+31 (0)20 2060700info@devos.nl
Software, Internet & ICT

Software, Internet & ICT

De afgelopen decennia is ons leven door de ontwikkelingen in de ICT en software aanzienlijk veranderd. Wij maken de hele dag door gebruik van software en ICT diensten zoals ‘de cloud’ en de smartphone. De introductie van talloze nieuwe software en ICT diensten houdt niet meer op. Virtual reality wordt steeds reëler en de op handen zijnde nieuwe technologieën zoals blockchain of de ontwikkeling van supercomputers met kunstmatige intelligentie bieden een veelbelovend vooruitzicht.

RUIME INTERNATIONALE ERVARING

Juridische dienstverlening op het gebied van software en ICT vereist een diepgaande kennis van het recht, van techniek en vereist licentiekennis en kennis van de ICT-branche. Wij combineren deze kennis en kwaliteiten met een ruime internationale ervaring in deze branche. Die ervaring zetten wij in bij het oplossen van juridische problemen in de software en de ICT. Ook hebben wij een ruime ervaring in het procederen over de diverse facetten van software en softwarelicenties. De ‘cloud’ en clouddiensten vereisen hun eigen specialistische (branche)kennis. Ook die kennis en ervaring hebben wij in huis, evenals kennis over security en privacy. Wij voeren geregeld audits uit voor softwareproducenten en bij (beoogde) overnames en samenwerkingsovereenkomsten. Ook hebben wij veel ervaring bij het procederen en arbitreren in IT–geschillen (bijvoorbeeld bij het NAI en het de Stichting Geschillenoplossing Automatisering).

WAT DOEN ONZE ICT-ADVOCATEN?

Nieuwe ontwikkelingen roepen nieuwe juridische vragen op, wat veelal creatief juridisch denkwerk vraagt. Dat kunnen wij als geen ander. Wij stellen IT-contracten op, zoals licentie-, distributie-, systeemontwikkelings-, onderhouds-, outsourcingcontracten, en e-commerce contracten. Wij adviseren ook over softwarelicenties, onderhandelen over ICT-contracten en als het niet anders kan procederen wij over deze onderwerpen. Ook zijn wij actief op het gebied van software ontwikkeling, licentiering, onderhoud, outsourcing, de cloud, apps en e-commerce. Wij weten alles van softwarelicenties en van al hetgeen daar in de meest ruime zin mee samen gaat.

ONZE CLIËNTEN IN DE SOFTWARE EN ICT

Wij adviseren al meerdere decennia de grootste internationale bedrijven op het gebied van software en informatie- en communicatietechnologie (ICT). Maar wij helpen op dit gebied ook startups en het MKB in Nederland.



