Begin vorige maand, 6 juli 2016, werd in het Europese Parlement de allereerste algemene wet rond cyberveiligheid goedgekeurd. De ‘Richtlijn inzake maatregelen voor een hoog gemeenschappelijk veiligheidsniveau van netwerken en informaticasystemen door de hele Unie’ (vaak afgekort als de ‘Netwerk- en informaticaveiligheidsrichtlijn’ of ‘NIB-richtlijn’) werd op 19 juli bekendgemaakt in het Publicatieblad van de Europese Unie. Naar verwachting zal ze op 8 augustus 2016 in werking treden. De lidstaten hebben tot begin mei 2018 de tijd om de nodige maatregelen te nemen om de Richtlijn om te zetten in nationaal recht.
Nadat de Europese Commissie haar voorstel had ingediend in februari 2013 heeft het nog ongeveer drie jaar geduurd vooraleer de definitieve tekst klaar was. In deze drie jaar werden de scherpste kantjes van het voorstel bijgeschaafd, en het resultaat is een instrument met een duidelijk kleiner toepassingsgebied. Toch zal deze NIB-richtlijn voor een hele reeks instanties in de openbare en de privésector gevolgen hebben voor de manier waarop ze met de dagelijkse (cyber)veiligheid van hun diensten omgaan.
Maatregelen op verschillende niveaus
De NIB-richtlijn kiest voor een gelaagde aanpak van de Europese cyberveiligheid. Ze omvat maatregelen voor strategische ingrepen van de lidstaten op het vlak van regelgeving, grensoverschrijdende samenwerking en specifieke verplichtingen die gericht zijn op de belangrijkste economische actoren binnen de interne markt van de EU. Tot op zekere hoogte herkennen we dezelfde onderliggende principes en ideeën die we ook terugvinden in het Europees Programma voor de Bescherming van Kritieke Infrastructuur (EPCIP), dat dezelfde gelaagde aanpak hanteert. Dit zal niemand verbazen, omdat de NIB-richtlijn in zekere zin de informele structuur is die het EPCIP aanvult.
Maatregelen op het niveau van de lidstaten en grensoverschrijdende samenwerking
Een van de belangrijkste verplichtingen van de lidstaten onder de nieuwe NIB-richtlijn is het identificeren van aanbieders van essentiële diensten. Volgens artikel 5 (2) zijn dit entiteiten die diensten verstrekken die essentieel zijn voor het in stand houden van kritieke maatschappelijke en/of economische activiteiten en die zodanig afhankelijk zijn van netwerken en informaticasystemen dat, indien er zich een incident voordoet, de dienstverlening ernstig verstoord zou worden. De NIB-richtlijn vermeldt in haar Bijlage II de sectoren waarin de lidstaten naar deze aanbieders van essentiële diensten op zoek moeten gaan.
De lidstaten zullen ook verplicht worden om een NIB-strategie en een geschikt regelgevingskader goed te keuren. Zij zullen bevoegde instanties en centrale aanspreekpunten aanduiden en CSIRT’s (Computer Security Incident Response Teams of computercalamiteitenteams) moeten opzetten. CSIRT’s zijn de nationale cyberbrandweerkorpsen. Zij zullen samenwerken met de privésector en operationele ondersteuning bieden. En last but not least zullen de lidstaten ervoor moeten zorgen dat de verplichtingen, die opgelegd worden aan aanbieders van essentiële diensten en aanbieders van digitale diensten, afgedwongen kunnen worden.
Op Europees niveau ligt de focus hoofdzakelijk op strategische en operationele samenwerking. De lidstaten zullen strategisch moeten samenwerken via een Cooperation Group. Het secretariaat van deze groep wordt beheerd door de Europese Commissie. Zulke strategische samenwerking zal onder andere de uitwisseling van informatie en beste praktijken omvatten. De CSIRT’s zullen de operationele samenwerking voor hun rekening nemen door middel van de oprichting van een netwerk.
Specifieke verplichtingen voor belanghebbenden in de privésector
Categorieën van belanghebbenden in de privésector
De Richtlijn concentreert zich op twee soorten entiteiten in de privésector:
- de aanbieders van essentiële diensten en
- de aanbieders van digitale diensten.
