Column


IT-jurist Peter van Schelven over . . .

Geen meldplicht bij DDoS-aanvallen in vitale sectoren

Sinds januari van dit jaar is bij de Tweede Kamer een wetsvoorstel voor een nieuwe meldplicht bij ernstige digitale security-incidenten in behandeling. Dit voorstel moet gaan leiden tot de zogeheten ‘Wet gegevensverwerking en meldplicht cybersecurity’.

Met die beoogde wet komt er in ons land een nieuwe meldplicht voor bedrijven en organisaties uit de vitale sectoren van de samenleving, want – zo is de gedachte achter het wetsvoorstel – het uitvallen van ICT-systemen binnen sommige sectoren kan maatschappelijk zeer ontwrichtend uitpakken. SecurityVandaag berichtte al eerder over het wetsvoorstel.  

De in het wetsvoorstel beschreven verplichting tot het doen van een melding geldt dus niet voor iedereen, maar wel voor bedrijven en organisaties die actief zijn op bijvoorbeeld het gebied van energie, drinkwater, telecom, transport (mainport Rotterdam en Schiphol) en financiën. In voorkomend geval dient een melding van het incident te worden gedaan bij de Minister van Veiligheid en Justitie, die op zijn beurt de behandeling ervan bij het Nationaal Cyber Security Centrum (NCSC) zal beleggen. De NCSC krijgt tot taak na een melding de nodige hulp te verlenen om verdere matschappelijke ontwrichting als gevolg van het incident tegen te gaan.

DDoS-aanvallen uitgesloten

Vorige week is over het wetsvoorstel van de zijde van de Nederlandse regering een opmerkelijk nader kamerstuk ingediend. Daarin wordt nog eens bevestigd dat de werkingssfeer van de meldplicht een forse beperking bevat. Wanneer bij een aanbieder van producten en diensten uit een vitale sector sprake is van een security-incident, dan geldt - volgens de tekst van het wetsvoorstel - de verplichting tot het doen van een melding pas als de beschikbaarheid of betrouwbaarheid van het product of de dienst ‘in belangrijke mate’ wordt aangetast. Daarbij moet je denken aan een forse uitval van de betalingssystemen van een bank of de langdurige interruptie van de energievoorziening.

Wanneer je de tekst van het wetsvoorstel zelf leest, dan lijkt probleemloos te kunnen worden aangenomen dat een inbreuk op de beschikbaarheid van betrokken ICT-systemen als gevolg van een DDoS-aanval (Distributed Denial of Service) ook onder de wet valt. Dat blijkt echter niet het geval te zijn. In het kamerstuk van vorige week zegt de regering een DDoS-aanval niet als een ICT-inbreuk te willen beschouwen. De regering schrijft: “Bij een DDoS-aanval wordt de bereikbaarheid van een online-dienst aangetast zonder aantasting van de systemen die in dat verband worden gebruikt.” Feitelijk is dat misschien dan wel zo, maar vanuit de gedachte dat de wet primair tot doel heeft maatschappelijke ontwrichting als gevolg van security-incidenten te willen aanpakken, is het een hoogst merkwaardig standpunt om DDoS-aanvallen buiten het bereik van de wet te laten. De regering neemt - overigens zonder verdere verantwoording - aan dat DDoS-aanvallen minder snel maatschappelijk ontwrichtend werken. Een bedenkelijke aanname, zo lijkt mij.

Ook wetstechnisch faalt de aanpak van de regering. Een burger die geacht wordt de wet te kennen, mag in redelijkheid verlangen dat de wetgever een zo vergaande beperking in de wetstekst zelf opneemt. Dat is ten aanzien van DDoS-aanvallen dus niet gedaan. Je moet als burger de parlementaire stukken induiken om het bestaan van deze wezenlijke beperking te kennen en dat lijkt mij simpelweg een stap te ver.

Mist NCSC bekwaamheid?

Het laat zich slechts raden wat de echte reden is waarom de wetgever DDoS-aanvallen buiten de komende meldplicht wenst te laten. Niet valt uit te sluiten dat de NCSC bij dergelijke aanvallen feitelijk onvoldoende hulp kan bieden aan vitale sectoren. Wellicht is het wetsvoorstel op dit punt er dan ook meer op gericht om de NCSC uit de wind te houden. Als dat anders is, dan lijkt er geen goede reden om DDoS-aanvallen buiten de wet te houden. Het zou daarom geen verkeerde zaak zijn als kamerleden de regering hierover nog eens stevig aan de tand voelen.


Lees meer over