DSP

Een Digital Service Provider, afgekort DSP, is een aanbieder van digitale diensten die onder de Europese NIS-richtlijn specifieke cybersecurityverplichtingen heeft. De drie categorieen DSP's die de richtlijn onderscheidt zijn cloudserviceproviders, online marktplaatsen en zoekmachines. Deze organisaties spelen een cruciale rol in het digitale ecosysteem en moeten daarom voldoen aan strenge beveiligingseisen.

Definitie en afbakening onder de NIS-richtlijn

De Europese NIS-richtlijn definieert een digitale dienst als elke dienst die normaal tegen vergoeding wordt verleend, op afstand, langs elektronische weg en op individueel verzoek van de afnemer. Dit betekent dat de term DSP specifiek verwijst naar drie typen aanbieders. Cloudserviceproviders leveren infrastructuur, platformen of software als dienst via het internet. Online marktplaatsen faciliteren transacties tussen kopers en verkopers op hun platform. Zoekmachines bieden gebruikers de mogelijkheid om het internet te doorzoeken op basis van trefwoorden.

Het is belangrijk om te begrijpen dat niet elk bedrijf dat digitale diensten levert automatisch een DSP is in de zin van de richtlijn. De definitie is bewust beperkt gehouden tot deze drie categorieen vanwege hun strategische belang voor het functioneren van de digitale economie en de potentiele impact bij uitval of compromittering.

Cybersecurityverplichtingen voor DSP's

EU-lidstaten moeten garanderen dat DSP's passende en evenredige technische en organisatorische maatregelen nemen om de risico's voor hun diensten te beheersen. Deze maatregelen moeten gericht zijn op het waarborgen van de integriteit, beschikbaarheid en vertrouwelijkheid van de diensten die zij aanbieden. DSP's moeten daarnaast maatregelen nemen om de impact van beveiligingsincidenten te minimaliseren en de continuiteit van hun dienstverlening te garanderen.

Bij een incident met substantiele impact op de dienstverlening moet de DSP dit zonder onnodige vertraging melden bij de bevoegde autoriteit. De melding moet voldoende informatie bevatten om de autoriteit in staat te stellen te bepalen of het incident grensoverschrijdende gevolgen heeft. Dit meldingssysteem zorgt voor transparantie en maakt gecoordineerde respons op grote incidenten mogelijk.

Light-touch regulering

DSP's vallen onder een zogenaamd light-touch reguleringsregime. Dit betekent dat zij onder de jurisdictie van een enkele lidstaat vallen voor de hele EU en niet onderworpen zijn aan voorafgaande toezichtmaatregelen. De bevoegde autoriteit kan pas ingrijpen wanneer er bewijs is dat een DSP niet aan de vereisten voldoet. Dit staat in contrast met de striktere regelgeving voor aanbieders van essentiële diensten, die wel proactief worden gecontroleerd.

Deze light-touch benadering is gekozen omdat DSP's internationale diensten leveren die moeilijk per land te reguleren zijn. Door hen onder een enkele jurisdictie te laten vallen, wordt fragmentatie voorkomen en kunnen zij consistent worden beoordeeld. Tegelijkertijd zorgt deze aanpak ervoor dat de administratieve lasten voor DSP's beheersbaar blijven, met name voor kleinere aanbieders.

Vrijstelling voor kleine ondernemingen

Micro- en kleine ondernemingen zijn uitgezonderd van de DSP-verplichtingen onder de NIS-richtlijn. Dit betreft ondernemingen met minder dan 50 werknemers en een jaaromzet of balanstotaal van minder dan 10 miljoen euro. Deze vrijstelling erkent dat de beveiligingseisen een onevenredige belasting zouden vormen voor kleinere bedrijven die weliswaar digitale diensten aanbieden, maar niet de schaal hebben die een significant systeemrisico vormt.

Let op dat deze vrijstelling niet betekent dat kleine ondernemingen geen aandacht hoeven te besteden aan cybersecurity. De vrijstelling betreft uitsluitend de formele verplichtingen onder de NIS-richtlijn. Goede informatiebeveiliging blijft voor elke organisatie essentieel, ongeacht de omvang. Klanten en partners verwachten dat je hun gegevens veilig behandelt, ongeacht of je wettelijk verplicht bent om aan specifieke standaarden te voldoen.

