Auteur:        Dr. Evgeni Moyakine
Cybercriminelen, zero days, malware, botnets, datalekken… Tegenwoordig vliegen talloze “cybertermen” ons om de oren. En of je het nou wilt of niet, allemaal maken we regelmatig gebruik van een groot aantal apparaten dat als onveilig beschouwd kan worden. De nieuwe Wet beveiliging netwerk- en informatiesystemen moet hier verandering in brengen. Maar hoe is deze wet tot stand gekomen? En wat houdt de wet in?

In een rapport dat op 4 juni 2018 is gepubliceerd, uit het Agentschap Telecom zijn zorgen over de IoT-apparaten (Internet of Things) die slecht beveiligd zijn en binnen de kortste keren te kraken zijn.[1] De genoemde apparatuur is verbonden met systemen uit verschillende sectoren, zoals energie en gezondheidszorg, die essentieel voor de samenleving zijn en dus een behoorlijk cyberrisico voor Nederland vormen.

Hoe zorg je ervoor dat je land tegen cybergevaren bestand is en dat gevolgen van mogelijke cyberincidenten zo beperkt mogelijk blijven? En waar moet je eigenlijk mee beginnen om cybersecurity naar een adequaat niveau te tillen?

Van Csw naar Wbni

Op EU niveau is hiervoor de Netwerk- en Informatiebeveiligingsrichtlijn (of de NIB-richtlijn)[2] opgesteld. Deze richtlijn is een rechtsinstrument van de EU dat regels betreffende beveiliging van netwerk- en informatiesystemen in de Unie bevat. De betrouwbaarheid en beveiliging van deze systemen en de daarmee samenhangende diensten zijn namelijk van cruciaal belang voor economische en maatschappelijke activiteiten in de EU. Alle lidstaten worden geacht om hier voldoende aandacht aan te besteden door hun paraatheid op het gebied van cybersecurity te verbeteren en een betekenisvolle samenwerking met elkaar aan te gaan.

Ook moeten alle EU-lidstaten de richtlijn in hun nationale wetgeving implementeren. De omzetting van de NIB-richtlijn in de nationale regelgeving moest uiterlijk op 9 mei 2018 plaatsvinden. In Nederland wordt de uitvoering aan deze richtlijn met de veelbesproken Cybersecuritywet (Csw) gegeven. Het voorstel van deze wet is op 29 mei 2018 met algemene stemmen door de Tweede Kamer aangenomen en meteen tot de Wet beveiliging netwerk- en informatiesystemen (Wbni) omgedoopt.[3]

Beveiligingseisen van de nieuwe wet

De nieuwe wet stelt beveiligingseisen aan aanbieders van essentiële diensten (AED’s) en van digitale diensten (DSP’s, oftewel “digital service providers”). In de eerste plaats zijn dit AED’s uit sectoren als de digitale infrastructuur, energie, gezondheidszorg, vervoer, bankwezen, infrastructuur voor de financiële markt en de levering en distributie van drinkwater. Daarnaast betreft het ook DSP’s zoals aanbieders van online zoekmachines, online marktplaatsen en cloudcomputerdiensten.

Zowel AED’s als DSP’s worden verplicht om passende technische en organisatorische maatregelen te nemen voor het beheersen van beveiligingsrisico’s, het voorkomen van mogelijke cyberincidenten en het beperken van hun gevolgen. Om aan de gestelde beveiligingseisen te voldoen moet een beveiligingsniveau, dat op de risico’s afgestemd is, bereikt worden waarbij naar de stand van de techniek gekeken moet worden. De te treffen maatregelen kunnen echter per sector verschillend zijn en de organisaties mogen zelf bepalen welke maatregelen ze als passend beschouwen.

Meldplicht voor cyberincidenten

Belangrijk is het feit dat de Wbni een meldplicht invoert voor de gevallen waarbij cyberincidenten zich voordoen. Deze meldplicht geldt voor AED’s, andere vitale aanbieders zoals het Ministerie van Infrastructuur en Waterstaat en DSP’s. Incidenten dienen door deze organisaties aan de bevoegde nationale autoriteit of het “computer security incident response team” (CSIRT) gemeld te worden.

De verplichting tot het maken van een melding is in principe niet nieuw: deze is al vastgelegd in de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) die sinds 1 oktober 2017 van kracht is en voor de vitale aanbieders geldt. Deze wet is nu aan de Wbni toegevoegd en wordt ingetrokken. Onder de Algemene verordening gegevensbescherming (Avg)[4] bestaat ook al de verplichting om mogelijke datalekken te melden bij de Autoriteit Persoonsgegevens (AP). Aangezien cyberincidenten ook datalekken kunnen zijn, is het van belang om de samenwerking tussen de bevoegde autoriteiten, de CSIRT’s en de AP te verwezenlijken.

Bescherm jezelf!

Cybersecurity is een wezenlijk aandachtspunt van de EU en haar lidstaten. In Nederland krijgen we te maken met interessante ontwikkelingen op dit gebied. Het behoeft geen betoog dat de digitale onveiligheid moeilijk te bestrijden is en dat een land niet volledig “cyberveilig” kan zijn. Toch is het noodzakelijk om regelingen zoals de NIB-richtlijn en de Wbni tot stand te brengen en strategieën, best practices en bedrijfsprocessen te ontwikkelen die een inspiratiebron voor organisaties in de EU en daarbuiten kunnen vormen. Het is de hoogste tijd dat iedereen uiteindelijk beseft dat cybersecurity bij jezelf begint!

 [1] Agentschap Telecom, De Staat van de Ether 2017, te vinden op: https://magazines.agentschaptelecom.nl/staatvandeether/2018/01/printvriendelijke-versie.

[2] Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie, te vinden op: https://eur-lex.europa.eu/eli/dir/2016/1148/oj.

[3] Eerste Kamer der Staten-Generaal, Regels ter implementatie van richtlijn (EU) 2016/1148 (Wet beveiliging netwerk- en informatiesystemen), kst-34883-A, te vinden op: https://www.eerstekamer.nl/behandeling/20180529/gewijzigd_voorstel_van_wet.

[4] Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, te vinden op: http://data.europa.eu/eli/reg/2016/679/oj.