Ook producent software en hardware verdient wind van voren bij cyberincident

Uit de praktijk blijkt namelijk dat met name de afnemer de wind van voren krijgt bij een cyberincident (zoals een datalek of een ransomeware-aanval), als blijkt dat de cybersecurity niet op orde is. Een voorbeeld hiervan is het datalek bij de GGD dat onlangs aan het licht kwam. Dit is bijzonder, omdat het aannemelijk is dat met name softwareleveranciers de potentie van een datalek eerder kunnen voorzien dan bijvoorbeeld de GGD of een andere afnemer. Het NCSL doet daarom in een voorpublicatie een oproep aan het kabinet om deze scheve verdeling betreffende de gedeelde verantwoordelijkheid recht te trekken.

Het NCSL draagt in zijn voorpublicatie een zorgplichtstandaard aan voor hardware- en softwareleveranciers, welke door middel van een set dynamische cybersecurityrichtlijnen in goed overleg door branches zelf via co-regulering opgesteld worden. Deze richtlijnen zouden vervolgens regels bevatten over preventie, detectie en respons bij cyberincidenten. Een dergelijke oplossing is volgens het NCSL beter bestand tegen de snel veranderende dynamiek in de cybersecurity dan bijvoorbeeld Europese wetgeving.

Volgens het NCSL moet naast deze richtlijn, welke door moet werken in softwarecontracten, aanvullend een goed werkend verzekeringssysteem gestimuleerd worden voor cybersecurity. Idealiter zou dit een systeem zijn waarbinnen de verzekeraars over diepgaande cybersecurity kennis beschikken om de verplichtingen van leveranciers te kunnen toetsen. Voorgaande zal tegelijkertijd bijdragen aan de veiligheid van aangeboden digitale producten en diensten.