Van NIS naar NIS2

De oorspronkelijke NIS-richtlijn uit 2016 is inmiddels vervangen door de NIS2-richtlijn, die aanzienlijk strengere eisen stelt en een breder toepassingsgebied heeft. Onder NIS2 is het onderscheid tussen DSP's en aanbieders van essentiële diensten vervangen door een indeling in essentiële en belangrijke entiteiten. Meer sectoren en meer organisaties vallen nu onder de regelgeving, en de beveiligingseisen zijn aangescherpt.

Voor organisaties die voorheen als DSP werden geclassificeerd, betekent NIS2 doorgaans dat zij nu als belangrijke entiteit worden aangemerkt. De verplichtingen zijn uitgebreider dan onder het oude light-touch regime. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld voor het niet naleven van de NIS2-vereisten. Dit maakt het des te belangrijker om tijdig te voldoen aan de nieuwe regelgeving.

Praktische implicaties voor DSP's

Als je organisatie digitale diensten levert die onder de DSP-classificatie vallen, moet je een aantal concrete stappen ondernemen. Begin met een risicobeoordeling van je dienstverlening en identificeer de belangrijkste dreigingen en kwetsbaarheden. Implementeer technische maatregelen zoals encryptie, toegangscontrole en monitoring. Stel een incidentresponsplan op zodat je snel en adequaat kunt reageren op beveiligingsincidenten. Zorg dat je meldprocedures op orde zijn voor het rapporteren van significante incidenten aan de bevoegde autoriteiten.

Het is verstandig om je beveiligingsmaatregelen te laten toetsen aan erkende standaarden zoals ISO 27001. Dit geeft je niet alleen een gestructureerd kader voor je beveiligingsaanpak, maar helpt ook bij het aantonen van compliance richting toezichthouders en klanten. Op IBgidsNL vind je aanbieders die je kunnen helpen bij het opzetten en onderhouden van een compliant beveiligingsframework.

FAQ

Wat is het verschil tussen een DSP en een aanbieder van essentiële diensten?

Aanbieders van essentiële diensten opereren in vitale sectoren zoals energie, transport en gezondheidszorg en zijn onderworpen aan proactief toezicht. DSP's leveren digitale diensten zoals cloud, marktplaatsen en zoekmachines en vallen onder een lichter reguleringsregime met toezicht achteraf.

Valt mijn SaaS-bedrijf onder de DSP-classificatie?

Dat hangt af van het type dienst dat je levert. Als je cloudservices, een online marktplaats of een zoekmachine aanbiedt en je hebt meer dan 50 werknemers of meer dan 10 miljoen euro omzet, val je waarschijnlijk onder de DSP-verplichtingen. Onder NIS2 is het toepassingsgebied breder geworden.

Welke boetes riskeer ik als DSP bij het niet naleven van de NIS-verplichtingen?

Onder NIS2 kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor belangrijke entiteiten. Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld. De exacte boetebedragen verschillen per lidstaat.

Moet ik als DSP elk beveiligingsincident melden?

Nee, alleen incidenten met een substantiele impact op de dienstverlening moeten gemeld worden bij de bevoegde autoriteit. De criteria voor wat als substantieel geldt zijn vastgelegd in de richtlijn en omvatten onder meer het aantal getroffen gebruikers, de duur van het incident en de geografische spreiding.

Hoe bereid ik mij als DSP voor op NIS2?

Start met een gap-analyse tussen je huidige beveiligingsniveau en de NIS2-vereisten. Implementeer een risicobeheersysteem, stel een incidentresponsplan op en zorg voor supply chain-beveiliging. Train je medewerkers en zorg dat je bestuur aantoonbaar betrokken is bij cybersecuritybeslissingen. Overweeg daarnaast om een extern audit te laten uitvoeren door een gespecialiseerde partij die ervaring heeft met NIS2-compliance trajecten.

Geldt de DSP-classificatie ook voor non-profit organisaties?

Ja, de NIS-richtlijn maakt geen onderscheid op basis van het al dan niet commerciele karakter van een organisatie. Als je een digitale dienst aanbiedt die valt onder de drie DSP-categorieen en je voldoet aan de omvangcriteria, dan gelden de verplichtingen ongeacht of je een commercieel bedrijf, stichting of overheidsinstelling bent. De bepalende factor is het type dienst en de omvang van je organisatie, niet je rechtsvorm of winstoogmerk.