Minister Ferdinand Grapperhaus van Justitie en Veiligheid wil dat alle bedrijven die vitale infrastructuur in Nederland aanbieden, verplicht een bepaald beveiligingsniveau hanteren. Nu hoeven niet alle vitale bedrijven dat niveau te halen, maar de minister wil dat wettelijk vastleggen.
Aanleiding zijn onder andere de recente beveiligingsproblemen rondom Citrix, schrijft Grapperhaus in een brief aan de Tweede Kamer. Grapperhaus reageert met de brief op een rapport van de Wetenschappelijke Raad voor het Regeringsbeleid. Die schreef eerder rapporten over de mogelijkheid dat de Nederlandse samenleving te maken krijgt met ‘digitale ontwrichting’. Ook de Nationaal Coördinator Terrorismebestrijding en Veiligheid waarschuwde daarvoor.
Minister Grapperhaus schrijft nu dat hij de Wet beveiliging netwerk- en informatiesystemen (Wbni) wil aanpassen. Daarin staat nu dat sommige ‘vitale aanbieders’ verplicht zijn om ‘passende beveiligingsmaatregelen’ te nemen om ervoor te zorgen dat hun systemen blijven werken. Ook hebben ze een meldplicht voor incidenten bij het Nationaal Cyber Security Centrum. Die passende veiligheidsmaatregelen gelden echter niet voor alle bedrijven. Door de Wbni aan te passen wil de minister dat wel voor iedere vitale aanbieder laten gelden.
In het WRR-rapport waarop Grapperhaus reageert, werd ook aangeraden dat de overheid gemakkelijk bij bedrijven kan ingrijpen bij grote incidenten. Daarover schrijft Grapperhaus in de brief niets. Wel wordt bij het ministerie van Defensie en Rijkswaterstaat gekeken of bijvoorbeeld de eigen glasvezelnetwerken kunnen worden ingezet bij ‘maatschappij-ontwrichtende ICT-uitval’.