Multi-tenant datacenters en grote DNS-dienstverleners vallen voortaan onder de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). De bedrijven worden wettelijk verplicht om incidenten te melden en uitval te voorkomen. Dat maakt minister Micky Adriaansens (EZK) in een kamerbrief bekend.

Cybersecurity is zelden een keuze. Nederlandse overheidsinstanties moeten volgens de Baseline Informatiebeveiliging Overheid (BIO) aan een minimaal securityniveau voldoen. Sommige organisaties vallen onder de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).

De Wbni geldt voor twee soorten bedrijven: ‘vitale aanbieders’ en ‘digitale dienstverleners’. Een energieleverancier kan een vitale aanbieder zijn. Onder digitale dienstverleners vind je grote cloudproviders. Vallen de ICT-systemen van dergelijke bedrijven uit, dan wordt een groot deel van Nederland geraakt. Vandaar zijn de bedrijven wettelijk verplicht om uitval tegen te gaan.

Micky Adriaansens, de minister van Economische Zaken en Klimaat, is ontevreden met de wet. Op dit moment vallen sommige datacenter- en DNS-dienstverleners buiten de boot. Adriaansens vindt de diensten essentieel voor de Nederlandse infrastructuur. “De continuïteit van datacenters acht ik van vitaal belang”, schrijft de minister in een kamerbrief. “Het Domain Name System (DNS) is een essentieel onderdeel van de infrastructuur van het internet.”

Vandaar maakt de minister bekend dat sommige datacenter- en grote DNS-dienstverleners voortaan als vitale aanbieders worden beschouwd. Adriaansens noemt geen harde voorwaarden. “Het gaat onder meer om datacenters met meerdere gebruikers — multi-tenant of colocatie, dus bijvoorbeeld niet een hyperscale datacenter van een groot techbedrijf die ‘te groot is om te falen’.” Bij DNS-dienstverleners denkt de minister aan bedrijven die met minstens 400.000 .nl-domeinnamen werken.

Zorgplicht en meldplicht

De beslissing heeft twee grote gevolgen voor bedrijven die onder de wet komen te vallen. Allereerst gaat de zorgplicht in. Toezichthouder Agentschap Telecom kan langskomen om te controleren of een bedrijf securitymaatregelen treft, incidenten afhandelt en uitval voorkomt. Bedrijven zijn verplicht om een administratie bij te houden. Overtreders riskeren een boete.

Ten tweede gaat de meldplicht in. Breekt een cybercrimineel in of liggen de systemen eruit, dan kan het bedrijf verplicht zijn om zich te melden bij Agentschap Telecom en het NCSC (Nationaal Cybersecurity Centrum). De meldplicht geldt alleen wanneer het incident aan een van meerdere voorwaarden voldoet, waaronder: storing van meer dan 5.000.000 gebruikersuren, impact op meer dan 100.000 gebruikers en schade van meer dan 1 miljoen euro.

De ingangsdatum verschilt per bedrijf en wet. Datacenterdienstverleners krijgen eerst met de meldplicht te maken. De zorgplicht volgt “naar verwachting” in de loop van 2024. De planning voor DNS-dienstverleners is onbekend.

Tip: Kabinet verbiedt aanleg van nieuwe hyperscale datacenters