Nieuwe ministeriële regelingen onder de Cyberbeveiligingswet: wat betekent de regeling van het ministerie van Economische Zaken voor uw sector?

Omdat de verplichtingen sterk uiteenlopen per domein, stellen de meeste departementen een eigen ministeriële regeling op. Een belangrijk onderdeel daarvan is de nadere invulling van de meldplicht, waaronder de drempelwaarden die bepalen wanneer een cyberincident als “significant” geldt en dus moet worden gemeld aan het Nationaal Cyber Security Centrum (“NCSC”) of het sectorale Computer Security Incident Response Team (“CSRIT”). Daarnaast bevatten de regelingen de verdere uitwerking van de zorgplicht, waaronder risicobeoordelingen, beveiligingsmaatregelen, monitoring en ketenverantwoordelijkheid.

De ministeries van Binnenlandse Zaken en Koninkrijksrelaties (het “ministerie van BZK”), Infrastructuur en Waterstaat (het “ministerie van I&W”), Economische Zaken (het “ministerie van EZ”), Klimaat en Groene Groei (het “ministerie van KGG”), Landbouw, Visserij, Voedselzekerheid en Natuur (het “ministerie van LVVN”) en Volksgezondheid, Welzijn en Sport (het “ministerie VWS”) hebben hun conceptregelingen inmiddels gepubliceerd. De nadere regels over de zorgplicht zijn voor de sectoren onder de ministeries van I&W, EZ, KGG en LVVN gezamenlijk ontwikkeld op basis van een eerdere consultatie die begin dit jaar is gehouden.

In dit blog richten we ons op de ministeriële regeling van het ministerie van EZ, de Regeling cyberbeveiliging EZ (de “Regeling EZ”).

Wat regelt de Regeling EZ?

In de kern vallen vijf clusters van sectoren onder de regeling van EZ: digitale infrastructuur, ruimtevaart, post- en koeriersdiensten, vervaardiging (manufacturing) en onderzoeksorganisaties voor zover zij binnen het EZ-domein vallen. Binnen de sector digitale infrastructuur ziet de Regeling EZ specifiek op aanbieders van openbare elektronische communicatienetwerken, aanbieders van openbare elektronische communicatiediensten en aanbieders van internetknooppunten. Voor cloud- en datacenterdiensten gelden de regels uit de Europese uitvoeringsverordening.

Verdieping van de zorgplicht

De Cbw verplicht essentiële en belangrijke entiteiten tot het treffen van “passende en evenredige” technische en organisatorische maatregelen. De Regeling EZ maakt expliciet wat daar in ieder geval onder moet worden verstaan. Dat gebeurt langs drie lijnen: 1) managementsystematiek, 2) bedrijfscontinuïteit en 3) de manier waarop systemen worden ontwikkeld, beheerd en benaderd.

Deze drie lijnen bespreken we hierna.

1. Managementsystematiek en beleid

Entiteiten worden verplicht om hun beveiligingsbeleid en managementsystematiek expliciet vorm te geven. Zij moeten vastleggen:

• Welke maatregelen voor het beheer van cyberrisico’s worden gemonitord en gemeten;
• Met welke methoden die metingen plaatsvinden en hoe de resultaten worden gevalideerd;
• Wanneer monitoring en meting plaatsvinden; en
• Wie verantwoordelijk is voor monitoring, analyse en evaluatie.

De Regeling EZ sluit aan bij bestaande praktijk en internationale normen zoals International Standardization Organization (“ISO”), zodat organisaties geen parallel systeem hoeven te ontwerpen, maar bestaande managementsystemen kunnen uitbreiden of aanscherpen.

2. Bedrijfscontinuïteit en back-ups

De Regeling EZ werkt de plicht tot het hebben van een bedrijfscontinuïteitsplan verder uit. Dat plan moet in ieder geval de doelstelling en reikwijdte, rollen en verantwoordelijkheden, interne en externe communicatiekanalen, criteria voor activering en de-activering, benodigde middelen (inclusief redundantie) en voorwaarden voor herstel en hervatting van activiteiten bevatten.

Daarnaast stelt de Regeling EZ eisen aan back-upprocedures: organisaties moeten hersteldoelen definiëren, zorgen voor volledige en nauwkeurige back-ups (inclusief configuratiegegevens en in de cloud opgeslagen data) en passende waarborgen treffen voor integriteit, vertrouwelijkheid en beschikbaarheid van back-ups. Ook is het periodiek testen van het terugzetten van back-ups verplicht.

