+31 (0)20 2060700info@devos.nl
Artikel Jasper Hulsebosch: Inwerkingtreding Nederlandse Cybersecuritywet

Artikel Jasper Hulsebosch: Inwerkingtreding Nederlandse Cybersecuritywet

1. Inleiding

Eind vorig jaar is de ‘Wet Beveiliging Netwerk- en Informatiesystemen’ (Wbni) in werking getreden. Deze wet regelt een meldplicht van incidenten en omvat een zorgplicht (treffen van beveiligingsmaatregelen), en gaat onder meer gelden voor zogenaamde ‘digitale dienstverleners’.

2. Achtergrond

Als onderdeel van het beleid van de EU voor een digitaal eengemaakte markt is de ‘Netwerk- en informatiebeveiligingsrichtlijn’ (NIB-richtlijn) in 2016 in werking getreden.

Het doel van de NIB-richtlijn is het harmoniseren van de beveiligingseisen voor netwerk- en informatiesystemen, waarbij een gecoördineerde aanpak tussen de EU-lidstaten van belang is. De NIB-richtlijn beoogt een hoog niveau van cybersecurity bescherming in de EU, waarbij de beveiligingseisen, de meldplichten en het uitwisselen van informatie centraal staan. De EU-lidstaten moeten hun nationale wetgeving zodanig moeten omzetten dat ze aan de minimumeisen van de NIB-richtlijn voldoen. Met de Wbni wordt de NIB-richtlijn omgezet naar Nederlands recht.

3. Voor wie geldt de Wbni?

De Wbni is van toepassing op ‘netwerk- en informatiesystemen’ (waaronder valt het internet en bijvoorbeeld de ICT-infrastructuur van een onderneming), en gericht tot de volgende twee groepen:

  • A. aanbieders van essentiële diensten
  • B. digitale dienstverleners

A. Aanbieders van essentiële diensten

Dit zijn publieke of private entiteiten die diensten verlenen die van essentieel belang zijn voor de instandhouding van kritieke maatschappelijke en/of economische activiteiten, waarvoor zij afhankelijk zijn van netwerk- en informatiesystemen en waarbij een incident aanzienlijke verstorende effecten zal hebben voor de verlening van die diensten. Denk hierbij aan essentiële diensten die worden verricht in de volgende sectoren: energie, vervoer, bankwezen, de infrastructuur van financiële markten, gezondheidszorg en drinkwatervoorzieningen.

B. Digitale dienstverleners (ook wel ‘Digital Service Providers’)

Digitale dienstverleners worden onderverdeeld in aanbieders van ‘onlinemarktplaatsen’, ‘onlinezoekmachines’ en ‘cloudcomputerdiensten’. 

Deze groep wordt verder niet gespecificeerd en de lidstaten behoeven geen digitale dienstverleners aan te wijzen. Elk bedrijf dat als digitale dienstverlener werkzaam is, valt onder het bereik van de Wbni. Het moet wel gaan om digitale dienstverleners met enige omvang (minimaal 50 medewerkers in dienst en een omzet van meer dan 10 miljoen euro per jaar).

Grote onlinezoekmachines zoals Google, Bing en Yahoo zullen ongetwijfeld moeten voldoen aan de Europese NIB-richtlijn, maar welke nationale cybersecuritywet uiteindelijk op hun van toepassing is zal mede afhangen van de vraag in welke EU-lidstaat zij hun hoofdvestiging hebben.

Bij cloudcomputerdiensten moet men denken aan partijen die clouddiensten leveren op het gebied van Software as a Service (Saas), Platform as a Service (PaaS) en Infrastructure as a Service (IaaS). Nederlandse ‘cloud service providers’ zoals Exact en Basefarm zullen denk ik met de Wbni te maken krijgen (mits zij in Nederland gevestigd zijn en aan de hiervoor genoemde omzet- en personeelseisen voldoen).

Een online marktplaats is een website waarop ondernemers of consumenten verkoop- of dienstenovereenkomsten kunnen sluiten met (andere) ondernemers. Bol.com zal mogelijk voldoen aan dit criterium (en naar ik meen ook ‘groot genoeg’ zijn om onder de Wbni te vallen). Prijsvergelijkingssites die enkel doorlinken naar websites van derden vallen hier overigens weer niet onder, zodat websites als Beslist.nl en Trivago mogelijk niet gebonden zijn aan de beveiligings- en meldplichten uit de Wbni (ongeacht hun omvang).

4. Praktische gevolgen voor digitale dienstverleners

4.1 Beveiligings- en meldplichten

De Wbni bepaalt kort gezegd dat aanbieders van essentiële diensten en digitale dienstverleners een meldplicht en een zorgplicht hebben.

Beide groepen moeten passende en evenredige technische en organisatorische maatregelen nemen om hun ICT adequaat te beveiligen. Bovendien moeten zij incidenten met aanzienlijke gevolgen melden bij de bevoegde autoriteit en de “Computer Security Incident Response Team” (CSIRT). Het betreft dus een dubbele meldplicht.

Digitale dienstverleners moeten vanaf 1 januari 2019 dergelijke incidenten melden bij zowel de toezichthouder Agentschap Telecom als het CSIRT-DSP (zie: https://www.csirtdsp.nl/incident-melden).

In dat verband is het wellicht zinvol om nog te benadrukken dat het in de Wbni niet enkel gaat om moedwillige aanvallen (zoals hacking) maar dat de beveiligingseisen en meldplichten ook zien op ICT-incidenten als gevolg van menselijke fouten of incidenten die de beschikbaarheid van gegevens of diensten in gevaar brengen.

4.2 Overlap met beveiligings- en meldplichten op grond van privacyregelgeving?

Bijna elk (internet)bedrijf zal in de praktijk (in meer of mindere mate) persoonsgegevens verwerken, en dus op grond van de Algemene Verordening Persoonsgegevens (AVG) passende technische of organisatorische maatregelen moeten nemen om die data te beveiligen. Bovendien bepaalt de AVG dat eventuele datalekken moeten worden gemeld aan de Autoriteit Persoonsgegevens (AP), en in sommige gevallen ook aan de betrokkenen zelf (van wie de persoonsgegevens zijn gelekt).

De beveiligingseisen uit de Wbni vertonen veel gelijkenis met de beveiligingsmaatregelen die moeten worden genomen op grond van de AVG. Het komt erop neer dat beide regelgevingen verlangen van de digitale dienstverlener dat zij passende en evenredige beveiligingsmaatregelen treft. Voor de praktijk zou dat mogelijk kunnen betekenen dat een bepaald beveiligingsniveau dat in overeenstemming is met de AVG, ook meteen voldoet aan de eisen die de Wbni daaromtrent stelt (en vice versa).

5. Korte conclusie en aanbevelingen

(internet)Bedrijven van grote omvang die (in meer of mindere mate) persoonsgegevens verwerken zullen ook moeten nagaan of zij zijn aan te merken als een digitale dienstverlener. Zo ja, dan zullen zij niet alleen moeten handelen conform de AVG maar ook moeten voldoen aan de beveiligingseisen en meldplichten uit de Wbni.

In de praktijk kan dat ertoe leiden dat voor één en hetzelfde ICT-gerelateerde beveiligingsincident (waarbij ook persoonsgegevens betrokken zijn) bij drie verschillende instanties moet worden gemeld. En in theorie is het zelfs mogelijk dat vier(!) keer een melding moet worden gedaan: bij de AP, bij de betrokkene(n), bij het Agenschap Telecom en bij het CSIRT-DSP.

Het is dus opportuun als die ondernemingen nogmaals hun beveiligingsniveau onder de loep nemen, en nieuw intern beleid opstellen zodat zij conform de Wbni tijdig en adequaat beveiligingsincidenten kunnen signaleren en waar nodig melden aan de diverse partijen.

Over dit onderwerp heb ik onlangs een artikel geschreven in het blad “Computerrecht. In het artikel bespreek ik onder meer of, en in hoeverre, de Wbni een overlap vertoont met de beveiligings- en meldplichten die al gelden op grond van huidige privacywetgeving. Het artikel luidt ‘Cybersecurity & Privacy: overlap van beveiligingseisen en samenloop van meldplichten?’ (verschenen in Computerrecht 2018/250, en alhier bij Wolters Kluwer verkrijgbaar).  

Wilt u weten of de Wbni voor uw onderneming geldt en welke consequenties dat heeft? Voor meer informatie over de Nederlandse cybersecurity wetgeving kunt u met mij (Jasper Hulsebosch) contact opnemen.

 

Geschreven door

Jasper Hulsebosch

Advocaat

 
Maak een afspraak

Deel dit bericht



Laatste nieuws

16-08-2019 - door

Muziekcontracten: A 'NEW' TOWN ROAD: Youngkio's BeatStars' contracten en licenties ontleed

## Inleiding YoungKio, een Nederlandse jongen uit Purmerend... Lees meer

14-08-2019 - door

Martijn Zaal: Wet Arbeidsmarkt in Balans

Op 1 januari 2020 treedt als het goed is de Wet Arbeidsmarkt... Lees meer

Copyright/Disclaimer © 2017 by De Vos & Partners N.V., Amsterdam, Nederland. All rights reserved. Created by Supreme being 21.3