De Rijksinspectie Digitale Infrastructuur (RDI) is bezig met inspecties van aanbieders van vaste internetdiensten. De eerste resultaten laten zien dat er al positieve stappen worden gezet, maar ook dat verdere verbetering nodig is om echt digitaal weerbaar te worden en te voldoen aan de huidige en toekomstige wetgeving. We roepen aanbieders van vaste internetdiensten dan ook op om werk te maken van digitale weerbaarheid.
Met inspecties beoordelen wij in hoeverre aanbieders voldoen aan de Telecommunicatiewet die gaat over veilige, betrouwbare en beschikbare telefoon- en internetnetwerken. De inspecties richten zich op drie hoofdonderwerpen uit de wet: de zorgplicht, de meldplicht en aftapbaarheid. Ook is er tijdens de bezoeken aandacht voor de voorbereiding op nieuwe wet- en regelgeving.
Tijdens de inspecties zijn duidelijke verschillen zichtbaar tussen aanbieders
Zorgplicht gaat over het nemen van maatregelen die passen bij de risico’s
Bij de zorgplicht valt op dat sommige aanbieders onvoldoende basismaatregelen hebben genomen, zoals tweefactorauthenticatie, versleuteling en back-ups. Ook ontbreekt bij een aantal aanbieders een gestructureerd risicoproces: zij hebben hierdoor onvoldoende in beeld welke risico’s zij lopen en welke maatregelen nodig zijn om deze te beheersen. Denk aan risico’s als: inbraakpogingen op accounts door gebrekkige authenticatie, het onderscheppen of manipuleren van gegevens door ontbrekende versleuteling, verlies van data door onvoldoende geteste back-ups en langdurige verstoringen doordat incidenten niet tijdig worden opgespoord of opgelost. Ook zorgt het ontbreken van structurele monitoring en opvolging van incidenten ervoor dat risico’s vaak te laat worden opgemerkt of onvoldoende worden aangepakt. Andere aanbieders hebben dit juist wel goed op orde en laten zien dat zij hun risico’s actief beheren.
Meldplicht gaat over het structureel monitoren en tijdig signaleren van incidenten
Wat de meldplicht betreft, hebben de meeste aanbieders nog geen werkend meldproces ingericht voor beveiligingsincidenten, wat flinke risico’s met zich meebrengt. Ook weten ze niet altijd duidelijk wanneer ze een incident als ‘aanzienlijk’ moeten beschouwen. Meldplicht gaat over incidenten die de dienstverlening ernstig verstoren, veel gebruikers raken, langdurige uitval veroorzaken of leiden tot grote schade bij uw eigen organisatie of bij andere organisaties. Kleinschalige of kortdurende verstoringen vallen niet onder de meldplicht. De RDI benadrukt dat een goed werkend meldproces essentieel is om incidenten snel te kunnen melden en afhandelen. Zo beperk je de negatieve gevolgen van incidenten en kun je deze sneller herstellen, wat goed is voor de organisatie zelf, voor haar partners en klanten.
Aftapplicht gaat over het aftapbaar maken van het netwerk voor opsporings- en inlichtingeninstanties
Tot slot is bij enkele aanbieders geconstateerd dat hun netwerk nog niet aftapbaar is voor opsporings- en inlichtingeninstanties, terwijl dit een wettelijke verplichting is. Met partijen waar dit voor geldt zijn afspraken gemaakt om dit op orde te brengen.
Zo verliepen de inspecties
Het onderzoek bij aanbieders van vast internet bestond uit verschillende stappen. Zo hebben we eerst een vragenlijst uitgezet bij een selectie van de aanbieders. Daarna volgde documentonderzoek en gesprekken op locatie. Hiermee krijgen we niet alleen zicht op naleving van de telecommunicatiewet, maar krijgen we ook inzicht in de context waarin deze aanbieders opereren. Waar nodig zijn afspraken gemaakt om de naleving te verbeteren. We zien natuurlijk ook toe op de uitvoering van deze afspraken.
Aanbevelingen om digitale weerbaarheid te versterken
De RDI zal dit type inspecties het komende jaar voortzetten. Aanbieders kunnen zich voorbereiden door hun processen voor de zorgplicht, de meldplicht en de aftapbaarheid te evalueren en waar nodig te verbeteren.
- Zorgplicht: leg vast welke cybersecurityrisico’s impact hebben op uw organisatie/dienstverlening en toon aan welke maatregelen u heeft genomen. Zorg dat u kunt motiveren dat deze maatregelen passend en evenredig zijn voor uw situatie. De vijf basisprincipes van digitale weerbaarheid helpen hierbij: breng risico’s systematisch in kaart, bevorder veilig gedrag onder medewerkers, bescherm systemen en apparaten via hardening en tijdig patchen, beheer toegang strikt volgens het least-privilege-principe en bereid u voor op incidenten met duidelijke respons-, herstel- en back-upprocessen.
- Meldplicht: als u te maken krijgt met een beveiligingsincident met aanzienlijke gevolgen, moet u dit ook melden bij de RDI. Zorg dat uw interne proces voor incidentafhandeling op orde is en dat u de ernst van incidenten goed kunt beoordelen. Gebruik bij twijfel de criteria uit het besluit over beveiliging en continuïteit van netwerken en diensten. Maak gebruik van de meldprocedure op de website van de RDI zodat u tijdig kunt melden.
- Aftapbaarheid: zorg dat uw netwerk voldoet aan de wettelijke vereisten en dat de noodzakelijke voorzieningen hiervoor op een betrouwbare en gecontroleerde manier zijn ingericht. Dit kan intern of via een gespecialiseerde aanbieder, mits deze voldoet aan alle wettelijke en beveiligingsvoorwaarden. Leg verantwoordelijkheden zorgvuldig vast en borg voor passende beveiliging van tapinformatie en de benodigde administratieve waarborgen, zoals een VOG.
Blik vooruit: vervolgstappen en aandachtspunten komende periode
De RDI roept aanbieders van vast internet op om werk te maken van digitale weerbaarheid. De eerste resultaten laten zien dat er al positieve stappen worden gezet, maar ook dat verdere verbetering nodig is om te kunnen voldoen aan de huidige en toekomstige wetgeving.