1346
Vragen van de leden Van Toorenburg (CDA) en Verhoeven (D66) aan de
Ministers van Justitie en Veiligheid en van Economische Zaken en Klimaat over
het bericht «Experts: overheid moet ingrijpen bij internetapparaten»
(ingezonden 17 januari 2018).
Antwoord van Minister Grapperhaus (Justitie en Veiligheid), mede namens
de Staatssecretaris van Economische Zaken en Klimaat (ontvangen 7 maart
2018). Zie ook Aanhangsel Handelingen, vergaderjaar 2017–2018, nr. 1097.
Vraag 1
Bent u bekend met het artikel «Experts: overheid moet ingrijpen bij internetapparaten»?1
Ja.
Vraag 2, 3 en 4
Hoe beoordeelt u de oproep van Amerikaanse internetexperts om de op dit
moment gebrekkige beveiliging van op internet aangesloten apparaten te
verbeteren?
Ziet u mogelijkheden om de verkoop van onvoldoende veilige internetapparaten
beter te reguleren, bijvoorbeeld door de verkoop van bewezen onveilige
apparaten in Nederland te verbieden?
Bent u bereid te pleiten voor een Europees keurmerk dat dient ter waarborging
van de veiligheid van internetapparaten? Zo nee, waarom niet?
Antwoord 2, 3 en 4
Het beeld dat de Amerikaanse internetexperts schetsen is herkenbaar. Zoals
reeds in de beantwoording van Kamervragen over de onveiligheid van
«Internet of Things» in Nederland2 is aangegeven is «de toenemende
dreiging vanuit aan internet aangesloten apparaten oftewel IoT reeds
genoemd in o.a. het Cyber Security Beeld Nederland (CSBN) 2017. Het CSBN
wordt jaarlijks vastgesteld door de NCTV en biedt inzicht in de belangen,
dreigingen, weerbaarheid en daarmee samenhangende ontwikkelingen op het
gebied van cybersecurity over de periode mei 2016 tot en met april 2017.
Hieruit blijkt ook dat een intensivering van het beleid om deze onveiligheid te
bestrijden noodzakelijk is. Zowel de Europese Commissie (EC) als het kabinet
onderkent de noodzaak hiertoe».
Om te bevorderen dat IoT-apparaten beter worden beveiligd, stelt het
Ministerie van Economische Zaken en Klimaat in samenspraak met het
Ministerie van Justitie en Veiligheid, andere departementen en private
partijen thans een roadmap veilige hard- en software op. Hierin wordt bezien
welke combinatie van instrumenten effectief bijdraagt aan de veiligheid van
(het gebruik) van hard- en software, zoals bewustwording, certificering en
aansprakelijkheid. Bij deze analyse wordt onder meer het recente advies3
inzake de cybersecurity van Internet of Things (IoT) van de Cyber Security
Raad betrokken. Om onder andere de samenhang met de in het regeerakkoord
aangekondigde cybersecuritystrategie te behouden, zal de roadmap in
dit voorjaar naar verwachting aan de uw Kamer worden aangeboden.
Op 13 september 2017 heeft de Europese Commissie een ontwerpverordening4
gepubliceerd, waarin de Commissie onder meer een voorstel doet voor
het inrichten van een Europees kader voor cyberbeveiligingscertificering voor
ICT-producten en -diensten. In het BNC-fiche van 20 oktober 20175 over deze
ontwerpverordening, heeft het kabinet aangegeven dat het voorstel van de
Europese Commissie aansluit bij de Nederlandse inzet op het gebied van de
digitale interne markt en de rol van certificering. Maar zoals in het BNC-fiche
wordt weergegeven zijn er ook aandachtspunten. Deze worden in de
inmiddels lopende onderhandelingen ingebracht.
Vraag 5
In hoeverre richten bewustwordingscampagnes als Alert Online en www.veiliginternetten.nl
op de gevaren van internetapparaten? Kan een gerichte
bewustwordingscampagne over dit onderwerp van nut zijn? Zo nee, waarom
niet?
De ministeries van Justitie en Veiligheid en van Economische Zaken en
Klimaat zetten al regelmatig middelen zoals voorlichtingscampagnes in om
de bewustwording rondom digitale veiligheidsrisico’s en wat daartegen
gedaan kan worden te vergroten. Zo is er de voorlichtingscampagne Alert
Online, een initiatief dat de overheid, het bedrijfsleven, onderwijs, wetenschap
en consumenten in Nederland faciliteert en stimuleert samen te werken
aan cybersecurity én hen meer cyber secure te laten handelen. Een ander
voorbeeld is het publiek-private initiatief Veiliginternetten.nl waarin de
overheid samenwerkt met het bedrijfsleven aan de weerbaarheid van de
Nederlandse samenleving in het digitale domein. De website www.veiliginternetten.nl
is het kanaal om burgers en bedrijfsleven voor te lichten over en
handelingsperspectieven te bieden voor (het voorkomen van) ICT-incidenten
als malware en softwarelekken, maar ook ze bewust te maken van verschillende
kwetsbaarheden.
In het regeerakkoord is structureel 95 miljoen euro gereserveerd voor
cybersecurity, verdeeld over de departementen Justitie en Veiligheid (NCTV),
Defensie (MIVD), Binnenlandse Zaken en Koninkrijksrelaties (AIVD), Buitenlandse
Zaken, Infrastructuur en Waterstaat en Economische Zaken en Klimaat.
Een deel van dit geld zal worden ingezet voor bredere voorlichtingscampagnes
over dit onderwerp. Daarnaast zal in de eerdergenoemde roadmap
digitaal veilige hard- en software ook het instrument bewustwordingscampagnes
een plaats hebben.
Vraag 6
Hoe is de aansprakelijkheid van producenten van onveilige internetapparaten
op dit moment geregeld? Kunnen producenten van onveilige apparaten
aansprakelijk worden gesteld voor geleden schade veroorzaakt door botnets
die gebruik maken van deze apparaten? Zo nee, dient de wetgeving dan niet
aangepast te worden?
De regeling van productaansprakelijkheid betreft implementatie van een
EU-richtlijn (Richtlijn 85/374/EEG). De richtlijn is in 2017 geëvalueerd. Daarbij
is ook de toepassing van de richtlijn op moderne technologieën onderzocht.
IoT-apparaten zijn daarbij expliciet genoemd. De Europese Commissie
verwacht de uitkomsten van de evaluatie in april 2018 vast te stellen. Dit is bij
uitstek een grensoverschrijdend onderwerp. Het kabinet zal de uitkomsten
aangrijpen om in EU-verband te beoordelen of het wenselijk is dat de
regeling van productaansprakelijkheid wordt aangepast met het oog op
nieuwe technologieën, zoals IoT-apparaten. Daarnaast zal in de eerdergenoemde
roadmap digitaal veilige hard- en software ook aansprakelijkheid een
plaats hebben.
Algemeen Dagblad, 8 januari 2018
2 Aanhangsel Handelingen, vergaderjaar 2017–2018, nr. 530
3 «Naar een veilig verbonden digitale samenleving» Advies inzake de cybersecurity van Internet
of Things (IoT), Cyber Security Raad, januari 2018
4 Verordening agentschap ENISA en Europees kader voor Cyberbeveiligingscertifcering
5 Kamerstuk 22 112, nr. 2405