Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor “grote economische impact” van gijzelsoftware. Het was voorpaginanieuws deze week: een nieuwe cyberaanval (georkestreerd door programma’s die in ieder geval vermomd waren als gijzelsoftware) trof bedrijven over de hele wereld, waaronder een internationale luchthaven in Oekraïne, Russisch oliebedrijf Rosneft en Amerikaans voedsel- en drankenbedrijf Mondelez International. In Nederland zijn onder andere medicijnfabrikant MSD getroffen. Er is geen beter moment om kort stil te staan bij de lopende internetconsultatie van de Cybersecuritywet.
Een korte introductie
Op 16 juni 2017 is de internetconsultatie van de Cybersecuritywet (‘Csw’) gestart. Het is de bedoeling dat hiermee de Netwerk- en Informatiebeveilingsrichtlijn (‘NIB-Richtlijn’) zal worden geïmplementeerd. De Csw zal zogenoemde vitale aanbieders reguleren. Dit zijn aanbieders van een essentiële dienst, dan wel aanbieders van een andere dienst waarvan de continuïteit van vitaal belang is voor de Nederlandse samenleving. Ook belangrijke digitaledienstverleners (in de NIB-Richtlijn zijn genoemd: onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten) vallen onder de reikwijdte van het wetsvoorstel.
Op vitale aanbieders rust – kort gezegd – een verplichting tot risicobeheersing met betrekking tot de beveiliging van hun netwerk- en informatiesysteem (artikelen 7 en 8). Hiernaast heeft een vitale aanbieder een meldplicht bij een incident met aanzienlijke gevolgen voor de continuïteit van de door hem verleende dienst en/of een inbreuk op de beveiliging van netwerk- en informatiesystemen die aanzienlijke gevolgen kán hebben voor de continuïteit van de door hem verleende dienst (artikel 10). Een dergelijke melding strekt niet alleen tot het informeren van het contactpunt (in Nederland zal dat het NCSC zijn), maar ook om in bepaalde gevallen hulpverlening door het NCSC te faciliteren (vgl. artikel 12). Dit alles is om ontwrichting van de inmiddels sterk gedigitaliseerde samenleving in de Europese Unie te voorkomen.
De in de Csw neergelegde normen zijn gekoppeld aan bestuursrechtelijke handhaving, waaronder volgens de Memorie van Toelichting de mogelijkheid bestuurlijke boetes tot € 5 miljoen op te leggen. Op grond van artikel 24 is er verder een bevoegdheid tot het geven van aanwijzingen in het kader van artikel 7 en 8.
Het wetsvoorstel gegevensverwerking en meldplicht cybersecurity, eerder door ons genoemd, dat vooruitliep op de implementatie van de NIB-Richtlijn, zal door de Csw worden ingetrokken.
De actualiteit
De huidige cyberaanval lijkt gericht te zijn op bedrijven en instellingen die een belangrijke (in sommige gevallen wellicht zelfs vitale) functie vervullen. Ook in Nederland werden enkele belangrijke bedrijven getroffen. Het tekent de toenemende afhankelijkheid van IT en, vooral, de hiermee gepaard gaande kwetsbaarheid van bedrijven. Laatstgenoemde is goed merkbaar momenteel.
De Csw en een cyberaanval: melden
In het wetsvoorstel Csw zijn momenteel nog geen vitale aanbieders aangewezen die een meldplicht zullen hebben. In het kader van het (nog in te trekken) wetsvoorstel gegevensverwerking en meldplicht cybersecurity was een concept amvb in consultatie gegaan waarin zulke aanbieders zijn aangewezen. Op grond van artikel 5 van de Csw zal eveneens per algemene maatregel van bestuur of bij besluit van een bij die maatregel genoemd bestuursorgaan aanwijzing van vitale aanbieders plaatsvinden. Indien een bedrijf is aangemerkt als vitale aanbieder brengt dit als gezegd een plicht tot risicobeheersing mee en indien sprake is van een inbreuk – zoals een cyberaanval – rust onder omstandigheden een meldplicht op het bedrijf.
Volgens de Csw rust er een meldplicht op een vitale aanbieder wanneer er aanzienlijke gevolgen zijn voor de continuïteit van de door haar verleende dienst of wanneer is er sprake van een inbreuk die aanzienlijke gevolgen kan hebben voor de continuïteit. In de NIB-Richtlijn zijn drie parameters aangegeven: het aantal gebruikers dat door de verstoring van de essentiële dienst wordt getroffen, de duur van het incident en de omvang van het geografische gebied dat door het incident is getroffen. Die parameters worden verder echter niet ingevuld door de Richtlijn of het wetsvoorstel Csw. Wellicht dat de internetconsultatie meer duidelijkheid zal brengen.
Kluwen van meldplichten
In de Memorie van Toelichting bij de Csw is er al aandacht aan besteed: de meldplicht Csw zal onderdeel uitmaken van één van de vele, al geldende sectorspecifieke meldplichten. Eén van de vragen is hoe deze meldplichten zich tot elkaar verhouden. Zo vermeldt de NIB-Richtlijn (bijlage II, onder 2c) bijvoorbeeld dat bedrijven voor vervoer over water van passagiers en vracht, die in bijlage I bij Verordening 725/2004 als bedrijven voor maritiem vervoer worden gedefinieerd, aangemerkt moeten worden als vitale aanbieders.
In de preambule van de NIB-Richtlijn is in dat kader bepaald dat een deel van de verplichte procedures de melding van alle incidenten omvat en dat deze – reeds geregelde – procedures derhalve moeten worden beschouwd als lex specialis, voor zover de betreffende eisen ten minste gelijkwaardig zijn aan de overeenkomstige bepalingen van deze richtlijn. Regulering dient dus met elkaar te worden vergeleken en voor zover de meldplicht op grond van de Csw ‘meer’ omvat, zal deze ‘bovenop’ de sectorspecifieke regulering te hebben gelden. Voorstelbaar is dat bij een cyberaanval een dubbele meldplicht kan bestaan, aangezien NCSC waarschijnlijk niet de instantie zal zijn waaraan op grond van de sectorspecifieke regulering in geval van incidenten een melding zal gericht zijn.
En dan gaat het nu slechts nog om de vraag of, en zo ja wanneer, er een meldplicht cybersecurity geldt. Andere nog (grotendeels) onbeantwoorde vragen zijn voor welk type incidenten en inbreuken precies gemeld zal moeten worden en wat een melding exact zal dienen in te houden. Ook vragen wij ons af op welke wijze het NCSC haar rol zal invullen. In de Memorie van Toelichting wordt namelijk een nadruk gelegd op ‘hulpverlening’ door het NCSC, terwijl tegelijkertijd blijft staan dat de Csw ook de mogelijkheid biedt tot bestuursrechtelijke handhaving.