Zoeken
  1. Cybersecuritywet brengt nieuwe meldplicht cyberincidenten

Cybersecuritywet brengt nieuwe meldplicht cyberincidenten

De Wet Beveiliging Netwerk- en Informatiesystemen (Wbni), ofwel de Cybersecuritywet, bevat een nieuwe meldplicht en zorgplicht. Vitale aanbieders en digitaledienstverleners moeten beveiligingsmaatregelen treffen en cyberincidenten melden bij de toezichthouder.
Artikel | 26 maart 2019 | Koen Christianen

Cybersecuritywet brengt nieuwe meldplicht cyberincidenten

Sinds 9 november 2018 geldt in Nederland de Wet beveiliging netwerk- en informatiesystemen (Wbni), ofwel de Cybersecuritywet. De wet is van toepassing op vitale aanbieders (zoals banken, energiebedrijven, drinkwaterbedrijven) en digitaledienstverleners (clouddiensten, zoekmachines, online marktplaatsen). Uitval of verstoring daarvan kan leiden tot maatschappelijke ontwrichting. De Wbni bevat daarom een meldplicht (voor cyberincidenten) en zorgplicht (voor beveiligingsmaatregelen). Doel is om de digitale weerbaarheid van Nederland te vergroten. Ik bespreek hierna de verplichtingen voor vitale aanbieders en digitaledienstverleners.

De meldplicht datalekken kennen velen inmiddels. Deze vloeit voort uit de Algemene Verordening Gegevensbescherming (AVG). Als sprake is van een datalek bij de verwerking van persoonsgegevens, dan moet dat onder omstandigheden worden gemeld aan de Autoriteit Persoonsgegevens (AP) en/of aan de betrokkenen. Het onterecht niet melden daarvan kan door de AP beboet worden.

Sinds 9 november 2018 is er echter een (onderbelichte) meldplicht bijgekomen: de meldplicht voor cybersecurity incidenten. Deze vloeit voort uit de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). Deze wet is de Nederlandse omzetting van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn). Alle EU-lidstaten waren verplicht om de Europese richtlijn om te zetten in nationale wetgeving. In Nederland is dat de Wbni geworden.

De wet geldt voor vitale aanbieders en digitaledienstverleners

De wet is van toepassing op vitale aanbieders en digitaledienstverleners. Zij moeten maatregelen nemen om hun digitale weerbaarheid te vergroten. Vitale aanbieders zijn onder meer organisaties in de energie-, de financiële, en vervoerssector. Hun diensten zijn van essentieel belang voor het goed functioneren van de Nederlandse samenleving en economie. Het uitvallen van hun ICT-systemen kan zeer grote gevolgen hebben voor een betrouwbare dienstverlening aan bedrijven en burgers.

De wet geldt ook voor digitaledienstverleners (in de wet wordt dit aaneengeschreven). Dit zijn aanbieders van clouddiensten, online zoekmachines en online marktplaatsen. Ze worden ook wel DSP’s genoemd, ofwel Digital Service Providers. Zij bieden diensten aan waarvan veel consumenten en bedrijven afhankelijk zijn.

Vitale aanbieders en digitaledienstverleners moeten hun netwerk- en informatiesystemen goed beveiligen. Op hen rust een zorgplicht én een meldplicht. De zorgplicht houdt in het treffen van goede beveiligingsmaatregelen ten aanzien van hun (vitale) netwerken. Ondanks de zorgplicht kunnen toch incidenten ontstaan. Als die incidenten de beveiliging in gevaar brengen moeten die bij de overheid gemeld worden.

Wie is een vitale aanbieder?

Een vitale aanbieder is een organisatie die een dienst aanbiedt die van essentieel belang is voor instandhouding van kritieke maatschappelijke en/of economische activiteiten. In artikel 2 en 3 van het Besluit beveiliging netwerk- en informatiesystemen zijn de organisaties aangewezen die als vitale aanbieder kwalificeren. Volgens het Agentschap Telecom (toezichthouder op de Wbni) krijgen aanbieders voor wie dit geldt daarover bericht van het ministerie.

Wie is een digitaledienstverlener?

