De Wet Beveiliging Netwerk- en Informatiesystemen, een redder in nood voor onze digitale veiligheid?
door Strict op di 30 okt 2018
We kunnen er niet meer omheen; digitale dreigingen nemen in hoog tempo toe. Niet alleen overheidsinstellingen zijn hier het doelwit van, maar ook particuliere bedrijven en het individu zoals jij en ik. Om Nederland digitaal een stuk veiliger te maken zal eind dit jaar de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) in werking treden. In de volksmond ook wel de Cybersecuritywet. Op het eerste gezicht een goed initiatief, maar wat nog moet blijken is of deze nieuwe wet is opgewassen tegen het duistere werk van cybercriminelen. Eerst zien, dan geloven.
Een gezamenlijk schild tegen digitale dreigingen
De Wbni is de Nederlandse vertaalslag van de Europese Netwerk en Informatieveiligheid richtlijn (NIB-richtlijn). Zoals de naam al zegt, wordt met deze wetgeving beoogd de digitale veiligheid én weerbaarheid in Europa te vergroten. De NIB-richtlijn spoort lidstaten aan om een gezamenlijk schild te vormen tegen digitale dreigingen, de gevolgen van cyberincidenten te verkleinen en daarbij beter samen te werken. Concreet betekent dit dat landen worden aangespoord om de NIB-richtlijn om te zetten in nationale wetgeving, hetgeen in Nederland heeft geresulteerd in de Wbni.
Een zorgplicht én dubbele meldplicht
De Wbni zal zich gaan richten op drie typen organisaties. Kort gezegd dienen deze organisaties op basis van de Wbni passende technische en organisatorische maatregelen te treffen op basis van een gedegen risicoafweging, waarbij er een zorg- én meldplicht is gecreëerd voor incidenten met aanzienlijke gevolgen voor de continuïteit van de dienstverlening. Deze zorgplicht houdt in dat organisaties maatregelen treffen om ICT-risico’s te beheersen, incidenten te voorkomen en de gevolgen van incidenten te beperken. Het Agentschap Telecom gaat hier toezicht op houden. De meldplicht betekent dat incidenten met aanzienlijke gevolgen voor de continuïteit van de dienstverlening gemeld moeten worden bij het Nederlands Cyber Security Centrum (NCSC) of het Computer Security Incident Response Team (CSIRT), afhankelijk van welk type organisatie het is. Daarnaast dienen incidenten gemeld te worden bij de aangewezen toezichthouder. Is er sprake van een incident, maar wordt er niet gemeld? Dan riskeert de organisatie dat het Agentschap Telecom handhavend zal op treden met bindende maatregelen of een forse boete.
Aanbieders van essentiële diensten
De Wbni richt zich om te beginnen op aanbieders van bepaalde diensten die onmisbaar zijn voor kritieke economische en maatschappelijke activiteiten binnen onze samenleving. In de NIB-richtlijn worden dit aanbieders van essentiële diensten genoemd (AED’s). Je kan daarbij denken aan energiebedrijven, banken en de gezondheidszorg. Essentiele diensten zijn vandaag de dag dermate afhankelijk van netwerk- en informatiesystemen, dat verstoring hiervan kan leiden tot ernstige maatschappelijke ontwrichting. Het is dus van groot belang dat deze systemen betrouwbaar en goed beveiligd zijn. Vandaar dat de zorgplicht op hen rust en dienen zij incidenten te melden bij het NCSC en Agentschap Telecom. Kortom, een dubbele meldplicht. Aanbieders van essentiële diensten zullen worden aangewezen door de overheid. De meldplicht zal dan ook pas vanaf het moment van aanwijzing gelden. Wanneer AED’s zijn aangewezen, heeft het Agentschap Telecom als toezichthouder vervolgens de bevoegdheid een beveiligingsaudit uit te voeren bij de desbetreffende organisatie of deze te verplichten zelf een audit uit te laten voeren.
Vitale aanbieders
Daarnaast bestaan er in ons land aanbieders van diensten die cruciaal zijn voor de instandhouding van de Nederlandse infrastructuur, maar die in de Europese NIB-richtlijn niet gedefinieerd zijn als essentiële dienst. Dit zijn vitale aanbieders. Hierbij kan gedacht worden aan de waterkeringen, die voor het laaggelegen Nederland in het bijzonder van vitaal belang zijn en ons beschermen tegen overstromingen. Deze vitale aanbieders zijn reeds opgenomen in de huidige Wet gegevensverwerking en meldplicht cybersecurity (Wgmc), die zal worden opgenomen in de Wbni. Gevolg hiervan is dat de verplichtingen uit de Wgmc zullen blijven gelden voor vitale aanbieders die niet onder de NIB-richtlijn vallen. Het komt erop neer dat er voor vitale aanbieders enkel een meldplicht bij het NCSC zal bestaan.
Digitale dienstverleners
En zeker niet te vergeten, de digitale dienstverleners (DSP). Dit zijn aanbieders van onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten. Op hen rust ook de zorgplicht uit de Wbni en de dubbele meldplicht, bij zowel het CSIRT én het Agentschap Telecom. Voor digitale dienstverleners zal de meldplicht gaan gelden wanneer de Wbni in werking treedt. In tegenstelling tot AED’s zullen DSP’s niet worden aangewezen door de overheid, maar moeten zij zelf inschatten of zij dit zijn. Let dus goed op of jouw organisatie kan worden aangemerkt als een digitale dienstverlener, want dan ben je verplicht je te houden aan de verplichtingen uit de Wbni.
Wat heeft dit voor jouw organisatie te betekenen?
Het lijkt allemaal zo vanzelfsprekend: veilig het land door reizen met de trein, je smartphone opladen in een stopcontact en water uit de kraan. Maar deze systemen zijn kwetsbaar en door digitale aanvallen kunnen zowel de vertrouwelijkheid, integriteit als de beschikbaarheid van de systemen negatief worden beïnvloed. Vandaar dat de Wbni verplichtingen schept die van groot belang zijn voor onze digitale veiligheid en wellicht ook voor jouw organisatie gelden. Met een duidelijk inzicht in deze risico’s kan jouw organisatie passende technische en organisatorische maatregelen treffen om de systemen zo goed mogelijk te beveiligen en ICT-incidenten te voorkomen.
Meer informatie
Strict kan jouw organisatie daar de helpende hand bij bieden. Wil je hier meer over weten? Laat dan hieronder je gegevens achter!
- Technologie (134)
- Nieuws (70)
- 5G (67)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Klantcase (18)
- Webinar (18)
- Blog (16)
- Innovatie (13)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- AI (11)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- december 2024 (4)
- november 2024 (9)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (6)
- augustus 2018 (8)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- maart 2017 (9)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)