Volg Software Zaken

Nationale Security op Europees niveau: de NIB

| Joost Krapels | Security

2018 is tot nu toe vooral het jaar van de privacy geweest. Op het gebied van security zijn er gelukkig ook goede stappen gemaakt door de Europese Commissie. In mei 2016 is naast de AVG ook de richtlijn Network and Information Security in werking getreden, en de lidstaten hadden tot 10 mei 2018 om hun eigen bijpassende wetgeving op te stellen. Wat houden de richtlijn en bijpassende wet precies in, en voor wie geldt het? ICT Institute zocht het uit.

De Richtlijn

De Netwerk- en Informatieveiligheid richtlijn (NIB), of NIS in het Engels, heeft tot doel de cyberbeveiliging van kritieke infrastructuurorganisaties op orde te hebben. Het is een vrij korte richtlijn met slechts 27 artikelen, maar de boodschap is duidelijk: digitale beveiliging moet serieus genomen worden. Systemen zijn tegen mens en natuur te beveiligen, maar de Europese Commissie richt zich alleen op “acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van de opgeslagen, verzonden of verwerkte gegevens of de daaraan gerelateerde diensten die via die netwerk- en informatiesystemen worden aangeboden of toegankelijk zijn, in gevaar brengen“. Hacken dus.

Kort opgesomd wordt in de richtlijn het volgende bepaald:

  • De vaststelling van verplichtingen voor alle lidstaten om een nationale strategie voor beveiliging van netwerk- en informatiesystemen vast te stellen
  • De vaststelling van beveiligings- en meldingseisen voor aanbieders van essentiële diensten en voor digitaledienstverleners
  • De instelling van een samenwerkingsgroep die de strategische samenwerking en informatie-uitwisseling tussen de lidstaten moet ondersteunen en onderling vertrouwen moet scheppen
  • De totstandbrenging van een netwerk van computer security incident response teams (“CSIRT’s-netwerk”) dat mede vertrouwen moet scheppen tussen de lidstaten en snelle en doeltreffende operationele samenwerking moet bevorderen
  • De vaststelling van verplichtingen voor de lidstaten om nationale bevoegde autoriteiten, centrale contactpunten en CSIRT’s aan te wijzen, met taken in verband met de beveiliging van netwerk- en informatiesystemen
  • Uiterlijk 9 november 2018 dienen alle lidstaten de aanbieders van essentiële diensten aangewezen te hebben, wat vervolgens om de twee jaar gerevalueerd moet worden.

Zoals de onderstaande tabel van het Agentschap Telecom (Ministerie van Economische Zaken en Klimaat) laat zien, maakt de richtlijn onderscheid tussen twee categorieën van entiteiten die extra beschermd moeten worden: Aanbieders van Essentiële Diensten en digitaledienstverleners (Digital Service Providers).

 

Daarnaast wordt ook gesproken over Computer Security Incident Response Teams, of CSIRTs. Deze teams hebben tot doel incidenten in de gaten te houden, waarschuwingen en advies over risico’s en incidenten geven aan stakeholders, en natuurlijk reageren op incidenten. Het Ministerie van Veiligheid en Justitie is de CSIRT voor alle Aanbieders van Essentiële Diensten. Dit loopt via het NCSC.

Opvallend is de in artikel 2 genoemde bescherming en verwerking van persoonsgegevens. In dit artikel is te zien dat de NIB eerder dan de AVG van kracht werd, aangezien de 1995 Data Protection Directive i.p.v. de AVG aangehaald wordt. In het Nederlandse Wetsvoorstel Wbni van 29 mei 2018 wordt echter gesproken over verwerkingsverantwoordelijken.

De Nederlandse implementatie

Richtlijnen verschillen van verordeningen in de zin dat zij zelf geen wetten zijn. Richtlijnen zijn eisen van de Europese Commissie waar de Europese lidstaten voor een gestelde deadline zelf een wet op moeten baseren. Nederland heeft momenteel een wetsvoorstel van de Wet beveiliging netwerk- en informatiesystemen (Wbni) in de Eerste Kamer liggen, waar op dinsdag 16 oktober over gestemd gaat worden. Nederland is dus eigenlijk ruim vijf maanden te laat. De deadline van het bekendmaken van de AED’s is voor Nederland nog wel te halen, mits het voorstel snel door de Eerste Kamer heen komt. Met de komst van de Wbni wordt de huidige, nog vrij nieuwe, Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) opgenomen en daarmee vervangen.

Het wetsvoorstel van dit moment lijkt een vrij directe overname van de NIB zonder al te veel aanpassingen. Een interessante vraag die nog bij het voorstel geplaatst is, is waarom aanbieders van zorg niet worden aangewezen als AED’s. Minister Bruins antwoordde op deze vraag dat zich in Nederland geen zorgaanbieders bevinden die voldoen aan de eisen van het zijn van een AED. Er zijn geen centrale zorgsystemen die de maatschappij zouden ontwrichten bij uitval, en uitval van een zorgaanbieder zou opgevangen kunnen worden door een andere zorgaanbieder.

Voor wie geldt de wet nu eigenlijk?

De wet geldt dus voor organisaties die een Aanbieder van Essentiële Diensten of Digitaledienstverlener zijn. Om zo’n AED te zijn volgens de NIB, dient een organisatie of instelling aan de volgende eisen te voldoen:

  • Een entiteit verleent een dienst die van essentieel belang is voor de instandhouding van kritieke maatschappelijke en/ of economische activiteiten
  • De verlening van die dienst is afhankelijk van netwerk- en informatiesystemen
  • Een incident zou aanzienlijke verstorende effecten hebben voor de verlening van die dienst

Als een entiteit voldoet aan de drie eisen en genoemd wordt in bijlage II van de NIB, is het een AED. Bijlage II bevat een lijst van zeven sectoren, waar in totaal 30 soorten entiteiten onder vallen. De overheid dient uiterlijk 9 november alle bedrijven aan te wijzen die aan de criteria voldoen.

Het herkennen van digitaledienstverleners gaat gelukkig een stuk eenvoudiger. Als een entiteit een 1. onlinemarktplaats, 2. onlinezoekmachine, of 3. cloudcomputerdienst is, spreken wij van een digitaledienstverlener. In het onderstaande schema van het Agentschap Telecom (de toezichthouder voor alle digitaledienstverleners + AED’s in de sectoren Energie en Digitale Infrastructuur) is te zien welke digitaledienstverleners een meldplicht hebben onder de Wbni. Alle AED’s hebben een meldplicht.

De andere toezichthouders voor de overige vijf sectoren zijn De Nederlandsche Bank N.V (Bankwezen en infrastructuur voor de financiële markt), de Minister van Infrastructuur en Waterstaat (vervoer en
levering en distributie van drinkwater) en tot slot de Minister voor Medische Zorg (gezondheidszorg).

Meer informatie

Discussie

Ook dit artikel bediscussiëren wij graag in de open Linkedin Groep ‘Information Security NL.  Information Security NL is een (gratis) discussiegroep voor kennisdeling over informatiebeveiliging.

Image credit: @internetztube via Unsplash

Author: Joost Krapels
Joost Krapels MSc. heeft zijn BSc. in Artificial Intelligence en zijn MSc. in Information Sciences gehaald aan de VU Amsterdam. Bij ICT Institute adviseert hij over informatiebeveiliging (CISSP, Security+, IRCA/CQI Lead Auditor), privacy (CIPP/E), praktisch toepassen van de AVG, en voert hij IT Due Diligence onderzoek uit.