RDI onderzoekt naleving meld- en zorgplicht door internetproviders

De Rijksinspectie Digitale Infrastructuur of RDI gaat eind 2024 controleren of internetproviders hun meld- en zorgplicht naleven. De providers moeten onder andere aantonen dat ze voldoende stappen ondernemen bij een storing van hun diensten.

De RDI noemt de aanscherping van de Telecommunicatiewet en het Besluit beveiliging en continuïteit openbare elektronische communicatienetwerken en- diensten als aanleiding voor de controles. Hierdoor hebben de providers meer verplichtingen bij de zorg- en meldplicht.

De zorgplicht houdt in dat een provider ‘passende technische en organisatorische maatregelen neemt om de veiligheid en continuïteit van de diensten te waarborgen’. De meldplicht houdt in dat beveiligingsincidenten of storingen bij de RDI gemeld worden. Tijdens de controles wil de RDI onderzoeken hoe de providers invulling geven aan die plichten.

Verder wil de inspectie van de internetaanbieders weten hoe ze zich voorbereiden op de NIS2-wet. Dat is een technologische richtlijn die is opgelegd door de Europese Commissie. De richtlijn gaat over de beveiliging van netwerk- en informatiesystemen. De wet treedt naar verwachting volgend jaar in werking, maar de RDI zegt 'dat deze wet duidelijk impact heeft op aanbieders van telecommunicatie.'

Door Loïs Franx

Redacteur

01-10-2024 • 19:55

31

Submitter: Anonymoussaurus

Reacties (31)

Sorteer op:

Weergave:

Ik ben bang dat dergelijke inspecties slechts een paper-exercise zijn: Kan de provider een document overhandigen waarin de processen en de procedures zijn vastgelegd? Ja? Dan is alles veilig!!!

Zelden word gekeken hoe groot de reality-gap is tussen deze papieren werkelijkheid (de 'formele' organisatie) en hoe zaken echt gaan op 'de werkvloer' (de 'informele' organisatie). Niet-functionele requirements vastleggen is voor mensen met vakkennis al moeilijk genoeg. Ik hou m'n hart vast wanneer juristen, politici en bureaucraten dergelijke requirements in een wettekst proberen te vatten.

Waarschijnlijk kom je dan i.d.d. niet verder dan "De zorgplicht houdt in dat een provider ‘passende technische en organisatorische maatregelen neemt om de veiligheid en continuïteit van de diensten te waarborgen’." Dat biedt juristen immers de mogelijkheid om in geval van een calamiteit oeverloos te steggelen over het begrip 'passend'. Waarbij iedere minuut steggelen uiteraard gefactureerd word.
Eens. Ik heb ook wel wat met RDI te maken vanwege Wbni en straks ook NIS2: Ik ben niet onder de indruk.

Het zit hem op de papieren processen, maar niet op de echte inhoud.
Voorbeeld:
ISP formeel: "Formeel wordt geen enkele verbinding zomaar uit de lucht gehaald."
ISP op de werkvloer: "Ah dit is mijn poort, hoppa verbinding eruit. Want dat is makkelijker en kost minder tijd dan even de patch volgen en kijken waar die uitkomt, te kijken waar die eigenlijk op hoort, en die klant op de juiste lijn te zetten."

En ergens in de wijk heeft iemand weer een storing. Het gaat dus echt precies zoals jij zegt. En dit is dan echt 1 van de vele voorbeelden. In dit geval is het vooral omdat er gewoon veels te weinig tijd gegeven wordt aan monteurs om dit soort dingen wel netjes te doen (ik spreek uit ervaring). Maar goed.

[Reactie gewijzigd door MrFax op 2 oktober 2024 06:16]

Ja, zo zal het ongetwijfeld gaan. Dat weet zo'n auditor ook. Dus die zal dan vragen naar een RCA en een verbeterplan. Zo'n monteur kun je op z'n vingers tikken, je kunt een dossier aanleggen en zo verder.

