Netwerk- en informatiebeveiliging (NIB): het standpunt van Agoria | Agoria

Netwerk- en informatiebeveiliging (NIB): het standpunt van Agoria

Gepubliceerd op 12/10/13 door Ilse Haesaert

Voorstel van richtlijn

De Europese Commissie stelde op 7 februari 2013 een voorstel van richtlijn 

Afbeelding
voor met maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen.

De beveiliging van het internet en de particuliere netwerken en informatiesystemen die de werking van onze samenleving en economie ondersteunen, moet worden verbeterd. De Europese Commissie stelt daarbij voor de lidstaten te verplichten hun paraatheid te verbeteren en beter met elkaar samen te werken. Ook dienen exploitanten van kritieke infrastructuur (voor o.a. energie en transport) en essentiële aanbieders van informatiemaatschappijdiensten (zoals platforms voor elektronische handel en sociale netwerken) en overheden adequate maatregelen te nemen om de beveiligingsrisico's te beheren en ernstige incidenten aan de bevoegde nationale autoriteiten te rapporteren.

Dit voorstel vloeit onder meer voort uit Europese Digitale Agenda waarin de beveiliging en veerkracht van de ICT-infrastructuur wordt benadrukt door gericht in te zetten op preventie, paraatheid en bewustmaking enerzijds en op doeltreffende en gecoördineerde beveiligingsmechanismen anderzijds.

Het voorstel van richtlijn gaat samen met de mededeling van de Commissie over een Europese strategie voor cyberbeveiliging. Doel van de strategie is een beveiligde en betrouwbare digitale omgeving te waarborgen en tegelijk de grondrechten en andere essentiële waarden van de EU te bevorderen en te beschermen.

Op grond van het bestaande regelgevingskader, meer bepaald de telecomwet van 13 juni 2005, moeten alleen de telecombedrijven risicobeheermaatregelen nemen en ernstige NIB-incidenten rapporteren. De richtlijn wenst nu ook andere sectoren (banken, beurzen, opwekking, transport en distributie van energie, lucht-, spoor- en zeevervoer, gezondheid, internetdiensten en de overheid) een minimumkader op te leggen.

Het voorstel van richtlijn stelt volgende doelstellingen voorop:

  • Elke lidstaat moet zorgen voor een minimale nationale capaciteit door voor NIB bevoegde autoriteiten aan te wijzen, computercrisisteams op te zetten (Computer Emergency Response Teams – CERT's) en nationale NIB-strategieën en samenwerkingsplannen vast te stellen.
  • Nationale bevoegde autoriteiten moeten samenwerken in het kader van een netwerk dat beveiligde en doeltreffende coördinatie, inclusief gecoördineerde informatie-uitwisseling, alsook opsporing en reactie op EU-niveau mogelijk maakt. Via dit netwerk moet men informatie uitwisselen en samenwerken om NIB-dreigingen en -incidenten aan te pakken op basis van het Europese NIB-samenwerkingsplan.
  • Uitgaande van het model van de kaderrichtlijn voor elektronische communicatie, moet ervoor worden gezorgd dat een cultuur van risicobeheer ingang vindt en dat de particuliere en de openbare sector onderling informatie uitwisselen. Zowel bedrijven uit de specifieke kritieke sectoren als overheden zullen ertoe worden verplicht de risico's waarmee zij worden geconfronteerd, te beoordelen, passende en evenredige maatregelen te nemen om NIB te waarborgen en aan de bevoegde autoriteiten verslag uit te brengen over incidenten die hun netwerken en informatiesystemen ernstig in gevaar brengen en de continuïteit van kritieke diensten en de levering van goederen significant beïnvloeden.

Standpunt van Agoria

Agoria meent dat er ten aanzien van de voorliggende ontwerprichtlijn een aantal opmerkingen kunnen worden gemaakt. Het grootste pijnpunt van de richtlijn betreft de onduidelijke bewoordingen en doelstellingen inzake het toepassingsgebied en de door de marktactoren na te leven beveiligingseisen met inbegrip van incidentrapportering.

