Door de Wet bevordering digitale weerbaarheid bedrijven mag het DTC beschikbare specifieke vertrouwelijke informatie over cyberdreigingen delen met individuele bedrijven in Nederland, las ik bij Tweakers. Het lijkt een detail maar het was al langer een ergernis van mij dat dit niet kon, helemaal omdat dit als “mag niet van de AVG” werd gebracht.
In de praktijk zal het Digital Trust Center (DTC) vanuit het ministerie van Economische Zaken hieraan uitvoering geven. Door de wet mag het DTC beschikbare specifieke vertrouwelijke informatie over cyberdreigingen ook daadwerkelijk delen met individuele bedrijven in Nederland. De wet maakt bijvoorbeeld een rechtstreekse informatie-uitwisseling mogelijk tussen overheidsorganisaties die zich met digitale beveiliging bezighouden. Dit zijn het Nationaal Cyber Security Centrum (NCSC), het Computer Security Incident Response Team (CSIRT) voor digitale diensten en het DTC.Je zou zeggen dat er weinig bijzonders is aan het informeren van partijen die geraakt kunnen worden door een cyberbedreiging. Je bent de overheid, je weet van een risico, dan benader je zo’n bedrijf toch even?
Helaas lag dat iets ingewikkelder. Ik heb diverse redenen gehoord:
- Willekeurige marktpartijen benaderen is lastig, want hoe weet je die te vinden en bij welke ingang moet je zijn?
- Er is te weinig menskracht om al die meldingen te doen, want je kunt niet een paar bedrijven informeren.
- Dit mag niet van de AVG want er kunnen persoonsgegevens betrokken zijn (denk aan IP-adressen van gehackte computers die van eenmanszaken zijn).
- De doelstelling van de genoemde organisaties is beperkt tot informeren van aangewezen instanties, dus men treedt dan buiten de wettelijke taakstelling.
- De overheid concurreert zo met private partijen die security alert diensten bieden, en dat is oneerlijk als het geen wettelijke taak is.
- het analyseren en het onderzoeken van gegevens over kwetsbaarheden, dreigingen en incidenten die betrekking kunnen hebben op netwerk- en informatiesystemen van bedrijven;
- het informeren en adviseren van bedrijven over kwetsbaarheden, dreigingen en incidenten die betrekking kunnen hebben op hun netwerken informatiesystemen.
Arnoud
Dit is een ergernis die wij delen en die dit hele landschap van informatiedelen vanuit de national CERT met relevante partijen, ooit gepromoot onder de naam Landelijk Dekkend Stelsel en nu het Cyberweerbaarheidsnetwerk, al vele jaren belemmert. Gelukkig zijn er in het afgelopen jaar eindelijk wat vermeende juridische belemmeringen weggenomen via wetgeving.
De ergernissen zijn nog helemaal niet opgelost, want hoe kijk je naar dit stukje in mijn ogen doorgeschoten compliance?
https://www.security.nl/posting/859940/NCSC+deelde+zonder+wettelijke+grondslag+informatie+met+VS+en+VK
Ik vind dat je heel voorzichtig moet zijn met roepen dat iets doorgeschoten compliance is. Het is natuurlijk zeker zo dat er veel gevallen zijn waarbij vrijwel iedereen van mening is dat de wet onnodig beperkend is, maar de juiste manier is dan proberen om een wetswijziging tot stand te brengen, niet om de wet dan maar te negeren.
Zeker wanneer uitvoerende instanties dat op eigen houtje gaan doen wordt dat heel gevaarlijk. De wetgevende macht is de plaats waar de kaders worden bepaald waar de uitvoerenden zich aan dienen te houden. Dat moet niet gebeuren achter de gesloten deuren van instanties met ongekozen ambtenaren. We zouden het ook niet accepteren als politieagenten zelf op individuele basis gaan bepalen wat de wet zegt.
Het is een fundamenteel principe in een rechtsstaat, dat de overheid zich aan haar eigen wetten houdt; dat kan je niet zomaar opzij zetten omdat het in dat ene specifieke geval misschien niet werkt zoals het gewenst is.