Het is niet zo dat als je je proces maar hebt beschreven je vervolgens je schouders kunt ophalen als het proces niet wordt gevolgd. Juist de uitvoering is waar de winst te behalen is.

Want hoe vervelend voor die monteur ook.. Zo'n onterecht verwijderde patch kost veel meer geld dan die 5 minuten extra tijd. Dus wellicht is dan het antwoord dat de organisatie meer tijd per incident/request moet inschalen.
Denk dat dit meestal komt doordat de administratie bij netwerkbeheerder niet klopt.

Oude niet gebruikte patches worden misschien ook niet standaard verwijderd, dan krijg je dit soort dingen
Of als de klos van de patchpaneel zo door de knoop zit dat je moet gaan knippen om de patch eruit te halen :+
Bij mijn internet provider heb ik in 5 jaar 2 storingen gehad.
Bij mijn bankieren provider heb ik in 5 jaar 100+ storingen gehad. Wie controleert de banken?
Als mijn internet provider de kosten omhoog gooit dan snap ik dat enigszins want ik krijg er goede service voor terug. Bij mijn bank snap ik dat niet.

Zinloze controle naar mijn mening. Besteed het geld beter.
Hoeveel packet loss treed er op bij je ISP tijdens een storing?

Hoeveel geld ben je kwijt geraakt bij de bank tijdens een storing?
Ik heb geen voelbaar last van data/informatie verlies.

Als mijn bank eruit ligt dan heb ik daar wel kast van want ik moet klanten op tijd betalen.
Ik heb dit jaar al 3 keer met een volle kar boodschappen bij de kassa gestaan en 2x bij een benzinepomp en dat mijn pas geweigerd werd vanwege een storing bij de bank.
Ja, daar heb je schade van; extra heen en weer rijden, taxikosten, partner die met een pasje van een andere bank moet komen om te betalen, etc.

ISP's hebben het beter voor elkaar. Mijn ISP heeft afgelopen jaar nul (voor mij merkbare) storingen gehad; net als de 2 jaren er voor. Die van de bank zijn niet meer op 2 hand te tellen.
En wat let je om contant geld bij je te hebben om het risico te minimaliseren dat de dingen die je opsomt je overkomen?
Ik bedoel, als je vaste verbinding niet werkt zul je vast nog een mobiele hebben (je back-up), waarom dan geen back-up hebben voor je pin pas?
Ja en meerdere banken loont ook. Ik snap niet hoe mensen maar bij 1 bank zitten.
Omdat ik ze te duur vind om er meerdere te nemen. Vroeger had ik dat wel, maar toen waren de kosten ongeveer €10 per jaar.
Ik heb ook een 2e bank, maar daar staat nooit heel veel op en als het fout gaat... dan kan ik die ook niet aanvullen, omdat de andere bank een storing heeft. Net als met contant geld is het niet zinnig om veel geld op een 2e rekening te hebben staan.

Bovendien: Waarom moet ik extra kosten maken en extra moeite doen voor een dienst die mij verplicht wordt te gebruiken?
Omdat je bij veel tankstations niet contant kunt betalen, Bij supermarkten wel, maar ik weet nooit precies hoeveel het gaat kosten met de huidige prijzen en ik wil niet constant met honderden euro's op zak moeten lopen voor het geval dat...
Ik zeg niet dat banken perfect zijn of dat het jouw fout is maar zelf ben ik wel van het principe liever een backup altijd hebben zelf. Dus een tweede pas van een andere bank ookal heb je daar maar 500 euro of minder opstaan dat je in zulke gevallen nog wel kunt betalen. Je zou kunnen zeggen contant maar ik zou liever niet met 100+ euro op straat lopen dus dat vind ik niet een redelijke oplossing.
Maar kan je er vanuit gaan dat een bank 100% uptime heeft, of hoeveel negens is wel redelijk. Persoonlijk vind ik dat lastig.

Zelf overigens nog nooit gehad dat ik door de bank niet kon betalen, welke bank heb je daar ben ik wel benieuwd naar.