Niet elke onderneming die een digitale dienst aanbiedt valt onder de (Wbni). Social media of webshops vallen bijvoorbeeld niet onder deze wet. Alleen digitaledienstverleners vanaf een bepaalde omvang kunnen onder de Wbni vallen. Voor ondernemingen die hun diensten in meerdere EU-landen aanbieden is bovendien van belang onder welke jurisdictie (rechtsgebied) zij vallen. Dit bepaalt namelijk of zij gebonden zijn aan de Nederlandse wet (Wbni) of de wetgeving van een andere EU-lidstaat. Het Ministerie van Economische Zaken en Klimaat heeft recent een compacte handleiding gepubliceerd waarmee kan worden vastgesteld of een organisatie kwalificeert als digitaledienstverlener. Het stappenplan is als volgt:

  • Stap 1: is mijn onderneming een online marktplaats, zoekmachine of cloud dienstverlener?
    • Nee: géén digitaledienstverlener;
    • Ja: stap 2;
  • Stap 2: heb ik minstens 50 medewerkers óf is mijn jaaromzet/balanstotaal minstens 10 miljoen euro?
    • Nee: géén digitaledienstverlener;
    • Ja: stap 3;
  • Stap 3: heeft mijn onderneming een Europese hoofdvestiging in Nederland?
    • Nee: heeft mijn onderneming een Europese hoofdbevestiging in een andere EU-lidstaat?
      • Zo ja: u valt onder de wetgeving van dat land;
      • Zo nee: dan moet u een vertegenwoordiger in een EU-lidstaat aanwijzen. Wijst u een vertegenwoordiger aan in Nederland, dan valt uw onderneming wél onder de Nederlandse wet (Wbni);
    • Ja: mijn onderneming is een digitaledienstverlener én valt onder de Nederlandse wet (Wbni).

Voorbeeld: clouddiensten

Of u een digitale dienst aanbiedt zoals bedoeld in de wet, moet worden beoordeeld aan de hand van de definitie van ‘Online marktplaats’, ‘Online zoekmachines’ of ‘Clouddiensten’. Ter illustratie bespreek ik alleen ‘Clouddiensten’. Deze kunnen in drie hoofdcategorieën worden ingedeeld: Software as a Service (SaaS), Platform as a Service (PaaS) en Infrastructure as a Service (IaaS).

Software as a Service (SaaS): een ‘online’ applicatie die vanuit een webbrowser gebruikt kan worden, bijvoorbeeld een financieel pakket, online office, etc.

Platform as a Service (PaaS): een ‘online, ingericht’ platform waarop de gebruiker of klant eigen software diensten kan draaien of platformen die specifieke functionaliteit aanbieden, bijvoorbeeld een ‘virtuele PC met een besturingssysteem’, een authenticatieplatform of een opslag.

Infrastructure as a Service (IaaS): de virtuele hardware laag waarin de gebruiker of klant eigen netwerken, opslag, servers en werkstations kan aanmaken en beheren. Bijvoorbeeld virtuele werkplekken, gegevensopslag, netwerkapparatuur. Hierop kan de gebruiker of klant eigen besturingssystemen en configuraties installeren.

Private clouddiensten, zoals clouddiensten die binnen de interne organisatie worden gebruikt, vallen niet onder de definitie van clouddienstverlener.

Wat zijn de verplichtingen in de Wbni?

Een organisatie die valt onder de Wbni heeft een meldplicht en een zorgplicht. De meldplicht houdt in dat incidenten onverwijld moeten worden gemeld bij de toezichthouder Agentschap Telecom en bij het CSIRT (Computer Security Incident Response Team) voor digitale diensten. Beide organisaties zijn onderdeel van het Ministerie van Economische Zaken en Klimaat (EZK). De zorgplicht houdt in dat passende organisatorische en technische maatregelen genomen moeten worden om beveiligingsrisico’s te beheersen en de gevolgen van incidenten te verkleinen. Hiermee kunnen incidenten worden voorkomen en nadelige effecten worden geminimaliseerd.

