FUD

Fear, Uncertainty and Doubt (‘FUD’): het creëren van angst, onzekerheid en twijfel is een beproefde manier om je producten verkocht te krijgen of anderszins je belangen veilig te stellen. Zie bijvoorbeeld de tandartsproducent die zijn tandpasta aanprijst omdat je anders gaatjes krijgt. Of het Amerikaanse softwarebedrijf SCO dat – met behulp van Microsoft- IBM in 2003 aansprak op inbreuk van haar intellectuele eigendomsrechten: Linux (van IBM) zou code van Unix (van SCO) bevatten en dit werd breed uitgemeten in de pers.  Door het gebruik van Linux pleeg je dus (?) inbreuk op de rechten van SCO. 

Leveranciers van produkten en diensten op het gebied van cybersecurity doen hier ook grif aan mee. Er zijn veel recente voorbeelden van vergaande cyber-incidenten en inbreuken op IT-systemen (Diginotar was een bekende en één van de eerste in Nederland); met het alleen maar daarnaar verwijzen (FUD!) verkopen de producten en diensten zich haast vanzelf. Google maar eens op ‘cyber-incident’ en je ziet wat ik bedoel.

FUD wordt ook al dan niet doelbewust gefaciliteerd door de wetgever: wetgeving heeft in de regel als doel om bepaald gedrag te stimuleren en wordt daarom gehandhaafd door boetebepalingen of andere handhavingsmaatregelen. De eerlijkheid gebiedt te zeggen, daar spint de advocatuur dan weer goed garen bij: juridische dienstverlening kan worden verkocht en aangeprezen door potentiële klanten op de ‘risico’s en gevaren’ van die wetgeving te wijzen.

Het hoeft geen betoog dat cybersecurity een onderwerp is dat hoog op de agenda staat bij diverse Europese regeringen. In Engeland is bijvoorbeeld aangekondigd dat er tot 2020 zo’n 2,7 miljard euro zal worden besteed ten behoeve van cyber security. De aankondiging van het ministerie van Justitie dat de begroting van het Nationaal Cyber Security Centrum (‘NCSC’, een onderdeel van de Nationaal Coördinator Terrorismebestrijding en Veiligheid, ressorterend onder het ministerie van Justitie) in 2016 zal worden verhoogd tot 3,5 miljoen euro, steekt hierbij nogal schril af.

Met het recente wetsvoorstel ‘Wet gegevensverwerking en meldplicht cybersecurity’ lijkt FUD als middel om bepaald gedrag te stimuleren echter meer naar de achtergrond te worden gedrongen door een zogeheten ‘Just Culture’ te bevorderen. Hoe ik dat zie wordt verderop uitgelegd, eerst ga ik in op het wetsvoorstel zelf.

Wetsvoorstel gegevensverwerking en meldplicht cybersecurity

Het wetsvoorstel introduceert met 11 artikelen een meldplicht voor ‘organisaties binnen vitale sectoren’ van ‘ernstige digitale veiligheidsincidenten’ bij het NCSC, een onderdeel van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), die deel uitmaakt van het Ministerie van Veiligheid en Justitie. Het NCSC heeft dan als taak om de aanbieders bij te staan, hen te informeren en adviseren over dreigingen en incidenten en het ten behoeve daarvan uitvoeren en verrichten van analyses en technisch onderzoek. Deze meldplicht komt bovenop bestaande sectorale meldplichten (zoals de plicht van aanbieders van telecommunicatie diensten om een inbreuk op veiligheid en verlies van integriteit te melden bij het Agentschap Telecom) en de recente meldplicht datalekken, waarover mijn collega’s Hanneke Slager en Irvette Tempelman onlangs hebben bericht (zie: De wet Meldplicht Datalekken). De Minister is van mening dat in geval van overlap, beide regelingen naast elkaar dienen te worden nageleefd.

Daarnaast geeft het het NCSC een stevigere wettelijke privacy-rechtelijke basis om in het kader van de taakvervulling persoonsgegevens te verwerken. Het wetsvoorstel is tot stand gekomen naar aanleiding van een verzoek van de Tweede kamer van halverwege het jaar 2012 als gevolg van het eerdergenoemde Diginotar incident. Diverse organisaties en marktpartijen, zoals Microsoft, CPB (nu: de Autoriteit persoonsgegevens), Gasunie, Bits of Freedom, VNO-NCW, Nederland ICT, hebben op basis van consultatierondes input op het wetsvoorstel kunnen geven.

Wie moet nu op basis van dit wetsvoorstel waarover wat, wanneer hoe en aan wie melden? En waarom eigenlijk? En wat als niet?

Wie?

‘De vitale aanbieder’: dat is een overheidsorganisatie of privaatrechtelijke rechtspersoon die een product of dienst aanbiedt waarvan de beschikbaarheid en betrouwbaarheid van vitaal belang zijn voor de Nederlandse samenleving. In de Memorie van Toelichting wordt aangegeven dat bij AMVB nader zal worden aangewezen voor welke categorieën en soort producten en diensten dit zal gaan gelden. In ieder geval zal moeten worden gedacht aan energienetwerkbeheerders, drinkwaterbedrijven, telecombedrijven, banken en Rijkswaterstaat.

