Afgelopen zomer vielen wereldwijd organisaties stil door de inmiddels beruchte cyberaanvallen WannaCry en NotPetya. De ontwrichtende ransomware-incidenten hebben het karakter van cybersecurityregulering voorgoed veranderd. Nederland was op grond van een Europese richtlijn al enige tijd verplicht een cybersecuritywet aan te nemen. Tot voor kort bleven de voorstellen vooral steken in abstracte normen over ‘adequate beveiliging’ en meldingsplichten bij incidenten. Sinds de gijzelsoftware-incidenten van de zomer, zijn toezicht en hoge boetes het nieuwe mantra.
Gek genoeg lijkt bijna niemand dit nieuwe strenge elan te hebben opgepikt. Misschien zijn de media te veel gefocust op nieuwe Europese wetgeving zoals de AVG of een nieuwe meldplicht bij cyberincidenten. Voor organisaties die nauwelijks persoonsgegevens verwerken bestaan weinig tot geen wettelijke cybersecurityverplichtingen. Maar laten het nu juist energiebedrijven (Rosneft), advocatenkantoren (DLA Piper) en autofabrikanten (Renault-Nissan) zijn die het hardst zijn getroffen door de ransomware-aanvallen.
De voorgestelde Cybersecuritywet probeert it-beveiliging ook binnen zulke organisaties hoger op de agenda te krijgen. De wet hoopt de wet ‘potentiële maatschappelijke ontwrichting’ door it-incidenten te voorkomen. Zo wil het onder meer garanderen dat de Deltawerken alleen door bevoegde personen worden aangestuurd (‘integriteit’). En dat het betalingsverkeer niet door een puberale DDoS-aanval kan worden verlamd (‘beschikbaarheid’). De wet focust op de grote incidenten en reguleert ‘essentiële dienstverleners’, organisaties die ons voorzien van drinkwater, stroom, geld, transport, gezondheidszorg en internetverkeer.
Cruciaal detail: de ‘essentiële dienstverleners’ worden bij ministeriële regeling aangewezen. Na een groot it-incident kan een minister zonder tussenkomst van het parlement sectoren labelen als ‘essentieel’. Bijvoorbeeld, als terroristen passagiersvliegtuigen kunnen besturen via het entertainmentsysteem (Panasonic Avionics hack, 2016), of duizenden connected cars tegelijk vanaf een laptop thuis kunnen laten remmen (FiatChrysler Jeep hack, 2015).
Cybersecurity en privacy volgen het model van het mededingingsrecht: normen, toezicht én boetes moeten cultuurverandering brengen. Om de nieuwe verplichtingen kracht bij te zetten, introduceert de Cybersecuritywet overheidstoezicht op de naleving ervan. Anders dan bij privacy, belast het wetsvoorstel terecht de sectorale waakhonden met het cybertoezicht op hun sector. De Inspectie voor de Gezondheidzorg zal waken over de zorg, de zorgminister over de ‘essentiële diensten’ in de sector. Die benadering snijdt hout. De Autoriteit Persoonsgegevens kan ook niet in zijn eentje de hele datawereld in het gareel houden. Bovendien mogen toezichthouders bij wanbeleid een boete opleggen tot € 5 miljoen per incident. Kennelijk zien politici dat cybersecurity naast normen ook toezicht en boetes nodig heeft.
Het zou me niet verbazen als over vijf of tien jaar de reikwijdte, boetes en andere maatregelen in de Cybersecuritywet strenger worden en de nu strikte privacywetten juist iets milder. Voor veel mensen is privacy vooral een kosten-baten analyse (‘geef mij gratis gemak, en je krijgt mijn data’). Cybersecurity is eerder zwart-wit (‘verboden toegang voor onbevoegden’). Dat basale gevoel zal zich vertalen naar toezicht. Voor overheidsinstellingen en energiebedrijven die beveiligingsblunders maken, verwacht de samenleving een fikse boete.
Bron: FD
