Cybersecurity eind 2018 ook wettelijk verplicht

Met de Wet beveiliging netwerk- en informatiesystemen (Wbni) wordt de Europese Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn) omgezet in een nationale wet. Deze nieuwe wet treedt eind 2018 in werking en regelt voor digitale dienstverleners (DSP) en aanbieders van essentiële diensten (AED) een meldplicht voor ICT-incidenten bij de overheid. Ook moeten deze twee typen organisaties maatregelen treffen ten aanzien van de beveiliging van hun ICT-systemen (zorgplicht).

De NIB-richtlijn spoort Europese lidstaten aan de digitale weerbaarheid te vergroten en beter met elkaar samen te werken. Dat doen lidstaten door in nationale wetgeving verplichtingen ten aanzien van cybersecurity en continuïteit van dienstverlening op te nemen. De huidige Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) wordt in de Wbni opgenomen. De verplichtingen die voortvloeien uit de Wgmc blijven daarmee ongewijzigd.

Voor wie geldt de Wet beveiliging Netwerk- en informatiesystemen?

De Wbni geldt voor aanbieders van essentiële diensten (AED), zoals drinkwaterbedrijven, energiebedrijven en banken. En voor digitale dienstverleners (DSP)*, zoals aanbieders van onlinemarktplaatsen, onlinezoekmachines en cloudcomputer diensten. Wanneer het verantwoordelijke ministerie een organisatie aanwijst als AED, dan ontvangt deze organisatie hierover vóór 9 november 2018 bericht. De Wbni bevat ook verplichtingen voor vitale aanbieders die niet onder de NIB-richtlijn vallen. Die verplichtingen komen overeen met die uit de Wgmc.

Wat wordt er van u verwacht?

De AED’s en DSP’s hebben de verplichting om te zorgen voor technische en organisatorische maatregelen om ICT-risico’s te beheersen, incidenten te voorkomen en de gevolgen van incidenten te beperken. Daarnaast vereist de Wbni voor AED’s en DSP’s een dubbele meldplicht hebben voor incidenten met aanzienlijke gevolgen voor de continuïteit van de dienstverlening. AED’s dienen deze te melden bij de Nationaal Cyber Security Centrum en de relevante toezichthouder. DSP’s dienen deze te melden bij CSIRT voor digitale diensten en bij de toezichthouder.

Meer weten?

Onze cybersecurity specialisten kunnen voor u nagaan of uw organisatie moet voldoen aan de Wbni. Indien het antwoord ‘ja’ is, kunnen wij een cybersecurity assessment uitvoeren om vast te stellen in hoeverre uw cybersecurity maatregelen aansluiten bij een goede zorgplicht. Zo krijgt u zicht op waar uw organisatie staat op dit dossier en bepalen wij samen met u welke eventuele aanvullende maatregelen (wettelijk gezien) nodig zijn.

Neem contact op met Wesley de Koster.

* Digitale service providers zijn organisaties met meer dan 50 medewerkers of €10 miljoen omzet, die diensten aanbieden waarbij IT-middelen worden gebruikt door meer dan één organisatie.

Dit bericht is meer dan zes maanden geleden gepubliceerd. Omdat wet- en regelgeving continu in beweging is, raden wij u aan met uw Baker Tilly adviseur te bespreken of de informatie in dit bericht actueel is en gevolgen heeft (of mogelijkheden biedt) voor uw situatie. Uw adviseur praat u graag bij over de laatste stand van zaken.