Column


IT-jurist Peter van Schelven over...

Oneerlijke concurrentie door de overheid?

Nadat de regering in februari van dit jaar het voorstel voor de Cybersecuritywet bij de Tweede Kamer had ingediend, is dit wetsvoorstel in hoog tempo door het parlement gejaagd. Op 16 oktober heeft de Eerste Kamer het document als hamerstuk afgedaan. De nieuwe wet zal naar verwachting op niet al te lange termijn in werking treden. Tijdens de parlementaire behandeling is de naam overigens nog gewijzigd in ‘Wet beveiliging netwerk- en informatiesystemen’. 

Met de nieuwe wet wordt Europese securitywetgeving uit 2016 in het Nederlandse recht geïmplementeerd. De wet introduceert nieuwe securityverplichtingen en nieuwe meldplichten voor aanbieders van diensten in de zogeheten vitale sectoren en voor middelgrote en grote IT-dienstverleners zoals cloudproviders. SecurityVandaag besteedde al eerder aandacht aan spelregels uit de nieuwe regeling, waaronder een beschouwing over de kring van bedrijven en organisaties die onder de nieuwe wet vallen. 

Nieuw: de CSIRT’s 
Hier wil ik een ander aspect van de Wet beveiliging netwerk- en informatiesystemen onder uw aandacht brengen. Ernstige securityincidenten moeten, aldus de wet, gemeld worden bij een zogeheten Computer Security Incident Response Team, in de wet afgekort tot CSIRT. In Nederland krijgen we twee van dergelijke CSIRT’s. De eerste is de Minister van Justitie en Veiligheid, die het CSIRT wordt voor de vitale sectoren. De minister zal zijn wettelijke verantwoordelijkheid bij het Nationaal Cyber Security Centrum (NCSC) beleggen. Daarnaast wordt de Minister voor Economische Zaken en Klimaat (EZK) aangewezen als het CSIRT voor cloudproviders en andere benoemde IT-dienstverleners. Een cloudprovider die langere tijd platligt, wordt dus verplicht zich met zijn incident tot EZK te wenden. 

De vraag is wat we precies van een CSIRT mogen verwachten? De taken van de CSIRT’s staan in de onderliggende Europese wetgeving keurig netjes in een overzichtelijk, niet uitputtend lijstje opgesomd. Genoemd worden onder meer het monitoren van incidenten op nationaal niveau, het zorgen voor vroegtijdige waarschuwingen en het verspreiden van informatie over risico's en incidenten, het reageren op incidenten en het zorgen voor een dynamische risico- en incidentanalyse. 

Van reactief naar proactief 
Dat is – zo op het eerste gezicht – een fraai en nuttig takenlijstje, goed voor de beveiliging van de samenleving. Toch roept het lijstje ook vragen op. Probleem is dat de opsomming van taken niet limitatief is. Niet kan worden uitgesloten dat een CSIRT in de praktijk meer taken inzake securityincidenten naar zich toe trekt. Weliswaar ligt het voor de hand dat de CSIRT’s in ons land na de komst van de wet de eerste tijd overwegend reactief zullen optreden. Maar eenmaal beter in het zadel zullen zij op termijn wellicht meer proactief met securityincidenten omgaan. Die geluiden gaan thans al op.  

Daarom moet rekening worden gehouden met de kans dat de CSIRT’s van de Nederlandse overheid de particuliere bedrijven die securityproducten en -diensten op de markt brengen, concurrentie zullen aandoen. Het is maar zeer de vraag of dat een wenselijke ontwikkeling zou zijn. Hoe dan ook, de Wet beveiliging netwerk- en informatiesystemen geeft bedrijven die actief zijn op het gebied van security geen enkele bescherming tegen mogelijke, oneerlijke overheidsconcurrentie. Wel zijn er elementaire spelregels in de Mededingingswet die de CSIRT’s als concurrent van de particuliere sector in acht moeten nemen, maar ik heb de indruk dat die regels onder securitybedrijven thans niet sterk leven. 

Vinger aan de pols 
Mijn idee is dat IT-securitybedrijven stevig vinger aan de pols moeten houden. Het zou verstandig zijn over het risico van oneerlijke concurrentie nu al met de overheid in gesprek te gaan. Hier ligt wellicht een fraaie taak voor de kersverse branchevereniging Cyberveilig Nederland. Want voor je er erg in hebt, exploiteert de overheid een eigen winkeltje dat cyberveiligheid verkoopt.

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com.   

Kijk hier voor de eerdere bijdragen van Peter van Schelven. 

Lees meer over