In de steigers: nieuwe Europese cyber-security wetgeving

De Europese Commissie heeft een ingrijpend tekstvoorstel voor een nieuwe Europese cybersecurity wetgeving in de steigers gezet. Dit wetgevingstraject is nog niet goedgekeurd maar heeft een grote impact op bedrijven en de nadruk op cyberbeveiliging. In de basis is iedere organisatie zelf primair verantwoordelijk voor haar eigen digitale veiligheid. Een vanzelfsprekend uitgangspunt, dat echter meer en meer doorkruist wordt door stappen van de wetgever.

Zo heeft Nederland in november 2018 de Wet beveiliging netwerk- en informatiesystemen (afgekort: de WBNI) in het leven geroepen. Die wet legt zware zorgplichten op het gebied van ICT- en netwerkbeveiliging op aan organisaties uit een aantal vitale maatschappelijke sectoren, zoals energie, vervoer, banken, drinkwater, top-level domeinnamen en telecommunicatie.

Ook bepaalde digitale dienstverleners, bijvoorbeeld Cloud providers en onlinemarktplaatsen, vallen onder de wet. Nieuwe vormen van overheidstoezicht zijn in het leven geroepen. En organisaties die onder de WBNI vallen moeten security-incidenten, die ‘aanzienlijke gevolgen’ voor hun dienstverlening hebben, bij de overheid melden.

Op naar een nieuwe NIB-richtlijn…

Deze WBNI is de Nederlandse implementatie van Europese wetgeving, de zogeheten Europese NIB-richtlijn uit 2016. Inmiddels – nu zo’n vijf jaar verder – heeft de Europese Commissie geconstateerd dat deze Europese wetgeving stevig aangepast moet worden. Dit vooral met het oog op een verdere versterking van de cyberbeveiliging in de EU. Daarom is er onlangs een ingrijpend tekstvoorstel voor een nieuwe NIB-richtlijn van meer dan honderd pagina’s gepubliceerd. Als de Europese Commissie haar zin krijgt, dan wordt een fors aantal nieuwe cybersecurity-regels op de samenleving afgevuurd. Met als gevolg dat de investeringen in cybersecurity stevig moeten worden opgekrikt.

De Nederlandse overheid verwelkomt weliswaar een groot deel van die regels, maar staat – terecht – ook erg kritisch tegenover enkele initiatieven. Het Europese wetgevingstraject moet goeddeels nog worden doorlopen, maar nu al is het verstandig om stil te staan bij de voorgenomen veranderingen. Uit de forse set van de voorgestelde regels pik ik er hier enkele uit.

Kring van partijen

Een ingrijpende wijziging betreft de kring van organisaties die onder de komende NIB-richtlijn gaan vallen. Die kring wordt aanzienlijk verruimd en de vrijheid van de nationale wetgevers om daarin eigen keuzes te maken wordt danig beperkt. Talloze maatschappelijke sectoren, zoals de content-sector, de voedselindustrie, universiteiten, laboratoria, producenten van medische apparatuur, partijen die werkzaam zijn op het gebied van waterafval en vele anderen worden door de nieuwe regels geadresseerd.

De nieuwe richtlijn wordt ook van belang voor een groter aantal partijen uit de centrale en decentrale overheidssfeer. De reikwijdte van de digitale dienstverleners voor wie de nieuwe NIB-richtlijn van toepassing is, wordt enerzijds uitgebreid (bijv. met datacenters) en anderzijds gemoderniseerd vanwege eigentijdse ontwikkelingen in de Cloud-dienstverlening (zoals ‘edge computing’).

Om de grote mate van vrijblijvendheid van de regelgeving weg te nemen, verlangt de komende NIB-richtlijn bovendien dat partijen, die er onder vallen, zich vooraf aanmelden bij ENISA. Dit Europees Agentschap voor Cyber Security bestaat sinds 2004. Zoiets kennen we in Nederland nu nog niet.

