Stel een vraag Maak een afspraak
+31 (0)20 2060700info@devos.nl
1.3
Over

Over de Vos & Partners

PERSOONLIJK, BETROKKEN, TOEGANKELIJK, PRAKTISCH, CREATIEF, INNOVATIEF, VERBINDEND, INTEGER.

Niet moeilijk doen als het makkelijk kan: zo werken we het liefst en dat leidt tot langdurige en goede relaties met onze vele ondernemende cliënten. Van grote merken tot startups: iedereen kan bij ons terecht.

Wij zijn creatieve advocaten voor dynamische ondernemingen. Wij werken graag voor ondernemers en we nemen het begrip ondernemer ruim. Wij worden vooral blij van de samenwerking met ondernemers die in hun sector maken, creëren en innoveren. Zo behartigen wij voor de creatieve industrie veel zaken op het gebied van entertainment, muziek, merken, kunst en cultuur. Wij zijn voorts sterke partners voor gerenommeerde cliënten in handel en industrie, het MKB, de reisbranche, het vastgoed, de zakelijke dienstverlening en de sportsector. Wij helpen bedrijven bij hun ontwikkelingen en adviseren hen met visie en strategie bij complexe problemen. Kijkt u vooral eens bij de sectoren die wij bedienen en die wij een brede juridische dienstverlening aanbieden. Lees meer

Expertises

Expertises

Uitgelichte expertise • Creatieve industrie

Creatieve industrie

De topsector Creatieve Industrie is een van de snelst groeiende sectoren van de Nederlandse economie. Deze sector is ontstaan tussen de traditionele sectoren van de economie (landbouw, industrie en dienstverlening) en de cultuursector. De creatieve sectoren (zoals design, dance, media en entertainment, mode, gaming en architectuur) zorgen ervoor dat steden aantrekkelijker worden, er meer ondernemingen worden gestart en de werkgelegenheid groeit. Bovendien is de creatieve sector een aanjager van innovatie en levert de creatieve industrie oplossingen voor maatschappelijke uitdagingen. De creatieve industrie is in Nederland traditiegetrouw het sterkst vertegenwoordigd in Amsterdam. Maar cliënten uit opkomende creatieve steden, zoals Eind...

Cliënten

010 Bookings
Achmea Rechtsbijstand
Adobe
Amsterdams Fonds voor de Kunst
Afrojack
Andre Rieu
Anita Doth
ARAG
Armada
Audentity
Automotive
Avalon
Bakermat
BCMM
Biem
Bizon onstage
Broederliefde
Burak Yeter
Cloud9
Converse
Daily Paper
DAS
David Lewis
Deckers
De Gedachtendokter
Duncan Lawrence
&V
Fedde Legrand
Fifpro
FNV
Global DJ bookings
Golden Earring
Grand mono
Hans van Hemert productions
Het Nieuwe Instituut
Het Scheepvaartmuseum
Hortipoint
Houseoftracks
Ice Watch
Interact Law
ITDS
ITV media
Jayh Jawson
Jiskefet
Joyce Mercedes
Karsu
Kensington
Kvadrat
Lolbarz
Luxottica
Madurodam
Tabitha
Microsoft
Museumkaart
Museumvereniging
NDC
Nedfilm
Nevlin
Nicky Romero
NLCR
NMUV
NOVU
Oostappen
Parachute Music
PS FM
Quintino
Radio 8FM
Radio NL
Ray-Ban
Royal Air Maroc
SEFA
Sena
Showtek
Si Music
Sorted management
Sound Education Nederland
Soundscape
Stars Agency
Stern
Studio Drift
Style School ByDanie
Symbol Music Publishing
Tiesto
UGG
VMN
Warner Music Group
Will Knox
Nieuws

