Europa koerst naar een actieve verdediging tegen cybercriminaliteit. Het besef groeit dat lidstaten meer moeten brengen om de groeiende hoeveelheid digitale aanvallen te verijdelen. In de nabije toekomst zal meer informatie worden gedeeld tussen bedrijven en overheden, terwijl ook de basisbeveiliging van zo’n 160.000 bedrijven en instellingen in Europa fors wordt opgeschroefd.
Dit blijkt uit de eerste reacties vanuit het Europees Parlement (EP) op de wijzigingen die de liberale Europarlementariër Bart Groothuis heeft voorgesteld in zijn rol als rapporteur cyberbeveiliging.
In Nederland is het NCSC de contactpersoon en de partij waar je meldingen doet, maar niet de toezichthouder. Dat is in Nederland belegd bij bijvoorbeeld Agentschap Telecom, of andere partijen. In andere Europese landen zijn tegenhangers van het NCSC wél toezichthouder. Groothuis: ‘Die ruimte laat deze richtlijn expres open.’ Cert-BE is in België contactpersoon. De Belgische regering beslist uiteindelijk wie contactpersoon en toezichthouder wordt na de nieuwe netwerk- en informatieveiligheid richtlijn (NIS2).
Lovend
Het industrie-comité van het EP is over het algemeen zeer lovend over de amendementen die de Nederlandse politicus heeft ingediend op de voorstellen van de Europese Commissie voor de NIS2. Alle Europarlementariërs die afgelopen woensdag op Groothuis’ rapportage reageerden, onderschrijven de noodzaak tot een aanzienlijk hoger ambitieniveau.
Zo zei de Duitse Groenen-Europarlementariër Rasmus Andresen dat Groothuis uitstekend werk heeft geleverd. De Bulgaarse socialiste Tsvetelina Penkova sprak van een evenwichtig voorstel. Haar Portugese fractiegenote Maria-Manuel Leitaõ-Marques noemde het plan de beste oplossing tot nog toe. Het Europese Parlement vindt dat de EU-ministers hun restrictieve houding tegenover cybercrime moeten laten varen.
Waarschuwen
De huidige richtlijn NIS1 uit 2016 is verouderd. De Italiaanse liberaal Nicola Danti herinnerde eraan dat amper vijf jaar geleden de lidstaten weigerden informatie over cybercrime met elkaar te delen.
Bij incidenten en dreigingsgevaar moeten lidstaten elkaar snel waarschuwen. Momenteel wordt het delen van informatie tussen landen en binnen landen ernstig belemmerd door de angst om privacyregels te schenden. Zowel overheden als bedrijven zijn bang de GDPR te overtreden, terwijl de GDPR juist aanmoedigt cybersecurityinformatie uit te wisselen. Groothuis: ‘NIS2 moet duidelijk maken dat het delen van informatie cruciaal is om aan de cybersecurity-vereisten te voldoen. Onterechte angst voor de GDPR mag geen beletsel vormen; de wettelijke basis moet straks helder geregeld zijn.’
Over de hele EU moet een minimale harmonisatie van maatregelen tot stand komen. Sommige landen zijn vrij ver gevorderd, terwijl andere landen nog achterover leunen; een obstakel in het functioneren van Europa’s interne markt. Dat verschil is te verkleinen door in ieder geval minimumregels af te spreken. Zo’n gemeenschappelijk basisniveau is nodig wil de interne markt kunnen werken. Bedrijven hebben er baat bij dat overal in de EU dezelfde regels gelden.
Essentieel
Vergeleken met NIS1 wil NIS2 de reikwijdte sterk uitbreiden. Allerlei sectoren die voorheen niet essentieel of belangrijk genoeg werden bevonden, gaan nu onder het toepassingsgebied vallen. Gebaseerd op de diensten die worden geleverd, komen er twee wettelijke categorieën: essentiële en belangrijke diensten. Die moeten voldoen aan hoge veiligheidseisen, maar worden ook extra ondersteund door de overheid.
