De OPTA neemt de stok ter hand om de Nederlandse isp's ertoe te bewegen om onderling te komen tot nadere invulling van de zorgplicht, zoals geformuleerd in artikel 11.3 van de Telecomwet.

De branche moet snel komen met een veiligheidskeurmerk en de strijd tegen botnets opvoeren, onder meer door besmette abonnees in quarantaine te zetten. Dat verordonneerde Danyel Molenaar, bij de OPTA belast met internetveiligheid, woensdag op een debatbijeenkomst in Den Haag, georganiseerd door ECP.nl.

"Vóór de zomer moet dit tot concrete en structurele resultaten leiden, anders is het klaar. Dan zullen andere juridische middelen worden ingezet en zullen we de staatssecretaris verzoeken tot nadere wetgeving. Ik zie geen andere mogelijkheden meer", aldus Molenaar. Het gaat daarbij in eerste instantie om het organiseren van deze zelfregulering. De providers krijgen van de OPTA nog tot het eind van dit jaar om ook de technische aspecten te implementeren.

Heemskerk: Noemen, roemen en verdoemen

Ondanks de ferme taal heeft zelfregulering nog steeds de expliciete voorkeur van zowel de OPTA als staatssecretaris Frank Heemskerk van Economische Zaken. Heemskerk, die de bijeenkomst opende, vroeg het nog maar eens beleefd aan de providers: "Kunt en wilt u de maatregelen uit artikel 11.3 Telecommunicatiewet via zelfregulering treffen?"

EZ schuwt tot nog toe nadere wet- en regelgeving, omdat zelfregulering een groter draagvlak genereert, flexibeler en sneller op ontwikkelingen kan inspelen en administratieve lasten drukt, zo verklaarde Heemskerk. Maar de branche moet zichzelf wel kunnen reinigen en 'de cowboys keihard aanpakken'. "Ik weet niet of ik dit van het kabinet mag zeggen, maar we moeten naar een systeem van noemen, roemen en verdoemen."

De OPTA dringt sinds vorig jaar aan op concrete invulling van de zorgplicht voor isp's, maar zag na een half jaar van 'marktconsultatie' toch af van verdere maatregelen, tot groot chagrijn van de Consumentenbond. De OPTA komt nu dus alsnog met 'harde deadlines', omdat de sector nog 'onvoldoende beweegt'.

Koplopers en rotte appels

Een aantal isp's, zoals XS4All, heeft de benodigde veiligheidsmaatregelen al getroffen. Maar dat blijkt een selecte groep van koplopers te zijn. Want aan de andere kant van het spectrum zitten zo'n honderd 'rotte appels', zo schatten aanwezige security-experts. En de verschillen zijn significant.

Overheidsbeveiliger Govcert constateert namelijk verschillen van een factor duizend in het aantal geautomatiseerde aanvallen in de afzonderlijke netwerken van de Nederlandse isp's. Dat meldde Douwe Leguit van Govcert. De organisatie maakt voor deze metingen onder meer gebruik van 'lokcomputers', honeypots genoemd. Namen van onderpresterende providers mocht Leguit echter niet noemen.

'Kansloze exercitie'

De Consumentenbond trok ouderwets van leer tegen de 'ongeorganiseerde' isp-branche die 'hun verantwoordelijkheid niet neemt'. Negentig procent van de consumenten verlangt 'ingebakken veiligheid', zo weet de bond uit eigen onderzoek, en omdat de sector het zelf niet doet, moet de overheid ingrijpen.

Maurice Wessling van de Consumentenbond: "De sector heeft niet eens een branchevereniging, dan wordt dat hele keurmerkenverhaal natuurlijk ook een kansloze exercitie. [...] Alle tekenen wijzen erop dat het schip strandt."

De bond vindt een keurmerk überhaupt niks, omdat de branche toch niet streng zal optreden tegen collega-klaplopers en 'een mooi glimmend zegel vooral dient om het imago op te poetsen'. Wessling: "Ik zeg altijd maar zo: seals belong in the zoo."

Onder de providers zijn er ook sceptici met weinig fiducie in zelfreguleringsplannen. Zo stelde een vertegenwoordiger van @Home cryptisch: "Ik denk dat we ons over een aantal maanden zullen afvragen welk probleem er uiteindelijk is opgelost."

Maar andere zelfbenoemde koplopers gaan enthousiast aan de slag. Vandaag al staat een eerste vergadering met een aantal isp's gepland over het veiligheidskeurmerk. Ook de rotte appels zijn van harte uitgenodigd.