Laatste nieuws

07-06-2021 - door Joris Lensink

Monopoly vs. Drinkopoly

Volgens de Oxford English and Spanish Dictionary is de definitie van ‘evergreening’: “the action or process of renewing or updating something, especially on an ongoing basis; the action or process of making something permanent or long-lasting”.  Een merk kan nietig worden verklaard als het niet binnen vijf jaar na inschrijving normaal wordt gebruikt voor de waren en diensten waarvoor merk werd geregistreerd. Er zijn echter bedrijven die deze regel omtrent ‘normaal gebruik’ proberen te omzeilen door dezelfde merken opnieuw te registreren, omdat bij een nieuwe registratie steeds weer een nieuwe termijn van vijf jaar gaat lopen. Aldus houdt een merkhouder door deze ‘nieuwe’ registraties zijn registratie in stand, zonder dat het merk wordt gebruikt binnen de vijf jaar die daar voor staat. Deze praktijk noemen we ‘evergreening’. In een arrest van 21 april 2021 (T-663/19 - Hasbro, Inc. tegen EUIPO) heeft het Gerecht van de EU een eerdere beslissing van de kamer van beroep van het EUIPO bekrachtigd over deze “evergreening”. Deze beslissing is het gevolg van een procedure die in 2011 was aangespannen door de Kroatische onderneming Kreativni Događaji, de producent van het bordspel DRINKOPOLY, in een poging de EU-merkinschrijving van Hasbro voor MONOPOLY ongeldig te laten verklaren op grond van kwade trouw. Het Gerecht is van oordeel dat Hasbro inderdaad te kwader trouw heeft gehandeld door opnieuw een aanvraag in te dienen voor haar merk MONOPOLY voor waren en diensten van de klassen 9, 16, 28 en 41 in de EU, met de enige bedoeling te ontkomen aan de verplichting om het normale gebruik van het merk aan te tonen. Voor het Gerecht speelde mee dat medewerkers van Hasbro tijdens de zittingen hebben verklaard dat Hasbro haar merken steeds opnieuw registreerde om in procedures geen bewijs van gebruik te hoeven aanleveren. Het Gerecht oordeelde dat het handelen van Hasbro in strijd is met de doelstellingen van de EU-Merkenverordening nr. 207/2009. Let wel; het Gerecht heeft niet gezegd dat het opnieuw registreren van merken per definitie een bewijs is van kwade trouw; elk geval zal op zijn (eigen) merites moeten worden beoordeeld. De beslissing van het Gerecht is echter wel een belangrijke slag voor de omstreden praktijk van evergreening. Het is belangrijk voor merkeigenaren om kennis te nemen van deze uitspraak vanwege de impact op kwesties van normaal gebruik en kwade trouw in het EU-merkenrecht. Of u nu zelf nadenkt over de her-inschrijving van een merk, om welke reden dan ook, of dat u geconfronteerd wordt met een partij vermoedelijk het EU-Merkenregistratiesysteem misbruikt, is het belangrijk de kwestie van kwade trouw in overweging te nemen. Ook Hasbro had wellicht een aantal van de problemen in deze procedure kunnen voorkomen door haar goede trouw aan te tonen en bewijs te overleggen van het ‘normaal gebruik’  van haar merken. Onze advocaten van de sectie Intellectueel Eigendom denken in dergelijke gevallen graag met u mee.

Lees meer

28-05-2021 - door Margriet Koedooder

Wat is het verschil tussen een schriftelijke en een elektronische handtekening als het gaat om de overdracht of exclusieve licentie van muziek(uitgave)rechten?

