Van botnet, via meldplicht, naar aansprakelijkheid

cybersecurity-201610De afgelopen weken was er heel wat te doen om online veiligheid. Een de ene kant was er de nodige ophef over IoT botnets, waarvan de omvang minder duidelijk was dan de impact. Aan de andere kant was er het wetsvoorstel dat alles en iedereen in het land digitaal volgbaar moet maken met een beroep op de staatsveiligheid.

Over beiden is het laatste woord nog niet gesproken en dat is ook goed. Door de ophef is een ander punt, ook in de vorm van een wetsvoorstel dat naar de kamer is gestuurd, trouwens veel minder belicht. Daarbij gaat het echter wel om iets dat heel veel bedrijven die iets met IT te maken hebben zal gaan raken. We hebben het dan ook over de wettelijke verplichte meldplicht van “incidenten” om “maatschappelijke ontwrichting te voorkomen”. Citaat: “De meldplicht gaat in elk geval gelden voor (nog nader aan te wijzen) organisaties binnen de volgende sectoren: elektriciteit, gas, kernenergie, drinkwater, telecom, transport (mainports Rotterdam en Schiphol), financiën en overheid (waaronder primaire waterkeringen). Deze sectoren zijn onderdeel van de vitale infrastructuur van Nederland.“

Daarmee zet Nederland een stap die reeds in 2001 werd overwogen (het Stratix rapport over het onderwerp is online nog wel vindbaar) en die sinds vorig jaar in Duitsland al in de vorm van een vergelijkbare wet is ingevoerd. De ervaringen die bij de Oosterburen daarmee zijn opgedaan spreken boekdoelen. Er wordt – begrijpelijk – weinig over gepubliceerd, maar wat je er van te weten kunt komen is dat het vooral een “papieren exercitie” is. Daar is het bedrijfsleven natuurlijk helemaal niet blij mee, al die meldingen doorgeven kost ze veel te veel tijd.

Als je verder doorspit en de vragen hierover op een andere manier stelt kom je trouwens op iets heel anders uit, zoals het mooi heet: dan komt de aap uit de mouw. Wat wil namelijk het geval, door de meldplicht een wettelijk karakter te geven en de onvermijdelijke standaardisatie wordt de kans groter dat in geval van een conflict dat voortkomt uit een hack, datalek of ander cyberincident schadeclaims ingediend gaan worden, waarbij die ingediende meldingen (erger nog: het ontbreken daarvan!) zullen worden aangevoerd om de klacht meer gewicht te geven. Het is vooralsnog een doordenkertje en tal van juristen zullen aanvoeren dat de meldplicht daarvoor niet bedoeld is.

Wie zijn oor goed te luisteren legt en weet hoe de Duitse partijen die hier mee te maken hebben op gereageerd hebben ziet dat het de nodige impact gaat hebben. Net als bij een “standaard” audit gaat er ook elders in de keten gekeken worden om mogelijke risico’s maximaal in beeld te hebben en daarmee later het verwijt te kunnen pareren dat met onkundig heeft geopereerd. En waar dat weer mee te maken heeft is simpel: het buiten de deur kunnen houden van elke vorm van aansprakelijkheid.

Daarom: let op wat de impact van dit voorgenomen besluit voor je eigen bedrijf en plek in de IT waardeketen gaat betekenen!

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen