Dit voorjaar is geruisloos een nieuwe wet van kracht geworden: de WBNI. Deze wet pakt een niet bestaand probleem aan maar zorgt wel voor een klassieke formulierenwinkel, schrijft Michiel Steltman.
De Wet Beveiliging Netwerk en Informatiesystemen (WBNI) is de Nederlandse uitwerking van de Europese NIB richtlijn. De EU kwam namelijk een aantal jaren geleden tot de ontdekking dat ook online dienstverlening bij uitval maatschappelijke gevolgen kan hebben. Niet dat zulke diensten bij bosjes uitvallen, of dat aanbieders er massaal een rommeltje van maken, maar het zou misschien kunnen gebeuren en daarom moest dat maar eens in een wet worden geregeld, zo was de gedachte van de EU.
Ondanks verzet uit onder andere Nederland is de richtlijn en in het kielzog de Nederlandse uitwerking daarvan er toch gekomen. Die verplicht online dienstverleners die onder de wet vallen om beleid te ontwikkelen en te hanteren voor borging van veiligheid en beschikbaarheid, en om incidenten te melden bij 2 verschillende autoriteiten.
Verwijzingen en vage omschrijvingen
De WBNI zelf is voor leken ontoegankelijke juridisch proza. De tekst staat vol met verwijzingen en vage omschrijvingen. Als bedrijf kun je er niets mee. De concrete invulling wordt overgelaten aan algemene maatregelen van bestuur. Het agentschap Telecom heeft in Nederland de lastige taak gekregen om de details in te vullen en de wet te gaan handhaven. Nu de contouren daarvan zichtbaar worden is duidelijk dat het resultaat een onversneden stukje regeldruk gaat worden. Dat komt niet zozeer door de kerngedachte van de wet, het borgen van veiligheid en beschikbaarheid, maar door de keuzes die de EU heeft gemaakt.
Ten eerste zijn er arbitraire criteria voor bedrijven die onder de regeling moeten vallen. Het gaat om zogenaamde AED’s, Aanbieders van Essentiële diensten, en DSP’s, Digitale Service providers. Bij AED’s gaat het om bedrijven met centrale, breed toegepaste basisfuncties zoals SIDN en Ams-Ix. Voor hen zijn er ook wel voordelen aan de regeling, omdat ze nu ook nauwer met het NCSC kunnen samenwerken, dat tot nu toe slechts informatie mocht delen met andere overheidsinstanties en met bedrijven die onderdeel zijn van de vitale infrastructuur.
Eigenaardige criteria
Bij DSP’s ligt het een stuk ingewikkelder. Daar zijn de criteria op z’n zachtst gezegd, eigenaardig. DSP’s zijn aanbieders van zoekmachines, online marktplaatsen en clouddiensten met meer dan 50 FTE aan personeel of meer dan 10 miljoen omzet of balanstotaal. Het is een raadsel waarom de EU tot de conclusie is gekomen dat bij lekken en uitval bij bedrijven met 49 FTE er weinig aan de hand zal zijn, maar dat bij 50 FTE er opeens wel maatschappelijke issues kunnen ontstaan. En het benoemen van “aanbieders van online zoekmachines”, is zelfs ronduit potsierlijk.
Dan is het onduidelijk wat die bedrijven nu anders moeten gaan doen dan wat ze al deden. De WBNI laat het bij de algemene omschrijving die we al kennen van de AVG: “Het treffen van voldoende maatregelen, naar de stand der techniek”. Maar Brussel heeft gemist dat verreweg de meeste online aanbieders al een sterke intrinsieke drive hebben om lekken en uitval te voorkomen. Want dat kost hen klanten, reputatie en geld. Vandaar dat er geen platform of aanbieder te vinden is die z’n diensten niet intrinsiek redundant en veilig heeft ingericht. Dat is ook te zien aan de certiciferingsgraad van de aanbieders in complexe online ketens. Die is sinds jaar en dag veel hoger dan in welke sector ook. Grote incidenten komen nauwelijks voor. Onduidelijk is of de toezichthouder zal gaan vinden dat die gangbare maatregelen en certificeringen ook toereikend zijn als het onverhoopt toch eens mis zal gaan, want men moet toch iets te doen hebben. Willekeur ligt hier op de loer.
Klassieke formulierenwinkel
Ten derde is voor de meeste van deze aanbieders de meldplicht een forse hindernis. De wet spreekt over het melden van incidenten die effecten hebben op grote groepen gebruikers. Maar hoe een IaaS of hosting provider weten hoeveel gebruikers er door een specifiek lek of uitval worden geraakt? Daarbij moet aan twee aparte overheidsinstanties worden gemeld, met elk een aparte procedure, en met verschillende informatie. Volgens de overheid kan dat niet anders omdat het “om verschillende overheidsinstanties gaat, met een verschillend doel”. Een redenering die uitgaat van de overheid zelf, het was blijkbaar teveel moeite om uit te zoeken hoe dit kon worden gecoördineerd via één loket. Het is ook duidelijk dat hiervoor een klassieke formulierwinkel wordt ingericht. Een API of een andere eigentijdse vorm van uitwisseling van data is voorlopig niet aan de orde.
Regeldruk verminderen, regeldruk opvoeren
Ik vind de gang van zaken rond de WBNI al met al bedenkelijk. De overheid spreekt mooie woorden over het voorkomen en wegnemen van regeldruk en het verminderen van administratieve lasten. Maar gaat terwijl de veiligheidsagenda van het ministerie van J&V en de roadmap veilige hard- en software van het ministerie van EZK pas net in de steigers staan zonder slag of stoot akkoord met een wet die daar dwars doorheen kruist en bovendien een niet bestaand probleem aanpakt. Zo dreigen juist de grotere MKB internet bedrijven, die hun zaakjes al op orde hebben, opgezadeld te worden met een onvervalst staaltje ambtenarij. Een gemiste kans en een belemmering voor de Nederlandse digitale ambities en een concurrerende digitale economie. Nu het kwaad al grotendeels is geschied, is het te hopen dat voor de verdere invulling het AT alsnog aansluiting zoekt bij de gangbare praktijken van certificering en assurance. En alsnog gaat zorgen voor een moderne invulling van de meldplichten, met standaarden en een API. Als sector staan we klaar om er samen maar het beste van te gaan maken.
Deze column van Michiel Steltman verscheen op 2 november 2018 bij AG Connect