cybersecuritywet

Cybersecuritywet, een pleister of medicijn

Er is weer een nieuwe wet in aantocht. Het lijkt dat we weer ergens een pleister op gaan plakken. Dit keer komt de Cybersecuritywet er aan. Waarom is deze wet er? Wat staat erin? En voor wie gaat die gelden en wat gaat die voor hen betekenen? De Cybersecuritywet is lastig leesbaar. Net als bij de nieuwe privacywet is het niet meteen duidelijk. Deze zomer zou de wet al in werking treden. Buitenlandse mogendheden en criminele organisaties hebben het gemunt op onze digitale systemen en hacks kunnen enorme impact hebben op onze veiligheid. Het is dan ook goed dat we Europese regels implementeren om onze netwerk- en informatiebeveiliging te verbeteren. In deze blog een blik op de nieuwe wet.

Oorspong van de cybersecuritywet

In de Cybersecuritywet wordt de Europese NIB-richtlijn omgezet naar Nederlands recht[1]. Het doel is dat alle lidstaten hun digitale weerbaarheid verbeteren en beter met elkaar samenwerken. Europa moet daarmee digitaal veiliger worden. Of je dat met een wet bereikt vraag ik mij af. Nu zijn de verschillen nog groot zodat burgers en bedrijven in Europa niet op hetzelfde niveau beschermd zijn tegen cyberincidenten. Ook kan de uitwisseling van informatie over dreigingen en incidenten beter. In deze nieuwe wet zal ook de huidige Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) worden opgenomen.

Cybersecuritywet in de praktijk

cybersecuritywet

In de praktijk betekent dit dat aanbieders van essentiële diensten zoals drinkwaterbedrijven, energiebedrijven en banken verplicht worden ‘adequate maatregelen’ te nemen tegen digitale inbreuken. Waaronder bijvoorbeeld maatregelen tegen DDoS aanvallen. Doet zich toch een cyberincident voor, dan wordt verwacht dat zij techniek en organisatie goed op orde hebben. De situatie moet snel onder controle kunnen zijn en de gevolgen beperkt. De huidige meldplicht – die per 1 januari 2018 is ingevoerd – zal onder de Cybersecuritywet worden uitgebreid. Op termijn zullen toezichthouders toezien op de naleving van de beveiligingseisen en zo nodig sancties opleggen. Het NCSC zal dezelfde rol blijven vervullen als op dit moment; het waarschuwen voor cyberrisico’s en het bieden van hulp bij cyberincidenten in de vitale sectoren en het Rijk. De Cybersecuritywet zal straks ook gaan gelden voor aanbieders van online marktplaatsen, cloud diensten en online zoekmachines.

Voor wie is de nieuwe cybersecuritywet?

Alle organisaties die door de Minister van J&V als ‘vitaal’ worden aangewezen (uiterlijk per 9 november 2018) vallen onder de Cybersecuritywet. Wat op zich best raar is aangezien de wet van de zomer mogelijk al actief is. Welke organisaties zullen dat zijn? Logischerwijs in ieder geval de organisaties die nu als vitaal zijn aangewezen onder de Wgmc. De NIB-richtlijn heeft echter een veel bredere scope en andere definities. Bijvoorbeeld: centraal bij een cyberincident staat dat het niet alleen gaat om de gevolgen voor de continuïteit, maar ook om integriteit, authenticiteit en vertrouwelijkheid. Het ligt daarom voor de hand dat aan de lijst van “vitaal” ook andere bedrijven worden toegevoegd. Een bijzondere categorie betreft die van de Digital Service Providers (DSP). Deze worden niet afzonderlijk aangewezen. De wet is dus van toepassing op alle bedrijven die binnen de definitie vallen.

Meerdere kapiteins op een schip

Wie gaat toezicht houden op deze wet? Dat worden meerdere toezichthouders. Weliswaar wel per sector een toezichthouder alleen voor mij voelt het als meerdere kapiteins op een schip. Of dat in de praktijk goed gaat moeten we natuurlijk nog ervaren. Het zou misschien wel makkelijker geweest zijn als het één toezichthouder was geweest voor iedereen. Qua kennis en kunde en focus was dat wellicht slim geweest. De volgende toezichthouders zijn nu bekend:

  • Agentschap Telecom wordt de toezichthouder voor de energiesector, de internetinfrastructuur en de DSP’s;
  • DNB voor de financiële markt en het bankwezen;
  • Inspectie Gezondheidszorg voor de zorg;
  • de toezichthouder voor drinkwater en transport moet nog worden bepaald. Waarschijnlijk wordt dat de Inspectie Leefomgeving en Transport.

Zonder deugdelijke en eenduidige handhaving is mijn mening dat de wet zinloos is. Ook bij de naleving van de GDPR blijkt de privacywaakhond te klein om de privacywet te kunnen handhaven.

Zie ook

Referenties

[1] Nu.nl (2018). Nederlandse privacywaakhond te klein voor handhaven EU-privacywet AVG
[2] Nationaal Cyber Security Centrum (2018). Wetgeving cybersecurity

Delen mag 🙂

Lees ook