Risicobeoordeling digitale infrastructuur

De regering moet een risicobeoordeling voor de digitale infrastructuur maken en deze vertrouwelijk delen met de Kamer. Dit moet gebeuren voor de volgende begrotingsbehandeling van Economische Zaken. De Nederlandse economie is afhankelijk van deze infrastructuur. De Wet weerbaarheid kritieke entiteiten verplicht dit om alle digitale dreigingen in kaart te brengen.

Motie van het lid Verkuijlen c.s. over een risicobeoordeling voor de digitale infrastructuur opmaken en vertrouwelijk delen

De kamer, constaterende dat de Nederlandse economie afhankelijk is van digitale infrastructuur; constaterende dat om die reden de digitale infrastructuur is opgenomen in de Wet weerbaarheid kritieke entiteiten; constaterende dat deze wet verplicht om door middel van een risicobeoordeling alle relevante risico’s en dreigingen voor de digitale infrastructuur in kaart te brengen; verzoekt de regering om uiterlijk vóór de komende begrotingsbehandeling van Economische Zaken voor de digitale infrastructuur deze risicobeoordeling op te maken en vertrouwelijk met de Kamer te delen.
17 juni | VVD, D66, JA21 | Aangenomen: 146–3 |

Stemuitslag

Verkiezingsprogramma Volt

Stemverwachting: voor (erg zeker, 90%)

Argumenten voor: De partij streeft naar een hogere cyberweerbaarheid en digitale veiligheid [2]. Zij vindt dat Nederland zelfstandig in staat moet zijn om de impact van afhankelijkheden in de IT-levenssfeer in te schatten en te begrijpen [1]. Daarnaast wil de partij dat toezichthouders de concentratie van risico's van ICT-dienstverleners bij organisaties die de vitale infrastructuur ondersteunen in beeld brengen [3], zodat concentratierisico's beheerst kunnen worden [4].

Argumenten tegen: Het verkiezingsprogramma bevat geen argumenten tegen het uitvoeren van een risicobeoordeling voor de digitale infrastructuur.

Bronnen:

  1. "Nederland moet net als alle EU-lidstaten zelfstandig in staat zijn de impact van afhankelijkheden in de IT-levenssfeer op waarde in te schatten en te begrijpen. Daarvoor moeten we het beoogde kennisniveau op het gebied van digitale autonomie verhogen binnen de overheid en de private sector."
  2. "Volt pleit voor solide cyberweerbaarheid en digitale veiligheid. Dat is immers essentieel voor een innovatieve, digitale en rechtvaardige samenleving. Nederland digitaliseert razendsnel, maar onze cyberweerbaarheid blijft achter. Cyberdreigingen nemen toe en AI versnelt de verspreiding van desinformatie. Ondertussen ontbreekt in Nederland belangrijke wetgeving. De Network and Information Security Directive 2 (NIS2) is sinds 16 januari 2023 van kracht en had vóór 17 oktober 2024 vertaald moeten zijn naar Nederlandse wetgeving. Dit is niet gebeurd. Volt wil innovatie stimuleren zonder veiligheid op te offeren. We bouwen een digitaal Nederland dat zowel vooruitstrevend als weerbaar is."
  3. "Toezichthouders worden verplicht om de concentratie van risico's van ICT-dienstverleners bij overheden en organisaties die onze vitale infrastructuur ondersteunen in beeld te brengen. In de financiële sector is dit al vereist met de Digital Operational Resilience Act. ICT-bedrijven die als een zeer hoog concentratierisico worden beoordeeld, krijgen een extra belastingafdracht van de omzet. Hierdoor krijgen kleine innovatieve bedrijven een eerlijkere kans om een alternatief hiervoor te ontwikkelen."
  4. "We moeten concentratierisico's beheersen. We verplichten diversificatie van kritieke IT-leveranciers en cloud-diensten voor overheden en essentiële sectoren. Deze mogen met maximaal 40% afhankelijk zijn van één leverancier en moeten verplichte exitstrategieën en Software as a Service (SaaS) escrow hebben. Zo voorkomen we situaties van een te grote afhankelijkheid van één leverancier ('vendor lock-in'). Op die manier wordt de dienstverlening voor inwoners van Nederland en de EU gewaarborgd."