Zorg- en meldplicht voor datacenters en DNS dienstverleners

Minister Micky Adriaansens (EZK) informeerde onlangs de Tweede Kamer of datacenters en DNS dienstverleners als vitaal aangemerkt moeten worden en onder de toepasselijkheid van de Wet beveiliging netwerk- en informatiesystemen (Wbni) dienen te vallen, om de digitale weerbaarheid van Nederland te verhogen en de gevolgen van (cyber)incidenten te beperken. DNS is een essentieel onderdeel van de infrastructuur van het internet en zorgt ervoor dat domeinnamen bereikbaar zijn.

Mede op basis van deze onderzoeken en gesprekken met de sectoren, heeft de minster beoordeeld of bepaalde aanbieders als vitaal aangemerkt moeten worden en onder de toepasselijkheid van de Wet beveiliging netwerk- en informatiesystemen (Wbni) dienen te vallen, om de digitale weerbaarheid van Nederland te verhogen en de gevolgen van (cyber)incidenten te beperken.

Het Domain Name System (DNS) is een essentieel onderdeel van de infrastructuur van het internet. Het DNS zorgt ervoor dat domeinnamen bereikbaar zijn. Allerlei digitale processen zijn hiervan afhankelijk. DNS-dienstverleners vallen reeds onder de toepasselijkheid van de Wbni en de achterliggende Europese Netwerk- en informatiebeveiliging (NIB)-richtlijn. Verschillende partijen spelen een rol in het DNS. Er is reden om in Nederland meer DNS-dienstverleners als essentieel te zien dan nu het geval is. Het gaat dan om aanbieders zoals hostingbedrijven die DNS-diensten leveren aan een groot aantal klanten, bijvoorbeeld in het mkb.

NSCS

Een incident bij een aanbieder kan leiden tot honderdduizenden onbereikbare websites, e-mailsystemen, enzovoorts aldus de minister. "Ik ben voornemens om dergelijke omvangrijke aanbieders aan te merken als vitale aanbieder en hen bij ministerieel besluit aan te wijzen als aanbieders van essentiële diensten. Voor deze aanbieders gaan dan de zorg- en meldplicht uit de Wbni gelden. Dat betekent dat zij ernstige incidenten moeten melden bij zowel het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid als bij de toezichthouder (meldplicht) en dat zij passende maatregelen moeten treffen ter beveiliging van hun netwerk- en informatiesystemen (zorgplicht). Het Agentschap Telecom zal toezicht houden op de naleving hiervan. Ook kunnen aanbieders terecht bij het NCSC voor advies en ondersteuning bij digitale dreigingen en incidenten"

Digitale Infrastructuur

In datacenters staan servers opgesteld die vele digitale processen bij bedrijven, overheden en organisaties ondersteunen aldus Adriaansens. "Uit het onderzoeksrapport dat uw Kamer eerder heeft ontvangen, blijkt de kans reëel dat in datacenters processen lopen die bij langdurige uitval risico opleveren van maatschappelijke ontwrichting. Het gaat dan onder meer om datacenters met meerdere gebruikers (multi-tenant of colocatie, dus bijvoorbeeld niet een hyperscale datacenter van een groot techbedrijf voor eigen gebruik) die ‘te groot zijn om te falen’. Uitval of verstoring van dergelijke omvangrijke datacenters kan resulteren in cascade-effecten en een langdurige periode van mindere redundantie in Nederland. Minder redundantie betekent verminderde beschikbaarheid van de digitale infrastructuur. Bij cascade-effecten leidt verstoring of uitval van een datacenter tot verstoring van de digitale processen van haar gebruikers en daarmee andere (mogelijk vitale) maatschappelijke en economische processen. De continuïteit van datacenters acht ik van vitaal belang voor het functioneren van de digitale (internet-)infrastructuur. Ik ben daarom voornemens om datacenterdiensten als vitaal proces aan te merken en om, binnen dat proces, multi-tenant datacenters vanaf een bepaalde omvang aan te merken als vitale aanbieder. Zij zullen krachtens de Wbni in het Besluit beveiliging netwerk- en informatiesystemen worden aangewezen als ‘andere vitale aanbieder’. Voor deze aanbieders gaat hierdoor een meldplicht bij het NCSC gelden. Ook kunnen zij bij het NCSC terecht voor advies en ondersteuning bij digitale dreigingen en incidenten. In de toekomst zullen datacenterdiensten onder de herziene NIB-richtlijn komen te vallen en daarmee onder meer een zorgplicht krijgen en onder het toezicht gaan vallen. Dit zal naar verwachting in de loop van 2024 werking krijgen. Ik vind het verstandig om vooruitlopend daarop bepaalde datacenters nu al aan te wijzen, zodat zij ernstige ICT-incidenten moeten melden bij het NCSC."