Bulletineke Justitia
JFVJBN BJ
U bent hier:

De Europese (online) oorlog tegen cybercriminaliteit

Minthe van den Heuvel

Artikelenhackcybersecuritycyberwarfarebob van schaijkcybercrime

Cyberaanvallen komen steeds vaker voor en vormen een grote bedreiging voor onze digitale veiligheid. Een opkomende, maar bekende vorm van cybercriminaliteit, is ransomware. Dit wordt ook wel cyber kidnapping genaamd en vormt een groeiend probleem op zowel nationaal als Europees niveau.  Het is een vorm van cybercriminaliteit waarbij een hacker ongeautoriseerd toegang verkrijgt tot een computer of netwerk en de bestanden van de gebruiker versleutelt. De hacker eist vervolgens losgeld in ruil voor het vrijgeven van de bestanden. Zo werd In 2017 het Rotterdamse containeroverslagbedrijf Maersk dagenlang stilgelegd nadat de computersystemen waren geïnfecteerd met de gijzelsoftware NotPetya, ook wel bekend als Petya. Deze ransomware kon zich verspreiden via een Oekraïens boekhoudprogramma en legde binnen Europa en over de rest van de wereld computersystemen plat.[1] Volgens de nieuwe Nederlandse Wet beveiliging netwerk- en informatiesystemen had het bedrijf gewaarschuwd kunnen worden, maar dat mocht destijds niet.[2] Van groot belang is dan ook dat de Europese Unie (hierna: ‘EU’) en haar lidstaten de juiste maatregelen nemen om deze dreiging het hoofd te bieden. Door de snelle technologische ontwikkelingen valt een wetgevingshandeling algauw als gedateerd aan te merken, zo ook de Richtlijn Netwerk- en Informatiebeveiliging (hierna: ‘NIB’) uit 2016. Gelukkig zijn de afgelopen jaren verschillende initiatieven gestart om de cybersecurity te verbeteren, zoals de Cyberbeveiligingsverordening[3] en de herziening van de NIB-richtlijn.[4] Maar wat houden beide regelingen precies in en wat betekenen ze voor ons als individuele gebruikers van digitale producten en diensten? In dit artikel wordt dieper ingegaan op de Europese cybersecurity initiatieven en wordt ook de Nederlandse wetgeving behandeld om te kijken wat de Nederlandse doelen zijn om veilig te blijven in een steeds digitalere wereld.

Het Europees beleid

Cybercriminaliteit zit in de lift en de EU is dan ook druk bezig met het ontwikkelen en versterken van het cybersecuritybeleid en de daarop gerichte wetgeving.[5] Zo is in 2019 de Cyberbeveiligingsverordening gepubliceerd, die zorgt voor een EU-breed kader voor certificeringsregelingen van ICT-producten en -diensten om te garanderen dat deze voldoen aan beveiligingsvoorschriften.[6] Ook is onlangs de definitieve herziende richtlijn als opvolger van NIB gepresenteerd onder de naam NIB2.[7] Lidstaten hebben van de EU tot 24 september 2024 de tijd gekregen om de richtlijn te implementeren. Naast het feit dat de richtlijn meer uniformiteit moet aanbrengen in de regelgeving omtrent cybersecurity in Europa, heeft het ook als doel het verbeteren van de weerbaarheid van Europese lidstaten op digitaal en economisch gebied met een focus op de cyberbeveiligingsrisico’s van netwerk- en informatiesystemen.[8] Te denken valt aan het versterken van veiligheidsvereisten en een wettelijke verplichting voor informatiebeveiliging met daarbij een meldplicht voor incidenten. Tevens breidt de NIB2 het toepassingsgebied uit naar meer sectoren en organisaties die als belangrijk worden gezien voor de samenleving en haar economie. Hiermee worden lokale (mede)overheden, maar ook alle middelgrote en grote ondernemingen verplicht adequate maatregelen te nemen op gebieden zoals cyberisicobeheer, ‘incident response’, penetratietesten en overige herstelacties. Daarbij brengt de richtlijn ook een aantal wijzigingen met zich mee zoals het aanscherpen van de eisen voor handhaving waarbij EU- brede sancties gelden die gebaseerd zijn op de wereldwijze omzet van bedrijven.[9] Wie niet aan de NIB2 voldoet loopt dan ook het risico financieel gesanctioneerd te worden. Bij deze wetgeving is het niet gebleven, want ook afgelopen september is de Wet inzake cyberveerkracht voorgesteld.[10] Het voorstel bevat regels betreffende de beveiliging van digitale producten en diensten op de Europese markt met als doel ervoor te zorgen voor veilige hardware- en softwareproducten om de consument en de markt tegen cyberincidenten te beschermen.

