Afgelopen februari heeft Eurocommissaris Neelie Kroes met enige fanfare een voorstel voor een richtlijn op het gebied van informatiebeveiliging gelanceerd. De richtlijn zelf is vooral interessant omdat er een aantal nieuwe meldingsverplichtingen van beveiligingsincidenten wordt voor gesteld.
Hoewel Europese regelgeving op dit terrein zeker niet overbodig is, is het huidige voorstel onvoldragen en een gemiste kans.
De volledige naam van het voorstel is “Directive concerning measures to ensure a high common level of network and information security across the Union”. Zoals wel vaker bij Europese richtlijnen is de titel ambitieuzer dan de inhoud. Wat de richtlijn vooral beoogt te regelen is dat er in alle lidstaten van de Unie ‘iets’ wordt gedaan op het gebied van beleid en coördinatie van informatie- en internetveiligheid. Het schept met name verplichtingen om ‘bevoegd gezag’ te scheppen op het gebied van het melden en coördineren van grote (nationale of internationale) informatiebeveiligingsproblemen. Iets wat we in Nederland al in enige mate kennen in de vorm van GOVCERT en het NCSC (zie kader). Daarbij wordt ook gepoogd om de coördinatie op Europees niveau vorm te geven, met name op het gebied van informatie-uitwisseling tussen de autoriteiten van de verschillende lidstaten onderling.
Interessant daarbij is dat de Commissie de bevoegdheid krijgt een eigen, pan-Europese, beveiligde infrastructuur in het leven te roepen. Nog interessanter is dat de lidstaten de verplichting krijgen om zelf verplichtingen voor bedrijven en overheden in het leven te roepen op het gebied van beveiliging. Vreemd genoeg wordt daarbij niet ingegaan op wat deze bevoegdheden in zouden moeten houden.
Nog interessanter is dat er meldingsverplichtingen worden voorgesteld voor overheden, exploitanten van kritieke infrastructuren en elektronische dienstverleners in het algemeen op het gebied van beveiligingsincidenten. En hier roept het voorstel van Kroes veel vragen op. Bijvoorbeeld wat nu een ‘significant’ beveiligingsincident is. Hoe die meldplicht vorm moet krijgen in termen van termijnen, vormvereisten, de minimale informatie die zo’n melding zou moeten bevatten en in het bijzonder voor wie die meldplicht nu geldt is echter zeer onduidelijk of vreemd geregeld. Zo worden ‘micro-ondernemingen’, zeg maar de K van het MKB, er van uitgesloten. Dat is terecht voor de webwinkel met houten speelgoed, maar bijvoorbeeld op het terrein van dataverrijking opereren soms verrassend kleine spelers die grote gegevensvolumes van soms zeer gevoelige aard verwerken. Omgekeerd zijn er genoeg middelgrote organisaties waar een dergelijke meldplicht weer onnodig belastend voor is. Een exploitant van een gespecialiseerde zoekmachine met meer dan tien werknemers bijvoorbeeld valt onder de reikwijdte van de richtlijn en zal een meldplicht voor beveiligingsincidenten hebben. Softwareproducenten vallen vreemd genoeg weer buiten de meldplicht terwijl app stores wel expliciet onder de meldplicht vallen.
Hetzelfde kan gezegd worden over exploitanten van “kritieke infrastructuren”. Weliswaar specifiek Nederlands, maar waterschappen en dergelijke worden niet genoemd. Maar logistieke dienstverleners, ongeacht hun schaal weer wel.
Daarbij lijkt de samenhang met andere voorgestelde meldingsverplichtingen (zie kader) matig geborgd.
Fascinerend daarbij is dat er allerlei verplichtingen aan de markt worden opgelegd, maar de marktpartijen die veelal de meest gerede partijen zijn om maatregelen te nemen niet of zeer beperkt inzage krijgen in informatie die aan overheden is verschaft. Er wordt een feestje van overheden onderling voorgesteld, met het Europese orgaan ENISA als spin in het web. Het is dus vooral een regeling om samenwerking tussen overheden onderling af te dwingen, maar niet tussen het “bevoegd gezag” en de private partijen anders dan een brengplicht voor private partijen.
Opmerkelijk genoeg wordt de meldplicht niet Europees geregeld, maar aan de lidstaten overgelaten. Er zijn genoeg middelgrote ondernemingen met vestigingen of activiteiten in meerdere lidstaten. Ons eigen augmented-reality-succesnummer Layar bijvoorbeeld. Als die een incident hebben wat onder de meldplicht valt, dan rijst onmiddellijk de vraag bij welk “bevoegd gezag” dit dan gemeld moet worden. In alle lidstaten waar men actief is? Of alleen waar men vestigingen heeft? Of alleen die van de hoofdvestiging? Bij grote partijen als Facebook, Google en Amazon is deze vraag uiteraard al helemaal niet te overzien.
