7 juli 2016

Valt jouw bedrijf als Digital Service Provider onder de nieuwe Europese cybersecurity richtlijn?

CYBERSECURITY, EUROPA, NIB-RICHTLIJN, VERTROUWEN

Op woensdag 6 juli heeft het Europese Parlement ingestemd met de NIB-richtlijn (de ‘NIS directive’), de eerste Europese cybersecurity richtlijn over de veiligheid van netwerk- en informatiesystemen. In deze richtlijn is opgenomen dat Digital Service Providers (DSP’s) verplicht zijn incidenten te melden. Momenteel wordt in Brussel onderhandeld en onderzoek gedaan naar wensen en zorgen van aanbieders van Digital Service Providers (DSP’s) ten aanzien van deze zorg- en meldplicht. Nederland ICT wil voor haar lobbyactiviteiten graag weten welke leden als DSP onder deze NIB-richtlijn vallen.   

De NIB-richtlijn treedt per 1 augustus in werking. Lidstaten hebben vervolgens 21 maanden om de nieuwe regels van de richtlijn om te zetten in eigen wetgeving. Veel van wat in de richtlijn staat is in Nederland al geregeld in de wet, of is in voorbereidende wetgeving. Zo moet het Nationale Cyber Security Centrum (NCSC) incidenten in de digitale infrastructuur monitoren en belanghebbenden waarschuwen en informeren. En ligt er wetgeving in de Tweede Kamer waarbij aanbieders van vitale infrastructuur (energie, telecom, banken, etc) de plicht krijgen incidenten te melden bij het NCSC.

Toch gaat de NIB-richtlijn hierin verder dan de Nederlandse wetgever en verplicht DSP’s ook incidenten te melden. Digital Service Providers zijn volgens de richtlijn any legal person that provides a digital service, zoals online marktplaatsen, zoekmachines en cloud computing services. Expliciet uitgesloten van de NIB-richtlijn zijn hard- en softwarebedrijven, aanbieders van vertrouwensdiensten en DSP’s met minder dan 50 medewerkers en een omzet van minder dan €10 miljoen.

ENISA, de Europese cybersecurity organisatie, heeft een enquête uitgebracht waarin DSP’s worden opgeroepen te reageren op technische en administratieve vragen ten aanzien van de meld- en zorgplicht. Hiermee kunnen zij helder krijgen op welk detailniveau deze meld- en zorgplicht geregeld moet worden. Je kunt de enquête tot eind juli 2016 invullen via deze link.

We zouden graag van je weten of jouw bedrijf, als DSP, onder de NIB-richtlijn valt. Je kunt hiervoor contact opnemen met Liesbeth Holterman, beleidsadviseur cybersecurity. Ook voor verdere vragen over deze richtlijn kun je bij haar terecht.