Brief regering; Beleidscyclus vitaal - Nationale Veiligheid - Hoofdinhoud
Deze brief is onder nr. 207 toegevoegd aan dossier 32013 - Toekomst financiële sector en dossier 30821 - Nationale Veiligheid.
Inhoudsopgave
| Officiële titel | Nationale Veiligheid; Brief regering; Beleidscyclus vitaal |
|---|---|
| Documentdatum | 26-03-2024 |
| Publicatiedatum | 27-03-2024 |
| Nummer | KST30821207 |
| Kenmerk | 30821; 32013, nr. 207 |
| Externe link | origineel bericht |
| Originele document in PDF |  |
Tweede Kamer der Staten-Generaal
2024
Vergaderjaar 2023-
30 821 32 013
Nr. 207
Nationale Veiligheid Toekomst financiële sector
BRIEF VAN DE MINISTER VAN FINANCIËN
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Den Haag, 26 maart 2024
In deze brief informeer ik uw Kamer over de beleidscyclus vitaal voor de financiële sector. Gezien het belang van vitale onderdelen in de financiële sector voor de Nederlandse samenleving en de nationale veiligheid vind ik het noodzakelijk om de cyclus spoedig en tijdig te doorlopen. Ik streef ernaar om uw Kamer voor het einde van het jaar te informeren over welke processen en aanbieders aangemerkt worden als vitaal. Indien daaruit blijkt dat er meer processen of aanbieders als vitaal moeten worden aangemerkt, zal ik ook beoordelen of deze aanbieders onder de reikwijdte van de Wet veiligheidstoets investeringen, fusies en overnames (Wet vifo) gebracht kunnen worden.
In deze brief geef ik ook aan hoe ik uitwerking zal geven aan de motie van het lid Heinen c.s. die de regering verzoekt te laten toetsen of de Wet vifo voldoende waarborgen biedt om te voorkomen dat privacygevoelige data of vitale onderdelen van de financiële sector niet in handen komen van organisaties uit landen met hoge veiligheids- en spionagerisico's.1
De beleidscyclus vitaal
Uitval, verstoring of manipulatie van vitale processen en diensten kan grote gevolgen hebben voor het functioneren van de Nederlandse economie en maatschappij en een bedreiging vormen voor de nationale veiligheid. Het is cruciaal om deze vitale infrastructuren goed in kaart te brengen en ervoor te zorgen dat partijen die hiervoor diensten leveren weerbaar zijn. Daarom werkt het kabinet aan de bescherming van de vitale infrastructuur: de aanpak vitaal 2023-2028.2 Onderdeel hiervan is de beleidscyclus vitaal die door de NCTV en de vakdepartementen is
1 Kamerstukken II 2022/23, 32 013, nr. 267. Aangenomen 4 april 2023 (Handelingen II 2022/23, nr. 69, item 10).
2 Zie hiervoor tevens Kamerbrief over de nationale veiligheid Kamerstukken II 2022/23, 30 821, nr. 182.
kst-30821-207 ISSN 0921 - 7371 's-Gravenhage 2024
ontwikkeld. Hiermee kunnen departementen onder andere vitale processen en aanbieders identificeren.
De cyclus vitaal bestaat uit verschillende stappen die periodiek worden doorlopen:
-
1)het identificeren van vitale processen en de aanbieders daarbinnen;
-
2)het analyseren van de risico's en de weerbaarheid;
-
3)het opstellen van een actieprogramma met te treffen weerbaarheids-verhogende maatregelen; en
-
4)het toetsen van de effectiviteit en het waar nodig bijstellen van deze maatregelen.
Het kabinet voert de beleidscyclus vitaal uit voor alle relevante beleidsterreinen. Zelf ben ik verantwoordelijk voor de financiële sector. Gezien het belang van de financiële sector voor de Nederlandse samenleving, de motie-Heinen c.s. en de nationale veiligheid wil ik de cyclus snel uitvoeren. Ik streef ernaar om uw Kamer tenminste voor het einde van 2024 te informeren over de uitkomsten van stap 1 van deze cyclus (het identificeren van vitale processen en de aanbieders daarbinnen). Bij het uitvoeren van de cyclus wordt samengewerkt met het Ministerie van Justitie en Veiligheid en het Ministerie van Sociale Zaken en Werkgelegenheid. Ook andere belanghebbenden zoals toezichthouders en relevante instellingen worden betrokken.