Er rijzen vragen vanwege de overlap met andere maatregelen (wet kritieke infrastructuren, wet bescherming persoonsgegevens, …) enerzijds en het gebrek aan proportionaliteit van een dergelijke algemene verplichting ten aanzien van een zeer brede groep marktactoren anderzijds. De lijst van de marktactoren die onder de richtlijn vallen, moet beperkt worden en rekening houden met verplichtingen die al opgenomen zijn in andere wetgevingen. Ook moet de lijst exhaustief zijn met het oog op rechtszekerheid.

In het ontwerp is ook te weinig aandacht voor het streven naar bi-directionaliteit. Als meldingen gebeuren door bedrijven, zouden de relevante instanties ook moeten terugkoppelen. Alleen zo creëert men een vertrouwensrelatie, net de succesfactor in de context van NIB.

Verder dient gestreefd te worden naar een one-stop shop: als er een beveiligingslek is, is het wenselijk dat er een uniek aanspreekpunt (mogelijk wel sectoraal) is voor de bedrijven. Een ander aandachtspunt betreft het gebruik van normen. Agoria meent dat in een dergelijke context met een globale dimensie internationale normen moeten worden opgesteld.

Op het vlak van beveiliging is preventie heel belangrijk en dus moet heel hard ingezet worden op actiegerichte sensibilisering. Dit komt in het ontwerp van richtlijn minder aan bod, terwijl het NIS PPP (public private partnership) daarop wel een antwoord biedt. Agoria is tevreden dat sensibilisering hoog op de prioriteitenlijst van het NIS PPP staat.

Op de hoofdstukken van de ontwerprichtlijn betreffende de verplichtingen voor de lidstaten om o.a. een CERT (Computer Emergency Response Team) op te richten en een nationale NIB-strategie uit te werken, heeft Agoria minder opmerkingen. Op dit vlak zijn in ons land immers al een aantal stappen gezet. Agoria vraagt wel dat nu werk wordt gemaakt van de implementatie van de vooropgestelde strategie, inclusief het vrijmaken van de noodzakelijke budgetten.

Ook wat betreft het CERT dient men in België te streven naar een voldoende daadkrachtig orgaan. Vandaag bestaat het CERT uit 7 personen en moet het team het rooien met een budget dat jaar na jaar vermindert, terwijl de werkingssfeer wordt verruimd. Ter vergelijking: in Noorwegen bijv. telt het CERT ongeveer 20 FTE’s en beschikt het over een budget van 20 miljoen euro. Ook moeten de CERT-medewerkers een aangepast statuut hebben zodat ze voldoende flexibel kunnen werken en daar ook vergoed voor worden (weekendwerk, 24/7 service, …).

Een zeer belangrijke taak van het CERT is ongetwijfeld ook het onder de aandacht brengen van de beveiligingsproblematiek, zowel bij de burgers als bij de bedrijven. Ook bij Agoria vonden al sensibiliseringsacties plaats en kreeg het CERT al de gelegenheid om bedrijven op te roepen hun systemen en software voldoende te beveiligen en zelf ook CERT-activiteiten te ontwikkelen. Er moeten budgetten voor sensibilisering worden uitgetrokken.

Het is volgens Agoria ook de rol van de overheid om duidelijkheid scheppen over de verschillende actoren (CERT.be, BCCentre, FCCU, Fedict, BIPT, Privacycommissie,…) en hun respectievelijke actieterreinen. Op basis van andere wetgevingen (privacywet, telecomwet, wet kritieke infrastructuren,…) bestaan immers al verplichtingen om incidenten bij een aantal van die overheidsinstanties te melden.

Agoria roept op te kiezen voor een proportionele risicogebaseerde aanpak in samenwerking met de private sector eerder dan voor een wetgevend ingrijpen met onduidelijk toepassingsgebied. De veelheid aan betrokken actoren vereist een duidelijke structuur en taakverdeling met voldoende middelen om bij te dragen tot bewustwording en effectieve beveiligingsacties binnen een coherent geheel.

Het uitgebreid standpunt van Agoria vindt u in bijgaande nota 

Afbeelding
.

Voorstel van richtlijn 

Afbeelding

Meer informatie over het EU Cybersecurity Plan

Was dit artikel nuttig?