Inleiding Regelmatig heb ik in mijn praktijk te maken met de overdracht van auteursrechten. Ook word ik regelmatig betrokken bij het verlenen van een exclusieve licentie door de ene partij aan de andere partij. De vraag is dan: welke eisen gelden er voor een rechtsgeldige overdracht en voor het rechtsgeldig verstrekken van een exclusieve licentie? Op deze vraag ga ik hieronder wat dieper in. Persoonlijkheidsrechten Auteursrechten en naburige rechten zijn overdraagbaar. Dat blijkt uit de Auteurswet en de Wet Naburige Rechten. Niet alle onderdelen van een auteursrecht zijn overdraagbaar. Zo blijft bij de maker van een werk altijd het persoonlijkheidsrecht om zich te kunnen verzetten tegen verminkingen van zijn of haar werk. Van dit recht kan de maker geen afstand doen. Ook al kom ik in contracten regelmatig tegen dat de maker afstand doet van alle persoonlijkheidsrechten, voor het recht om je te verzetten tegen verminkingen geldt dat niet. De regeling is van dwingend recht en geldt ook voor artiesten, oftewel uitvoerende kunstenaars. Eisen overdracht Wil van een rechtsgeldige overdracht van een auteursrecht of een naburig recht sprake kunnen zijn, dan moet er aan drie eisen worden voldaan: Er moet sprake zijn van een geldige titel, oftewel een onderlinge rechtsverhouding tussen de overdrager en de partij die overgedragen krijgt; De overdrager moet daadwekelijk over de rechten kunnen beschikken en dus zelf écht de eigenaar ervan zijn, in andere woorden: beschikkingsbevoegd zijn; De auteursrechten of naburige rechten moeten daadwerkelijk zijn geleverd. Het verstrekken van een niet-exclusieve licentie oftewel gebruikstoestemming aan een partij, kan nog steeds mondeling. Maar voor de overdracht en de exclusieve licentie vereist de Auteurswet en de Wet Naburige Rechten (WNR) een ‘daartoe bestemde akte’, oftewel een akte, waaruit de levering blijkt. Maar wat is een akte? Een akte is een geschrift, dat is ondertekend door de overdragende partij. De wetgever wil de maker of uitvoerend kunstenaar door het stellen van deze schriftelijkheidseis met name een moment geven om even goed na te denken over de beoogde transactie. Op die manier kunnen te lichtvaardige acties van de maker of artiest worden voorkomen, zo is de gedachte. Sinds de invoering van de Wet Auteurscontractenrecht per 1 juli 2015, is de auteur en de artiest volgens de wetgever een ‘zwakke partij’ die moet worden beschermd tegen de ‘sterke’ exploitanten. Grijs repertoire In de periode voor de uitvinding van de computer, was het voor een ieder wel duidelijk wat een geschrift was. Een ieder begrijpt dat het dan gaat om papier waarop tekst staat en waar – wil sprake zijn van een akte - een handtekening onder staat. Een ondertekend papier is nodig, doordat auteursrechten en naburige rechten heel erg lang meegaan en het ondertekende papier dient tot bewijs van de overdracht of licentie. Zo’n geschrift moet dus gedurende lange tijd raadpleegbaar zijn. In de praktijk gaat dat bij oudere werken wel eens mis. Documenten van meer dan vijftig jaar geleden zijn lang niet altijd gedigitaliseerd opgeslagen zodra dat kon en raken dan wel eens zoek bij een verhuizing, worden vernietigd door een brand of raken om andere redenen kwijt. Het gevolg daarvan is dat – mocht het op enig moment nodig zijn – de rechthebbende zijn ‘titel’ niet meer kan bewijzen. In de muziekindustrie is er best wel veel ‘grijs repertoire’ om deze redenen, oftewel repertoire waarvan het niet (meer) zeker is of betwist kan worden wie de echte rechthebbende is. Elektronisch akte De wetgever heeft dankzij de opkomst van de computer en het internet voorzien in een elektronische variant van de ‘akte’. In artikel 156a Rv staat daarover het volgende: Artikel 156a Lid 1 Onderhandse akten kunnen op een andere wijze dan bij geschrift worden opgemaakt op zodanige wijze dat het degene ten behoeve van wie de akte bewijs oplevert, in staat stelt om de inhoud van de akte op te slaan op een wijze die deze inhoud toegankelijk maakt voor toekomstig gebruik gedurende een periode die is afgestemd op het doel waarvoor de akte bestemd is te dienen, en die een ongewijzigde reproductie van de inhoud van de akte mogelijk maakt. Lid 2 Aan een wettelijke verplichting tot het verschaffen van een onderhandse akte kan alleen op een andere wijze dan bij geschrift worden voldaan met uitdrukkelijke instemming van degene aan wie de akte moet worden verschaft. Een instemming ziet, zolang zij niet is herroepen, eveneens op het verschaffen van een gewijzigde onderhandse akte. Het in de eerste zin van dit lid bepaalde lijdt uitzondering indien de akte eveneens is ondertekend door degene aan wie de akte op grond van de wet moet worden verschaft. Deze regeling betekent in de praktijk, dat een door bijvoorbeeld de koper van een auteursrecht op een werk per fax of email ontvangen document, waaruit de instemming van de auteursrechthebbende blijkt met de verkoop, als zo’n elektronische akte kan gelden. Daarnaast is er een wettelijke regeling van de elektronische handtekening (artikel 3:15a BW) en van de overeenkomst die langs elektronische weg tot stand is gekomen (artikel 6:227a BW). Handtekening Maar er dient – wil sprake zijn van een geldige levering - niet alleen sprake te zijn van een ‘geschrift’ maar ook van een handtekening. Vroeger ging het dan dus altijd om een schriftelijke handtekening, maar tegenwoordig bestaan er ook drie soorten elektronische handtekeningen die in de wet zijn geregeld, te weten: De gewone elektronische handtekening; De geavanceerde elektronische handtekening; De gekwalificeerde elektronische handtekening. Aan de gewone elektronische handtekening worden weinig (technische) eisen gesteld, maar de betreffende handtekening moet wel voldoende betrouwbaar zijn. Aan de andere twee soorten handtekeningen worden hogere eisen gesteld. Voor de rechtsgeldige levering van de rechten op een werk of een prestatie van een artiest, kan met een gewone elektronische handtekening worden volstaan als de gebruikte methode ‘voldoende betrouwbaar’ is. Wanneer dat wel en niet het geval is, is voor discussie vatbaar. Vandaar dat veel professionals kiezen voor de ‘geavanceerde elektronische handtekening’. Daarvoor is veel software beschikbaar op de markt. Een veel gebruikt programma voor de elektronische ondertekening van contracten en documenten is bijvoorbeeld Docusign. Praktijk In de dagelijkse muziekpraktijk komt het heel vaak voor, dat overdrachten en licenties plaatsvinden door: Ondertekening door beide partijen van een print van een elektronisch document; Het maken van een scan van die ondertekende print; Het versturen van de scan naar de wederpartij. Of daarmee écht is voldaan aan alle wettelijke eisen staat echter ter discussie. Nu gaat het in heel veel gevallen goed, doordat niemand een beroep doet op de ongeldigheid van de overdracht of exclusieve licentie. Maar een partij zou dat wel kúnnen doen. De straf op een ongeldige levering is dat de wederpartij de nietigheid of de vernietigbaarheid van de transactie kan inroepen. Wordt zo’n beroep terecht gedaan, dan heeft de (ver)nietig(baar)heid) terugwerkende kracht en dat kan enorme gevolgen hebben. Digitale platforms In de dagelijkse praktijk worden ook veelvuldig rechten op muziekwerken min of meer automatisch overgedragen of exclusief in licentie gegeven door middel van het uploaden van de eigen muziek naar een digitaal platform, bijvoorbeeld Beatstars. Hierover heb ik al eens eerder een artikel geschreven. Ik vermoed dat dergelijke transacties naar Nederlands recht vrijwel altijd vernietigbaar zullen blijken te zijn, maar dat kan voor de maker die ondoordacht een werk heeft geupload, welk werk ineens ontzettend populair blijkt te zijn worden, dan vooral een zegen zijn. Dit vanwege de mogelijkheid als maker en artiest om de transactie alsnog te vernietigen vanwege de ongeldigheid van de elektronische handtekening. Een geluk bij een ongeluk, zeg maar. Tekst: Margriet Koedooder De Vos & Partners Advocaten, Amsterdam Hèt advocatenkantoor voor de creatieve industrie  

Lees meer

28-05-2021 - door Laurens Jolink

De Europese Superleague; hoe nu verder?

Onverwacht: een nieuwe Europese “super” competitie Op maandag 19 april jl. kwamen voor het eerst berichten naar buiten over de gemeenschappelijke verklaring van twaalf Europese topclubs waarin werd aangekondigd dat zij een Europese Super League zouden beginnen. De Europese Super League zou een alternatief moeten worden voor de Champions League. De twaalf Europese topclubs bestonden uit Liverpool, Manchester City, Manchester United, Arsenal, Tottenham Hotspur, Chelsea, FC Barcelona, Real Madrid, Atletico Madrid, AC Milan, Internazionale en Juventus. De bedoeling was dat er uiteindelijk twintig clubs zouden deelnemen aan de Europese Super League: de vijftien clubs die de nieuwe competitie hadden opgericht en vijf clubs die zich konden kwalificeren op basis van de prestaties in het voorgaande seizoen. Het idee achter de Europese Super League was het generen van meer inkomsten. De verwachting was dat de oprichters een bedrag van 10 miljard euro zouden genereren gedurende de periode dat de clubs zich aan het project zouden verbinden. Het nieuws over de Europese Super League sloeg in als een bom bij de rest van de voetbalwereld. Zowel bij de supporters, de UEFA (de organisatie achter de Champions League) en de clubs die niet waren betrokken bij de oprichting. Op donderdagochtend 22 april jl. drongen er zelfs boze supporters het trainingscomplex van Manchester United binnen om hun ongenoegen te uiten over de plannen voor de Europese Super League.(1) De UEFA publiceerde kort na het nieuws een statement op haar website: “Wij zullen alle middelen die voor ons beschikbaar zijn, op alle niveau’s, zowel gerechtelijk als sportief, inzetten om een Super League te voorkomen. Zoals aangekondigd door de FIFA en de zes bonden, zullen betrokken clubs worden verbannen van iedere andere competitie, zowel op nationaal en internationaal niveau. Hun spelers kunnen de kans ontnomen worden om voor hun nationale team uit te komen”.(2) Vooral het dreigement dat de spelers de kans kon worden ontnomen om voor hun nationale team uit te komen zaaide veel paniek aangezien de eerste wedstrijd van het EK 2021 (EURO 2020) op vrijdag 11 juni 2021 gepland staat. Door de dreigementen van de UEFA en de boze reacties van de supporters haakte gaandeweg steeds meer van de twaalf oprichters af bij de voortzetting van de Europese Super League. De meest prangende vraag in de voetbalwereld bleek: “Kunnen de UEFA, FIFA en de nationale voetbalbonden de twaalf Europese topclubs en hun spelers uitsluiten van competities en toernooien?”. Om deze vraag beter te kunnen beantwoorden is het handig om eens te kijken naar de juridische structuur van de voetbalwereld. Verenigingsrechtelijke structuur in de voetbalwereld De structuur in de voetbalwereld is gebaseerd op het verenigingsrecht en kan het best worden uitgebeeld in de vorm van een piramide. Bovenaan de piramide staat de internationale organisatie voor het voetbal, de Fédération Internationale de Football Association (hierna: “FIFA”). De FIFA organiseert de wereldkampioenschappen voor nationale teams: het WK. Ook heeft de FIFA een grote invloed op aanpassingen in de spelregels van het voetbal. De FIFA heeft zes leden bestaande uit de zes continentale voetbalbonden (Azië, Afrika, Zuid-Amerika, Noord-Amerika, Oceanië en Europa). Het Europese lid van de FIFA is de Union of European Football Associations (hierna: “UEFA”). De UEFA organiseert de Europa League en de Champions League voor de aangesloten (Europese) nationale voetbalbonden. De nationale voetbalbond van Nederland, de KNVB, is ook aangesloten bij de UEFA. De Nederlandse clubs (professioneel- en amateurniveau) zijn aangesloten bij de KNVB. Dit is de reden dat de Nederlandse clubs zich kunnen kwalificeren voor de Europese competities de Europa League en de Champions League. De regels of maatregelen die de FIFA wenst door te voeren ten aanzien van een voetbalclub kan zij dus in beginsel bewerkstelligen via de verenigingsstructuur die vanaf de FIFA doorwerkt via de continentale voetbalbond en de nationale voetbalbond naar de aangesloten voetbalclub. Echter geniet de FIFA (en de continentale voetbalbonden zoals de UEFA) geen onbeperkte vrijheid in het opstellen van haar beleid. Beperking van de beleidsvrijheid Aangezien het oprichten van de nieuwe “super” league zich in Europa afspeelt, zal ik mij enkel in dit artikel enkel richten tot