-

Wetsvoorstel: Informatie delen voor betere digitale weerbaarheid van álle bedrijven

Tot nu toe was alleen voor de Rijksoverheid, vitale aanbieders (zoals energiebedrijven) en digitale dienstverleners informatiedeling met betrekking tot cyberdreigingen wettelijk geregeld. Andere bedrijven stonden er grotendeels alleen voor. Een nieuw wetsvoorstel moet zorgen dat informatie breder wordt gedeeld, om zo álle bedrijven digitaal weerbaar te maken.

Citrix, Pulse Secure, Solar Winds, Microsoft Exchange en zeer recentelijk Kaseya: slachtoffers van hackers en stuk voor stuk software waarbij een kwetsbaarheid wereldwijd tot problemen heeft geleid bij afnemers en gebruikers. Bij de laatstgenoemde hack gaat het in potentie – als men de verantwoordelijke hackersgroep REvil moeten geloven – om meer dan een miljoen systemen die geïnfecteerd zijn, waarbij de schade alleen al aan losgeld kan oplopen tot 70 miljoen dollar.

Digitale weerbaarheid van Nederland

In Nederland zijn het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) opgericht om instanties, bedrijven en burgers te waarschuwen over dergelijke cyberdreigingen. In verband hiermee is de zogenoemde Wet beveiliging netwerk- en informatiesystemen (Wbni) in het leven geroepen. De Wbni, de Nederlandse implementatie van de Europese Netwerk- en Informatiebeveiliging richtlijn (de NIB-Richtlijn), regelt de wettelijke taken van het NCSC op het terrein van cyber security en biedt de juridische grondslag voor het waarschuwen, informeren en adviseren over dergelijke digitale dreigingen en incidenten.

De wet beoogt de digitale weerbaarheid van Nederland te bevorderen. Echter, het is belangrijk te benadrukken dat deze wet  alleen van toepassing is op de Rijksoverheid, op vitale aanbieders (bijvoorbeeld energiebedrijven, drinkwaterbedrijven en banken) en op digitale dienstverleners (onder andere aanbieders van clouddiensten, online zoekmachines en online marktplaatsen). Het gevolg hiervan is dat andere, niet-gereguleerde, bedrijven buiten de boot vallen op het moment dat de overheid informatie deelt over digitale kwetsbaarheden, dreigingen en incidenten.

Hoet het mis kan gaan

Het meest sprekende voorbeeld van hoe andere organisaties buiten de boot vielen is de kwetsbaarheid in de VPN-software van Pulse Secure in 2020. Door een fout in de software was het voor buitenstaanders mogelijk om zonder wachtwoord volledige toegang te krijgen tot de server. Het NCSC, nota bene onderdeel van het Ministerie van Justitie en Veiligheid, was op de hoogte van het feit dat een groot aantal Nederlandse bedrijven na deze hack nog kwetsbaar was en zelfs daadwerkelijk was gehackt.

Niettemin werd destijds door de overheid niets met deze informatie gedaan wegens de “juridische mogelijkheden” en het “wettelijke mandaat” van het NCSC, zoals bijvoorbeeld het FD (paywall) berichtte. Ofwel: bedrijven die buiten de kring van de rijksoverheid en de vitale sectoren vallen, worden niet ingelicht.

Een nieuwe, bredere wet

Het geringe werkveld van het NCSC, de roep van het bedrijfsleven om dreigingsinformatie breder te delen en de wens van de overheid om de digitale weerbaarheid van bedrijven te versterken hebben geleid tot het voorstel Wet bevordering digitale weerbaarheid bedrijven.

Op 28 juni is deze conceptregeling ter consultatie gepubliceerd. Het concept staat nog tot en met 23 augustus van dit jaar open voor iedereen om er commentaar op te leveren. Vervolgens zullen de reacties verwerkt worden in het daadwerkelijke wetsvoorstel en neemt de Ministerraad er een besluit over. Daarna zal de behandeling in de Tweede en vervolgens de Eerste Kamer plaatsvinden.

Wat beoogt de wet?

Het wetsvoorstel regelt de taken en bevoegdheden van de Minister van Economische Zaken en Klimaat (Minister van EZK) op het gebied van de verbetering van de digitale weerbaarheid van het niet-vitale bedrijfsleven in Nederland. De taken en bevoegdheden van de Minister van EZK zijn gedelegeerd aan het al eerder genoemde Digital Trust Center, dat door het Ministerie van EZK is opgericht.

Voor het DTC, dat als missie heeft bedrijven weerbaarder te maken tegen cyberdreigingen, zijn twee hoofdtaken geformuleerd. Ten eerste: informatie en advies geven. Ten tweede: het bevorderen van samenwerking tussen bedrijven op het gebied van digitale weerbaarheid. Het doel van de Minister van EZK is dat de digitale weerbaarheid van bedrijven een positief economisch effect heeft en daarmee een breder maatschappelijk effect.

De zogenoemde niet-vitale bedrijven leveren in de zakelijke markt voortdurend diensten aan de vitale sector en kunnen bij een lek in de cyberbeveiliging in theorie zo ook de vitale sector besmetten. Bovendien wijst de overheid vitaal beheer en vitale taken meer en meer aan marktpartijen toe. Om die reden is het een adequate stap van de overheid om te zorgen dat de gehele digitale keten beter op de hoogte raakt van dreigingen.

Informatie delen

Een recent voorbeeld is de kwetsbaarheid in de e-mailsoftware van Microsoft Exchange, waardoor vermoedelijk een logistiek bedrijf voor voedselwaren werd gehackt en de distributie van kaas aan diverse supermarkten stil kwam te liggen (zoals onder andere RTL berichtte). Op het moment dat dergelijke bedrijven in een vroeg stadium dreigings- of incidentinformatie over de netwerk- en informatiesystemen ontvangen van de overheid, kan er preventief en proactief gehandeld worden om nadelige gevolgen voor het bedrijf te voorkomen en de maatschappelijke impact te beperken.

