Zaken doen met Duitsland heette al lastig te zijn

logo_bundesregierungVraag aan een handvol Nederlandse ondernemers of zij zaken doen met Duitsland en de kans is groot dat het merendeel zegt dat die markt te moeilijk wordt gevonden. De enkeling die er wel omzet genereert zal aangeven dat hij dat slechts kan door via een lokale vestiging te werken.

Bij ICT ondernemers ligt dat iets anders. Het verhuren van server- of rackcapaciteit is een typische online activiteit, daarvoor hoef je niet echt een kantoor op locatie te hebben. Dat wordt al wat anders als je grotere klanten wil gaan bedienen. Dan wordt het al snel noodzakelijk tenminste een vooruitgeschoven post te hebben vinger aan de pols kan houden en het relatiebeheer op zich kan nemen.

Sinds 25 juli 2015 is er nog een reden bij gekomen om de Duitse markt lastig te vinden, vanaf deze dag is het IT-Sicherheitsgesetz van kracht. Na het lezen van wat deze wet inhoudt zal je begrijpen waarom ook Duitse ICT ondernemers – dus niet alleen de pers – hier veel over geschreven hebben.

De wet zelf is een aanscherping van bestaande wetten, waaronder Atomgesetz (AtG), BKA Gesetz (BKAG), BSI Gesetz, (BSIG), Energiewirtschaftsgesetz (EnWG), Telekommunikationsgesetz (TKG) en Telemediengesetz (TMG). Het is een kader dat er voor moet zorgen dat de kritische infrastructuur van Duitsland beter wordt beschermd tegen cybercriminaliteit. Het is daarmee wezenlijk meer dan de Nederlandse wet meldplicht datalekken die er aan zit te komen. Duitse ondernemers zijn namelijk verplicht actief te handelen. Sprake is van audits, het opvolgen van adviezen van de overheid en treffen van effectieve maatregelen om online sabotage af te weren.

Wie denkt dat dit alleen maar geldt voor de grote partijen, zoals de energie producent RWE, de banken of Deutsche Telekom, komt van een koude kermis thuis. In principe zijn kleine bedrijven (minder dan 10 medewerkers) vrijgesteld van de verplichtingen, maar dat geldt niet als zij (onder-) aannemer zijn van een bedrijf dat wel aan het IT-Sicherheitsgesetz gebonden is.

Er is ook nog eens een aparte vermelding in de wet opgenomen die rechtstreeks de business van hosters gaat raken: iedereen die iets doet met online advertenties moet namelijk kunnen aantonen effectieve technische en organisatorische maatregelen te hebben getroffen om misbruik van klantdata te voorkomen. Uit de discussies die providers in Duitsland voeren kan worden opgemaakt dat zelfs de banner met trackercode op een WordPress site er al voor zorgt dat de keten (daar komt dus de provider om de hoek kijken!) verantwoordelijkheid draagt.

Het zal duidelijk zijn dat lokale providers en datacenters op twee manieren tegen de wet aankijken. Ze hebben reeds op luide toon geklaagd over de hogere kosten die dit met zich meebrengt. Waar je ze niet on the record over hoort is dat het betreden van de Duitse markt door buitenlandse ondernemers (en al helemaal als uit niet EU lidstaten) hiermee gewoon nog lastiger is geworden.

Mocht je reeds op deze markt actief zijn, dan loont het zeer de moeite advies in te winnen zodat je niet voor onaangename vertassingen komt te staan als de periode van twee jaar voor de implementatie van alle maatregelen is verstreken.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.