Recente blog berichten • Software, Internet & ICT

16-07-2021 - door Jasper Hulsebosch

Wetsvoorstel tot wijziging Nederlandse cybersecuritywet Wbni

Dreigingsinformatie nu ook bij andere aanbieders Introductie: Hof van Twente Eind vorig jaar was de gemeente Hof van Twente slachtoffer van een ransomware-aanval. Haar computersystemen waren platgelegd en pas na betaling van losgeld zouden de versleutelde bestanden weer worden vrijgegeven. De hackers zouden via het Remote Desktop Protocol zijn binnengekomen; een functie waarmee het mogelijk is om op afstand de controle over een andere pc over te nemen. De gebrekkige beveiliging van Hof van Twente had in een vroeg stadium met haar kunnen worden gedeeld door het Nationaal Cyber Security Centrum (NCSC), maar dat is uiteindelijk niet gebeurd mede vanwege privacy redenen. Om dergelijke onwenselijke situaties te voorkomen heeft de Minister van Justitie en Veiligheid Ferdinand Grapperhaus een voorstel ingediend tot wijziging van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Hieronder volgt een korte toelichting. Huidige Wbni: beperkte uitwisseling van informatie De Wbni is erop gericht de digitale weerbaarheid van Nederland te vergroten, de gevolgen van cyberincidenten te beperken en zo maatschappelijke ontwrichting te voorkomen. Op grond van de Wbni moeten onder meer ‘vitale aanbieders’ (zoals bijv. drinkwaterbedrijven) ernstige IT-incidenten melden bij het NCSC. Een van de hoofdtaken van het NCSC is dat zij die vitale aanbieders helpt bij het treffen van de juiste maatregelen om de continuïteit van hun diensten te waarborgen en hen te informeren en te adviseren over dreigingen en incidenten ten aanzien van hun netwerk- en informatiesystemen. Daarnaast mag het NCSC bepaalde dreigingsinformatie over andere aanbieders delen met een beperkte kring van organisaties (zijnde de CSIRT’s, de AIVD, de MIVD en bepaalde aangewezen computercrisisteams). Op grond van de huidige Wbni kan het NCSC dus dreigings- of incidentinformatie alleen rechtstreeks delen met vitale aanbieders of bepaalde organisaties. Dat dergelijke informatie niet ook met andere aanbieders kan worden gedeeld (zoals bijvoorbeeld verstrekking aan het Hof van Twente), is onder meer gelegen in het feit dat de data waarover het NCSC beschikt vaak ook bestaat uit persoonsgegevens (bijv. IP-adressen en e-mail adressen). Op grond van de AVG mag die data niet zomaar door het NCSC worden verstrekt aan derde partijen, en de huidige Wbni geeft hiervoor ook (nog) geen wettelijke grondslag. De huidige Wbni maakt het bovendien onmogelijk dat de NCSC vertrouwelijke gegevens die kunnen worden herleid tot een aanbieder, deelt met organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over digitale dreigingen en incidenten (‘OKTT’s’). Hierdoor kunnen aanbieders in de doelgroepen van deze OKTT’s niet altijd beschikken over de voor hen relevante informatie over IT-dreigingen of incidenten. Wetswijziging Wbni Met het wetsvoorstel wordt de Wbni onder meer aangepast zodanig dat: I. in bijzondere gevallen dreigings- en incidentinformatie rechtstreeks kan worden gedeeld met andere aanbieders (die geen vitale aanbieders zijn of onderdeel van de rijksoverheid); II. zonder instemming van andere aanbieders, vertrouwelijke gegevens die kunnen worden herleid tot die andere aanbieders (zoals namen) kunnen worden verstrekt aan OKTT’s. Hierdoor kan het NCSC in bijzondere gevallen (waarbij telkens aan de AVG zal worden getoetst) ook rechtstreeks informatie verstrekken aan andere aanbieders, zodat die partijen (tijdig) concrete maatregelen kunnen treffen om de continuïteit van hun eigen dienstverlening te waarborgen. Daarnaast worden ook OKTT’s in staat gesteld om vertrouwelijke tot aanbieders herleidbare informatie te ontvangen van het NCSC, en op basis daarvan de aanbieders in hun doelgroepen te informeren over voor hen relevante incidenten of dreigingen. Hierdoor wordt de digitale weerbaarheid van de Nederlandse samenleving verder vergroot, reden waarom ik de voorgestelde wijziging van de Wbni alleen maar kan toejuichen. Hopelijk wordt Wbni 2.0 snel realiteit. Meer weten over de cybersecurity regelgeving? Lees dan mijn andere artikelen over dit onderwerp en/of stuur mij een bericht (jhulsebosch@devos.nl).

Lees meer

27-05-2021 - door Jasper Hulsebosch

Draft proposal for the cybersecurity directive ‘NIS2’