[Reactie gewijzigd door PaulHelper op 2 oktober 2024 08:49]

Banken zijn een dienst die je verplicht bent om af te nemen. Dan mag je ook verwachten dat die dienst ook behoorlijk is.
Dat er storingen zijn, is te begrijpen; dat heeft elk bedrijf. Echter als je meerdere dagen niet bij je geld kunt, of dat je niet kunt pinnen, dan ben je aan de goden overgeleverd en is niet acceptabel.
Een 2e bank heb ik (nog), maar ga daar geen kapitalen opzetten. Het is al idioot dat ik een fail-safe voor een bank(!) moet inbouwen.

Ik zit in de zakelijke dienstverlening met cloud oplossingen en wij moeten de overheid een up-time garanderen van 99+%; in <1% moeten wij updates, onderhoud en storingen doen. En wij leveren niet eens een verplicht product.

Je zou vermoeden dat de DNB een dergelijke up-time ook voor banken zou laten gelden. JUIST voor banken.

Ik zit bij KNAB (waar ik in de begindagen extreem blij mee was, want je kon met de developers via het forum verbeteringen en nieuwe features bespreken. Nu kun je amper nog iemand te spreken krijgen)

[Reactie gewijzigd door MikeVanD op 2 oktober 2024 13:27]

Zeker ing? :+ Maar je hebt een goed punt. Ik heb al regelmatig bij een winkel gestaan dat ik niet kon betalen.
Rijksinspectie Digitale Infrastructuur is een wassen neus. Had het voorrecht om een keer bij een van hun vergaderingen te zijn. RDI bestaat uit bijeengeraapte ambtenaren geleid door een paar kneuzen die als motto hebben : " We moeten natuurlijk niet te streng zijn. Ook wegkijken hoort erbij." RDI is een door het ministerie van economische zaken opgezette tak, dat bewust zwak word gehouden (beperkte capaciteit / geen mandaat) zodat het niet adequaat en daadkrachtig kan optreden. Zo zijn er heel veel domeinen in het publieke bestel die ook bewust zwak word gehouden zoals een Omgevingsdienst. Kortgezegd: PRUT!
Ik durf het niet te beweren dat het opzet is van hogerhand, maar het ontbreken van mandaat en kundig personeel is wel iets wat ik herken.
Ik vraag me af waarom deze zorgplicht nodig is want het betreft een consumenten lijn?

Ik heb een AON verbinding die nog uit de tijd van Vodafone komt. Tussen 2012 en 2018 werd onderhoud per mail aangekondigd en had ik ooit door de week snachts geen verbinding. Toen het weer up was had ik ook een ander IP gekregen. Sinds de overstap naar eigen apparatuur ergens in '18 is dit niet meer voorgekomen. Ik krijg trouwens ook geen onderhoud emails meer van inmiddels odido. Ruim 6 jaar het zelfde dynamic IP toegewezen gekregen. Nu bij overstap na een andere SFP/mac wel een ander IP.

WAN is in de loop der jaren echt wel goed stabiel daarmee. Ik kan me niet herinneren dat er een merkbare downtime was de afgelopen jaren. Ik kan me wel herinneren dat ik meedere malen geen stroom had. Dat is voor vitale infra opgelost met backup stroom.
Hoort internet hiermee dan bij stroom, water en gas -> Nutsvoorzieningen?
Glasvezel heeft sowieso weinig storingen, of er moet een keer een vezel door werkzaamheden beschadigd zijn. De ouderwetse coaxnetwerken kennen veel meer storingen aangezien veel van de wijknetten nu tegen de 50 jaar oud zijn. In mindere mate geldt dit voor het kopernetwerk van KPN, maar dit netwerk wordt nu op veel plaatsen uitgefaseerd zodra er glasvezel beschikbaar is. Storingen met mobiel internet en telefoon zijn ook vrij zeldzaam.
Nederland heeft een van de stabielste netwerken ter wereld. Qua stabiliteit en bandbreedte staan we in de top. Ik houd storingen bij (omdat ik zelf een SLA afgeef richting wat mensen voor een chatbot), maar de storingen die echt storingen zijn, zijn op 1 hand te tellen.

