Agentschap Telecom houdt toezicht op SIDN

Op 9 november 2018 trad de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) in werking. Tegelijkertijd werd SIDN onder die wet aangewezen als Aanbieder van Essentiële Diensten (AED). Daarmee kwamen we ook onder toezicht van het Agentschap Telecom te staan. In deze blog ga ik kort in op de achtergrond van deze aanwijzing en de gevolgen daarvan.

Achtergrond Wbni en AED

Met de Wbni heeft Nederland de Europese NIS-richtlijn geïmplementeerd. Deze richtlijn is er op gericht om binnen Europa een adequate digitale beveiliging te waarborgen.

De richtlijn en de daarop gebaseerde wet richten zich op zogenoemde Aanbieders van Essentiële Diensten en op Digitale Dienstverleners. De laatste categorie bestaat uit aanbieders van clouddiensten, online zoekmachines en online marktplaatsen. Voor SIDN is de eerste categorie relevant.

Aanbieder van essentiële diensten

Aanbieders van essentiële diensten zijn partijen die een dienst leveren die van vitaal belang is voor de Nederlandse samenleving. Denk daarbij aan energieleveranciers, telecom, de luchtverkeersleiding, etc. Een bijlage van de NIS-richtlijn bevat een indicatieve lijst van mogelijke AED’s. Iedere lidstaat moest  vervolgens zelf bepalen welke criteria zij hanteerde voor de aanwijzing van AED’s.

In de bijlage bij de NIS-richtlijn worden 2 voor SIDN relevante soorten dienstverleners beschreven: DNS-dienstenverleners en Register van topleveldomeinnamen.

In het Besluit Beveiliging Netwerk- en Informatiesystemen (Bbni) heeft de Nederlandse overheid bepaald dat er sprake is van een AED in de volgende gevallen:

  • Een beheerder van een register voor topleveldomeinnamen die bij de Internet Assigned Number Authority (IANA) is geregistreerd en die meer dan 1.000.000 geregistreerde domeinnamen in beheer heeft.

  • Een beheerder van een register voor topleveldomeinnamen die bij IANA geregistreerd is, meer dan 1.000.000 geregistreerde domeinnamen in beheer heeft en ten behoeve van die domeinnamen DNS-diensten verleent.

SIDN is daarmee voor haar .nl-diensten in beide gevallen als AED aangewezen. Overigens zien we om ons heen dat ook in andere Europese landen de beheerders van het nationale topleveldomein als AED worden aangemerkt. 

Wat betekent dit voor SIDN?

Als aanbieder van essentiële diensten geldt voor SIDN allereerst een zorgplicht die is beschreven in artikel 7 en 8 van de wet. AED’s moeten kort gezegd passende technische en organisatorische maatregelen nemen om:

  • de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen;

  • beveiligingsincidenten te voorkomen en de gevolgen van dergelijke incidenten zo veel mogelijk te beperken en daarmee de continuïteit van die dienst te waarborgen.

Naast de zorgplicht geldt er een meldplicht voor incidenten met (potentieel) aanzienlijke gevolgen voor de continuïteit van de dienstverlening (art. 10 Wbni). Deze incidenten moeten gemeld worden bij het Nationaal Cyber Security Center (NCSC) zodat zij eventueel kunnen helpen om het incident op te lossen. Ook kan het NCSC andere partijen behoeden voor bijvoorbeeld dezelfde cyberaanval. Daarnaast moet het voorval gemeld worden bij de toezichthouder. Voor SIDN is dat het Agentschap Telecom dat onder andere ook toezicht houdt op de andere AED’s binnen de digitale infrastructuur.

Daarmee heeft SIDN voor de eerste keer te maken met een partij die formeel toezicht houdt op een deel van haar activiteiten. In het convenant dat SIDN sinds 2008 met de Nederlandse overheid heeft, zijn weliswaar ook afspraken gemaakt over het waarborgen van de continuïteit van het .nl-domein. Die afspraken hebben we echter vrijwillig gemaakt en dat voelt toch anders dan dat het toezicht bij wet wordt opgelegd.

Overigens is het toezicht wel beperkt tot de beschikbaarheid en integriteit van de .nl-dienstverlening (zowel DNS als het registratiesysteem). Het ziet niet toe op de wijze waarop SIDN domeinnamen uitgeeft of bijvoorbeeld de vraag of, wanneer en hoe SIDN ingrijpt bij incidenten waarbij domeinnamen betrokken zijn. Ook de vraag welke gegevens we in de WHOIS tonen valt er volledig buiten. 

Wat gaat de buitenwereld hiervan merken?

Wij verwachten niet dat de buitenwereld iets merkt van het feit dat we nu een aanbieder van essentiële diensten zijn en dat we nu onder toezicht staan. Voor SIDN zelf is de impact waarschijnlijk ook beperkt. SIDN heeft al jaren een heel hoog niveau van informatiebeveiliging. Zo zijn we al sinds 2011 ISO27001-gecertificeerd. Daarnaast onderhouden we al sinds jaar en dag contact met het NCSC, wat eerder GovCert was, en melden we al onverplicht incidenten met enige impact bij het NCSC. Daarbij is door alle maatregelen die we doorlopend nemen, de beschikbaarheid van DNS al zo lang als wij kunnen heugen 100%. Ook de beschikbaarheid van het domeinnaamregistratiesysteem is, met een gemiddelde van 99,9% over de afgelopen jaren, hoog.

Inmiddels zijn we in gesprek met het Agentschap Telecom over de manier waarop we het toezicht vorm gaan geven. De praktische invulling hiervan krijgt in de loop van dit jaar zijn beslag. Voor ons is het vooral belangrijk om dit in goede samenwerking te doen. Het Agentschap heeft in de eerste contacten duidelijk gemaakt er ook zo in te zitten. Wij hebben dan ook het volste vertrouwen in een constructieve samenwerking die verder bijdraagt aan een stabiel beschikbaar .nl-domein.

Reacties

Maarten-Simon-thumbnail

Maarten Simon

Legal & Policy Advisor

+31 26 352 55 00

maarten.simon@sidn.nl

  • donderdag 25 oktober 2018

    Veilig internet

    Is jouw bedrijf hackproof?

    Hackman+-socialpost-persbericht-thumbnail

    Doe de test!

    Lees meer
  • vrijdag 22 december 2017

    Kennis

    Volg het webinar over eIDAS!

    eIDAS+Webinar+Invitation-banner

    Meld je aan voor het gratis webinar van Connectis op 11 januari 2018 om 14.00 uur

    Lees meer
  • maandag 26 maart 2018

    Over SIDN

    SIDN en de AVG

    Thumb-GDPR

    Vanaf 25 mei is de AVG van toepassing. Wat betekent dit voor SIDN? Een interview met onze functionaris gegevensbescherming

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.