Recente aanvallen met ransomeware hebben grote schade aan het bedrijfsleven en de overheid toegebracht. Betrouwbare en veilige netwerk- en informatiesystemen zijn van essentieel belang voor zowel de Nederlandse als de Europese economie. Het is daarom van groot belang dat deze essentiële diensten goed beschermd worden tegen aanvallen van buitenaf.
Om tot een Europees uniform beschermingsniveau te komen voor vitale netwerk- en informatiesystemen, en om incidenten adequaat het hoofd te bieden, is de Europese Commissie met de Richtlijn Netwerk- en Informatiebeveiliging (NIB-richtlijn) gekomen. In deze blogpost wordt kort ingegaan op de gevolgen van de NIB-richtlijn en de Nederlandse uitwerking daarvan, de Cybersecuritywet.
Wat zijn essentiële diensten en digitaledienstverleners
Vanuit de richtlijn wordt er onderscheid gemaakt in twee verschillende actoren die onder de richtlijn vallen: digitaledienstverleners en aanbieders van essentiële diensten. De laatste actor is in de Cybersecuritywet vertaald naar aanbieders van vitale diensten.
In de bijlage bij de richtlijn wordt nader ingegaan op het begrip aanbieders van essentiële diensten. Het gaat hier om entiteiten die een dienst verlenen die van essentieel belang is voor maatschappelijke en economische activiteiten, en die afhankelijk zijn netwerk- en informatiesystemen en waar een incident aanzienlijke verstorende effecten zou kunnen hebben.
Voorbeelden van essentiële diensten en digitaledienstverleners
- Nutsbedrijven, banken, ziekenhuizen en bedrijven die zich bezighouden met de digitale infrastructuur.
- De richtlijn is specifieker als het gaat om de vraag welke bedrijven vallen onder digitaledienstverleners, hier geeft de richtlijn een volledige opsomming: onlinemarktplaatsen, onlinezoekmachines en aanbieders van cloudcomputerdiensten.
Beveiligingsverplichting richtlijn & Cybersecuritywet
Aanbieders van essentiële diensten en digitaledienstverleners moeten passende en evenredige technische en organisatorische maatregelen nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. Bedrijven zijn verplicht om maatregelen te nemen die zorgen voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen.
Zowel de richtlijn als de als de Nederlandse uitwerking daarvan - de Cybersecuritywet - geven geen verdere technische toelichting op deze verplichting, deze kunnen wel door middel van een AMVB opgelegd worden. Toezicht door de overheid is mogelijk door middel van een audit.
Meldplicht Cybersecuritywet
Aanbieders van essentiële diensten en digitaledienstverleners moeten security-incidenten met aanzienlijke gevolgen melden aan de bevoegde nationale autoriteiten. De Cybersecuritywet geeft enkele parameters om te bepalen of er sprake is van een incident met een zienlijke gevolgen:
- het aantal gebruikers dat door de verstoring van de essentiële dienst wordt getroffen;
- de duur van het incident;
- de omvang van het geografische gebied dat door het incident is getroffen.
Voor digitaledienstverleners is de Minister van Economische Zaken als bevoegde autoriteit aangewezen. Voor de aanbieders van essentiële diensten is de bevoegde autoriteit afhankelijk van de sector waar waarbinnen de aanbieder valt.
De verplichting om te melden heeft verschillende redenen ten grondslag. De autoriteiten kunnen op deze manier het publiek communiceren over (lopende) incidenten. Door middel van publieke bewustwording kunnen incidenten beheerst worden is de gedachte. Een andere reden is dat de nationale autoriteiten informatie over incidenten kunnen delen met de autoriteiten van de andere lidstaten binnen de EU. Zo kan er Europees breed adequaat opgetreden worden tegen incidenten.
Sancties bij niet voldoen aan meldingsplicht
De NIB-richtlijn verplicht lidstaten sancties in hun nationale wetgeving op te nemen. Deze sancties moeten “doeltreffende, evenwichtig en afschrikwekkend” zijn. Onder de Cybersecuritywet, wat momenteel nog een wetsvoorstel is, kunnen boetes variërend tot € 1 miljoen en € 5 miljoen worden opgelegd. Daarnaast kan de bevoegde autoriteit een last onder bestuursdwang opleggen.
Samenloop met andere meldplichten
De huidige Nederlandse meldplicht datalekken en de meldplicht die voortvloeit uit de Algemene Verordening Gegevensbescherming zijn de afgelopen tijd veelvuldig in het nieuws geweest. Met de meldplicht onder de Cybersecuritywet wordt een nieuwe meldplicht in het leven geroepen.
Afhankelijk van het type incident kan het goed zijn dat zowel een melding bij de Autoriteit Persoonsgegevens verplicht is en parallel een melding gemaakt moet worden bij de bevoegde autoriteit onder de Cybersecuritywet. Het huidige voorstel voor de Cybersecuritywet bevat, anders dan de meldplicht datalekken, geen termijnen waarbinnen een dergelijke melding moet worden gedaan.
Op 11 juli 2017 heeft de Eerste Kamer het wetsvoorstel "Wet gegevensverwerking en meldplicht cybersecurity" aangenomen. Daar de Cybersecuritywet nog door zowel de Tweede als Eerste Kamer zijn weg moet zien te vinden, en door de toenemende cyberaanvallen, lijkt het eerstgenoemde wetsvoorstel op stel en sprong te zijn aangenomen. De Wet gegevensverwerking en meldplicht cybersecurity geldt overigens enkel voor aanbieders van vitale diensten en was al voor de NIB-richtlijn in behandeling. Daarnaast kent de aangenomen regeling geen toezicht en sancties. Op het moment dat de Cybersecuritywet is aangenomen, zal de Wet gegevensverwerking en meldplicht cybersecurity weer worden ingetrokken. Het is dus niet veel meer dan een quick fix.
Gezien de impact van de Cybersecuritywet is het zaak u tijdig te laten informeren. Mocht u vragen of behoefte aan advies hebben, neem dan gerust contact op met een van onze juridisch adviseurs. Tot 16 juli 2017 is het daarnaast mogelijk om via de internetconsultatie op alle onderdelen van de Cybersecuritywet een reactie te geven.
Dit blogbericht is geschreven in samenwerking met Gosse Bijlenga.
