Minister gaat DNS-providers en datacenters aanmerken als vitale infrastructuur

ananitit / Pixabay

Grote datacenters en DNS-providers worden in Nederland in de toekomst aangemerkt als vitale infrastructuur, las ik bij Tweakers. Dat betekent dat er strengere veiligheidseisen voor gaan gelden en dat ze betere bescherming krijgen. Dit gaat niet om SIDN – zie zijn al vitaal – maar om de partijen die domeinnamen technisch beheren, of op grote schaal hosting- en aanverwante diensten leveren. Maar wat is “vitaal” dan en waarom is het juridisch van belang?

Sinds oktober 2018 hebben we de Wet beveiliging netwerk- en informatiesystemen, een uitwerking van de Europese Richtlijn voor netwerk- en informatiebeveiliging (NIB). Doel van die laatste was een Europees minimum te stellen voor beveiliging van informatie-infrastructuur. De Richtlijn regelt ook samenwerking binnen lidstaten en het nemen van maatregelen om beveiligingsrisico’s te beheersen en gevolgen van incidenten te voorkomen en minimaliseren en ernstige incidenten te melden.

In Nederland bevat de Wbni onder meer een zorgplicht voor aanbieders van essentiële diensten en digitaledienstverleners. En dat is een belangrijke term, want je valt onder deze wet als je essentiële of vitale diensten aanbiedt. Beide termen zijn niet gedefinieerd, maar dat hoeft ook niet want je valt er alleen onder als je op een lijst gezet bent.

Het Besluit beveiliging netwerk- en informatiesystemen bevat de lijst van de essentiëledienstaanbieders, met niet verrassend de landelijke netbeheerders van elektriciteit en gas om meteen twee voorbeelden te noemen. Voor internet relevant: de “bij besluit van Onze Minister van Economische Zaken en Klimaat aangewezen aanbieders van internetknooppunten, bedoeld in bijlage II van de NIB-richtlijn”, wat in de Regeling aanwijzing aanbieders essentiële diensten EZK is gebeurd:

  • Een aanbieder van een internetknooppunt als bedoeld in artikel 4, onder 13, van Richtlijn (EU) 2016/1148 waarop meer dan 300 autonome systemen zijn aangesloten [een AS is een apart stukje internettransport, dus als een aanbieder die routeert tussen 300 of meer AS stukgaat is dat Heel Erg]
  • Een beheerder van een register voor topleveldomeinnamen die bij de Internet Assigned Number Authority (IANA) is geregistreerd en die meer dan 1.000.000 geregistreerde domeinnamen in beheer heeft [dit is dus met name SIDN, AE]
  • Een beheerder van een register voor topleveldomeinnamen die bij de IANA is geregistreerd, meer dan 1.000.000 geregistreerde domeinnamen in beheer heeft en ten behoeve van die domeinnamen DNS-diensten verleent als bedoeld in artikel 4, onder 14 en 15, van Richtlijn (EU) 2016/1148 [in technospeak: authoritative zijn voor die domeinnamen]
De minister is nu van plan deze regeling te herzien, zo schrijft zij aan de Kamer. Die 1 miljoen van de derde bullet gaat omlaag naar 400.000, zodat een forse hap van de grote hostingbedrijven (zie pagina 33 van dit onderzoeksrapport) onder de regels gaat vallen. De minister legt uit:
Voor deze aanbieders gaan dan de zorg- en meldplicht uit de Wbni gelden. Dat betekent dat zij ernstige incidenten moeten melden bij zowel het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid als bij de toezichthouder (meldplicht) en dat zij passende maatregelen moeten treffen ter beveiliging van hun netwerk- en informatiesystemen (zorgplicht). Het Agentschap Telecom zal toezicht houden op de naleving hiervan. Ook kunnen aanbieders terecht bij het NCSC voor advies en ondersteuning bij digitale dreigingen en incidenten.
Hetzelfde zal gaan gelden voor grote datacenters. De brief omschrijft deze op zeer creatieve wijze als “stroomcapaciteit hebben van meer dan 50 megawatt”, het criterium uit de Wet ongewenste zeggenschap telecommunicatie (Wozt).  En ja 50 MW is veel.

Arnoud

2 reacties

  1. Hetzelfde zal gaan gelden voor grote datacenters. De brief omschrijft deze op zeer creatieve wijze als “stroomcapaciteit hebben van meer dan 50 megawatt”, het criterium uit de Wet ongewenste zeggenschap telecommunicatie (Wozt). En ja 50 MW is veel.
    In de Nota van Toelichting een uitleg over het creatieve criterium:
    Vervolgens zijn deze uitgangspunten «vertaald» naar voor investeerders duidelijk hanteerbare criteria. Met betrekking tot het meten van de mate van invloed van een datacenter bijvoorbeeld, zijn diverse criteria overwogen. Er is gekeken naar de grootte van een datacenter in termen van het aantal verhuurde vierkante meters, het aantal geplaatste racks, het aantal servers en het verbruik in MWh. Uiteindelijk is daarbij gekozen voor de stroomcapaciteit omdat dit criterium het meest toekomstvast lijkt te zijn. Volgens de brancheorganisatie voor Nederlandse datacenters, de Dutch Datacenter Association (DDA, juni 2020) hebben de Nederlandse multi tenant datacenters een stroomcapaciteit van 838 MW. Op grond daarvan is gekozen voor een drempelwaarde van een stroomcapaciteit van meer dan 50 MW. Op dit moment hebben, zoals gezegd, naar schatting in ieder geval de grootste vier multi tenant datacenters een gebruik dat boven deze drempelwaarde ligt.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.