Vitale sectoren moeten extra veiligheidsmaatregelen treffen om de risico’s van cyberdreigingen te beperken. Het doel is ontwrichtende verstoringen van bijvoorbeeld de levensmiddelensector te voorkomen en snel te kunnen handelen als zich incidenten voordoen. De regeling bevat de detailvoorschriften over de zorgplicht en meldplicht voor partijen. Onduidelijk is of deze regels werkbaar zijn voor bedrijven en wat de regeldrukeffecten zijn. Ook is onduidelijk of minder belastende alternatieven zijn overwogen. Dat schrijft ATR in een advies aan de minister voor Landbouw, Visserij, Voedselzekerheid en Natuur (LVVN).
Context
De regeling van het ministerie van LVVN zorgt voor de implementatie van de Europese CER-richtlijn (Critical Entities Resilience Directive) en de Europese NIS2-richtlijn (Network and Information Security Directive). Deze richtlijnen introduceren maatregelen om de digitale veiligheid van belangrijke systemen te vergroten. Belangrijke organisaties (zoals bedrijven in de levensmiddelensector) dienen maatregelen te nemen om de risico’s voor hun netwerk- en informatiesystemen te beheersen. Verplichtingen omvatten onder meer een zorgplicht en een meldplicht.
Alternatieven onduidelijk
Zowel bij de uitwerking van de zorgplicht als de meldplicht vraagt het college aandacht voor een transparante afweging van alternatieven. Zo regelen de voorstellen de drempelwaarden voor incidenten die verplicht moeten gemeld. Een hogere drempel zorgt voor minder meldingen en regeldruk, een lagere drempel voor meer meldingen en regeldruk. Onduidelijk is hoe de voorgestelde drempelwaarden tot stand zijn gekomen en welke alternatieven daarbij zijn overwogen. Dit geldt ook voor de specifieke voorschriften voor partijen om aan de zorgplicht te voldoen. Het advies van ATR is om de voorstellen op dit punt aan te verduidelijken.
Werkbaarheid en regeldruk onvoldoende in beeld
De voorstellen bevatten een beschrijving van de maatregelen die partijen moeten treffen. Onduidelijk is of deze maatregelen werkbaar zijn voor de praktijk. De toelichting besteedt ook geen aandacht aan de betrokkenheid van belanghebbende partijen in de voorbereiding. ATR adviseert het voorstel op dit punt te verbeteren.
Ook de regeldrukgevolgen van de maatregelen zijn niet in beeld gebracht. De voorstellen verwijzen voor de regeldrukanalyse naar de wetten en besluiten. Dat is volgens het college onvolledig en onterecht. Voor onderbouwde besluitvorming over de regelingen is noodzakelijk dat de toelichting een kwalitatieve en kwantitatieve beschrijving van de regeldrukgevolgen bevat.
De formele titel van het voorstel luidt Regeling cyberbeveiliging levensmiddelensector.