de beperking van de beleidsvrijheid ten aanzien van de UEFA. Ten eerste kan de beleidsvrijheid van de UEFA beperkt worden door de FIFA op basis van de verenigingsstructuur zoals eerder vermeld. Daarnaast heeft de UEFA niet enkel met het verenigingsrecht rekening te houden – en de daarbij behorende reglementen en statuten – maar ook met het Europese recht. Daarom dient ook te worden beoordeeld of een besluit van de UEFA in overeenstemming is met het Europese recht. Indien het verenigingsrecht in strijd is met het Europese recht, dan prevaleert in principe het Europese recht. Indien wordt gesteld dat het besluit van de UEFA in strijd is met het Europese recht en de twaalf oprichters wensen hierover te procederen, dan zal het Europese Hof zich over deze kwestie buigen. Vergelijkbare zaak: ISU vs. KNSB Een vergelijkbare zaak is de zaak tussen de International Skating Union (hierna: “ISU”) en de Koninklijke Nederlandse Schaatsbond (“KNSB”).(3) Het Europese Hof heeft op 16 december 2020 uitspraak gedaan in deze zaak. In het kort ging het in deze zaak om een levenslange schorsing die de ISU wilde opleggen aan twee schaatsers vanwege het voornemen van de schaatsers om deel te nemen aan een competitie die buiten de ISU om was georganiseerd. Het Europese Hof oordeelde dat de maatregel van een levenslange schorsing in strijd was met de mededingingsregels van de Europese Unie ex artikel 101 van het Verdrag betreffende de Werking van de Europese Unie (hierna: “VWEU”). In hoofdlijnen is de zaak vergelijkbaar, maar uiteraard zullen de UEFA en de twaalf oprichters van de Europese Super League andere standpunten en overwegingen naar voren brengen dan de ISU en de schaatsers hebben gedaan. Het kan dus goed zijn dat het Europese Hof in de zaak tussen de UEFA en de twaalf oprichters van de Europese Super League anders beslist. Een verschil in de zaak tussen de UEFA en de twaalf oprichters van de Europese Super League is bijvoorbeeld dat er vijftien clubs bij de Europese Super League altijd verzekerd zouden zijn van deelname. Slechts vijf teams zouden mee kunnen doen aan de Europese Super League op basis van een kwalificatiesysteem. Op basis van artikel 165 van het VWEU dient de openheid van de sport te worden bevorderd. Je zou je kunnen afvragen of het openstellen van vijf “kwalificatieplekken” voldoende openheid geeft. Conclusie Het is nog maar de vraag of de geuite dreigingen en voorgenomen maatregelen van de UEFA stand zouden houden in een eventuele gerechtelijke procedure. Maatregelen moeten op basis van het Europese recht proportioneel zijn voor een legitiem doel. In deze kwestie gaat het vooral om een economisch doel. Wellicht zou de UEFA kunnen betogen dat het oprichten van de Europese Super League nadelige gevolgen zou hebben voor de andere Europese clubs. Of wellicht dat een Europese Super League afbraak zal doen aan het sportieve en financiële stelsel van de Europa League en de Champions League, die voor elke Europese voetbalclub gelijke rechten en kansen proberen te creëren. Dergelijke verweren zullen echter kritisch worden beoordeeld door de Europese rechter. Huidige stand van zaken Na de grote ophef trokken Arsenal, AC Milan, Chelsea, Atlético Madrid, Internazionale, Liverpool, Manchester City, Manchester United en Tottenham Hotspur zich terug uit de Europese Super League. De dreigementen van de UEFA hebben dus effect gehad. De negen clubs hebben zich officieel weer geschaard achter de UEFA. Ze hebben daarnaast ingestemd met een goodwill-boete van vijftien miljoen euro, die ten goede komt aan jeugdvoetbal. Ook krijgt de UEFA van deze clubs 5% van alle Europese inkomsten van volgend seizoen. Deze maatregelen kan de UEFA zonder enige problemen opleggen omdat de desbetreffende negen clubs met de maatregelen hebben ingestemd. FC Barcelona, Real Madrid en Juventus weigeren echter afstand te doen van de Europese Super League. De UEFA heeft na een onderzoek van amper twee weken aangekondigd dat er een tuchtprocedure wordt gestart. Wellicht op korte termijn duidelijk zijn wie er aan het langste eind trek; de UEFA of de drie overgebleven oprichters van de Europese Super League. Een Spaanse rechter wil overigens van het Hof van Justitie van de Europese Unie weten of de FIFA en UEFA hun machtsposities hebben misbruikt bij het tegenwerken van de Super League. Het verzoek is afkomstig van de Ondernemingskamer van Madrid.(4) Dit zal ook leiden tot een interessante uitspraak. To be continued…