Voor een richtlijn die gelegitimeerd wordt met het argument dat dit tot harmonisatie van de interne markt zou leiden is dit verrassend onduidelijk en op basis van de ervaringen met de Richtlijn Bescherming Persoonsgegevens valt te verwachten dat dit juist tot versnippering van de markt zal leiden. Gezien de versterking van de rol van ENISA in de richtlijn zou het logisch zijn geweest om ENISA als optioneel aanmeldingsloket voor beveiligingsincidenten aan te wijzen, waarmee automatisch aan de meldplicht in alle lidstaten zou zijn voldaan. Een andere logische stap zou zijn om parallel aan deze verordening een verordening op te tuigen die de vormvereisten van zo’n melding zou regelen. Want nu gaat dit wiel door alle 27 lidstaten individueel uitgevonden worden, als we er van uit mogen gaan dat Duitsland deze bevoegdheid niet aan de twaalf deelstaten gaat delegeren, wat in het verleden wel gebeurd is.
Zoals gezegd is het begrip “incident” erg mistig. Het wordt gedefinieerd als “any circumstance or event having an actual adverse effect on security”. Een Distributed-denial-of-Service aanval op bancaire systemen valt strikt genomen buiten de definitie. Zo’n aanval zal de integriteit van de systemen namelijk niet schaden, wel hun feitelijke beschikbaarheid. Ook mislukte aanvallen hebben geen “actual effect”, terwijl die juist weer dusdanig nieuw en interessant kunnen zijn dat een meldplicht gerechtvaardigd zou zijn.
Al met al kwam bij het lezen van de richtlijn en de toelichting één kwalificatie als eerste voor de geest: onvoldragen. En als tweede “gemiste kans”. Het is namelijk niet zo dat er geen noodzaak is om een verbeterde samenwerking tussen overheden onderling, maar ook tussen overheden en bedrijfsleven op dit terrein af te dwingen. De reflex is incidenten stil te houden, wat anderen een kans ontneemt om zelf maatregelen te nemen tegen de gevolgen of tegen een soortgelijk incident in hun organisatie. Een dergelijke meldplicht vereist dan ook een rapportageplicht van de autoriteiten over ontvangen meldingen. Misschien geen onmiddellijke transparantie, maar wel een informatieplicht om bijvoorbeeld branchegenoten en andere met getroffen organisatie vergelijkbare doelwitten te informeren over het gevaar.
Ander punt is dat software- en hardwareproducenten geheel buiten schot lijken te blijven. Nu pakken de grote pakketleveranciers over het algemeen hun rol beter op dan voorheen, maar ook hier valt nog veel te verbeteren. En bij hardwareproducenten gaat het beduidend minder goed. Neem nu bijvoorbeeld Siemens dat ten tijde van Stuxnet nog doodleuk aan de klanten mededeelde dat het wijzigen van het standaardwachtwoord van hun SCADA-apparatuur afgeraden werd omdat dit de werking negatief kon beïnvloeden. Een Europese productaansprakelijkheid voor dit soort gevallen zou heel wel op zijn plaats zijn, maar Kroes lijkt ook deze kans te laten liggen. Nu lijkt de aandacht vooral naar meer bureaucratie (meer invloed voor ENISA) en minder transparantie uit te gaan, terwijl informatiebeveiliging veelal juist bij transparantie gebaat is. Het valt te hopen dat hier genoeg tegengeluiden uit de ICT-branche en de samenleving als geheel op komen, want dit kan en moet beter.
Bevoegd gezag: NCSC en ENISA
De richtlijn lijkt het Nederlandse model van het National Cyber Security Center (voorheen GOVCERT) te kopiëren: omdat er zoveel instanties zijn die informatiebeveiliging die het openbaar belang raakt onder hun hoede hebben (in Nederland o.a. de AIVD, MIVD, NCTb, KLPD) bestaat er behoefte om een soort draaischijffunctie tussen overheidsinstellingen onderling en tussen overheid en marktpartijen te hebben. In het verleden is er kritiek op het NCSC geweest omdat dit niet altijd pro-actief informatie over botnetinfecties met het bedrijfsleven deelde.
ENISA is het European Network and Information Security Agency wat zich tot dusver vooral van zich liet horen in de vorm van white papers en onderzoeken. In het voorstel van Kroes verandert het karakter van ENISA van expertisecentrum naar coördinator tussen Europese overheden onderling.
Meldingsverplichtingen
Er zijn meerdere voorstellen voor meldingsverplichtingen aanhangig:
In Nederland ligt een wetsvoorstel voor een meldingsplicht voor datalekken die alleen voor Nederland zal gelden. Dit voorstel wordt op dit ogenblik beoordeeld door de Raad van State alvorens het daadwerkelijk aan het parlement zal worden voorgelegd.
In Brussel is door de Europese Commissie als onderdeel van de voorgestelde Algemene Verordening Bescherming Persoonsgegevens een soortgelijke meldingsplicht voorgesteld. Als deze meldingsplicht het wetgevingsproces overleeft zal dit het Nederlandse systeem weer vervangen.
In de Cybersecurity richtlijn zit zoals besproken een meldingsplicht voor beveiligingsincidenten (dus breder dan persoonsgegevens) vervat.