Grote datacenters en DNS-providers worden in Nederland in de toekomst aangemerkt als vitale infrastructuur, las ik bij Tweakers. Dat betekent dat er strengere veiligheidseisen voor gaan gelden en dat ze betere bescherming krijgen. Dit gaat niet om SIDN – zie zijn al vitaal – maar om de partijen die domeinnamen technisch beheren, of op grote schaal hosting- en aanverwante diensten leveren. Maar wat is “vitaal” dan en waarom is het juridisch van belang?
Sinds oktober 2018 hebben we de Wet beveiliging netwerk- en informatiesystemen, een uitwerking van de Europese Richtlijn voor netwerk- en informatiebeveiliging (NIB). Doel van die laatste was een Europees minimum te stellen voor beveiliging van informatie-infrastructuur. De Richtlijn regelt ook samenwerking binnen lidstaten en het nemen van maatregelen om beveiligingsrisico’s te beheersen en gevolgen van incidenten te voorkomen en minimaliseren en ernstige incidenten te melden.
In Nederland bevat de Wbni onder meer een zorgplicht voor aanbieders van essentiële diensten en digitaledienstverleners. En dat is een belangrijke term, want je valt onder deze wet als je essentiële of vitale diensten aanbiedt. Beide termen zijn niet gedefinieerd, maar dat hoeft ook niet want je valt er alleen onder als je op een lijst gezet bent.
Het Besluit beveiliging netwerk- en informatiesystemen bevat de lijst van de essentiëledienstaanbieders, met niet verrassend de landelijke netbeheerders van elektriciteit en gas om meteen twee voorbeelden te noemen. Voor internet relevant: de “bij besluit van Onze Minister van Economische Zaken en Klimaat aangewezen aanbieders van internetknooppunten, bedoeld in bijlage II van de NIB-richtlijn”, wat in de Regeling aanwijzing aanbieders essentiële diensten EZK is gebeurd:
- Een aanbieder van een internetknooppunt als bedoeld in artikel 4, onder 13, van Richtlijn (EU) 2016/1148 waarop meer dan 300 autonome systemen zijn aangesloten [een AS is een apart stukje internettransport, dus als een aanbieder die routeert tussen 300 of meer AS stukgaat is dat Heel Erg]
- Een beheerder van een register voor topleveldomeinnamen die bij de Internet Assigned Number Authority (IANA) is geregistreerd en die meer dan 1.000.000 geregistreerde domeinnamen in beheer heeft [dit is dus met name SIDN, AE]
- Een beheerder van een register voor topleveldomeinnamen die bij de IANA is geregistreerd, meer dan 1.000.000 geregistreerde domeinnamen in beheer heeft en ten behoeve van die domeinnamen DNS-diensten verleent als bedoeld in artikel 4, onder 14 en 15, van Richtlijn (EU) 2016/1148 [in technospeak: authoritative zijn voor die domeinnamen]
Voor deze aanbieders gaan dan de zorg- en meldplicht uit de Wbni gelden. Dat betekent dat zij ernstige incidenten moeten melden bij zowel het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid als bij de toezichthouder (meldplicht) en dat zij passende maatregelen moeten treffen ter beveiliging van hun netwerk- en informatiesystemen (zorgplicht). Het Agentschap Telecom zal toezicht houden op de naleving hiervan. Ook kunnen aanbieders terecht bij het NCSC voor advies en ondersteuning bij digitale dreigingen en incidenten.Hetzelfde zal gaan gelden voor grote datacenters. De brief omschrijft deze op zeer creatieve wijze als “stroomcapaciteit hebben van meer dan 50 megawatt”, het criterium uit de Wet ongewenste zeggenschap telecommunicatie (Wozt). En ja 50 MW is veel.
Arnoud
Per wat? Per uur, per dag, per jaar? MWh zegt op zich niks. Verderop hebben ze het gelukkig wel over MW, dat is een zinniger criterium. https://rudhar.com/technica/kWkWh-nl.htm