Meldplicht: het melden van incidenten

Een incident is ‘elke gebeurtenis met een daadwerkelijk schadelijk effect op de beveiliging van netwerk- en informatiesystemen' (zie artikel 4 onder 7 NIB-richtlijn). Onder beveiliging wordt begrepen de beschikbaarheid, integriteit, vertrouwelijkheid, en authenticiteit (biva) van netwerk- en informatiesystemen. Incidenten moeten worden gemeld als deze aanzienlijke gevolgen voor de continuïteit van de dienstverlening hebben. Relevant hierbij is het aantal gebruikers dat door de verstoring van de dienst wordt getroffen, de duur van het incident en de omvang van het geografische gebied dat door het incident is getroffen.

Heeft een incident aanzienlijke gevolgen? Indien u één van onderstaande vragen met ‘ja’ beantwoordt, heeft het incident volgens de wet wél aanzienlijke gevolgen:

  • Was de dienst in de EU meer dan 5.000.000 gebruikersuren niet beschikbaar?
  • Bij gevolgen voor integriteit, authenticiteit of vertrouwelijkheid: Heeft het incident negatieve gevolgen voor meer dan 100.000 gebruikers in de EU?
  • Hebben één of meer gebruikers binnen de EU meer dan 1.000.000 Euro schade gelopen?
  • Was er een risico voor de openbare veiligheid?
  • Wat er een risico voor de openbare beveiliging?
  • Was er een risico op een verlies van mensenlevens?

Zorgplicht: het treffen van beveiligingsmaatregelen

Vitale aanbieders en digitaledienstverleners zijn verplicht om 'passende en evenredige technische en organisatorische maatregelen' te treffen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen (zie artikel 7 Wbni). De maatregelen zorgen, gezien de stand van de techniek, voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen. Onder beveiliging van netwerk- en informatiesystemen wordt verstaan het bestand zijn tegen acties die de beschikbaarheid, integriteit, vertrouwelijkheid en authenticiteit (biva) van verwerkte gegevens of diensten in gevaar brengen (zie artikel 4 NIB-richtlijn).

De beveiligingsmaatregelen moeten met de volgende aspecten rekening houden:

  • de beveiliging van systemen en voorzieningen;
  • behandeling van incidenten;
  • het beheer van de bedrijfscontinuïteit;
  • toezicht, controle en testen;
  • inachtneming van de internationale normen.

Deze 5 beveiligingsmaatregelen zijn nader uitgewerkt in artikel 2 van de Uitvoeringsverordening (EU) 2018/151. De beveiligingsmaatregelen gaan vooral in op WAT er moet worden geregeld en niet zozeer HOE dat moet gebeuren. Vitale aanbieders en digitaledienstverleners zullen dus zelf in kaart moeten brengen hoe zij invulling gaan geven aan de zorgplicht die op hen rust.

Toezichthouder Agentschap Telecom

De toezichthouder Agentschap Telecom heeft de bevoegdheid om bij u informatie op te vragen om te kunnen beoordelen of de beveiliging van de netwerk- en informatiesystemen op orde is. U moet dus over documentatie beschikken waarmee de toezichthouder kan nagaan of uw onderneming zich aan de beveiligingseisen houdt. Agentschap Telecom komt in beeld na een incident of bij een vermoeden van een overtreding van de wet. De toezichthouder heeft een aantal middelen tot haar beschikking om te handhaven, zoals:

  • Het geven van een bindende aanwijzing die het de digitale dienstverlener verplicht om binnen een redelijke termijn bepaalde maatregelen te treffen;
  • Het opleggen van een last onder bestuursdwang of een bestuurlijke boete.

Conclusie

De Wet Beveiliging Netwerk- en Informatiesystemen (Wbni), ofwel Cybersecuritywet, bevat een nieuwe meldplicht (voor cyberincidenten) en een zorgplicht (voor beveiligingsmaatregelen). Deze verplichtingen gelden voor vitale aanbieders en voor digitaledienstverleners. Welke organisaties als zodanig kwalificeren is bepaald in de Wbni en het ‘Besluit beveiliging netwerk- en informatiesystemen’. In de toepasselijke wetgeving staat wat zij moeten regelen, maar niet hoe zij dat moeten regelen. Vitale aanbieders en digitaledienstverleners moeten dus zelf nadenken op welke manier zij hun netwerk- en informatiesystemen (gaan) beveiligen.

Twijfelt u of de meldplicht en zorgplicht op uw onderneming van toepassing zijn? Wij helpen u graag.

Koen Christianen, advocaat IT- en privacyrecht