3. Ontwikkeling, onderhoud en toegangsbeheer

De Regeling EZ richt zich ook op de beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen. Zo moeten de procedures bedoeld in het Cyberbeveiligingsbesluit ten minste betrekking hebben op:

• Beveiligingstesten: er moeten structurele processen zijn om te testen of maatregelen feitelijk werken en kwetsbaarheden tijdig worden ontdekt.
• Patchmanagement: patches moeten uit betrouwbare bron komen, waar passend vooraf worden getest en binnen een redelijke termijn worden toegepast. Als wordt besloten om een patch (nog) niet door te voeren, moet die keuze gemotiveerd en gedocumenteerd worden.

Daarnaast schrijft de Regeling EZ voor dat entiteiten onder meer maatregelen treffen tegen kwaadaardige en ongeoorloofde software en periodiek kwetsbaarheidsscans uitvoeren.

Wanneer is een incident “significant”?

Naast de drie hoofdlijnen bevat de Regeling EZ nadere criteria voor de meldplicht voor (significante) incidenten. De Regeling EZ bespreekt zowel algemene als sectorspecifieke criteria.

Algemene criteria

Een incident is in ieder geval significant als:

• Het (kan) leidt(en) tot de dood of aanzienlijke schade aan de gezondheid van een of meer personen; of
• Er sprake is van succesvolle, vermoedelijk kwaadwillige en ongeoorloofde toegang tot de netwerk- en informatiesystemen van een entiteit, ongeacht of er al zichtbare schade is; of
• Een van de sectorspecifieke criteria wordt gehaald.

Geplande dienstonderbrekingen in verband met onderhoud door of namens de entiteit vallen buiten de meldplicht, tenzij er onverwachte neveneffecten optreden.

Sectorspecifieke criteria

De regeling introduceert de volgende drempelwaarden per sector:

Telecom / elektronische communicatiediensten

Een incident is onder meer significant als:

• De integriteit, vertrouwelijkheid of authenticiteit van gegevens in het kader van de dienstverlening is aangetast;
• Ten minste 50.000 gebruikers door een onderbreking worden getroffen; of
• Het alarmnummer 112 of NL-Alert niet beschikbaar is.

De maatschappelijke impact van uitval of datalekken in deze infrastructuur is daarmee het uitgangspunt.

Internetknooppunten

Voor internetknooppunten geldt onder meer dat:

• Uitval van ten minste 25% van het actuele totale verkeer gedurende 30 minuten of langer als significant geldt;
• Dat geldt ook voor aantasting van integriteit, vertrouwelijkheid of authenticiteit van gegevens.

Ruimtevaart

In de ruimtevaartsector is een incident onder meer significant als:

• Gedurende een door de entiteit vastgestelde periode geen communicatie met een ruimtevoorwerp mogelijk is;
• Als een netwerk- of informatiesysteem uitvalt dat essentieel is voor economische of publieke activiteiten; of
• Als vlucht- of besturingsgegevens worden gemanipuleerd of corrupt raken.

Post- en koeriersdiensten

Voor post- en koeriersdiensten is een incident significant als:

• Door een verstoring in de systemen ten minste 30% van de gebruikers hun poststukken minimaal twee bezorgdagen later ontvangt dan wettelijk of contractueel is voorzien; of
• Als de integriteit, vertrouwelijkheid of authenticiteit van gegevens over de dienstverlening is aangetast.

Vervaardiging

Een incident geldt als significant als sprake is van:

• Verlies of degradatie van veiligheidsfuncties;
• Verlies van besturings- of monitoringsfuncties;
• Een inbreuk op de integriteit van industriële systemen waardoor product- of proceskwaliteit in gevaar komt;
• Milieuschade door een cyberincident;
• Een aanval die het beoogde securitylevel overstijgt of zich over meerdere zones verspreidt.

Onderzoek (EZ-domein)

Voor onderzoeksorganisaties geldt een duidelijk criterium: aantasting van de integriteit, vertrouwelijkheid of authenticiteit van onderzoeksgegevens is voldoende om een incident als significant te kwalificeren. Dat past bij het vaak vertrouwelijke en economisch of strategisch waardevolle karakter van onderzoeksdata.

Meldingen van significante incidenten verlopen via één centraal meldloket dat zowel het sectorale CSIRT als de toezichthoudende instantie bedient. De precieze procedurele eisen (termijnen, inhoud van meldingen) staan in de Cbw en worden in de Regeling EZ niet verder gewijzigd.

Hoe nu verder?

Wilt u sparren over een mogelijke consultatiereactie op de Regeling EZ of meer weten over de gevolgen van deze regeling voor uw sector? Neem dan contact op met Machteld Robichon of Bente van Kan.

Meer weten over de Cbw? Lees onze andere blogs:

• De Cyberbeveiligingswet: nieuw juridisch fundament voor digitale weerbaarheid
• Het toepassingsgebied van de Cyberbeveiligingswet
• Bestuurders en de Cyberbeveiligingswet