellen de drempelwaarden voor incidenten die verplicht moeten gemeld. Een hogere drempel zorgt voor minder meldingen en regeldruk, een lagere drempel voor meer meldingen en regeldruk. Onduidelijk is hoe de voorgestelde drempelwaarden tot stand zijn gekomen en welke alternatieven daarbij zijn overwogen. Dit geldt ook voor de specifieke voorschriften voor partijen om aan de zorgplicht te voldoen. Het advies van ATR is om de voorstellen op dit punt aan te verduidelijken.
Werkbaarheid en regeldruk onvoldoende in beeld
De voorstellen bevatten een beschrijving van de maatregelen die partijen moeten treffen. Onduidelijk is of deze maatregelen werkbaar zijn voor de praktijk. De toelichting besteedt ook geen aandacht aan de betrokkenheid van belanghebbende partijen in de voorbereiding. ATR adviseert het voorstel op dit punt te verbeteren.
Ook de regeldrukgevolgen van de maatregelen zijn niet bij de regelingen in beeld gebracht. De voorstellen verwijzen voor de regeldrukanalyse naar de wetten en besluiten. Dat is volgens het college onvolledig en onterecht. Voor onderbouwde besluitvorming over de regelingen is noodzakelijk dat de toelichtingen een kwalitatieve en kwantitatieve beschrijving van de regeldrukgevolgen bevatten.
De formele titel van de voorstellen luidt Cyberbeveiligingsregeling IenW en Regeling weerbaarheid kritieke entiteiten IenW.