Extra zorg- en meldplichten bij IT-security

Een andere verandering: de reeds bestaande wettelijke verplichting om passende technische en organisatorische maatregelen te nemen om netwerken en informatiesystemen te beveiligen, zal worden uitgebreid. Er worden minimumregels toegevoegd waar organisaties die onder NIB-richtlijn vallen, hoe dan ook aan moeten voldoen. Daarbij kan worden gedacht aan de beveiliging van de toeleveringsketen en afhandeling van incidenten.

De Europese Commissie mag daar zelf extra concrete maatregelen aan toevoegen. Aan zogeheten ‘essentiële entiteiten’, de meest vitale onderdelen van de samenleving, kunnen voor het aanbieden en gebruiken van nieuwe ICT-producten en ICT-diensten bovendien wettelijke certificeringsverplichtingen worden opgelegd.

Deze nieuwe cybersecurity wetgeving moet, meer dan nu het geval is, bevorderen dat cybersecurity naar een hoger niveau wordt getild.

Zoals gezegd bestaat er nu al voor organisaties bij ernstige cyberincidenten die de dienstverlening verstoren een meldplicht tegenover de overheid. Voor alle duidelijkheid, de Europese meldplicht verschilt van de meldplicht uit het privacyrecht (AVG).

De voorgenomen richtlijn beoogt een extra uitbreiding naar  klanten en opdrachtgevers. Als een cyberincident vermoedelijk het gevolg is van zwaar crimineel gedrag, dan moedigt de commissie het doen van aangifte bij opsporingsautoriteiten aan. Europol en ENISA moeten in dat verband een sterkere faciliterende rol krijgen.

Overheidstoezicht versterkt

Nog een andere wijziging. Onder de komende richtlijn krijgt de overheid een sterkere positie bij het uitoefenen van toezicht op marktpartijen en overheden. Nationale overheden krijgen nieuwe verplichtingen voor internationale samenwerking opgelegd. Een voorbeeld daarvan is de verplichting om periodiek informatie aan ENISA te verstrekken over kwetsbaarheden in ICT-producten en netwerken.

Alhoewel er al sinds jaar en dag de welbekende, in de softwarewereld veelgebruikte CVE-lijst (Common Vulnerabilities and Exposures) uit de Verenigde Staten bestaat, heeft de Europese Commissie het plan om tot een eigen lijst te komen. Vraag je het mij, dan is, gegeven de status van de bestaande CVE-lijst, zoiets een tamelijk nutteloos en onnodig kostbaar initiatief.

De Europese Commissie beoogt in het voorstel aan bepaalde marktpartijen (zoals Cloudproviders en andere “essentiële entiteiten”) een zogeheten ex-ante toezicht te gaan opleggen: toezicht vooraf. In het streven dat deze vorm van toezicht de vrijblijvendheid stevig vermindert, ga je als organisatie dus vooraf met je billen bloot. Een ander deel van de marktpartijen krijgt slechts met toezicht achteraf te maken, bijvoorbeeld naar aanleiding van een stevig security-incident.

Bestuurdersaansprakelijkheid

Ten slotte: als de Europese Commissie het voor het zeggen krijgt, dan gaat de komende NIB-richtlijn ook voorzien in een extra zware vorm van aansprakelijkheid. De bestuurders van organisaties, die tekortschieten in het naleven van de nieuwe NIB-verplichtingen, draaien met hun privévermogen op voor financiële claims.

De regeling daaromtrent is juridisch krakkemikkig vormgegeven en overbodig. Vooral vanwege het reeds bestaande juridische instrumentarium om bestuurders in hun nekvel te grijpen. De Nederlandse regering vindt met betrekking tot deze nieuwe richtlijn dat de bestuurdersaansprakelijkheid buiten redelijke proporties is.

Ik deel de visie van onze regering voor de volle 100%. De toekomst moet echter uitwijzen of dit onderdeel de zware kritiek gaat overleven.

Cybersecurity wetgeving als vakgebied

De voorgenomen NIB-richtlijn heeft de bedoeling de piketpaaltjes op het gebied van ICT- en netwerkbeveiliging op zeer drastische wijze te verplaatsen. Dat vraagt dus om aandacht en een kritische houding van bestuurders, IT- en securityprofessionals en juristen Cybersecurity-recht: een jong vakgebied dat volop in ontwikkeling is. Werk aan de winkel!