Column


IT-jurist Peter van Schelven over...

Cybersecuritywet: plichten voor cloudproviders

Minister Grapperhaus (Justitie en Veiligheid) heeft namens de regering het voorstel voor de Cybersecuritywet bij de Tweede Kamer ingediend. Met het nieuwe wetsvoorstel geeft de regering uitvoering aan de zogeheten Europese NIB-richtlijn uit juli 2016, die regels bevat die een hoog niveau van beveiliging van netwerk- en informatiesystemen binnen de Europese Unie moeten waarborgen.

Europa heeft voorgeschreven dat de nieuwe wet uiterlijk op 9 mei van dit jaar een feit moet zijn. Wil ‘Den Haag’ die termijn gaan halen, dat moet het wetsvoorstel dus met een bloedvaart door het parlement worden gejaagd. Het valt niet uit te sluiten dat de regering te laat zal zijn met de omzetting van de NIB-richtlijn in een nationale wet.

Vitale sectoren
De Cybersecuritywet richt zich onder meer op bepaalde – dus zeker niet alle! – bedrijven en organisaties die werkzaam zijn in de vitale sectoren van ons land. Het wetsvoorstel bestempelt die partijen als ‘aanbieders van essentiële diensten’. Het gaat in dit verband om partijen die, als hun systemen onverhoopt plat komen te liggen, maatschappelijk ontwrichtend werken. De wetgever heeft daarbij het oog op de wereld van de energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater en digitale infrastructuur.

Voor partijen in die sectoren biedt de Cybersecuritywet overigens betrekkelijk weinig nieuws. Immers, veel van die bedrijven en organisaties zijn sinds 1 januari jongstleden al gebonden aan de Wet gegevensverwerking en meldplicht cybersecurity, een voorloper van de Cybersecuritywet. De vitale sectoren zijn verplicht om ernstige incidenten, waaronder inbreuken op de ICT-security met mogelijk aanzienlijke gevolgen voor de continuïteit van de diensten, bij de rijksoverheid (het NCSC) te melden.

Cloudcomputerdiensten
Wel heel nieuw is dat de Cybersecuritywet expliciet beveiligings- en meldplichten in het leven roept voor drie categorieën digitale providers: aanbieders van online marktplaatsen, zoekmachines en cloudcomputerdiensten. Die partijen zijn in de voorloper van de Cybersecuritywet niet meegenomen. Cloudproviders trekken daarbij de bijzondere aandacht. Juist omdat er cloudproviders in talloze soorten en maten bestaan, valt te verwachten dat de Cybersecuritywet in die kringen de nodige aandacht gaat krijgen.

Hierbij moet direct worden opgemerkt dat de voorgenomen wet niet op de kleinere cloudproviders betrekking gaat hebben. Die vallen buiten de werkingssfeer. De Cybersecurity geldt pas voor cloudproviders die meer dan 50 medewerkers in dienst hebben en waarvan bovendien de jaaromzet of het balanstotaal groter is dan 10 miljoen euro. De Cybersecuritywet reguleert dus alleen de bovenkant van de markt van cloudproviders.

Een vraag is wat in juridische zin precies verstaan moet worden onder een aanbieder van ‘cloudcomputerdiensten’. In de bepalingen van het wetsvoorstel zoekt u tevergeefs naar een definitie en dus is het de vraag wie wel en wie niet onder de wet gaat vallen. In de toelichting op het wetsvoorstel wordt – in navolging van de NIB-richtlijn – er wel het nodige over gezegd. De richtlijn spreekt in dit verband over ‘een digitale dienst die toegang mogelijk maakt tot een schaalbare en elastische pool van deelbare computercapaciteit’. Een niet onbegrijpelijke definitie, die in een juridische context echter wel vragen oproept.

IaaS, PaaS en SaaS
Volgens de toelichting bij het wetsvoorstel vormen ‘cloudcomputerdiensten’ een breed begrip. Het omvat diensten op het vlak van zowel Infrastructure as a Service (IaaS), Platform as a Service (PaaS) als Software as a Service (SaaS). Bij al deze diensten is de opdrachtgever in meer of mindere mate afhankelijk van de continuïteit van de dienstverlening van de provider en dat rechtvaardigt in de visie van de regering een ruime uitleg.

De Cybersecuritywet richt zich niet tot aanbieders van een ‘private cloud’. In de toelichting valt te lezen: ‘Aangenomen mag worden dat een privécloud (een cloudcomputerdienst die slechts wordt gebruikt door de medewerkers van één organisatie) geen digitale dienst is in de zin van de richtlijn.’ Wat precies als ‘één organisatie’ kan worden aangemerkt, wordt overigens geheel in het midden gelaten. Dat laatste roept bijvoorbeeld de vraag op of het ministerie van Justitie en Veiligheid, met een eigen shared service center voor de justitiële diensten en diverse ketenpartners, onder de nieuwe wet gaat vallen.

Aanbieders van een ‘public cloud’ en hybride vormen van clouddiensten die de genoemde drempels (aantal medewerkers en jaaromzet of balanstotaal) overschrijden, vallen in beginsel wel onder de nieuwe wetgeving.

Verre van eenvoudig
Ten slotte is er nog een andere lastige afbakening. De wetgever zegt dat een cloudprovider die ook andere ICT-diensten dan clouddiensten verricht, voor al die andere diensten niet onder de Cybersecuritywet valt. Ook dat onderscheid maakt de komende wet verre van eenvoudig. Hoe dan ook, cloudproviders moeten zich inlaten met de vraag of de nieuwe spelregels ook hun leven gaan beheersen.


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com.  

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over