Lees meer

27-05-2021 - door Jasper Hulsebosch

Draft proposal for the cybersecurity directive ‘NIS2’

“More companies subject to EU cybersecurity legislation, CSP’s subject to stricter regime & new provisions on incident reporting and administrative sanctions”  I. NIS Directive: first piece of EU-wide cybersecurity legislation The safety and security of network and information systems are important elements for the European Commission in realising an internal digital market. For that purpose, in 2016 the ‘Network and Information Security Directive’ (NIS Directive) entered into force. The NIS Directive aims at harmonising security requirements and encouraging cooperation. The NIS Directive applies to ‘network and information systems’ (incl. the Internet and a company’s ICT infrastructure), and addresses the following two groups: ‘Operators of essential services’ (OES) and ‘Digital service providers’ (DSP). OESs are public or private entities that provide services that are essential for the maintenance of critical societal and/or economic activities, for which they depend on network and information systems, and on which provision of services an incident would have significant disruptive effects. The NIS Directive lists the sectors providing essential services: energy, transport, banking, the infrastructure of financial markets, the health sector, drinking water supply and distribution and digital infrastructure. It is up to the Member States to designate the entities that will qualify as operators of essential services. DSPs are divided into providers of online marketplaces, online search engines and cloud computing services. This group is not further specified and the Member States do not have to designate digital service providers. Every ‘large’ company operating as a DSP (with >50 employees and/or 10+ million turnover) falls within the scope of the NIS Directive. In summary, the NIS Directive stipulates that OESs and DSPs must take appropriate and proportionate technical and organisational measures to adequately protect their ICT, and notify incidents with significant effects to the competent authority or the Computer Security Incident Response Team (CSIRT). Please do note in this context that the NIS Directive does not only address wilful attacks (like hacking) but also ICT incidents caused by human error or incidents that endanger the availability of data or services. The NIS Directive seeks minimum harmonisation, which means that the Member States must transpose their national laws to comply with the minimum requirements of the Directive but still have the possibility to pursue a higher level of protection. In the Netherlands the ‘Network and Information Security Systems Act’ (Wbni) has transposed the NIS Directive into Dutch law. The NIS Directive raised questions about the identification of OESs and DSPs (thus its ‘scope’) as result of which implementation proved difficult. That in combination with the increased dependence on information technology especially since Covid19, evaluation of the NIS Directive was necessary. II. Draft proposal NIS2 The European commission ran an open public consultation to evaluate the NIS Directive. One of the main conclusions was the lack of a harmonized approach, resulting in significant inconsistencies in the way Member States draw up lists of OESs and DSPs. As a result, companies of the same type might be identified as an OES or DSP in one Member State but not in another Member State, and thus being excluded from the scope of the NIS Directive depending on the Member State in which they operate and have their main office. For instance, a major hospital in a Member State is not considered an OES and therefore not required to take security measures and report IT-incidents whilst a similar large hospital located in another Member State falls under the NIS Directive and is subject to the security and notification obligations. Also, the supervision and enforcement regime of the NIS Directive proved to