Op basis van de voorgestelde grondslag kan het bedrijfsleven deze informatie van de overheid ontvangen. Door deze informatie te verstrekken aan het niet-vitale bedrijfsleven stelt de overheid deze bedrijven in staat om op basis van objectieve informatie zelf te beoordelen of en in welke mate zij maatregelen moet treffen ter mitigatie van een kwetsbaarheid, ter afwering van een dreiging of ter oplossing van een daadwerkelijke inbreuk, aldus de Minister van EZK.

Gevolgen voor de privacy-bescherming

Een belangrijk aspect en tevens een keerzijde van deze nieuwe wetgeving is dat in het kader van deze taakuitoefening persoonsgegevens zullen worden verwerkt. In de praktijk kan dit gaan om het informeren van individuele bedrijven of andere organisaties. Daarbij kunnen bijvoorbeeld IP-adressen die kwetsbaar zijn en de contactgegevens van medewerkers van een bedrijf worden gedeeld. Anderzijds kan het wetsvoorstel bedrijven juist helpen om te voldoen aan een verplichting die voortvloeit uit de Algemene Verordening Gegevensbescherming (AVG).

Artikel 32 van de AVG verplicht ieder bedrijf de persoonsgegevens die het verwerkt te beveiligen. Het dient hiertoe passende technische en organisatorische maatregelen te treffen, die een op het risico afgestemd beschermingsniveau waarborgen. Bij technische maatregelen kan gedacht worden aan het opzetten van een firewall, het toepassen van encryptie of het opslaan van gegevens in een beveiligde omgeving. Onder organisatorische maatregelen valt onder meer het beperken van de toegang tot gegevens tot bepaalde medewerkers (autorisatiebeleid).

De genomen beveiligingsmaatregelen dienen tevens gedurende de gehele looptijd van de verwerking passend te zijn. Dit impliceert allereerst dat het bedrijf periodiek dient te evalueren of de eerder genomen beveiligingsmaatregelen nog steeds passend zijn. Daarnaast is een organisatie gehouden om de cybersecurity aan te passen indien cybercriminelen nieuwe hackmethoden tot hun beschikking krijgen. Niet-naleving van deze verplichtingen kan leiden tot oplegging van een boete door de Autoriteit Persoonsgegevens.

Met dit wetsvoorstel tracht de Minister van EZK het bedrijfsleven beter te voorzien van praktische handvatten waarmee door bedrijven gedeeltelijk invulling kan worden gegeven aan de genoemde technische en/of organisatorische maatregelen. Bij informatie over een specifieke dreiging zal door het DTC een zo praktisch mogelijk handelingsperspectief worden aangereikt, zodat bedrijven weten welke vervolgstap(pen) ze kunnen nemen.

De Minister benadrukt in de toelichting op het wetsvoorstel wel dat bedrijven “uiteraard zelf primair verantwoordelijk zijn als het gaat om het treffen van maatregelen aangaande de beveiliging van hun systemen” en dat verwacht mag worden dat bedrijven bij een voor hen concrete bedreiging eerder actief zullen worden. Bij een meer generieke waarschuwing blijft dit nu nog uit.

Voordelen voor het gehele bedrijfsleven

Met dit voorstel wil de overheid dus de informatiedeling reguleren met het Nederlandse bedrijfsleven dat niet valt onder de werking van de Wbni. Het gaat daarbij om het gehele scala van eenmanszaken tot en met het grootbedrijf. Er lijkt met deze wet gehoor gegeven te worden aan de sterke roep van het bedrijfsleven om hulp van de overheid bij een adequate digitale beveiliging en de wens om geïnformeerd te worden over nieuwe methodes van cybercriminelen.

Cybersecurity is bij uitstek een strategische uitdaging voor de bestuurskamer en de afgelopen jaren hebben bedrijven – gedwongen door de razendsnelle ontwikkeling van cybercrime en in het bijzonder aanvallen met gijzelsoftware (ransomware)–  flink moeten investeren in digitale veiligheid. De kosten daarvoor nemen jaarlijks 10% tot 15% toe. De informatie vanuit de overheid kan om die reden een welkom hulpmiddel worden om de cybercompliance te verbeteren.

Dat is een belangrijke constatering, omdat op ieder bedrijf een zorgplicht rust om een adequate digitale beveiliging operationeel te hebben. Ieder bedrijf dat gebruik maakt van ICT, heeft namelijk zorgplichten op het gebied van cybersecurity, ook als ICT slechts een ondersteunende rol speelt in een bedrijf, Die zorgplichten kunnen voortkomen uit de verwerking van persoonsgegevens, kunnen ontstaan bij het gebruik van ICT, of staan bijvoorbeeld in verband met producten of diensten met een ICT-toepassing. Bedrijven die hun beveiliging niet op orde hebben en op die manier deze zorgplichten schenden, kunnen geconfronteerd worden met aansprakelijkheid. Strafrechtelijke vervolging ligt, in geval van grove nalatigheid, in het uiterste geval zelfs op de loer.

Conclusie: waardevolle handreiking

Het wetsvoorstel biedt dus een waardevolle handreiking aan het bedrijfsleven in het kader van cybersecurity compliance. Er is uitzicht op een juridisch kader dat een deel van de bestaande zorgen over de digitale weerbaarheid zal kunnen verminderen en het bedrijfsleven kan helpen om de digitale zorgplicht beter te vervullen.

Over de auteur: Nosh van der Voort is advocaat bij Simmons & Simmons.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedInTwitter en Facebook.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond