De nieuwe richtlijn “Cybersecurity”

De veiligheid en ongeschondenheid van onze netwerk- en informaticasystemen zijn een absolute voorwaarde voor de continuïteit van onze dienstverlening en de groei van de digitale markt. “Cybersecurity” was een belangrijk punt op de Europese “Digital Single Market” agenda. Op 6 juli 2016 werd Richtlijn 2016/1148 aangenomen om in Europa “een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informaticasystemen” te waarborgen – hierna “Cybersecurityrichtlijn” genoemd.

De Cybersecurityrichtlijn is een initiatief om de huidige divergerende veiligheidsreglementering binnen de Unie te harmoniseren. Terwijl bepaalde lidstaten beschikken over een uitgebreid regelgevend kader, is zulks in andere Europese landen slechts sectoraal voorzien of zelfs quasi-onbestaande. Met de nieuwe Richtlijn worden een aantal belangrijke maatregelen ingevoerd om risico’s op incidenten in te schatten, gevoelige netwerken afdoende te beveiligen en incidenten te melden.

Essentiële en digitale dienstverleners

De verplichtingen die voortvloeien uit de Cybersecurityrichtlijn, rusten voornamelijk op:

- Aanbieders van “essentiële diensten“, namelijk diensten die van essentieel belang zijn voor de instandhouding van kritieke maatschappelijke of economische activiteiten. Het gaat dan voornamelijk over diensten die voorzien in de basisbehoeften van een maatschappij zoals nutsvoorzieningen, transport, gezondheidszorg en financiën. Lidstaten zijn verplicht om de aanbieders van “essentiële diensten” aan te duiden. Daarbij moet gekeken worden naar eventuele verstorende effecten die een incident op de noodzakelijke netwerkinfrastructuur kan teweegbrengen.

- Verleners van “digitale diensten“. Deze diensten worden letterlijk benoemd en omvatten de online marktplaatsen, online zoekmachines en diensten van cloud computing. Kleine en micro-ondernemingen met minder dan 50 werknemers en met een jaaromzet en/of jaarbalans van minder dan 10 miljoen euro zijn vrijgesteld.

Hoewel hardware- en softwareproducenten ook een centrale rol spelen bij de veiligheid van netwerk- en informaticasystemen, worden deze buiten het toepassingsgebied van de Cybersecurityrichtlijn gehouden. Op hen rust wel de algemene productaansprakelijkheid.

Beveiligings- en meldingsplicht

De Cybersecurityrichtlijn voert hoofdzakelijk twee belangrijke verplichtingen in: het verzekeren van afdoende beveiliging van het systeem en een meldingsplicht bij de betrokken autoriteiten in geval van incidenten.

In eerste instantie zullen de aanbieders van essentiële en/of digitale diensten een risicoanalyse moeten uitvoeren om eventuele incidenten in te schatten. Vervolgens zijn deze aanbieders verplicht om passende en evenredige maatregelen te nemen om die risico’s te verkleinen en de impact van dergelijke incidenten te vermijden of minimaliseren, zowel op technisch als organisatorisch gebied. Of een maatregel beschouwd kan worden als “passend en evenredig” moet beoordeeld worden in het licht van de actuele stand van de wetenschap en de techniek.

In tweede instantie hebben de betrokken aanbieders een meldingsplicht wanneer zich incidenten voordoen met aanzienlijke of substantiële gevolgen voor de continuïteit van de dienstverlening. Om te bepalen of de gevolgen aanzienlijk of substantieel van aard zijn, moet algemeen gekeken worden naar factoren zoals het aantal getroffen gebruikers van de dienst, de duur van het incident en de omvang van het geografisch gebied. Deze test verschilt naargelang het gaat om een essentiële dienst, dan wel een digitale dienst.

Nationaal kader voor beveiliging

Iedere Europese lidstaat dient een nationale strategie vast te stellen waarin de doelstellingen en maatregelen voor de beveiliging van netwerk- en informaticasystemen worden uiteengezet. Het strategisch plan omschrijft bijvoorbeeld het beoordelingskader voor het inschatten van risico’s, draaiboeken in geval van incidenten, plannen voor onderzoek en ontwikkeling en een lijst van betrokken actoren.

Daarnaast wijzen de lidstaten een bevoegde autoriteit aan voor het toezicht op de naleving van de Cybersecurityrichtlijn, en een centraal contactpunt. Iedere lidstaat wijst eveneens één of meerdere “computer security incident response teams” of CSIRTs aan die risico’s en incidenten zullen behandelen. De bevoegde autoriteit, het centraal contactpunt en de CSIRTs mogen verschillend van elkaar worden opgezet, maar zijn in dat geval wel verplicht om goed samen te werken. Lidstaten zorgen er eveneens voor dat de betrokken instanties ook grensoverschrijdende binnen de Unie samenwerken, voornamelijk met het oog op uitwisseling van informatie en best practices.

Privacy

In geval van incidenten zal de kans groot zijn dat ook persoonsgegevens geïmpacteerd zijn. De regels omtrent bescherming van persoonsgegevens blijven in dergelijke gevallen onverkort gelden. Daar waar een meldingsplicht geldt in geval van “data breach” zal ook melding moeten worden gedaan aan de betrokkenen en de bevoegde Privacycommissaris.

De Cybersecurityrichtlijn legt een samenwerkingsverplichting op tussen de bevoegde autoriteit inzake cybersecurity en de privacyautoriteiten.

Omzetting tegen mei 2018

De Cybersecurityrichtlijn moet – vanwege haar aard – door de verschillende Europese lidstaten worden omgezet naar nationaal recht. De lidstaten krijgen tot 9 mei 2018 de tijd om de richtlijn om te zetten. De regels treden dan in werking vanaf 10 mei 2018.

Meer informatie over beveiliging van netwerk- en informaticasystemen: andries@siriuslegal.be of 02/721 13 00.