De Europese Commissie heeft op 7 februari 2013 een nieuwe richtlijn voorgesteld met betrekking tot netwerk- en informatiebeveiliging. De richtlijn zal onder andere een algemene meldplicht in het leven roepen voor beveiligingsincidenten.
Zoals het ernaar uitziet zal deze meldplicht gaan gelden voor publieke organisaties en vele marktpartijen, waaronder aanbieders van online diensten (o.a. zoekmachines en sociale netwerken) en aanbieders van essentiële infrastructuur op het gebied van energie, vervoer, de bankensector, financiële sector en de gezondheidszorg. Hieronder volgt een beknopt overzicht van de belangrijkste punten van dit voorstel.
Cybersecuritystrategie
De richtlijn maakt onderdeel uit van een nieuwe strategie van de EU op het gebied van cybersecurity. Naast de invoering van een beveiligings- en meldplicht moeten lidstaten diverse maatregelen nemen op het gebied van cybersecurity. Zo moeten lidstaten een cybersecurity-autoriteit en een computercalamiteitenteam (een zogenaamde “CERT”) aanwijzen en een nationale cybersecuritystrategie ontwikkelen. Daarnaast moeten lidstaten diverse samenwerkingsplannen invoeren om o.a. incidentinformatie met elkaar uit te wisselen.
Verplichtingen voor markpartijen
Beveiligingsplicht
Op basis van het voorstel worden lidstaten ertoe verplicht om ervoor te zorgen dat publieke organisaties en relevante marktpartijen gepaste technische en organisatorische maatregelen nemen ter voorkoming en beperking van beveiligingsrisico’s van netwerk- en informatiesystemen. Een soortgelijke algemeen geformuleerde beveiligingsplicht geldt nu ook al voor partijen die persoonsgegevens verwerken of openbare elektronische communicatienetwerken of diensten aanbieden.
Overigens worden er geen technische beveiligingsstandaarden opgelegd door de richtlijn. Het ligt voor de hand dat het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) dergelijke standaarden, richtlijnen en good practices zal gaan ontwikkelen.
Meldplicht beveiligingsincidenten
Voor marktpartijen is voornamelijk de voorgestelde invoering van een algemene meldplicht van belang. Op grond van de huidige tekst zullen de relevante marktpartijen incidenten die een significante impact hebben op de beveiliging van hun kerndiensten (core services) moeten melden bij de bevoegde autoriteiten. De bevoegde autoriteiten kunnen vervolgens zelf bepalen of een dergelijk incident door henzelf of de betrokken marktpartij aan het algemeen publiek wordt gemeld als dit het algemeen belang dient.
De reikwijdte van deze meldplicht lijkt behoorlijk ruim. Zo geeft de Europese Commissie aan dat de niet-beschikbaarheid van een hotelboekingsplatform of een clouddienst waardoor gebruikers geen hotel meer kunnen boeken respectievelijk hun eigen content niet meer kunnen raadplegen, voorbeelden zijn van beveiligingsincidenten die gemeld moeten worden.
Voor wie geldt de beveiligings- en meldplicht?
Market operators
De beveiligings- en meldplicht zal gaan gelden voor publieke organisaties en relevante marktpartijen (market operators). Onder de zogenaamde market operators vallen veel aanbieders van online diensten en aanbieders van essentiële infrastructuur op het gebied van energie, vervoer, de bankensector, financiële sector en de gezondheidszorg.
De bijlage bij de voorgestelde richtlijn bevat een indicatieve lijst van marktpartijen die aan de beveiligings- en meldplicht zullen worden onderworpen. Voorbeelden van dergelijke partijen zijn ziekenhuizen, vliegvelden, handelsbeurzen, zoekmachines, app platforms en energieleveranciers. Het is dus een omvangrijke en diverse groep van marktpartijen die met deze verplichtingen te maken gaat krijgen.
Buitenlandse partijen en uitzonderingen
Ook marktpartijen van buiten de EU zullen aan deze verplichtingen moeten gaan voldoen voorzover zij hun diensten aanbieden in de EU. Overigens zijn micro-ondernemingen (minder dan tien werknemers en een jaaromzet of jaarlijkse balanstotaal van maximaal 2 miljoen euro) van deze verplichtingen uitgezonderd. Daarnaast vallen ook aanbieders van openbare elektronische communicatienetwerken en diensten buiten de reikwijdte van de voorgestelde richtlijn. Op dergelijke aanbieders rust immers al een beveiligings- en meldplicht.
Slot
De voorgestelde richtlijn is mogelijk nog onderhevig aan veranderingen, maar dat er een algemene meldplicht voor beveiligingsincidenten zal gaan komen voor een omvangrijke groep marktpartijen is vrij zeker. De voorlopige tekst van de richtlijn en een toelichting van de Europese Commissie vindt men hier.