Waarover?

‘Een inbreuk op de veiligheid of een verlies van integriteit van zijn informatiesysteem waardoor de beschikbaarheid of betrouwbaarheid van een product of dienst in belangrijke mate wordt of kan worden onderbroken’. De Memorie van Toelichting noemt als voorbeeld van een inbreuk op de veiligheid het geval dat een niet-geautoriseerd persoon zich ongeoorloofd toegang heeft verschaft, of zelfs onopzettelijk toegang heeft verkregen, tot het computersysteem of netwerk van de vitale aanbieder. Van verlies van integriteit kan bijvoorbeeld sprake zijn als een derde in staat is geweest om, ongeoorloofd, informatie die een belangrijke rol speelt in een vitale dienst of een vitaal product toe te voegen, aan te passen of te verwijderen.
In de praktijk worden informatiesystemen overigens vaak beheerd door externe IT-leveranciers: het wetsvoorstel gaat niet in op de vraag in hoeverre de meldplicht dan ook zelfstandig zou moeten gelden voor zulke (IT) leveranciers, of dat het een eigen verantwoordelijkheid van de vitale aanbieders betreft om hier nadere afspraken over te maken met de IT-leverancier(s). Ik vermoed het laatste omdat het voorstel en de Memorie hier verder geen aandacht aan besteedt.

Wat?

In ieder geval de aard en omvang van de inbreuk of het verlies, het vermoedelijke tijdstip en gevolgen daarvan, prognose van de hersteltijd en zo mogelijk, de door de vitale aanbieder genomen of te nemen maatregelen om de gevolgen van de inbreuk of het verlies te beperken of herhaling hiervan te voorkomen. Daarnaast dienen de contactgegevens van de functionaris die verantwoordelijk is voor het doen van de kennisgeving te worden genoemd. Op verzoek dient de vitale aanbieder onverwijld alle overige gegevens aan de Minister aan te leveren die noodzakelijk zijn om de vitale aanbieder bij te staan bij het treffen van maatregelen om de beschikbaarheid en betrouwbaarheid van het product of de dienst te waarborgen of te herstellen en/of de risico’s in te schatten voor de informatiesystemen.

Wanneer, hoe?

De kennisgeving dient ‘onverwijld’ te zijn. Volgens de toelichting dient de melding zo spoedig mogelijk te zijn: ‘liever een snelle melding die zo nodig later kan worden aangevuld, dan een uitvoerige melding die daardoor op zich laat wachten’. Aansluiting kan hier wellicht worden gezocht bij de Beleidsregels voor toepassing van artikel 34a van de Wbp, waarin is aangenomen dat een termijn van 72 uur aanvaardbaar kan worden geacht.

Aan wie?

De wet noemt de Minister van Veiligheid en Justitie als degene aan wie de melding moet worden gedaan. In de Memorie van Toelichting wordt uitgelegd dat de melding vervolgens wordt behandeld door het NCSC.

Waarom eigenlijk?

In de Memorie van Toelichting geeft de Minister aan dat deze wet twee doelen dient: een melding van een ernstige ICT-inbreuk is ten eerste bedoeld om tijdig te kunnen inschatten hoe groot de impact en daarmee de potentiele maatschappelijke ontwrichting is. Ten tweede stelt de melding het NCSC in staat om hulp aan de getroffen organisatie te verlenen en om te anticiperen op de mogelijk bredere effecten van een dergelijke inbreuk, met name ook door andere vitale aanbieders alsook andere van de rijksoverheid deel uitmakende aanbieders te waarschuwen en te adviseren.

En wat als niet?

Minister overweegt dat laagdrempeligheid voor het doen van een melding essentieel is. Vooralsnog is er daarom geen stelsel van toezicht en handhaving aan het voorstel toegevoegd. Dus als initieel antwoord op de vraag in het kopje: niets.
Wel verwijst de Minister in dit verband naar toekomstige EU-regelgeving: de NIB-Richtlijn, een in ontwikkeling zijnde EU-voorstel over netwerk- en informatiebeveiliging op basis waarvan deze wet zal worden aangepast, zal hoogstwaarschijnlijk een stelsel van toezicht en handhaving bevatten. Daarop wil de Minister niet wachten.  In dit verband verwijst de Minister overigens ook naar het grote belang voor de Nederlandse samenleving om de meldplicht nu al in te voeren: in de Nederlandse samenleving zijn verschillende IT-systemen nauw met elkaar verweven en om cascade effecten van IT-inbreuken te voorkomen dienen bedrijven inbreuken nu al te kunnen melden en niet te wachten op de NIB-Richtlijn. Wel geeft de wet de Minister de mogelijkheid om, als een vitale aanbieder adviezen van het NCSC naast zich neerlegt, de voor de desbetreffende sector verantwoordelijke bewindspersoon op de hoogte te stellen ‘teneinde hem in staat te stellen daar waar nodig passend invulling te geven aan zijn sectorale verantwoordelijkheid’.

