Home / Publicaties / Nieuwe NIB-richtlijn verplicht bedrijven tot betere...

Nieuwe NIB-richtlijn verplicht bedrijven tot betere informatiebeveiliging

07/07/2016

Het aantal datalekken en beveiligingsincidenten dat per week plaatsvindt, is amper op één hand te tellen. Recente voorbeelden van gehackte IT-systemen, kwijtgeraakte niet-versleutelde harde schijven, verdwenen dossiers en gestolen medische gegevens in Nederland zijn er in overvloed. Organisaties zijn op grond van artikel 13 Wet bescherming persoonsgegevens (Wbp) al verplicht om passende organisatorische en technische maatregelen te treffen voor de beveiliging van persoonsgegevens, maar daar komen nu extra, meer algemene, eisen bij. Op 6 juli heeft het Europees Parlement namelijk de Richtlijn voor netwerk- en informatiebeveiliging aangenomen. Binnen 21 maanden moet Nederland deze richtlijn hebben omgezet in nationale wetgeving.

Reikwijdte

De richtlijn verplicht lidstaten tot het stellen van hoge wettelijke eisen aan netwerk- en informatiebeveiliging in het algemeen. De reikwijdte is dan ook breder dan de beveiligingsplicht van de Wbp die alleen voor persoonsgegevens geldt. De richtlijn is een direct gevolg van de toenemende digitalisering. Hoe meer wij digitaal doen en delen, hoe belangrijker het wordt dat gegevens goed beveiligd zijn tegen misbruik. Dit gemeenschappelijke belang van netwerk- en informatiebeveiliging komt in de richtlijn tot uiting op de volgende manier (artikel 14 lid 1):

De lidstaten zorgen ervoor dat overheden en marktdeelnemers passende technische en organisatorische maatregelen nemen ter beheersing van de risico's voor de beveiliging van de netwerken en informatiesystemen die zij controleren en bij hun activiteiten gebruiken.

Overheden en marktdeelnemers worden bovendien verplicht om incidenten met een aanzienlijke impact op de beveiliging van de door hen verleende kerndiensten te melden aan de nationale autoriteiten.

Wat zijn 'marktdeelnemers'?

Wat overheden zijn, is vrij duidelijk. Maar wat zijn 'marktdeelnemers'? De richtlijn definieert een 'marktdeelnemer' als (artikel 3 lid 8):

  • een aanbieder van diensten van de informatiemaatschappij die de verlening van andere diensten van de informatiemaatschappij mogelijk maken; een niet-exhaustieve lijst hiervan is opgenomen in bijlage II;
  • een exploitant van kritische infrastructuur die essentieel is voor de handhaving van vitale economische en maatschappelijke activiteiten op het gebied van energie, vervoer, bankieren, effectenbeurzen en gezondheid; een niet-exhaustieve lijst hiervan is opgenomen in bijlage II;

Volgens bijlage II bij de richtlijn, moet men hierbij in ieder geval denken aan: platforms voor elektronische handel, gateways voor internetbetalingen, socialenetwerksites, zoekmachines, cloudcomputingdiensten, internetwinkels die applicaties aanbieden, energieleveranciers en ‑exploitanten, luchtvaartmaatschappijen, spoorwegexploitanten, kredietinstellingen, zorginstellingen (waaronder ziekenhuizen en privéklinieken) en andere zorgverleners. Behoorlijk wat sectoren zullen dus worden geraakt door de nieuwe regels.

Nationale wetgeving

Het is nog even afwachten hoe Nederland deze richtlijn exact gaat omzetten in nationale wetgeving. Waarschijnlijk zal het nu al aanhangige wetsvoorstel Wet gegevensverwerking en meldplicht cybersecurity moeten worden gewijzigd om alle expliciet in de richtlijn genoemde 'marktdeelnemers' (die in het Nederlandse voorstel 'vitale aanbieders' worden genoemd) te dekken. Nederland was zich hier blijkens de betreffende Memorie van Toelichting al van bewust.

Auteurs

Jurre Reus