“More companies subject to EU cybersecurity legislation, CSP’s subject to stricter regime & new provisions on incident reporting and administrative sanctions”  I. NIS Directive: first piece of EU-wide cybersecurity legislation The safety and security of network and information systems are important elements for the European Commission in realising an internal digital market. For that purpose, in 2016 the ‘Network and Information Security Directive’ (NIS Directive) entered into force. The NIS Directive aims at harmonising security requirements and encouraging cooperation. The NIS Directive applies to ‘network and information systems’ (incl. the Internet and a company’s ICT infrastructure), and addresses the following two groups: ‘Operators of essential services’ (OES) and ‘Digital service providers’ (DSP). OESs are public or private entities that provide services that are essential for the maintenance of critical societal and/or economic activities, for which they depend on network and information systems, and on which provision of services an incident would have significant disruptive effects. The NIS Directive lists the sectors providing essential services: energy, transport, banking, the infrastructure of financial markets, the health sector, drinking water supply and distribution and digital infrastructure. It is up to the Member States to designate the entities that will qualify as operators of essential services. DSPs are divided into providers of online marketplaces, online search engines and cloud computing services. This group is not further specified and the Member States do not have to designate digital service providers. Every ‘large’ company operating as a DSP (with >50 employees and/or 10+ million turnover) falls within the scope of the NIS Directive. In summary, the NIS Directive stipulates that OESs and DSPs must take appropriate and proportionate technical and organisational measures to adequately protect their ICT, and notify incidents with significant effects to the competent authority or the Computer Security Incident Response Team (CSIRT). Please do note in this context that the NIS Directive does not only address wilful attacks (like hacking) but also ICT incidents caused by human error or incidents that endanger the availability of data or services. The NIS Directive seeks minimum harmonisation, which means that the Member States must transpose their national laws to comply with the minimum requirements of the Directive but still have the possibility to pursue a higher level of protection. In the Netherlands the ‘Network and Information Security Systems Act’ (Wbni) has transposed the NIS Directive into Dutch law. The NIS Directive raised questions about the identification of OESs and DSPs (thus its ‘scope’) as result of which implementation proved difficult. That in combination with the increased dependence on information technology especially since Covid19, evaluation of the NIS Directive was necessary. II. Draft proposal NIS2 The European commission ran an open public consultation to evaluate the NIS Directive. One of the main conclusions was the lack of a harmonized approach, resulting in significant inconsistencies in the way Member States draw up lists of OESs and DSPs. As a result, companies of the same type might be identified as an OES or DSP in one Member State but not in another Member State, and thus being excluded from the scope of the NIS Directive depending on the Member State in which they operate and have their main office. For instance, a major hospital in a Member State is not considered an OES and therefore not required to take security measures and report IT-incidents whilst a similar large hospital located in another Member State falls under the NIS Directive and is subject to the security and notification obligations. Also, the supervision and enforcement regime of the NIS Directive proved to be ineffective. To further enhance the level of cybersecurity in the EU, the European Commission presented the ‘NIS2’ which eventually would repeal and replace the NIS Directive. The NIS2 makes systemic and structural changes to the current NIS Directive, such as: significantly extending the scope of the NIS Directive, by among others adding new sectors such as telecoms, social media platforms and the public administration; *removing the distinction between OESs and DSPs, and replacing by ‘Essential Entities’ and ‘Important Entities’ (both categories subjected to different supervisory regimes); * there is no ‘size cap’; all medium-sized and large companies active in the sectors covered by the NIS2 would automatically need to comply with the security rules; more strict cybersecurity measures, by including a list of 7 basic security elements which companies must address or implement (e.g. incident handling, supply chain security and use of cryptography and encryption); it recognizes the importance of ‘Internet of Things’ (IoT), by addressing cybersecurity of the ICT supply chain and supplier relationships by requiring individual companies to address cybersecurity risks in supply chains and supplier relationships; more precise provisions on incident reporting (including a two-stage approach by filing an initial report within 24 hours after becoming aware of an incident followed by a final report one month later); a minim list of administrative sanctions in case an entity is in breach of the NIS2, including binding instructions, an order to implement recommendations provided as result of audits or administrative fines up to € 10 million or 2% of the entities’ total turnover worldwide; increasing information sharing and cooperation between Member State authorities; a European vulnerability registry providing access to information on the vulnerabilities of ICT products and services. The NIS2 is in its early stages and among others the European Parliament and the Council of the European Union have to take a position on it. Hopefully the NIS2 will be adopted end of 2021 or somewhere in the course of 2022 after which Member States need to transpose it into their national laws (likely within 18 months after the date of entry into force of the NIS2). III. Conclusion The draft proposal for the NIS2 extends the scope of the current NIS Directive, by adding new sectors and eliminating the size-cap. This would essentially mean that a larger group of companies could be subject to cybersecurity requirements laid down in the NIS and various national legislations. For instance, social media platforms and manufacturers of medical devices and computer, electronic and optical products are in the current draft considered as Important Entities and thus falling under the scope of the NIS2. In addition, the NIS2 provides for stricter cybersecurity measures, more precise provisions on incident reporting and a list of administrative sanctions. Interestingly, ‘cloud computing service providers’ (CSP’s) apparently are not included in the category DSP (which is currently the situation under the NIS Directive). According to the NIS2 those CPS’s are to be considered OES entities. That could mean that companies offering cloud services will become subject to fully-fledged supervisory regime (ex-ante and ex-post), with stricter rules on compliancy and security/notifying measures. Under the current NIS CSP’s are considered DSP’s facing a light supervisory regime (ex-post only). It’s clear that in the near future more and more companies will be subject to European and national cybersecurity legislation containing security measures and notification obligations. NIS2 might have the same ‘impact’ GDPR had back in May 2018…… For any further inquiries on this topic please do not hesitate to contact me at jhulsebosch@devos.nl or 020-2060734.

Lees meer



Hoofdcategorie

Creatieve industrie

De topsector Creatieve Industrie is een van de snelst groeiende sectoren van de Nederlandse economie. Deze sec... Lees meer

Werkwijze en Tarieven

Snel, efficiënt en to the point, zo werken we het liefst.

BEKIJK HIER AL ONZE TARIEVEN EN WERKWIJZE

Copyright/Disclaimer © 2017 by De Vos & Partners N.V., Amsterdam, Nederland. All rights reserved. Website by Omelette Du Fromage