Just Culture

Dit wetsvoorstel regelt dus een laagdrempelige meldingsplicht voor essentieel belangrijke bedrijven en instellingen voor het geval dat bij hen een ernstig digitaal veiligheidsincident plaatsvindt, met – voorlopig – weinig consequenties als de vitale aanbieder zich hier niet aan houdt. De Minister heeft echter ook een ander doel – en daarmee een middel – op het oog, namelijk het creëren van een cultuur waarin het gezamenlijk bijdragen aan veiligheid centraal staat, een zogeheten ‘Just Culture’. Binnen zo’n cultuur dient het kunnen melden van digitale veiligheidsincidenten laagdrempelig te kunnen gebeuren om daar binnen de gehele privaat-publieke samenwerking met betrekking tot het realiseren van cybersecurity lering uit te trekken (zie ook de tweede Nationale Cybersecurity Strategie, Kamerstukken II 2013/14, 26 643, nr. 291). Die laagdrempeligheid wordt dan gecreëerd door het eerdergenoemde ontbreken van handhavings- en toezichtsbepalingen, maar ook door het waarborgen van vertrouwelijkheid van de melding. Vertrouwelijkheid is belangrijk voor vitale aanbieders: een melding van een inbreuk kan – indien de melding openbaar wordt – voor een aanbieder leiden tot mogelijke reputatieschade, benadeling van concurrentiepositie of verhoogde kwetsbaarheid voor nieuwe gerichte aanvallen. Het voorgestelde artikel 9 bevat dan ook een strikte regeling over het door het NCSC verstrekken van gegevens van een aanbieder aan derden. Hiermee wordt de gewenste vertrouwelijkheid beoogd waardoor zulk soort schade kan worden vermeden is het idee.

Als voorbeeld van een Just Culture wordt de luchtvaartsector genoemd: als gevolg van ernstige incidenten zoals de Tenerife ramp in de jaren 70 van de vorige eeuw, is in de loop der jaren bewust een cultuur gecreëerd waarbij op elk niveau iedereen (van jongste bediende tot gezagvoerder) elkaar zonder repercussie moet kunnen aanspreken op veiligheidsaspecten (Onlangs stond hierover nog een interessant artikel in het Financiële Dagblad).

Een cultuuromslag derhalve als middel om gewenst gedrag te bevorderen; wat mij betreft een lovenswaardige poging van de Minister om op een positieve manier, met zo min mogelijk FUD, van het waarborgen van Cybersecurity een gemeenschappelijk doel binnen de privaat-publieke samenwerking te maken. Toch vraag ik me af of deze omslag zich laat realiseren met alleen een wetsvoorstel; ik moest bijvoorbeeld meteen denken aan een bekende cartoon van twee half-aangeklede eendjes die, kijkend naar een kalender, afspreken dat de ‘cultuuromslag de 17de begint om 15.30’. Een cultuuromslag heeft tijd nodig en laat zich niet vangen en realiseren in wettelijke verplichtingen alleen. De hier gewenste Just Culture is in sterke mate afhankelijk van de beoogde laagdrempeligheid, waarbij met name de waarborg van vertrouwelijkheid zich dient te bewijzen in de praktijk. Het omfloerste dreigement van de Minister dat handhavings- en toezicht bepalingen op een later moment alsnog nog zullen worden toegevoegd aan de hand van de nog in te voeren EU -NIB- Richtlijn, zal wat mij betreft ook niet 1, 2, 3 toe aan een Just Culture bijdragen; een Just Culture vaart juist wel bij een cultuur zonder dreiging van (directe) afstraffing. Daarbovenop zal de meerwaarde van het NCSC zich in de praktijk moeten bewijzen: het NCSC zal immers naar aanleiding van een melding aanbieders ondersteunen met raad en daad. Die raad en daad zal voor de aanbieders ook als een daadwerkelijke meerwaarde moeten worden ervaren; als dat wordt bereikt, zal dat de laagdrempeligheid ook ten goede komen is mijn verwachting.

Kortom

Of de gewenste laagdrempeligheid – en daarmee de Just Culture – voor het doen van de hier bedoelde meldingen met dit voorstel wordt bereikt, zal zich in de praktijk dienen te bewijzen. In ieder geval zullen vitale aanbieders alvast moeten nadenken op welke wijze zij zullen voldoen aan deze wetgeving, waarbij ook gedacht dient te worden aan de rol van de eigen IT-leverancier. Dit geldt ook voor die IT-leveranciers zelf uiteraard. Het voorstel is naar de Tweede Kamer gestuurd voor verdere behandeling, de datum van inwerkingtreding is vooralsnog onbekend.