Het beleid op nationaal niveau

Nederland is een van de meest gedigitaliseerde samenlevingen binnen Europa. Het is daarom van belang dat burgers en bedrijven ervan uit kunnen gaan dat digitaal werken op een veilige manier kan. De overheid is dan ook bezig om beide richtlijnen te implementeren. Daarnaast moet nieuwe wet- en regelgeving ervoor zorgen dat bedrijven die ‘essentiële diensten’ leveren, in 2023 voldoen aan de nieuwe cybersecurity richtlijnen. In Nederland gaat de NIB2-richtlijn geïmplementeerd worden door middel van de Wet Beveiliging Netwerk- en Informatiesystemen (hierna: ‘Wbni’).[11] Iedereen die essentiële diensten levert aan consumenten valt onder de nieuwe wetgeving. Wel bestaat nog discussie over wat precies onder ‘essentieel’ valt.  Volgens Europarlementariër Bart Groothuis kan gedacht worden aan internet service providers, maar ook kleine fabrieken en bedrijven die te maken hebben met water of energie. Daarbij is het uitdelen van boetes niet waar ze op uit zijn, maar bij een nalatige bestuurder willen ze wel tanden hebben om te bijten, aldus Groothuis.[12] Cybersecurity is dan ook niet meer een zaak die overgelaten kan worden aan een IT-beheerder, maar zal vallen onder de verantwoordelijkheid van een bestuurder.[13] Datalekken kunnen namelijk altijd en bij ieder bedrijf ontstaan. De bestuurder is dan ook altijd verantwoordelijk voor de klantgegevens die zij in bezit heeft.[14] Het is verder niet de bedoeling geweest van het Europees Parlement om een veelomvattende wet in te voeren die bedrijven onnodig op kosten zal jagen. Maar het is belangrijk om de essentiële dienstverlener up-to-date te houden, waarbij een bezoek van een toezichthouder steeds vaker zal voorkomen, om zeker te zijn dat de beveiligingssystemen niet verouderen.[15] Voorts ligt de Nederlandse Cybersecurity strategie voor 2022-2028 klaar en staat het digitaal veilig maken van Nederland groots opgenomen in de Werkagenda Waardengedreven Digitaliseren.[16] Deze agenda is onderverdeeld in een zevental ambities om een veiliger Nederland te realiseren, namelijk:

  1. Nederland heeft zijn digitale slagkracht op orde;
  2. Nederland draagt bij aan internationale vrede en veiligheid in het digitale domein;
  3. Digitaal veilige hard- en software wordt bevorderd;
  4. Nederland beschikt over weerbare digitale processen en een robuuste infrastructuur;
  5. Nederland werpt door middel van cybersecurity succesvol barrières op tegen cybercrime;
  6. Nederland is toonaangevend op het gebied van cybersecurity kennisontwikkeling; en
  7. Nederland beschikt over een integrale, publiek-private aanpak van cybersecurity.

Tot slot

Zoals blijkt is de EU verschillende initiatieven gestart om de cybersecurity van de lidstaten te verbeteren. Dit allen met als doel om, door middel van een uniform beleid, de economische en digitale weerbaarheid van de Europese lidstaten te waarborgen en waar dien mogelijk te verbeteren. Ook Nederland is, naast het implementeren van deze initiatieven, druk bezig om haar inwoners zo goed mogelijk te beschermen. Ondanks deze initiatieven blijft het ook als burger belangrijk om alert te blijven op de steeds veranderende dreigingen van cybercriminaliteit en ook zelf goed te blijven investeren in de mate van cybersecurity om je eigen digitale veiligheid en die van anderen te garanderen.

[1] ‘Gijzelvirus waarschijnlijk onderdeel van spionage-operatie’, NOS Nieuws 4 juli 2017.

[2] ‘Tweede kamer kritisch over privacy bij nieuwe cybersecuritywet’, RTLnieuws 26 september 2022.

[3] Verordening 2019/881/EU.

[4] Richtlijn 2016/ 1148/EU.

[5] Aanbeveling 2020/518/EU.

[6] Verordening 2019/881/EU.

[7] Richtlijn 2022/2555/EU.

[8] ‘Wat gaat de NIS2 richtlijn betekenen voor uw organisatie’, te raadplegen op: www.ncsc.nl.

[9] ‘Nieuwe Europese richtlijn NIS2: strengere Eisen cybersecurity’, te raadplegen op: www.pwc.nl.

[10] Verordening 2022/0272/EU.

[11] Wet beveiliging netwerk- en informatiesystemen (Wbni), Stb. 2017, 446.

[12] ‘Europese cyberwetten: dit gaan ze voor je bedrijf betekenen’, te raadplegen op: www.kvk.nl.

[13] ‘Europese cyberwetten: dit gaan ze voor je bedrijf betekenen’, te raadplegen op: www.kvk.nl.

[14] ‘Betaal jij of je IT-beheerder bij cybercrime?’, te raadplegen op: www.kvk.nl.

[15] ‘Nieuwe Europese richtlijn NIS2: strengere eisen cybersecurity’, te raadplegen op www.kvk.nl.

[16] ‘Werkagenda waardengedreven digitaliseren’, te raadplegen op www.europadecentraal.nl.

The post De Europese (online) oorlog tegen cybercriminaliteit appeared first on Bulletineke Justitia.