De Wet Beveiliging Netwerk- en Informatiesystemen, een redder in nood voor onze digitale veiligheid?

We kunnen er niet meer omheen; digitale dreigingen nemen in hoog tempo toe. Niet alleen overheidsinstellingen zijn hier het doelwit van, maar ook particuliere bedrijven en het individu zoals jij en ik. Om Nederland digitaal een stuk veiliger te maken zal eind dit jaar de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) in werking treden. In de volksmond ook wel de Cybersecuritywet. Op het eerste gezicht een goed initiatief, maar wat nog moet blijken is of deze nieuwe wet is opgewassen tegen het duistere werk van cybercriminelen. Eerst zien, dan geloven.

Een gezamenlijk schild tegen digitale dreigingen

De Wbni is de Nederlandse vertaalslag van de Europese Netwerk en Informatieveiligheid richtlijn (NIB-richtlijn). Zoals de naam al zegt, wordt met deze wetgeving beoogd de digitale veiligheid én weerbaarheid in Europa te vergroten. De NIB-richtlijn spoort lidstaten aan om een gezamenlijk schild te vormen tegen digitale dreigingen, de gevolgen van cyberincidenten te verkleinen en daarbij beter samen te werken. Concreet betekent dit dat landen worden aangespoord om de NIB-richtlijn om te zetten in nationale wetgeving, hetgeen in Nederland heeft geresulteerd in de Wbni.

Een zorgplicht én dubbele meldplicht

De Wbni zal zich gaan richten op drie typen organisaties. Kort gezegd dienen deze organisaties op basis van de Wbni passende technische en organisatorische maatregelen te treffen op basis van een gedegen risicoafweging, waarbij er een zorg- én meldplicht is gecreëerd voor incidenten met aanzienlijke gevolgen voor de continuïteit van de dienstverlening. Deze zorgplicht houdt in dat organisaties maatregelen treffen om ICT-risico’s te beheersen, incidenten te voorkomen en de gevolgen van incidenten te beperken. Het Agentschap Telecom gaat hier toezicht op houden. De meldplicht betekent dat incidenten met aanzienlijke gevolgen voor de continuïteit van de dienstverlening gemeld moeten worden bij het Nederlands Cyber Security Centrum (NCSC) of het Computer Security Incident Response Team (CSIRT), afhankelijk van welk type organisatie het is. Daarnaast dienen incidenten gemeld te worden bij de aangewezen toezichthouder. Is er sprake van een incident, maar wordt er niet gemeld? Dan riskeert de organisatie dat het Agentschap Telecom handhavend zal op treden met bindende maatregelen of een forse boete.

Aanbieders van essentiële diensten

De Wbni richt zich om te beginnen op aanbieders van bepaalde diensten die onmisbaar zijn voor kritieke economische en maatschappelijke activiteiten binnen onze samenleving. In de NIB-richtlijn worden dit aanbieders van essentiële diensten genoemd (AED’s). Je kan daarbij denken aan energiebedrijven, banken en de gezondheidszorg. Essentiele diensten zijn vandaag de dag dermate afhankelijk van netwerk- en informatiesystemen, dat verstoring hiervan kan leiden tot ernstige maatschappelijke ontwrichting. Het is dus van groot belang dat deze systemen betrouwbaar en goed beveiligd zijn. Vandaar dat de zorgplicht op hen rust en dienen zij incidenten te melden bij het NCSC en Agentschap Telecom. Kortom, een dubbele meldplicht. Aanbieders van essentiële diensten zullen worden aangewezen door de overheid. De meldplicht zal dan ook pas vanaf het moment van aanwijzing gelden. Wanneer AED’s zijn aangewezen, heeft het Agentschap Telecom als toezichthouder vervolgens de bevoegdheid een beveiligingsaudit uit te voeren bij de desbetreffende organisatie of deze te verplichten zelf een audit uit te laten voeren.

Vitale aanbieders

Daarnaast bestaan er in ons land aanbieders van diensten die cruciaal zijn voor de instandhouding van de Nederlandse infrastructuur, maar die in de Europese NIB-richtlijn niet gedefinieerd zijn als essentiële dienst. Dit zijn vitale aanbieders. Hierbij kan gedacht worden aan de waterkeringen, die voor het laaggelegen Nederland in het bijzonder van vitaal belang zijn en ons beschermen tegen overstromingen. Deze vitale aanbieders zijn reeds opgenomen in de huidige Wet gegevensverwerking en meldplicht cybersecurity (Wgmc), die zal worden opgenomen in de Wbni. Gevolg hiervan is dat de verplichtingen uit de Wgmc zullen blijven gelden voor vitale aanbieders die niet onder de NIB-richtlijn vallen. Het komt erop neer dat er voor vitale aanbieders enkel een meldplicht bij het NCSC zal bestaan.

Digitale dienstverleners

En zeker niet te vergeten, de digitale dienstverleners (DSP). Dit zijn aanbieders van onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten. Op hen rust ook de zorgplicht uit de Wbni en de dubbele meldplicht, bij zowel het CSIRT én het Agentschap Telecom. Voor digitale dienstverleners zal de meldplicht gaan gelden wanneer de Wbni in werking treedt. In tegenstelling tot AED’s zullen DSP’s niet worden aangewezen door de overheid, maar moeten zij zelf inschatten of zij dit zijn. Let dus goed op of jouw organisatie kan worden aangemerkt als een digitale dienstverlener, want dan ben je verplicht je te houden aan de verplichtingen uit de Wbni.

Wat heeft dit voor jouw organisatie te betekenen?

Het lijkt allemaal zo vanzelfsprekend: veilig het land door reizen met de trein, je smartphone opladen in een stopcontact en water uit de kraan. Maar deze systemen zijn kwetsbaar en door digitale aanvallen kunnen zowel de vertrouwelijkheid, integriteit als de beschikbaarheid van de systemen negatief worden beïnvloed. Vandaar dat de Wbni verplichtingen schept die van groot belang zijn voor onze digitale veiligheid en wellicht ook voor jouw organisatie gelden. Met een duidelijk inzicht in deze risico’s kan jouw organisatie passende technische en organisatorische maatregelen treffen om de systemen zo goed mogelijk te beveiligen en ICT-incidenten te voorkomen.

Meer informatie

Strict kan jouw organisatie daar de helpende hand bij bieden. Wil je hier meer over weten? Laat dan hieronder je gegevens achter!