NIB-richtlijn

De NIB-richtlijn is de eerste ‘cybersecurity-wetgeving’ op Europees niveau. Het uitgangspunt van de richtlijn is dat netwerk- en informatiesystemen cruciaal zijn voor de instandhouding van allerlei vitale diensten (energie, water, gezondheidszorg) en daarom Europees geregeld moet worden. Dat zal gebeuren door het verbeteren van paraatheid bij incidenten, het verbeteren van internationale samenwerking, een meldplicht van NIB-incidenten en een zorgplicht voor “aanbieders van essentiële diensten” en voor “Digital Service Providers” (DSP’s). De verwachting is dat de NIB-richtlijn begin juli wordt aangenomen in het Europese Parlement. Dan volgt een implementatietermijn van 21 maanden en 6 maanden voor het aanwijzen van aanbieders van essentiële diensten. Het ministerie van Veiligheid & Justitie coördineert de nationale implementatie.

Digital Service Providers zijn volgens de richtlijn “any legal person that provides a digital service”. Denk hierbij aan online marktplaatsen, zoekmachines en cloud computing services. Expliciet uitgesloten van de NIB-richtlijn zijn:

  • aanbieders van openbare elektronische communicatienetwerken en –diensten (OECN/OECD uit kaderrichtlijn)
  • aanbieders van vertrouwensdiensten (Eidas-verordening)
  • hardwarefabrikanten
  • software-ontwikkelaars
  • Digital Service Providers, zijnde een micro- or small enterprise (ondernemingen met minder dan 50 werknemers en een omzet van minder dan €10 miljoen)

De Nederlandse overheid heeft ervoor gepleit dat de richtlijn zich in beginsel zou beperken tot de sectoren waarbinnen de uitval van processen, als gevolg van een incident, zou kunnen leiden tot maatschappelijke ontwrichting, de zogenaamde vitale processen. Desondanks zijn nu ook de aanbieders van digitale diensten opgenomen in de richtlijn. Lidstaten behouden echter wel de vrijheid om binnen de in de richtlijn opgenomen sectoren zelf, aan de hand van in de richtlijn vermelde criteria, te bepalen welke specifieke organisaties onder de bepalingen van de richtlijn vallen. Ook staat het een lidstaat vrij om de richtlijn ook van toepassing te verklaren op processen die niet vallen onder de in de richtlijn genoemde sectoren, maar door die lidstaat wél als vitaal worden aangemerkt.

Wat vindt Nederland ICT?

Voor het Nederlandse bedrijfsleven lijkt er niet veel te veranderen wanneer de NIB-richtlijn wordt geïmplementeerd. Nederland heeft al een Nationaal Cyber Security Centrum (NCSC) en de Meldplicht cybersecurity vitale sectoren is er eerder dan de NIB-richtlijn. Ook wordt er momenteel een Computer Security Incident Response Team opgericht door het NCSC.

Wat moet er gebeuren?

Nederland kan binnen Europa een voortrekkersrol spelen in het cybersecurity domein. Maar dan zijn we er nog niet. Veel digitale dreigingen zijn afkomstig van statelijke actoren buiten Europa of van cybercriminelen die in landen buiten Europa actief zijn. Maak hierover mondiale afspraken op publiek-privaat niveau. Draag de cyberdiplomatie actief uit, inclusief het verder stimuleren van responsible disclosure, het uitwisselen van best practices en het stimuleren van bewezen initiatieven, zoals Abuse IX.

Gelet op het internationale karakter van het dossier en het belang van een goed investeringsklimaat in Nederland moet worden voorkomen dat er in Nederland ver(der)gaande wettelijke verplichtingen of dwingende aanbevelingen komen, die bedrijven op hoge kosten jagen en hun (internationale) concurrentiepositie ondermijnen. Nederland moet niet het braafste jongetje van de klas willen zijn, maar klasgenootjes zoeken die hetzelfde ambitieniveau hebben om tot oplossingsrichtingen te komen.