Het Nationaal Cyber Security Centrum (NCSC) mag in afwachting van een nieuwe wet in noodsituaties dreigingsinformatie met niet-vitale bedrijven en organisaties delen, zo heeft minister Yesilgöz van Justitie en Veiligheid in een brief aan de Tweede Kamer laten weten. Vorige maand stuurde de minister een wetsvoorstel naar de Tweede Kamer dat het mogelijk maakt voor het NCSC om niet alleen vitale bedrijven, maar ook niet-vitale ondernemingen gericht te informeren en te adviseren over kwetsbaarheden, dreigingen en incidenten.

Het wetsvoorstel bevat een wijziging van de Wet beveiliging netwerk- en informatiesystemen (Wbni). De Wbni regelt onder andere de wettelijke taken van het NCSC op het terrein van cybersecurity. Primair heeft het NCSC als taak om vitale aanbieders en organisaties binnen de rijksoverheid te informeren en adviseren over digitale dreigingen en incidenten én daarvoor analyses en technisch onderzoek te verrichten.

Het NCSC beschikt hierdoor regelmatig ook over informatie over digitale dreigingen of incidenten die relevant is voor andere aanbieders. Die informatie kan momenteel echter niet altijd worden verstrekt aan die andere aanbieders of hun schakelorganisaties, omdat de wet hier nog niet de basis voor biedt. Door de Wbni aan te passen kan deze informatie wel worden gedeeld.

Vorige maand had de vaste commissie Digitale Zaken de minister gevraagd of het NCSC in afwachting van het wetsvoorstel al dreigingsinformatie mag delen. Yesilgöz stelt dat anticiperen op het wetsvoorstel inhoudt dat persoonsgegevens en andere vertrouwelijke gegevens, zoals ip-adressen, e-mailadressen en namen van providers, zonder wettelijke grondslag met derden worden gedeeld. Daarnaast moet ook rekening worden gehouden met de AVG en is het onduidelijk of de Eerste en Tweede Kamer met het voorstel zullen instemmen. Aan de andere kant kan het delen van informatie helpen om bedrijven te beschermen.

"Alles afwegende ben ik voornemens om in zeer uitzonderlijke gevallen te anticiperen op bovenbedoeld wetsvoorstel. Dit betekent dat het NCSC mogelijk in die gevallen in ruimere zin dan nu wettelijk mogelijk dreigings- en incidentinformatie, met inbegrip van onder meer persoonsgegevens, aan andere aanbieders of hun schakelorganisaties kan verstrekken", komt de minister tot de conclusie.

Het verstrekken van de gegevens mag echter alleen om maatschappelijke ontwrichting te voorkomen of te beperken. Om dat vast te stellen zal via een afwegingskader worden beoordeeld of in relatie tot specifieke dreigingsinformatie er sprake is van een uitzonderlijk geval. Zo wordt er onder meer gekeken naar de aard en ernst van een dreiging, de kans dat die zich voordoet, de impact voor andere aanbieders en of er andere mogelijkheden zijn dan het verstrekken van informatie door het NCSC om andere aanbieders over een dreiging te informeren.