Ministerie van Justitie en Veiligheid
Publicatie - 27 juni 2024
Vewin heeft namens de drinkwatersector in de consultatieronde gereageerd op twee wetsvoorstellen rondom weerbaarheid van kritieke entiteiten en cybersecurity. Het gaat hierbij om de implementatie van de Critical Entities Resilience directive (CER-richtlijn) in de Wet weerbare kritieke entiteiten (Wwke) en de implementatie van de Network and Information Security Directive (NIS2-richtlijn) in de Cyberbeveiligingswet (Cbw). Beide richtlijnen zijn eind 2022 vastgesteld door de Europese Unie. De drinkwatersector is in het algemeen positief over beide wetsvoorstellen. De sector vindt het van belang dat beide wetsvoorstellen in onderlinge samenhang worden bezien en de uitwerking aansluit op de bestaande systematiek, planvorming en normenkaders zodat één integraal kader blijft bestaan voor de Drinkwaterbedrijven zodat extra lastendruk voor drinkwaterbedrijven wordt tegengegaan.
Tegengaan lastendruk
Vewin vindt het van belang beide wetsvoorstellen in samenhang te bezien omdat zij overlappen. De Wwke en Cbw hebben als doel om de fysieke, digitale en economische weerbaarheid tegen toenemende dreigingen te versterken. Beide wetten kennen verplichtingen, waaronder zorgplicht, meldplicht en toezichtregime. De sector pleit ervoor bij de uitwerking van de zorg- en meldplicht in lagere wetgeving aan te sluiten bij en voort te borduren op bestaande systematiek, planvorming en normenkaders. Zo kan één integraal kader blijven bestaan en onnodige extra regeldruk voor drinkwaterbedrijven voorkomen worden. Ook pleit de sector voor een risico-gebaseerde aanpak als uitgangspunt voor toezicht en bij het uitwerken van de zorg- en meldplicht.
Zorg- en meldplicht
Rondom de zorgplicht wil de sector zelf op basis van eigen risicobeoordeling kunnen vaststellen welke maatregelen passend en evenredig zijn om te voldoen aan de voorschriften. De drinkwaterbedrijven willen graag betrokken worden bij het vaststellen van een proportionele en risciogebaseerde drempelwaarde voor de meldplicht van significante incidenten. Het is belangrijk dat de focus hierbij ligt op de continuïteit van de essentiële dienstverlening. De bewijslast voor het aantonen van de zorg- en meldplicht moet volgens de sector bij de drinkwaterbedrijven blijven. Tot slot pleit de sector voor één centraal meldloket om lastendruk tegen te gaan.
Beveiliging toeleveringsketen en vertrouwelijkheid informatie
Daarnaast heeft Vewin behoefte aan meer duiding van de zorgplicht ten aanzien van de beveiliging van de toeleveringsketen. Beperkt de zorgplicht van de zogenoemde entiteit zich alleen tot de partij waarmee zij zelf een overeenkomst aangaat, of gaat deze verantwoordelijkheid verder? Hier kan mogelijk invulling aan worden gegeven in een leidraad van de toezichthouders.
Een ander zorgpunt is of de vertrouwelijkheid van informatie bij rapportageverplichtingen vanuit de lidstaten aan de Europese Commissie voldoende kan worden gewaarborgd. Vewin verzoekt de wetgever om in het wetsvoorstel en/of de Memorie van Toelichting nader in te gaan op hoe de vertrouwelijkheid van informatie van essentiële entiteiten zoals drinkwaterbedrijven zal worden gewaarborgd.
Lees de reactie van Vewin aan het ministerie van JenV over de CER/Wwke
Lees de reactie van Vewin aan het ministerie van JenE over de NIS2/Cbw