De Wet Beveiliging Netwerk- en Informatiesystemen (Wbni; de nieuwe cybersecuritywet) is vanaf 9 nvember 2018 van kracht. Waarom is deze wet er? Wat staat erin? En voor wie gaat die gelden en wat gaat die voor hen betekenen? In dit artikel wordt op deze vragen en de hoofdlijnen van de nieuwe wet ingegaan.

Waarom is deze wet er?
De  Europese Netwerk- en InformatieBeveiliging (NIB)-richtlijn heeft als doel om in de gehele EU alle belangrijke voorzieningen zoals energie, zorg en drinkwater voldoende te beschermen tegen cyberaanvallen. Deze NIB-richtlijn is nu in Nederlandse wetgeving via de Wbni omgezet. De Wet Gegevensverwerking en Meldplicht Cybersecurity (WGMC) zal tevens opgaan in de nieuwe Cybersecuritywet.

Wat staat er in?
De Cybersecuritywet is complex en lastig leesbaar; onder andere door de verschillende terminologie. Onderstaand schema geeft inzicht en een overzicht van de belangrijkste zaken.

Wie moeten aan de Wbni voldoen?
Alle organisaties die door de Minister van J&V als ‘vitaal’ worden aangewezen. Dit zal uiterlijk per 9 november 2018 duidelijk zijn. Welke organisaties zullen dat zijn? Logischerwijs in ieder geval  de organisaties die nu reeds als vitaal zijn aangewezen onder de WGMC. De NIB-richtlijn heeft echter een veel bredere scope en andere definities. Bijvoorbeeld: centraal bij een cyberincident staat dat het niet alleen gaat om de gevolgen voor de continuïteit, maar ook om integriteit, authenticiteit en vertrouwelijkheid. Het ligt daarom voor de hand dat aan de lijst van “vitaal” ook andere organisaties worden toegevoegd en daarmee onder de scope van de cybersecuritywet komen te vallen.

Een bijzondere categorie betreft die van de Digital Service Providers (DSP). Deze worden niet afzonderlijk aangewezen. De wet is dus van toepassing op alle bedrijven die binnen de definitie van de wet vallen. Binnen deze categorie worden drie typen DSP’s gedefinieerd: online marktplaatsen, zoekmachines en cloudcomputerdiensten.

Waar moeten de aangewezen organisaties aan voldoen?
Organisaties moeten ervoor zorgen dat hun informatiebeveiliging op orde is ; door “passende technische en organisatorische maatregelen”. Wat dat voor bedrijven betekent zal deels per sector bepaald worden. Een aantal sectoren heeft hiervoor al een eigen normenkader (formeel of informeel) beschikbaar.
In alle gevallen begint het met een risico analyse en op basis daarvan maatregelen nemen ter voorkoming van incidenten. De bedoeling is daarbij aan te sluiten bij internationale normenkaders. Denk hierbij vooral aan ISO 27001 en 27002 en vergelijkbare normen.

Daarnaast geldt er, in het geval van een ernstig cyberincident, voor alle organisaties een meldplicht. Voor essentiële organisaties geldt een dubbele meldplicht: zowel bij het NCSC als bij de toezichthouder. Digitale Service Providers  krijgen ook een dubbele meldplicht: zowel bij de toezichthouder (Agentschap Telecom) en een nog op te richten of aan te wijzen CSIRT DSP’s (Cybersecurity Incident Responseteam).

Wie gaat er op toezien?
Dat zijn meerdere toezichthouders:

  • Agentschap Telecom wordt de toezichthouder voor de energiesector, de internetinfrastructuur en de DSP’s;
  • DNB voor de financiële markt en het bankwezen;
  • Inspectie Gezondheidszorg voor de zorg;
  • de toezichthouder voor drinkwater en transport moet nog worden bepaald. Waarschijnlijk wordt dat de Inspectie Leefomgeving en Transport.

Toezichthouders hebben verschillende instrumenten om de naleving af te dwingen, zoals last onder dwangsom en boetes.

Voor meer details of informatie, neem contact op met DIGITALconfidence. Als direct betrokkene bij de implementatie van de Wbni, kunnen we u optimaal informeren.

Voor meer informatiek kijk op de website van Agentschap Telecom.
Volg de link voor de Cybersecuritywet en voor de Memorie van Toelichting