Oneerlijke overheidsconcurrentie?

Onlangs heeft de Nederlandse wetgever een belangrijke stap gezet op het gebied van cybersecurity. De Wet beveiliging netwerk- en informatiesystemen (Wbni) is per 9 november 2018 van kracht geworden. Daarmee zijn in ons land voor een afgebakende groep bedrijven en organisaties nieuwe security- en meldplichten in het leven geroepen.

De jongste loot van het Nederlandse cybersecurityrecht legt verplichtingen op aan – kort gezegd – aanbieders van diensten in de zogeheten vitale sectoren en aan middelgrote en grote IT-dienstverleners zoals cloud providers, online marktplaatsen en online zoekmachines. De kring van partijen die onder de Wbni vallen is in zekere zin dus overzichtelijk. Saillant detail daarbij is overigens wel dat grote delen van de Rijksoverheid zelf – zoals de Belastingdienst – niet onder de Wbni vallen en dus op basis van deze wet geen securityverplichtingen hebben. Niet minder opmerkelijk is dat ziekenhuizen zich ook buiten de scope van de nieuwe wet hebben weten te houden.

Door de toenemende verkokering van ons rechtsstelsel sluiten wetten tegenwoordig zelden naadloos op elkaar aan. En daarmee zadelt nieuwe regelgeving de samenleving op met nieuwe, lastige onzekerheden. Peter van Schelven neemt in iBestuur magazine juridische dilemma’s onder de loep. Deze keer: een advies voor securitybedrijven om met de overheid in gesprek te gaan.

De juridische werkelijkheid, met name inzake security, is complex. Let wel: ook in andere wetgeving dan de Wbni treffen we securityverplichtingen aan. Bijvoorbeeld in de Algemene Verordening Gegevensbescherming (AVG). De verplichtingen onder de Wbni moeten daarvan goed worden onderscheiden; inhoudelijk zijn ze anders. Zo voorziet de AVG in een meldplicht bij ernstige datalekken richting de betrokken burgers en de Autoriteit Persoonsgegevens, maar dat betreft een andere meldplicht dan die onder de Wbni. Het securityrecht begint zich steeds meer te kenmerken door een opeenstapeling van verschillende wettelijke regelingen.

Wat is een CSIRT

Een specifiek aspect van de Wbni verdient aandacht. Ernstige securityincidenten moeten gemeld worden bij een computer security incident response team, in de wet afgekort tot CSIRT. In Nederland zijn inmiddels diverse CSIRT’s officieel aangewezen. Het eerste CSIRT is de minister van Justitie en Veiligheid, die voor de vitale sectoren is aangewezen. De minister heeft de uitvoering van zijn wettelijke verantwoordelijkheid bij het Nationaal Cyber Security Centrum (NCSC) belegd.

Daarnaast is de minister voor Economische Zaken en Klimaat (EZK) aangewezen als het CSIRT voor cloud providers, online marktplaatsen en online zoekmachines. Feitelijk wordt die rol opgepakt door het Agentschap Telecom van EZK. Zo zal een cloud provider die langere tijd plat ligt, verplicht zijn zich met zijn incident tot EZK te wenden. Onverwijld, zo bepaalt de wet zelfs. De nadelige gevolgen van het onbeschikbaar zijn van een digitale dienst kunnen zo fors zijn dat de Rijksoverheid geïnformeerd moet worden. Of in een concreet geval meldplicht richting het CSIRT bestaat, wordt bepaald door de vraag wat de impact van een incident voor de dienstverlening binnen de Europese Unie is. Er zijn nog geen concrete wettelijke drempelwaarden aan de hand waarvan dat kan worden vastgesteld. Hoewel de Wbni van kracht is, blijft het om die reden voorlopig nog varen in de mist.

Van reactief naar proactief?

Stel, met de Wbni in de hand wendt u zich naar aanleiding van een ernstig incident keurig netjes tot het voor uw bedrijf of uw organisatie bevoegde CSIRT. De vraag is dan wat u van een CSIRT precies mag verwachten. De taken van de CSIRT’s staan in de onderliggende Europese wetgeving in een overzichtelijk, maar overigens niet uitputtend lijstje opgesomd. Genoemd worden onder meer het monitoren van incidenten op nationaal niveau, het zorgen voor vroegtijdige waarschuwingen en het verspreiden van informatie over risico’s en incidenten, het reageren op incidenten en het zorgen voor een dynamische risico- en incidentanalyse.

