Momenteel is er voor het NCSC nog niet altijd een wettelijke basis om dreigings- en incidentinformatie te verstrekken aan andere organisaties dan vitale bedrijven en de overheid. Die andere organisaties weten daardoor niet dat9 hun systemen kwetsbaar zijn, terwijl daar wel informatie over is. Een nieuwe wet moet dat veranderen.

Het Nationaal Cyber Security Center (NCSC) werkt hard aan een steeds digitaal veiliger Nederland. Het adviseert vitale aanbieders en onderdelen van de Rijksoverheid met actuele dreigings- en incidentinformatie over hun netwerk- en informatiesystemen. Om ook andere organisaties te kunnen laten profiteren van de kennis stuurt de minister van JenV een wetsvoorstel naar de Tweede Kamer waarin wordt geregeld dat het NCSC in meer gevallen die informatie kan verstrekken aan deze andere organisaties.

Aanpassing Wbni
Het wetsvoorstel bevat een wijziging van de Wet beveiliging netwerk- en informatiesystemen (Wbni). De Wbni regelt (onder meer) de wettelijke taken van het NCSC op het terrein van cybersecurity. Primair heeft het NCSC tot taak om vitale aanbieders en organisaties binnen de rijksoverheid te informeren en adviseren over digitale dreigingen en incidenten én daarvoor analyses en technisch onderzoek te verrichten. Hierdoor beschikt de organisatie regelmatig ook over informatie over digitale dreigingen of incidenten die relevant is voor andere aanbieders. Het gaat dan bijvoorbeeld om distributeurs van voedselwaren, politieke partijen of containeroverslagbedrijven. Die informatie kan momenteel echter niet altijd worden verstrekt aan die andere aanbieders of hun schakelorganisaties, omdat de wet hier nog niet de basis voor biedt.

Schakelorganisaties
Daarom stelt de minister van JenV voor om de Wbni aan te passen zodat deze informatie wel gedeeld kan worden. Hierdoor krijgt het NCSC de grondslag om in ruimere zin dreigings- en incidentinformatie te delen met zogeheten OKTT’s (organisaties die objectief kenbaar tot taak hebben om organisaties of het publiek te informeren over dreigingen en incidenten), die als schakelorganisaties van andere aanbieders fungeren. Deze schakelorganisaties kunnen daarmee vervolgens organisaties in hun achterban van die informatie en advies voorzien. Daarnaast bevat het wetsvoorstel een grondslag voor het NCSC om in bijzondere gevallen dreigings- of incidentinformatie met andere aanbieders zelf te delen. Van een bijzonder geval is sprake als er geen schakelorganisatie (zoals een OKTT) is die de aanbieder van de informatie kan voorzien én de informatie over een dreiging of incident gaat met aanzienlijke gevolgen voor de continuïteit van de dienstverlening van de aanbieder.