Afgelopen dinsdag, 8 februari 2022, is bijna ongemerkt de Uitvoeringswet cyberbeveiligingsverordening (35.838) als hamerstuk in de Eerste Kamer aangenomen. Een politiek gevoelig onderwerp was dit natuurlijk ook bepaald niet. Iedereen weet dat cyberdreigingen onverminderd groot zijn en dat nadere regelgeving, die bijdraagt aan betere cyberbeveiliging, gewenst is. Het is ook onze ervaring dat zonder een beveiligingsincident of de spreekwoordelijke juridische stok achter de deur, bedrijven niet uit zichzelf overgaan tot het verbeteren van de beveiliging van hun eigen ICT-netwerken of het bijdragen daaraan. Dat geldt ook voor de aanbieders van ICT-producten en -diensten.
Cyberbeveiligingscertificering
Fabrikanten of aanbieders van ICT-producten, – diensten of -processen worden met deze wet en de onderliggende Cyberbeveiligingsverordening aangespoord om beveiligingsmaatregelen te nemen. Met certificaten en EU-conformiteitsverklaringen kunnen zij het beveiligingsniveau aantonen.
Er worden drie niveaus onderscheiden: basis, substantieel en hoog. Het niveau geeft aan op welk niveau het betrokken product, dienst of proces is geëvalueerd, maar het is geen maatstaf voor de beveiliging zelf. Producten, diensten en processen die voor het niveau hoog zijn gecertificeerd, dienen weerbaar te zijn tegen geavanceerde cyberaanvallen van statelijke actoren.
Deelname aan de certificeringsregeling is in principe vrijwillig. De Europese Commissie krijgt wel de bevoegdheid om een regeling verplicht te stellen. Als een aanbieder kiest voor een certificaat, zijn er verplichtingen waaraan hij moet voldoen. Zo moet hij de periode gedurende welke ondersteuning aan eindgebruikers wordt aangeboden, waaronder actualiseringen (updates bijvoorbeeld), openbaar maken, evenals contactgegevens van de fabrikant of aanbieder, methoden voor het ontvangen van kwetsbaarheidsinformatie en een verwijzing naar online register van openbaar gemaakte kwetsbaarheden. Een uitgereikt certificaat moet worden gemeld bij ENISA, die het registreert en publiceert.
Bestaande nationale regelingen zullen worden vervangen door Europese regelingen. Zo wordt het Nederlandse schema voor certificatie op het gebied van IT-beveiliging vervangen door een Europees schema. Elke regeling zal passende regels bevatten inzake updates, hacks of patches en de gevolgen van updates, hacks of patches voor het zekerheidsniveau en het afgegeven certificaat.
Nationale cyberbeveiligingsautoriteit
De Minister voor Economische Zaken en Klimaat wordt aangewezen als nationale cyberbeveiligingsautoriteit. De uitvoering van de taken zal worden ondergebracht bij het Agentschap Telecom. Natuurlijke en rechtspersonen kunnen klachten indienen bij deze autoriteit als het gaat om producten, diensten en processen met een hoog beveiligingsniveau. Klachten kunnen leiden tot nader onderzoek en zullen dan worden opgevat als een handhavingsverzoek.
Bij niet-naleving van de certificeringsregeling, dat is het geval als bijvoorbeeld niet voldaan wordt aan de eisen en voorwaarden waaronder het certificaat is uitgegeven, kan de autoriteit een bindende aanwijzing geven, een last onder bestuursdwang en een boete van maximaal € 900.000,-.
Geschillen worden voorgelegd aan de bestuursrechter in de rechtbank Rotterdam en in hoger beroep aan het College van Beroep voor het bedrijfsleven.
Gevolgen voor inkoopproces en bewijslast
Afnemers van ICT-producten, -diensten en -processen kunnen in hun inkoopprocedures eisen stellen aan beveiligingsniveaus en vragen om certificaten als bewijs van deze niveaus. Als afnemers uitsluitend nog ICT-producten en -diensten afnemen van aanbieders die deelnemen aan een certificeringsregeling, krijgen zij meer zekerheid dat zij geïnformeerd kunnen worden over kwetsbaarheden en noodzakelijk door te voeren patches of updates. Mochten zij dan onverhoopt toch slachtoffer worden van een beveiligingsincident dat is veroorzaakt doordat een update of patch bijvoorbeeld niet was doorgevoerd – een veel voorkomend probleem –, en zij willen de schade verhalen op de aanbieder, dan hoeven zij niet langer aan te tonen dat de aanbieder zijn zorgplicht niet is nagekomen, maar kunnen zij volstaan met te stellen dat een regeling niet is nageleefd. Bewijslast is bewijsrisico is procesrisico.
Wilt u meer weten over hoe u deze wet kunt incorporeren in uw inkoopprocedures? Bent u slachtoffer geworden van een beveiligingsincident en wilt u weten wat uw juridische positie is? Neem gerust contact op via info@firstlawyers.nl of +31 (70) 306 00 33.