Dat is – zo op het eerste gezicht – een fatsoenlijk takenlijstje, dat zonder twijfel goed is voor de beveiliging van de samenleving. Niettemin roept dit wettelijke lijstje ook vragen op. Problematisch is dat de opsomming van taken, zoals gezegd, niet limitatief is. Ik sluit niet uit dat CSIRT’s in de praktijk meer taken en rollen op het gebied van security-incidenten naar zich toe gaan trekken. Taken die evengoed door marktpartijen die gespecialiseerde securitydiensten verlenen probleemloos kunnen worden opgepakt. In de praktijk spelen gereputeerde en deskundige cybersecuritybedrijven overigens al jaren een prominente rol bij vitale aanbieders en digitale dienstverleners.

Het ligt in de lijn der verwachtingen dat de CSIRT’s uit de Wbni de eerste tijd na de komst van deze nieuwe wet slechts overwegend reactief zullen optreden. Maar eenmaal beter in het zadel zullen zij op termijn wellicht ook meer proactief met security-incidenten omgaan. Die geluiden gaan al enige tijd op.

Het is daarom goed rekening te houden met de kans dat de CSIRT’s van de Nederlandse overheid op termijn de particuliere bedrijven die securityproducten en -diensten op de markt brengen, enige concurrentie zullen aandoen. Het is de vraag of dat een wenselijke ontwikkeling zou zijn. Hoe dan ook, de Wbni zelf geeft de diverse mooie bedrijven die actief zijn op het gebied van security geen enkele bescherming tegen oneerlijke overheidsconcurrentie. Wel zijn er elementaire spelregels over overheidsconcurrentie te vinden in de Mededingingswet, maar het is nog maar de vraag hoe die (tamelijk complexe) regels op CSIRT’s uitpakken. Ook onder securitybedrijven leeft de bescherming die de Mededingingswet kan bieden naar mijn indruk nauwelijks.

Mijn idee is dat securitybedrijven de vinger aan de pols moeten houden. Het zou het overwegen waard zijn om over het risico van oneerlijke concurrentie nu al met de overheid in gesprek te gaan. De diverse cybersecuritybedrijven die Nederland rijk is, moeten het brood niet onnodig uit de mond laten stoten. Ligt hier wellicht een fraaie taak voor de sinds juni 2018 in ons land bestaande branchevereniging Cyberveilig Nederland? Of voor andere belangenbehartigers? Doen, zou ik menen. Want voor je er erg in hebt, exploiteert de overheid een eigen winkeltje dat cyberveiligheid verkoopt.

Deze bijdrage is te vinden in iBestuur magazine 30

  • Dirk Emans - Agentschap Telecom | 30 april 2019, 14:51

    Interessant betoog. En goed om te zien dat er aandacht is voor cybersecurity. In de bijdrage van Peter van Schelven is echter een foutje geslopen.
    Agentschap Telecom is de toezichthouder op aanbieders van essentiële diensten in de sectoren energie en digitale infrastructuur en op digitale dienstverleners (online marktplaatsen, online zoekmachines en clouddienstverleners) die aan een aantal voorwaarden voldoen. Als toezichthouder kijken we bij de essentiële diensten actief, en bij de digitale dienstverleners reactief (bijvoorbeeld na incidenten) hoe zij hun digitale weerbaarheid georganiseerd hebben. Ons doel is Nederland digitaal weerbaar en veilig verbonden te houden.
    De digitale dienstverleners hebben een eigen CSIRT dat rechtstreeks valt onder het ministerie van Economische Zaken en Klimaat. Op de website van het CSIRTDSP is te lezen: “Het CSIRTDSP heeft als taak om meldingen van incidenten bij digitale dienstverleners te ontvangen met het doel om de economische en eventueel maatschappelijke schade van een incident te beperken. Het CSIRTDSP kan eventueel ook andere digitale dienstverleners waarschuwen als er zich een bepaald type incident voordoet. Verder deelt het CSIRTDSP actuele dreigingsinformatie.”
    Verder geldt nog dat op Europees niveau drempelwaarden voor de meldplicht voor digitale dienstverleners zijn vastgesteld. Deze gelden zowel voor de meldplicht bij Agentschap Telecom als bij het CSIRTDSP.

    Agentschap Telecom en CSIRTDSP zijn dus twee aparte organisaties, ieder met hun eigen taken en verantwoordelijkheden.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren