De nieuwe cybersecuritywet is 15 februari 2018 naar de Tweede Kamer gestuurd. Waarom is deze wet er? Wat staat erin? En voor wie gaat die gelden en wat gaat die voor hen betekenen? In dit artikel wordt op deze vragen en de hoofdlijnen van de nieuwe wet ingegaan.

Waarom is deze wet er?
De  Europese Netwerk- en InformatieBeveiliging (NIB)-richtlijn heeft als doel om in de gehele EU alle belangrijke voorzieningen zoals energie, zorg en drinkwater voldoende te beschermen tegen cyberaanvallen. Deze NIB-richtlijn is nu in Nederlandse wetgeving via de Cybersecuritywet omgezet. Deze wet wordt naar verwachting medio 2018 van kracht.  Saillant punt is dat de onlangs per 1 januari 2018 van kracht geworden Wet Gegevensverwerking en Meldplicht Cybersecurity (WGMC) zal opgaan in de nieuwe Cybersecuritywet. De scope is namelijk breder.

Wat staat er in?
De Cybersecuritywet is complex en lastig leesbaar; onder andere door de verschillende terminologie. Onderstaand schema geeft inzicht en een overzicht van de belangrijkste zaken.

Wie moeten aan de nieuwe cybersecuritywet voldoen?
Alle organisaties die door de Minister van J&V als ‘vitaal’ worden aangewezen. Dit zal uiterlijk per 9 november 2018 duidelijk zijn. Welke organisaties zullen dat zijn? Logischerwijs in ieder geval  de organisaties die nu reeds als vitaal zijn aangewezen onder de WGMC. De NIB-richtlijn heeft echter een veel bredere scope en andere definities. Bijvoorbeeld: centraal bij een cyberincident staat dat het niet alleen gaat om de gevolgen voor de continuïteit, maar ook om integriteit, authenticiteit en vertrouwelijkheid. Het ligt daarom voor de hand dat aan de lijst van “vitaal” ook andere organisaties worden toegevoegd en daarmee onder de scope van de cybersecuritywet komen te vallen.

Een bijzondere categorie betreft die van de Digital Service Providers (DSP). Deze worden niet afzonderlijk aangewezen. De wet is dus van toepassing op alle bedrijven die binnen de definitie van de wet vallen. Binnen deze categorie worden drie typen DSP’s gedefinieerd: online marktplaatsen, zoekmachines en cloudcomputerdiensten. In een volgend artikel zal dieper worden ingegaan op de grote diversiteit van bedrijven die hieronder valt. Ook zal worden ingegaan op de consequenties die de wet voor hen heeft.

Waar moeten de aangewezen organisaties aan voldoen?

Organisaties moeten ervoor zorgen dat hun informatiebeveiliging op orde is ; door “passende technische en organisatorische maatregelen”. Wat dat voor bedrijven betekent zal deels per sector bepaald worden. Een aantal sectoren heeft hiervoor al een eigen normenkader (formeel of informeel) beschikbaar. Daarover in een volgend artikel meer.

Daarnaast geldt er, in het geval van een ernstig cyberincident, voor alle organisaties een meldplicht. Voor essentiële organisaties geldt een dubbele meldplicht: zowel bij het NCSC als bij de toezichthouder. Digitale Service Providers  krijgen ook een dubbele meldplicht: zowel bij de toezichthouder (Agentschap Telecom) en een nog op te richten of aan te wijzen CSIRT (Cybersecurity Incident Responseteam).

Wie gaat er op toezien?
Dat zijn meerdere toezichthouders:

  • Agentschap Telecom wordt de toezichthouder voor de energiesector, de internetinfrastructuur en de DSP’s;
  • DNB voor de financiële markt en het bankwezen;
  • Inspectie Gezondheidszorg voor de zorg;
  • de toezichthouder voor drinkwater en transport moet nog worden bepaald. Waarschijnlijk wordt dat de Inspectie Leefomgeving en Transport.

Toezichthouders hebben verschillende instrumenten om de naleving af te dwingen, zoals last onder dwangsom en boetes.

Tot zover een inkijkje in de nieuwe cybersecuritywet! Voor meer details of informatie lees ons volgende artikel of neem contact op met DIGITALconfidence.
www.DIGITALconfidence.nl

Volg de link voor de Cybersecuritywet en voor de Memorie van Toelichting