be ineffective. To further enhance the level of cybersecurity in the EU, the European Commission presented the ‘NIS2’ which eventually would repeal and replace the NIS Directive. The NIS2 makes systemic and structural changes to the current NIS Directive, such as: significantly extending the scope of the NIS Directive, by among others adding new sectors such as telecoms, social media platforms and the public administration; *removing the distinction between OESs and DSPs, and replacing by ‘Essential Entities’ and ‘Important Entities’ (both categories subjected to different supervisory regimes); * there is no ‘size cap’; all medium-sized and large companies active in the sectors covered by the NIS2 would automatically need to comply with the security rules; more strict cybersecurity measures, by including a list of 7 basic security elements which companies must address or implement (e.g. incident handling, supply chain security and use of cryptography and encryption); it recognizes the importance of ‘Internet of Things’ (IoT), by addressing cybersecurity of the ICT supply chain and supplier relationships by requiring individual companies to address cybersecurity risks in supply chains and supplier relationships; more precise provisions on incident reporting (including a two-stage approach by filing an initial report within 24 hours after becoming aware of an incident followed by a final report one month later); a minim list of administrative sanctions in case an entity is in breach of the NIS2, including binding instructions, an order to implement recommendations provided as result of audits or administrative fines up to € 10 million or 2% of the entities’ total turnover worldwide; increasing information sharing and cooperation between Member State authorities; a European vulnerability registry providing access to information on the vulnerabilities of ICT products and services. The NIS2 is in its early stages and among others the European Parliament and the Council of the European Union have to take a position on it. Hopefully the NIS2 will be adopted end of 2021 or somewhere in the course of 2022 after which Member States need to transpose it into their national laws (likely within 18 months after the date of entry into force of the NIS2). III. Conclusion The draft proposal for the NIS2 extends the scope of the current NIS Directive, by adding new sectors and eliminating the size-cap. This would essentially mean that a larger group of companies could be subject to cybersecurity requirements laid down in the NIS and various national legislations. For instance, social media platforms and manufacturers of medical devices and computer, electronic and optical products are in the current draft considered as Important Entities and thus falling under the scope of the NIS2. In addition, the NIS2 provides for stricter cybersecurity measures, more precise provisions on incident reporting and a list of administrative sanctions. Interestingly, ‘cloud computing service providers’ (CSP’s) apparently are not included in the category DSP (which is currently the situation under the NIS Directive). According to the NIS2 those CPS’s are to be considered OES entities. That could mean that companies offering cloud services will become subject to fully-fledged supervisory regime (ex-ante and ex-post), with stricter rules on compliancy and security/notifying measures. Under the current NIS CSP’s are considered DSP’s facing a light supervisory regime (ex-post only). It’s clear that in the near future more and more companies will be subject to European and national cybersecurity legislation containing security measures and notification obligations. NIS2 might have the same ‘impact’ GDPR had back in May 2018…… For any further inquiries on this topic please do not hesitate to contact me at jhulsebosch@devos.nl or 020-2060734.

Lees meer



Copyright/Disclaimer © 2017 by De Vos & Partners N.V., Amsterdam, Nederland. All rights reserved. Website by Omelette Du Fromage