Op 28 juni is de Wijziging van de Wet beveiliging netwerk- en informatiesystemen i.v.m. uitbreiding bevoegdheid MinJenV ter consultatie gepubliceerd.

Deze voorgestelde wijziging van de Wet beveiliging netwerk- en informatiesystemen (Wbni) regelt dat aanbieders, die geen vitale aanbieder zijn en evenmin deel uitmaken van de rijksoverheid, in ruimere mate de beschikking krijgen over dreigings- en incidentinformatie over hun eigen netwerk- en informatiesystemen. Op basis hiervan kunnen zij maatregelen nemen om incidenten te voorkomen of de gevolgen daarvan te beperken.

De eerste wijziging ziet op artikel 3 Wbni. In het eerste lid van dit artikel is de primaire taakuitoefening van het NCSC geregeld. Dit betreft het bijstaan van vitale aanbieders en andere aanbieders die deel uitmaken van de rijksoverheid (bijvoorbeeld ministeries) bij het treffen van maatregelen om de continuïteit van hun diensten te waarborgen of te herstellen. Ook ziet deze taakuitoefening op het informeren en adviseren van hen over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen. Vitale aanbieders zijn overheidsorganisaties en privaatrechtelijke rechtspersonen die diensten aanbieden waarvan de continuïteit van vitaal belang is voor de Nederlandse samenleving (bijvoorbeeld drinkwaterbedrijven). Het NCSC kan bij het verrichten van analyses en technisch onderzoek ten behoeve van de primaire taakuitoefening dreigings- en incidentinformatie (inclusief persoonsgegevens) over netwerk- en informatiesystemen van andere aanbieders dan vitale aanbieders of aanbieders die onderdeel zijn van de rijksoverheid verkrijgen. Het tweede lid van dit artikel bepaalt dat het NCSC de taak heeft om, ter voorkoming van nadelige maatschappelijke gevolgen, die informatie over netwerk- en informatiesystemen van andere aanbieders aan een aantal hierin genoemde organisaties te verstrekken, zoals computercrisisteams. De voorgestelde wijziging van artikel 3, tweede lid, Wbni houdt in dat het NCSC in bijzondere gevallen deze informatie ook kan verstrekken aan genoemde andere aanbieders.

De tweede wijziging ziet op artikel 20 Wbni. Het tweede lid van dit artikel regelt de bevoegdheid voor het NCSC om zonder instemming van de betrokken aanbieders, ter uitvoering van de in artikel 3 Wbni genoemde taken, vertrouwelijke gegevens die herleid kunnen worden tot een aanbieder te verstrekken aan een aantal hierin genoemde organisaties. De voorgestelde wijziging van artikel 20, tweede lid, Wbni maakt het mogelijk dat het NCSC deze gegevens ook kan delen met organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over digitale dreigingen en incidenten (OKTT’s). Hierdoor kunnen aanbieders in de doelgroepen van deze OKTT’s door tussenkomst van die OKTT’s komen te beschikken over de voor hen relevante dreigings- en incidentinformatie.