Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/7.3.5.2
7.3.5.2 Beveiliging van essentiële diensten
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS661000:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
De gedachte daarachter is dat de uitval van een deel van de zorg niet automatisch leidt tot grote maatschappelijke schade, doordat zorg vaak kan worden overgenomen door een andere zorgaanbieder. Zie de Nota van Toelichting bij Besluit van 30 oktober 2018, houdende regels ter uitvoering van de Wet beveiliging netwerk- en informatiesystemen (Stb. 2018, 338).
NIS-samenwerkingsgroep 01/2018, p. 4. Dit is anders voor digitaledienstverleners, zie hierna.
De NIB-samenwerkingsgroep wordt in het Engels aangeduid als de NIS-samenwerkingsgroep en is met de NIB-richtlijn opgericht en beoogt een hoog gemeenschappelijk beveiligingsniveau van netwerk- en informatiesystemen tot stand te brengen (zie art. 11 NIB-richtlijn). De richtlijnen betreffen de NIS-samenwerkingsgroep 01/2018.
NIS-samenwerkingsgroep 01/2018, p. 9/10.
NIS-samenwerkingsgroep 01/2018, p. 14-24.
Een organisatie is een aanbieder van een essentiële dienst in de zin van de NIB-richtlijn als de door haar aangeboden dienst van essentieel belang is voor de instandhouding van kritieke maatschappelijke en/of economische activiteiten, als deze dienst afhankelijk is van netwerk- en informatiesystemen en als een incident de dienstverlening aanzienlijk kan verstoren.1 Lidstaten moeten aanwijzen welke aanbieders met een vestiging op hun grondgebied aanbieders van essentiële diensten in de zin van de NIB-richtlijn zijn.2 Alleen publieke of private entiteiten die werkzaam zijn in de energiesector, de vervoerssector, de bancaire sector, de gezondheidssector, of zich richten op de infrastructuur voor de financiële markt, de levering en distributie van drinkwater of de digitale infrastructuur kunnen als een essentiële dienstverlener worden gekwalificeerd. De Nederlandse wetgever heeft geen aanbieders van essentiële dienstverleners aangewezen in de gezondheidssector.3
Op grond van de NIB-richtlijn dienen lidstaten essentiële dienstverleners te verplichten tot het treffen van passende en evenredige technische en organisatorische maatregelen om de risico’s te beheersen voor de beveiliging van de netwerk- en informatiesystemen die zij bij hun activiteiten gebruiken. Met deze maatregelen moeten de dienstverleners een beveiligingsniveau waarborgen dat, gezien de stand van de techniek, op het risico is afgestemd.4 Lidstaten dienen verder te verzekeren dat de aanbieders passende maatregelen treffen om de gevolgen van beveiligingsincidenten voor de gebruikte netwerken en systemen te voorkomen en te minimaliseren. Deze maatregelen dienen ertoe de continuïteit van de dienstverlening te waarborgen.5 Omdat de NIB-richtlijn minimumharmonisatie beoogt te bewerkstelligen, mogen lidstaten ook strengere beveiligingseisen opleggen.6
Lidstaten die beveiligingseisen voor essentiële dienstverleners vormgeven, kunnen hierbij richtsnoeren van de NIB-samenwerkingsgroep in acht nemen (maar zijn hiertoe niet verplicht).7 Volgens deze richtlijnen moeten de beveiligingsmaatregelen de volgende kenmerken hebben:
ze moeten de cyberbeveiliging van de essentiële dienstverlener significant verbeteren, oftewel: effectief zijn;
ze moeten de meeste impact hebben zonder dat er onnodige inspanningen worden verricht, oftewel: op maat gemaakt zijn;
ze moeten algemene en sectorspecifieke beveiligingsproblemen aanpakken, oftewel: compatibel zijn;
ze moeten onnodige lasten voor essentiële dienstverleners voorkomen, oftewel: evenredig gezien de risico’s zijn;
ze moeten zo begrijpelijk zijn dat ze ook daadwerkelijk zullen worden geïmplementeerd, oftewel: concreet zijn;
er moet kunnen worden bewezen dat de maatregelen zijn getroffen, oftewel: ze moeten verifieerbaar zijn;
ze moeten alle beveiligingsdomeinen omvatten die kunnen bijdragen aan het versterken van de beveiliging van essentiële dienstverleners (inclusief de fysieke beveiliging van systemen), oftewel: inclusief zijn.8
De richtlijnen gaan ook in op de typen beveiligingsmaatregelen die getroffen zouden moeten worden om een hoog beveiligingsniveau te waarborgen. Daarbij noemt het allereerst een risico- en ecosysteemmanagement. In dit kader dienen essentiële dienstverleners voortdurend analyses uit te voeren om nieuwe risico’s te achterhalen en te onderzoeken of de getroffen maatregelen nog effectief zijn. Ook moeten ze alle belanghebbenden in kaart brengen, zodat duidelijk wordt wat de rol van de dienstverlener is en in hoeverre belanghebbenden afhankelijk zijn van hun diensten. Verder moet aandacht worden besteed aan de beveiliging van de IT-architectuur, het onderhoud van deze beveiliging, de regulering van de toegang tot de IT-infrastructuur en de fysieke beveiliging van de systemen. Ook moeten de dienstverleners beveiligingsaanvallen en -incidenten detecteren, bijhouden, analyseren en moet er een plan zijn om met incidenten om te gaan. Tot slot zullen ze moeten kijken naar de veerkracht van de dienstverlening, wat betekent dat er een plan moet zijn om met crisissituaties om te gaan en om de dienstverlening zo snel mogelijk te herstellen als zij wordt aangetast.9