Brief regering : Vitaal-beoordeling datacenters en DNS-dienstverleners
26 643 Informatie- en communicatietechnologie (ICT)
Nr. 896 BRIEF VAN DE MINISTER VAN ECONOMISCHE ZAKEN EN KLIMAAT
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 4 juli 2022
Op 5 juli 2021 heeft de toenmalige Staatssecretaris van Economische Zaken en Klimaat
uw Kamer geïnformeerd over twee onderzoeksrapporten in het kader van de veiligheid
en continuïteit van de Nederlandse digitale infrastructuur (Kamerstuk 26 643, nr. 772). Deze onderzoeken betroffen datacenters en DNS-dienstverleners.
Mede op basis van deze onderzoeken en gesprekken met de sectoren, heb ik beoordeeld
of bepaalde aanbieders als vitaal aangemerkt moeten worden en onder de toepasselijkheid
van de Wet beveiliging netwerk- en informatiesystemen (Wbni) dienen te vallen, om
de digitale weerbaarheid van Nederland te verhogen en de gevolgen van (cyber)incidenten
te beperken.
Het Domain Name System (DNS) is een essentieel onderdeel van de infrastructuur van
het internet. Het DNS zorgt ervoor dat domeinnamen bereikbaar zijn. Allerlei digitale
processen zijn hiervan afhankelijk. DNS-dienstverleners vallen reeds onder de toepasselijkheid
van de Wbni en de achterliggende Europese Netwerk- en informatiebeveiliging (NIB)-richtlijn.1 Verschillende partijen spelen een rol in het DNS. Er is reden om in Nederland meer
DNS-dienstverleners als essentieel te zien dan nu het geval is.2 Het gaat dan om aanbieders zoals hostingbedrijven die DNS-diensten leveren aan een
groot aantal klanten, bijvoorbeeld in het mkb. Een incident bij een aanbieder kan
leiden tot honderdduizenden onbereikbare websites, e-mailsystemen, enzovoorts. Ik
ben voornemens om dergelijke omvangrijke aanbieders3 aan te merken als vitale aanbieder en hen bij ministerieel besluit aan te wijzen
als aanbieders van essentiële diensten.4 Voor deze aanbieders gaan dan de zorg- en meldplicht uit de Wbni gelden. Dat betekent
dat zij ernstige incidenten moeten melden bij zowel het Nationaal Cyber Security Centrum
(NCSC) van het Ministerie van Justitie en Veiligheid als bij de toezichthouder (meldplicht)
en dat zij passende maatregelen moeten treffen ter beveiliging van hun netwerk- en
informatiesystemen (zorgplicht). Het Agentschap Telecom zal toezicht houden op de
naleving hiervan. Ook kunnen aanbieders terecht bij het NCSC voor advies en ondersteuning
bij digitale dreigingen en incidenten.
In datacenters staan servers opgesteld die vele digitale processen bij bedrijven,
overheden en organisaties ondersteunen. Uit het onderzoeksrapport dat uw Kamer eerder
heeft ontvangen, blijkt de kans reëel dat in datacenters processen lopen die bij langdurige
uitval risico opleveren van maatschappelijke ontwrichting. Het gaat dan onder meer
om datacenters met meerdere gebruikers (multi-tenant of colocatie, dus bijvoorbeeld
niet een hyperscale datacenter van een groot techbedrijf voor eigen gebruik) die «te
groot zijn om te falen». Uitval of verstoring van dergelijke omvangrijke datacenters
kan resulteren in cascade-effecten en een langdurige periode van mindere redundantie
in Nederland. Minder redundantie betekent verminderde beschikbaarheid van de digitale
infrastructuur. Bij cascade-effecten leidt verstoring of uitval van een datacenter
tot verstoring van de digitale processen van haar gebruikers en daarmee andere (mogelijk
vitale) maatschappelijke en economische processen.
De continuïteit van datacenters acht ik van vitaal belang voor het functioneren van
de digitale (internet-)infrastructuur. Ik ben daarom voornemens om datacenterdiensten
als vitaal proces aan te merken en om, binnen dat proces, multi-tenant datacenters
vanaf een bepaalde omvang aan te merken als vitale aanbieder.5 Zij zullen krachtens de Wbni in het Besluit beveiliging netwerk- en informatiesystemen
worden aangewezen als «andere vitale aanbieder». Voor deze aanbieders gaat hierdoor
een meldplicht bij het NCSC gelden. Ook kunnen zij bij het NCSC terecht voor advies
en ondersteuning bij digitale dreigingen en incidenten. In de toekomst zullen datacenterdiensten
onder de herziene NIB-richtlijn komen te vallen en daarmee onder meer een zorgplicht
krijgen en onder het toezicht gaan vallen. Dit zal naar verwachting in de loop van
2024 werking krijgen. Ik vind het verstandig om vooruitlopend daarop bepaalde datacenters
nu al aan te wijzen, zodat zij ernstige ICT-incidenten moeten melden bij het NCSC.
Voor de DNS-dienstverleners en de datacenters zullen op korte termijn de bovenbedoelde
aanwijzingen van aanbieders krachtens de Wbni worden geconsulteerd, zodat betreffende
partijen hun zienswijze kunnen geven. Ik blijf hierover in gesprek met betrokkenen
uit beide sectoren. Tot slot geeft de vitale status aanleiding om met partijen in
overleg te treden over de vraag of aanvullende afspraken nodig zijn om de weerbaarheid
te borgen.
De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens
Indieners
-
Indiener
M.A.M. Adriaansens, minister van Economische Zaken en Klimaat