Cybercrime in Europa: Alles over de Wbni-wet

Cybercrime is een alom bekend en erkend probleem. Van DDoS-aanvallen, ransomware, botnets en phishingmails, de oplichtingstechnieken worden steeds geavanceerder. Een reactie van Europa kon natuurlijk niet uitblijven en die is er nu dan ook. De Wbni-wet moet leidend zijn bij de aanpak van cybercrime in Europa.

Al in 2016 werd binnen de Europese Unie de Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn) aangenomen. Het doel van de richtlijn: uniforme digitale weerbaarheid creëren tegen cybercrime binnen de EU-lidstaten. In Nederland is de richtlijn inmiddels geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni), ook wel bekend als de cybersecuritywet.

Of de nieuwe regelgeving, die hoofdzakelijk een meld- en zorgplicht omvat, daadwerkelijk een verrijking zal zijn, moet nog blijken.

Voor wie geldt de Wbni?

De Wbni is van toepassing op zogenoemde ‘Aanbieders van essentiële diensten’ (AED’s) en ‘Digitale dienstverleners’ (Digital Service Providers, afgekort DSP’s). Bij aanbieders van essentiële diensten kan worden gedacht aan organisaties die vitale diensten voor onze samenleving verzorgen en waarvan burgers en tevens de economie voor een groot deel afhankelijk zijn. Een voorbeeld hiervan is luchthaven Schiphol waarvan de essentiële dienst bestaat uit een veilige en vlotte vlucht- en vliegtuigafhandeling voor burgers.

Naast de vitale aanbieders geldt de Wbni ook voor digitale dienstverleners. Hoewel zij niet als vitaal worden beschouwd, zijn ze wel belangrijk: veel burgers/consumenten en bedrijven maken gebruik van of zijn afhankelijk van deze dienstverlening. Digitale dienstverleners zijn bijvoorbeeld online marktplaatsen, clouddiensten en/of online zoekmachines. Sociale-mediadiensten en webshops vallen hier weer niet onder.

Daarnaast is de wet enkel van toepassing op (middel)grote ondernemingen: digitale dienstverleners die 50 of meer medewerkers in dienst hebben en/of een balanstotaal of jaaromzet van meer dan 10 miljoen euro hebben. En de onderneming valt alleen onder de Nederlandse jurisdictie als de hoofdvestiging in Nederland is gevestigd, of als de onderneming een vertegenwoordiger heeft aangewezen in Nederland. Al deze relevante vragen voor de beoordeling moeten potentiële digitale dienstverleners overigens zelf beantwoorden.

Meldplicht

Als uit bovenstaande beoordeling volgt dat de onderneming kan worden gekwalificeerd als ‘digitale dienstverlener’, dan is dus de Wbni van toepassing. Dat heeft als gevolg dat de onderneming moet voldoen aan de wettelijke verplichtingen die uit deze wet voortvloeien, zoals een nieuwe zorgplicht en een (dubbele) meldplicht voor de ondernemer. Allereerst de meldplicht. Wat moet er gemeld worden en aan wie? Melding moet gemaakt worden van ‘elke gebeurtenis met een schadelijk effect op de beveiliging van netwerk- en informatiediensten.’

Een dergelijke gebeurtenis hoeft overigens alleen gemeld te worden als deze aanzienlijke gevolgen heeft voor de dienstverlening. Dit is overigens ter beoordeling van de ondernemer zelf, waarbij gelet moet worden op factoren als het aantal gebruikersuren dat de dienst niet beschikbaar is, het aantal gebruikers dat de negatieve gevolgen ondervindt, de hoogte van de schade voor gebruikers en tot slot de risico’s van het incident voor de openbare orde, de openbare beveiliging en het verlies van mensenlevens.

Cybercrime in Europa

© PXimport

Vanaf het moment dat de dienstverlener constateert dat er een incident heeft plaatsgevonden, is de dienstverlener verplicht om hiervan direct melding te maken bij het Agentschap Telecom (AT), de toezichthouder op naleving van de wet, en bij het CSIRT (Computer Security Incident Response Team). De verhouding tussen deze twee organen doet denken aan die van een Good Cop/Bad Cop-duo.

Het CSIRT heeft een adviserende rol. Het team biedt de ondernemers die slachtoffer zijn geworden van een incident, ondersteuning om zo de economische en maatschappelijke schade te beperken. Het AT kan echter sancties opleggen in geval van overtreding van de wet. Tot het wapenarsenaal van deze autoriteit behoren onder meer de bindende aanwijzing, de last onder dwangsom en de bestuurlijke boete. Tevens is het AT bevoegd om de documentatie omtrent beveiligingseisen in te zien. De dienstverlener moet daar dan ook een register van bijhouden.

Het enkel melden van incidenten als digitale dienstverlener is niet toereikend onder de wet. In de voorfase dienen al maatregelen genomen te zijn ter voorkoming van incidenten. Deze beveiligingsmaatregelen komen voort uit de zorgplicht die de digitale dienstverlener volgens de nieuwe wet heeft. De verplichting luidt dat er ‘passende en evenredige organisatorische en technische maatregelen’ getroffen moeten worden. Een spreuk die we inmiddels ook al kennen uit de AVG. Concrete invulling van de plicht ontbreekt echter.

Parallellen met AVG

De genoemde verplichtingen met betrekking tot beveiliging, incidenten en de meldplicht, opgenomen in de Wbni, komen sterk overeen met de bepalingen uit de verplichtingen die voortvloeien uit de AVG. De reeds besproken zorgplicht bevat een vergelijkbaar criterium als de vereisten voor beveiliging van persoonsgegevens onder de AVG.

De meldplicht voor incidenten onder de Wbni heeft weer veel weg van de meldplicht voor datalekken onder de AVG. In beide gevallen is het aan de onderneming zelf om te beoordelen of er sprake is van een incident of een datalek.

Cybercrime in Europa

© PXimport

Bovendien geldt voor zowel de regelgeving met betrekking tot een datalek als voor een incident, dat de onderneming een documentatieplicht heeft. Een wezenlijk verschil is dat de Wbni een dubbele meldplicht kent. Een incident onder de Wbni hoeft bovendien niet per se betrekking te hebben op persoonsgegevens.

Indien dat wel het geval is, dient rekening te worden gehouden met het feit dat het cyberincident tevens een datalek onder de AVG vormt. De digitale dienstverlener is op dat moment verplicht om bij drie verschillende instanties een melding te doen, te weten Autoriteit Persoonsgegevens, AT en CSIRT. Daarbij is het risico op sancties tevens groter, doordat zowel de Autoriteit Persoonsgegevens als het AT bevoegd is om sancties op te leggen.

We zijn er nog niet

De contouren van de Wbni zijn nu enigszins geschetst. Niettemin valt er nog een hoop in te kleuren. De wet bevat veel vage en open normen waarvan de beoordeling ook nog eens aan de bedrijven zelf wordt overgelaten. Is de onderneming in kwestie een digitale dienstverlener en is er sprake van een incident? Trekt een organisatie, ondanks de goede intenties, de verkeerde conclusies dan kan dat zomaar resulteren in een boete van het AT.

De gedachte achter de Wbni is wel bemoedigend en begrijpelijk, maar de uitvoering laat vooralsnog te wensen over. In de huidige vorm zal de Wbni voornamelijk worden ervaren als een administratieve last in plaats van een wenselijk instrument ter bestrijding van cybercrime.

Tekst: Lora Mourcous en Jesse Vermeij (SOLV advocaten)

Deel dit artikel
Voeg toe aan favorieten