De definitie van de eerste categorie wordt hierboven gegeven. De tweede categorie omhelst voornamelijk onlinemarktplaatsen, zoekmachines en cloudcomputingdiensten. In het voorstel van de Europese Commissie werden alle diensten van de informatiemaatschappij in het vizier genomen, maar tijdens het wetgevingsproces werd beslist dat een heleboel van deze diensten niet ‘kritiek’ genoeg waren. Vandaar de beperking tot digitale diensten die de Europese wetgever zo belangrijk vindt dat elk incident met deze diensten voldoende ernstige implicaties heeft op de interne markt.
De verplichtingen voor belanghebbenden in de privésector
De voornaamste verplichtingen voor aanbieders van essentiële diensten en aanbieders van digitale diensten kunnen als volgt samengevat worden:
- gepaste technische en organisatorische maatregelen nemen om NIB-risico’s te beheersen;
- bedrijfscontinuïteitsplannen opstellen en implementeren;
- de bevoegde autoriteit of het CSIRT op de hoogte brengen van een incident dat een aanzienlijke impact heeft.
De plicht om een incident te melden aan het CSIRT mag niet leiden tot een grotere aansprakelijkheid voor de aanbieder of de dienstverlener, m.a.w. hij zal niet extra aansprakelijk gesteld worden voor het incident zelf. Niet-naleving van de meldingsplicht kan uiteraard onderhevig zijn aan aansprakelijkheid. Een aanbieder van digitale diensten die diensten aanbiedt aan een aanbieder van essentiële diensten die van cruciaal belang zijn voor de continuïteit van de essentiële diensten, zal elk incident dat de continuïteit van zijn diensten in gevaar brengt, moeten melden aan de aanbieder. De CSIRT’s mogen in overleg met de aanbieder van essentiële diensten of een aanbieder van digitale diensten met het publiek communiceren over een incident, of kunnen eisen dat de dienstenaanbieder dat doet.
Nationale jurisdictie
Het spreekt voor zich dat in de praktijk vele van de aanbieders van essentiële diensten en de aanbieders van digitale diensten organisaties zijn die in de hele EU of zelfs wereldwijd actief zijn. Daarom is er nood aan duidelijke regels, die de bevoegdheid van nationale toezichthoudende instanties maar ook de jurisdictie toewijzen. Zulke regels zijn terug te vinden in artikels 5 en 18 van de NIB-richtlijn. Voor aanbieders van essentiële diensten zal elke lidstaat bevoegd zijn waar de aanbieder een vestiging heeft via dewelke hij essentiële diensten aanbiedt in die lidstaat. Voor aanbieders van digitale diensten lijkt de NIB-richtlijn het one-stop-shop-beginsel te volgen: de lidstaat waar de dienstverlener zijn hoofdvestiging (m.a.w. hoofdkantoor) heeft, heeft jurisdictie en zijn toezichthoudende instantie is bevoegd. Als er geen hoofdvestiging in de EU is, zal de aanbieder of dienstverlener een vertegenwoordiger moeten aanduiden.
Conclusie
De NIB-richtlijn beschrijft in grote lijnen de belangrijkste thema’s waaraan de lidstaten aandacht moeten besteden in hun nationale wetgevingen om een toereikend niveau van cyberveiligheid te verwezenlijken. Wat de resultaten voor particuliere belanghebbenden in de praktijk zullen zijn, zal grotendeels afhangen van de nationale maatregelen die de NIB-richtlijn omzetten. Eén belangrijke opmerking echter: voor aanbieders van essentiële diensten streeft de Richtlijn naar een minimale harmonisering, terwijl ze voor aanbieders van digitale diensten naar volledige harmonisering streeft. Voor deze laatste categorie moeten de nationale regels inzake cyberveiligheid dus erg dicht bij die van de Richtlijn blijven.
Meer weten?
Bovenstaand artikel werd geschreven door Ruben Roex, advocaat bij time.lex. Ruben is docent van de opleiding ‘De nieuwe Europese Privacy verordening en gegevensbescherming’.
