Column


IT-jurist Peter van Schelven over...

Nieuw: de Cybersecuritywet komt!

De jongste ontwikkeling in ons land op het raakvlak van wetgeving en security is de publicatie van het voorontwerp van de zogeheten Cybersecuritywet. Het nieuwe initiatief raakt een grote aantal partijen in de Nederlandse samenleving. Verstandig om nu alvast na te denken wat het stelsel van nieuwe meldplichten voor uw organisatie wellicht gaat betekenen.

De Nederlandse regering heeft 16 juni jongstleden een eerste ontwerp van de beoogde wet ter consultatie op het internet geplaatst. Eenieder die zijn of haar zegje over het voorontwerp wil doen, heeft een maand lang de gelegenheid om richting het Ministerie van Veiligheid en Justitie te reageren.

Voor belanghebbende partijen is het zinvol om de set van nieuwe verplichtingen op korte termijn te bestuderen. Tot de nieuwe verplichtingen behoren beveiligingsverplichtingen en meldplichten bij ernstige beveiligingsincidenten, ook als daar geen persoonsgegevens bij zijn betrokken.

AED’s en DSP’s
De kring van organisaties waar de Cybersecuritywet zich op richt, wordt samengevat met de nieuwe afkortingen AED (aanbieders van essentiële diensten) en DSP (digitaledienstverleners). De beoogde wet gaat gelden voor AED’s binnen de sectoren energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater en digitale infrastructuur. Ook beheerders van primaire waterkeringen en organisaties in de nucleaire sector vallen onder de komende wet. Voor wat betreft de DSP’s – waarvoor een lichtere set aan nieuwe spelregels wordt geïntroduceerd – moet worden gedacht aan de aanbieders van onlinemarktplaatsen, onlinezoekmachines en cloudcomputingdiensten. Ten slotte worden ook overheidsorganisaties door de toekomstige nieuwe wet geraakt, althans voor zover ook zij zogeheten essentiële diensten aanbieden.

Kortom, een eerste stap voor u zou moeten zijn te onderzoeken of uw eigen organisatie een AED of DSP is die onder de wet gaat vallen. Het is reeds nu goed om te weten dat producenten van hardware en software als zodanig buiten de scope van de wet vallen.

Europese basis
De Cybersecuritywet wordt in ons land gemaakt omdat de Europese wetgever eerder de zogeheten NIB-richtlijn heeft gemaakt. Die Europese spelregels over netwerk- en informatiebeveiliging uit juli 2016 verplichten de nationale wetgevers in de diverse EU-landen die regels uiterlijk op 9 mei 2018 in nationale wetgeving om te zetten. Het is dus goed om te weten dat de Cybersecuritywet een Europees vertrekpunt heeft.

De makers van het voorontwerp hebben zich er tamelijk met een jantje-van-leiden van afgemaakt, want bij lezing van het stuk valt als eerste op dat op talloze plaatsen in de tekst verwezen wordt naar die Europese richtlijn. Dat maakt het lezen verre van eenvoudig. Zo wordt de Cybersecuritywet een juridische speurtocht en dat vind ik een slechte zaak. De toegankelijkheid van het stuk wetgeving is daardoor benedenmaats.

Voorbeeld: wie in het voorontwerp een beeld probeert te krijgen wat nu precies een ‘essentiële dienst’ is – een kernbegrip voor de afbakening van de AED’s – zoekt tevergeefs. Daarvoor moet je als lezer de richtlijn erbij halen. Het oerwoud wordt zelfs groter daar waar de richtlijn op haar beurt weer verwijst naar nog weer andere wetgeving, bijvoorbeeld bij de definitie van mkb-organisaties die van de verplichtingen zijn uitgesloten.

Mijn indruk van het voorontwerp van de Cybersecuritywet is dus dat die tekortschiet in het helder voor de samenleving uiteen te zetten voor wie die nu precies geldt. We kennen het adagium dat eenieder geacht wordt de wet te kennen, maar dan mag je van de wetgever wel verwachten dat hij duidelijk maakt tot wie wetten zich richten. Daar zou ‘Den Haag’ nog eens naar moeten kijken.

Nieuwe beveiligingsplicht, nieuwe boetes
De Cybersecuritywet gaat aan AED’s en DSP’s een wettelijke verplichting tot het technisch en organisatorisch beveiligen van hun ICT opleggen. Die beveiliging moet passend en evenredig zijn, zo zegt de tekst. In de huidige wetgeving bestaat er – kort gezegd – slechts een verplichting tot het beveiligen van ICT die persoonsgegevens verwerkt. In zekere zin is dit laatste van een beperkte strekking. De toekomstige nieuwe wet verbreedt die verplichting, want de beveiligingsplicht geldt ongeacht het soort gegevens dat wordt verwerkt. Wie die verplichting niet of niet voldoende nakomt, loopt het risico op een boete van maximaal vijf miljoen euro. Ook krijgt de rijksoverheid de bevoegdheid om actief in te grijpen bij benedenmaatse security, bijvoorbeeld door het opleggen van bindende aanwijzingen.

Terwijl de privacywetgeving al sinds begin 2016 een meldplicht bij ernstige datalekken kent, wordt onder de Cybersecuritywet een stelsel van nadere meldplichten in het leven geroepen. Dat stelsel is complex, want zo zijn er verschillen voor AED’s en DSP’s. Uitgangspunt is dat bij ernstige ICT-incidenten er onder de komende wet ‘dubbel gemeld’ moet worden: bij zowel het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Veiligheid en Justitie alsook bij andere aangewezen autoriteiten. De Cybersecuritywet gaat de diverse vakministers in ons land en De Nederlandse Bank als autoriteiten aanwijzen.

Cumulatie meldplichten
Praktisch gezien leidt dit systeem tot een cumulatie van meldplichten. Wanneer bijvoorbeeld een instelling in de gezondheidszorg die onder de Cybersecuritywet valt te maken krijgt met een ernstig datalek rondom patiëntgegevens, dan zal zij dat lek op grond van de privacywetgeving reeds moeten melden bij de Autoriteit Persoonsgegevens en de betrokken patiënten. Maar ook zal zij – aan de hand van de maatstaven die de Cybersecuritywet geeft – moeten beoordelen of het incident ook bij het NCSC en het Ministerie van Volksgezondheid, Welzijn en Sport gemeld moet gaan worden.

Nieuw is ook een regeling voor ‘bijna-ongelukken’. AED’s moeten inbreuken die ernstige gevolgen kúnnen hebben eveneens melden, maar in dat geval alleen bij het NCSC. Ook dat verbreedt de set aan verplichtingen aanzienlijk.

Over de Cybersecuritywet valt uiteraard nog veel te zeggen. SecurityVandaag houdt u op de hoogte van de ontwikkelingen. Eén ding is wel duidelijk: securitywetgeving is inmiddels geen rustig bezit meer.


Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over