Inbreng CVNL op internetconsultatie Cyberbeveiligingswet (Cbw)

De Cyberbeveiligingswet (verder ‘Cbw’) implementeert de Europese NIS2-richtlijn. De NIS2 beoogt de cyberveiligheid in de Europese Unie naar een hoger gemeenschappelijk niveau te brengen door de digitale weerbaarheid van essentiële en belangrijke entiteiten in de lidstaten te versterken.

Cyberveilig Nederland is positief over het wetsvoorstel dat voortvloeit uit de richtlijn. Het doel van de richtlijn “om een hoog gemeenschappelijk niveau van cyberbeveiliging in de Europese Unie te bereiken, teneinde de werking van de interne markt te verbeteren” zien we terug in het wetsvoorstel en de Memorie van Toelichting (verder MvT). Wij zien echter enkele aandachtspunten, of punten die verduidelijking behoeven, bijvoorbeeld in de vorm van een uitwerking in een algemene maatregel van bestuur (AMvB). Deze verduidelijking vragen wij omdat wanneer de Cbw verschillend wordt geïnterpreteerd, er jurisprudentie nodig zal zijn om bepaalde onduidelijkheden in de Cbw uitgekristalliseerd te krijgen in de praktijk. Dat soort processen zorgen voor jarenlange onduidelijkheid en ongewenste vertraging.

CVNL vraagt in het bijzonder aandacht voor:

1. Het belang van het over en weer uitwisselen met de verschillende CSIRT’s van informatie over dreigingen en kwetsbaarheden met organisaties in het veiligheids- en inlichtingendomein die niet onder de Cbw vallen.
2. Een verdere uitwerking van de taken van de CSIRT’s, met name rondom incidenten(afhandeling).
3. Het belang van het waarborgen van de vertrouwensrelatie die een cybersecuritydienstverlener heeft met haar klant/entiteit vallende onder de Cbw.
4. Het verder uitwerken van ketenafhankelijkheid.
5. Het verder uitwerken van de zorgplicht en dan met name rondom de te nemen maatregelen en de waarde van het gebruik van normen/standaarden.
6. Het onzes inziens onterecht ontbreken van detectie/monitoring-maatregelen vanuit entiteiten teneinde de meldplicht in de Cbw op een effectieve manier in te vullen.