‘S nachts is er wel eens onderhoud, maar dat wordt afgekondigd via de gebruikelijke web kanalen. Zelfs op de goedkoopste glasvezel lijnen van NL is de downtime beperkt tot enkele uren per jaar. Stelt echt geen klap voor.

Die twee keer per jar dat Equens er eens een halve dag uitligt is problematischer dan dit. Ik zie dus liever dat men dergelijke zaken op dat soort systemen gaat doen dan bij ISPs.
Wat ik begreep was dat bijvoorbeeld de noodstroomvoorziening van cell towers hoogstens een paar uur betreft. Voor zover ik weet is er geen plan als er bijvoorbeeld 1 dag geen stroom is. Er lijkt ook geen plan te zijn om bij massale overbelasting van (mobiele) data en spraak de klanten te laten weten dat ze bij voorkeur moeten sms-en met elkaar.
Ik denk dat je dit hier vandaan hebt. Ik kan me de stroomstoring niet heugen die zolang geduurd heeft, het stroomnet in NL is ondanks het kraken en piepen uitstekend te noemen. Als heel NL een stroomstoring heeft, hebben we denk ik een ander probleem en heb je meer aan een draagbare radio met een "dynamo" zwengel er in.

Met het aantal masten wat er is in NL is de investering dermate groot en het risico dermate klein dat ik snap dat daar niet in geïnvesteerd wordt. Dat daardoor je mobiele abonnement wellicht 3X zo duur wordt vinden we namelijk óók niet fijn. Daarnaast is het net tamelijk fijnmazig. Een lokale stroomstoring wordt keurig opgepakt door een mast verderop.
Het stroomnet is nog steeds belangrijker dan het internet zou ik zeggen... Dus als je je daar zorgen over maakt dan kun je je beter op dat stroomnet focussen. Bovendien is een gebrek aan stroom ook makkelijker op te vangen voor een provider, rij er een aggregaat naar toe. Volgens mij gebeurt dat ook wel in bepaalde gevallen en het lijkt me ook goedkoper om een paar van die dingen klaar te hebben staan met iemand die ze er naar toe kan rijden en aansluiten dan om elke mast te voorzien van veel meer backup.

Drukte op het netwerk is ook niet vaak meer een probleem en is ook op te vangen met extra mobiele masten. Communicatie via whatsapp verbruikt volgens mij ook niet veel data dus het lijkt me niet heel erg nuttig om mensen massaal naar sms te sturen eigenlijk. Als het echt zo druk wordt dat je whatsapp bericht er niet door komt proberen mensen dat vanzelf wel als het echt belangrijk is.
Alhoewel dit een soort van sympathiek klinkt, heb ik toch een wat wrange smaak erbij. In de vorige eeuw is de telecommunicatiemarkt overgelaten aan "de markt". Waarom nu dan dit toezicht? Wees dan consequent, geef toe dat dat een fout was en kijk of dat te herstellen is. Zo niet? Afblijven dan, dat is oorzaak en gevolg. Het aantal verstoringen in deze markt is nagenoeg "nul" en zakelijke gebruikers hebben SLA's om dat af te dekken, onnodige bemoeienis dus.

Eerst aan de markt overlaten en dan als een soort mosterd na de maaltijd dit soort maatregelen aankondigen, nee. Too little too late.

[Reactie gewijzigd door Houtenklaas op 1 oktober 2024 22:09]

