Column - Birds of a feather, shift left together!

Door Dimitri van Zantvliet 18 aug 2022

De vijftiende verjaardag van PvIB, van harte gefeliciteerd! Het is een eer voor mij om via dit mooie platform bij te mogen dragen aan het verspreiden van zoveel jaren cyberlove. Ik schrijf deze column trouwens op 25 mei, de vierde verjaardag van GDPR (General Data Protection Regulation). Met een hoop bombarie kwam de wet onze organisaties binnen. Stevige boetes zouden uitgedeeld gaan worden als de regels overtreden zouden worden. Waar organisaties nog geen privacy officers in dienst hadden werden wij bij cyber aangekeken. Ook ik behaalde diverse certificaten via de IAPP en heb destijds een hoop bijgeleerd over persoonsgegevens.

Dat uitdelen van boetes duurde echter nog wel even, want de meeste lokale Autoriteiten Persoonsgegevens hadden niet eens adequate middelen om al die meldingen te verwerken. De Belgische Gegevensbeschermingsautoriteit zat zelfs lange tijd zonder bestuur. Tandeloze tijgers werden ze genoemd en ook onze eigen AP kreeg het er in de pers van langs. Opmerkelijk, want de AP, eerst de registratiekamer genoemd en later omgedoopt tot College Bescherming Persoonsgegevens, bestaat al sinds de eind jaren tachtig. Veel langer dan het PvIB!

Enfin, de versnelling is deels gekomen en de fikse boetes ook: 746 miljoen euro voor Amazon, 225 miljoen euro voor WhatsApp, 90 miljoen voor euro voor Google Ierland, 60 miljoen euro voor Facebook en op nummer vijf Google LLC voor 50 miljoen euro. Iemand nog een cookie bij de koffie?

Op cybersecuritygebied hebben we een vergelijkbare wet die in dezelfde periode het levenslicht zag. De NIS Directive is de Europese netwerk- en informatiebeveiligingrichtlijn, de NIB-Richtlijn. Deze is in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). De Wbni schrijft een zorgplicht en een meldplicht voor aangaande cybersecurity. Men moet passende maatregelen treffen om de zaak goed te beveiligen en als het onverhoopt toch
misgaat moet men hiervan melding doen. Als organisaties er met de pet naar gooien dan kan de toezichthouder een bestuurlijke boete van 5 miljoen euro opleggen. Kán…

Boetes zijn dus nog niet opgelegd onder de NIS maar ook in ons cybervakgebied is dat aan het verschuiven. De nieuwe NIS 2 Directive die op 13 mei 2022 door de EC en het Parlement is geratificeerd gaat voor veel meer organisaties gelden die enig belang hebben voor de vitaliteit van een economie. De boetes voor vitale organisaties zijn in deze nieuwe wet maximaal 10 miljoen euro of 2% van de wereldwijde jaarlijkse omzet. Dat percentage van de omzet is gebaseerd op de gemiddelde ransomwarebedragen die de afgelopen jaren worden gevraagd. De voorlopige melding van een incident moet overigens al binnen 24 uur gedaan worden. We zien de sectorale toezichthouders stevig opschalen op cyberkennis en -kunde gebied om invulling te kunnen geven aan toezicht op deze wetgeving. Het NCSC krijgt daarnaast via een spoedwet mandaat om breder threat intel uit te wisselen.

Naast de NIS 2 Directive is er de Cybersecurity Act en is de RED en Cyberresilience Act in de maak. De privacy- en securitywetgeving lijken dus na al die jaren dichter tot elkaar te komen en er komt misschien wel een moment – misschien duurt het geen vijftien jaar – dat een organisatie door meerdere toezichthouders tegelijkertijd beboet gaat worden na een stevige databreach. Dit stelt vitale en belangrijke organisaties voor een volgende keuze: betaal ik miljoenen in bitcoins als ik geransomwared ben, betaal ik miljoenen aan boetes aan de toezichthouder(s) als ik de boel niet op orde had of investeer ik die bedragen om by design en by default de cybersecurity en dataprivacy op orde te brengen en te houden? Schuiven we nu samen voor eens en voor altijd op naar links in de application development cycles met cyber en privacy?

Fines will tell!

Dimitri van Zantvliet
CISO bij de Nederlandse Spoorwegen en columnist van iB-Magazine.

Deze column verscheen in iB4-2022.