Groothuis denkt in aanvulling op het voorstel van de Europese Commissie dat ook onderzoeks- en academische instellingen als nieuwe sector onder de richtlijn moeten vallen. Cyberaanvallen richten zich namelijk steeds meer op r&d-instellingen zoals recent het NWO-netwerk. Ander voorbeeld is de ransomware-aanval op de Universiteit van Maastricht.
Nog discussie in het EP is er over Groothuis’ voorstel de waarschuwingsplicht niet van toepassing te doen zijn op (hele) kleine bedrijven. Dit in verband met de administratieve lastendruk en bureaucratie. Verder benadrukt de rapporteur dat NIS2 zich niet alleen moet richten op compliance en strafrechtelijke maatregelen maar ook positieve prikkels moet bieden.
Brede kring
Volgens het Bulgaarse EP-lid Eva Maydell (christendemocraten) is het belangrijk dat het mkb meer hulp en begeleiding krijgt. Groothuis denkt ook aan gratis diensten om mailservers en de configuratie van websites te checken. Maar de Tsjechische parlementariër Evzen Tosenovsky (conservatieven) vindt dat die bijstand aan kleinere bedrijven niet te ver moet gaan, zeker niet als er al goede marktoplossingen bestaan.
Het EP is overtuigd van de noodzaak dat veiligheidsincidenten in brede kring worden gedeeld om meer slachtoffers van een cyberaanval te voorkomen. Maar anders dan de Europese Commissie vindt Groothuis een uiterste termijn van 24 uur onredelijk. Als voormalig hoofd bureau cybersecurity bij het ministerie van Defensie weet hij dat het vaak onmogelijk is een incident binnen een etmaal te melden. Bij een hack probeert je eerst de schade zoveel mogelijk te beperken. Tijdens de eerste uren is ook zelden goed inzicht te krijgen in de implicaties.
Groothuis: ‘Verplichte melding binnen 24 uur kan leiden tot verkeerde rapportages, overbodige meldingen en verdere verwarring.’ De rapporteur stelt voor de meldingsplicht op te rekken tot 72 uur, een termijn die bijvoorbeeld ook de GDPR hanteert voor het melden van een risicovol datalek. Hij vindt het niet wenselijk om het melden van potentiële incidenten of ‘near misses’ verplicht te stellen. Want (middel)grote organisaties worden dagelijks wel tientallen of zelfs honderden keren per dag ernstig bedreigd. Het wordt een te grote last om al deze potentiële incidenten te melden. Bovendien verliest de response dan effectiviteit. Ook de instanties waar deze meldingen binnenkomen, raken dan overbelast.
Escalatieladder
De maatregelen die bedrijven en instellingen moeten nemen, hangen mede af van hun omvang en de risico’s die ze lopen. Op overtredingen komen boetes en eventueel andere straffen. Maar Groothuis denkt aan een escalatieladder. Alleen als herhaalde waarschuwingen worden genegeerd, moet het senior management de gevolgen voelen. Het is een uiterste maatregel de ondernemingsleiding hierop financieel aan te spreken. Groothuis verwacht dat NIS2 beter gaat werken dan NIS1 als boetes en uiteindelijk harde maatregelen dreigen. Volgens hem wordt cybersecurity ‘Chefsache’ als het senior management aansprakelijk wordt.
Groothuis: ‘Dat laatste wordt in Nederland al bepleit sinds 2012, toen mijn loopbaan in cybersecurity startte. Ik wil dat nu ook omzetten in wetgeving. Cyber is een belangrijke kwestie, we nemen het bloedserieus.’
Verder krijgt ook de kern van internet veel aandacht in de plannen. Dns-aanbieders moeten bij hun dienstverlening letten op de veiligheid en privacy. Nu wordt dit weleens over het hoofd gezien. Burgers die hun eigen dns-dienst op een laptop of kleine server thuis draaien, moeten buiten de richtlijn vallen, meent Groothuis. Hij wil ook root name servers van vrijwilligers buiten de reikwijdte van NIS-2 houden, omdat regulering van internet ook staat op het verlanglijstje van de Chinese en Russische staat, en omdat bij uitval van twaalf van de dertien root level dns-units internet nog altijd door draait, in tegenstelling tot de dienstverlening van een telecomprovider.