Alhoewel dit een soort van sympathiek klinkt, heb ik toch een wat wrange smaak erbij. In de vorige eeuw is de telecommunicatiemarkt overgelaten aan "de markt". Waarom nu dan dit toezicht?
In principe ben ik het met je eens, maar de politici van toen zijn al lang vervangen door een nieuwe generatie. Die kunnen de geschiedenis niet veranderen maar zullen het moeten doen met de situatie zoals die nu is. Verder zie ik dit soort regels als iets dat je toch nodig hebt, of je nu een bedrijf bent of een overheid. De overheid volgt zelf ook NIS2 (of wil dat in ieder geval). Wat NIS2 betreft maakt het dus niet uit of het om een commercieel bedrijf gaat of om een overheidsdienst.
Wees dan consequent, geef toe dat dat een fout was en kijk of dat te herstellen is. Zo niet? Afblijven dan, dat is oorzaak en gevolg.
De oorzaken liggen in het verleden, de gevolgen zijn er nu. Waarom zouden wij op de blaren moeten zitten omdat iemand anders op kachel is gaan zitten?
Het aantal verstoringen in deze markt is nagenoeg "nul" en zakelijke gebruikers hebben SLA's om dat af te dekken, onnodige bemoeienis dus.
SLA's zijn goed voor kleine storingen bij bedrijven, niet voor grote storingen zoals cyberaanvallen op de maatschappij. Een provider met een storing kan een paar klanten een schadevergoeding betalen, maar als ze allemaal een schadevergoeding willen dan gaat de provider failliet en heeft niemand iets.
Geen enkele schadevergoeding is hoog genoeg als 112 niet bereikbaar is, een polder onderloopt of een ziekenhuis niet kan opereren ransomware. Dat zijn misschien extreme voorbeelden maar de overheid zal daar rekening mee moeten houden.
Vrij geruststellend bericht dit. Een paar ambtenaren die problemen gaan oplossen die we niet hebben.
Het alternatief is dat ze problemen veroorzaken die we niet hebben.

En daar kan ik gewoon last van krijgen. En dat heb ik liever niet. Last
Mooi dat ze voor de wet in gaat al bij deze bedrijven langs gaan. Te vaak beginnen ze pas een wet te implementeren als de eerste boetes worden uitgedeeld. Bij de AVG was het zo erg dat er twee jaar uitstel werd gegeven en vrijwel iedereen gewoon heeft afgewacht en daarna kwamen pas de eerste onderzoekjes waardoor de uitvoering van de AVG 5 jaar vertraging heeft gehad (en het is nog lang niet klaar).

Hoewel ik het goed vind dat providers NIS2 moeten gaan doen moeten we ons er ook niet te veel van voorstellen. Als het goed is doen ze het meeste al. Daarbij is veel van NIS2 erg abstract en gericht op organisatie en proces. Het is geen technisch document met praktische tips. Dat is misschien maar goed ook (dat moet je niet door politici laten doen) maar verwacht dus geen plotselinge toename van de veiligheid.

NIS2 gaat over zaken als dat je beleid moet hebben, dat je procedures moet hebben om security incidenten te melden, welke verantwoordelijkheden je moet beleggen. waar je overtredingen moet melden, hoe je moet/mag samenwerken met andere organisaties en landen en dat je moet meewerken als de overheid informatie wil.

Dat is allemaal nuttig (dit is geen aanval op NIS2) en nodig maar het zijn vooral randvoorwaarden. 90% van NIS2 kun je uitvoeren met pen & papier zonder ook maar een computer aan te raken. Uiteraard zijn het ook minimumvoorwaarde. Het absolute minimum waar iedereen aan moet voldoen. Hopelijk zijn de meesten nu al verder dan het minimum. Ok, dat laatste zeg ik terwijl ik mijn lach in probeer te houden. Voor een hoop zal het nog steeds een enorme stap zijn.

Nog een puntje, zoals gezegd is NIS2 het minimum. Je moet het niet zien als compleet overzicht van hoe je IT-security bedrijft. Veiligheid is een denkwijze, geen ding dat je éénmaal doet. Als je iemand een puntenlijst geeft (zoals bv NIS2) zal de neiging zijn om bij alle punten een vinkje te zetten en dan te stoppen omdat het "klaar" is. Dat heeft niks met NIS zelf te maken, zo gaat het bij iedere regeling, maar je moet er dus wel alert op zijn dat je het doel in de gaten houdt en dat is veiligheid, niet het invullen van een vragenlijst. De vragenlijst is een hulpmiddel, geen doel.

Op dit item kan niet meer gereageerd worden.