Gevolgen voor vitale aanbieders
Wanneer een aanbieder als vitaal wordt aangemerkt, brengt dit rechten en plichten met zich mee. Zo krijgt een vitale aanbieder bij cyberincidenten ondersteuning van het Nationaal Cyber Security Centrum in het geval van grootschalige uitval. Ook kunnen vitale aanbieders onder het toepassingsbereik van de Wet vifo gebracht worden. De Wet vifo bevat een veilig-heidstoets voor investeringen, fusies en overnames die een risico kunnen vormen voor de nationale veiligheid, onder meer voor vitale aanbieders.
De Wet vifo geldt op dit moment binnen de financiële sector voor onder meer significante banken, grote handelsplatformen en centrale tegenpartijen.1 Deze instellingen moeten voorgenomen verwervingsactiviteiten laten toetsen. Deze veiligheidstoets moet onder andere voorkomen dat vitale onderdelen en gevoelige persoonsgegevens belanden bij landen met hoge veiligheids- en spionagerisico's. Indien uit stap 1 van de nieuwe cyclus blijkt dat er in de financiële sector meer vitale aanbieders zijn, zal ik beoordelen of het noodzakelijk is deze aanbieders onder de reikwijdte van Wet vifo te brengen.
De Wet vifo is slechts één instrument om vitale (financiële) aanbieders te beschermen. Door haar sterk grensoverschrijdende en gedigitaliseerde karakter geldt voor de financiële sector ook sectorspecifieke Europese regelgeving. Op 17 januari 2025 treedt de Europese verordening digitale operationele weerbaarheid voor de financiële sector (DORA) in werking. DORA geldt specifiek voor de financiële sector en stelt hoge eisen aan de cyberweerbaarheid van financiële instellingen over het ICT-risico-management, het testen van systemen en het melden van incidenten.
In de beleidscyclus vitaal geef ik ook uitvoering aan de motie-Heinen c.s., die vraagt of de Wet vifo genoeg waarborgen biedt om te voorkomen dat privacygevoelige data of vitale onderdelen van de financiële sector in handen komen van organisaties uit landen met hoge veiligheids- en spionagerisico's. De eerste stap in de uitwerking van deze motie zet ik door te beoordelen welke processen en aanbieders in de financiële sector vitaal zijn en of de reikwijdte van de Wet vifo moet worden aangepast. Vervolgens zal ik breed kijken naar de huidige weerbaarheid van de vitale processen en bezien of er verdere sectorspecifieke maatregelen nodig zijn om de weerbaarheid bij financiële instellingen te vergroten (stappen 2 en 3). Daarbij betrek ik het huidige wettelijk kader, waaronder de Wet vifo en DORA, en bezie ik of dit kader, in samenhang met andere weerbaar-heidsvergrotende maatregelen, genoeg waarborgen biedt om te voorkomen dat privacygevoelige data of vitale onderdelen van vitale financiële aanbieders in verkeerde handen komen. Tot slot wordt de Wet vifo binnen vijf jaar geëvalueerd, waarbij gekeken wordt naar haar doeltreffendheid en effecten in de praktijk.2
Tot slot
Een weerbare maatschappij met voldoende bescherming van de Nederlandse vitale infrastructuur is in het huidige tijdsgewricht essentieel. Dat geldt zeker ook voor de financiële sector. Ik zie de beleidscyclus vitaal als het belangrijkste instrument om die doelen te bereiken en werk graag samen met de sector en de toezichthouders aan een weerbare financiële sector en maatschappij.
De Minister van Financiën,
S.P.R.A. van Weyenberg
Tweede Kamer, vergaderjaar 2023-2024, 30 821, nr. 207 3
Artikel 7, vijfde tot en met achtste lid, Wet vifo.
Artikel 59 Wet vifo.