De Wet beveiliging netwerk- en informatiesystemen (Wbni), in de volksmond de Cybersecuritywet, heeft tot doel Nederland digitaal veiliger te maken. Deze Cybersecuritywet vindt haar basis in de Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn) van de Europese Unie. Deze richtlijn moet de lidstaten aansporen hun digitale weerbaarheid te vergroten en beter met elkaar samen te werken.
Rondom deze aankomende Wet beveiliging netwerk- en informatiesystemen bestaan nog veel vragen en onzekerheden voor bedrijven. Maar, één ding is wel zeker, de wet komt en zal snel van toepassing zijn. Op de dag dat de wet in werking treedt moeten bedrijven aantoonbaar voldoen aan de eisen uit de wet. Er zijn verschillende redenen waarom je als organisatie nu al moet gaan nadenken over deze nieuwe Cybersecuritywet.
In een tweeluik zullen wij aandacht besteden aan deze nieuwe wetgeving. In het eerste deel gaan we in op de vraag voor wie deze wetgeving nu eigenlijk geldt en welk niveau van beveiliging wordt voorgeschreven. In deel twee gaan we dieper in op de meldplichten die ontstaan met de wetgeving.
Is het wel relevant voor onze organisatie?
Allereerst zal je moeten vaststellen of jouw organisatie valt onder één van de definities waarvoor de nieuwe wet geldt. Dit bepaald immers of jouw organisatie valt onder kring van organisaties waar de Cybersecuritywet voor bedoeld is. Als je onder de wet valt dan zal je moeten vaststellen of je huidige continuïteit- en beveiligingsmaatregelen voldoen aan de eisen. Alsof dat nog niet voldoende is, komt er een dubbele meldplicht die onder strikt toezicht staat van de overheid.
Ben ik een AED of DSP?
In de wet is een onderverdeling gemaakt tussen zogenaamde ‘Aanbieder van essentiële diensten’ (AED) en ‘Digitale dienstverleners’ (DSP). Ben je een organisatie binnen de sectoren energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater of digitale infrastructuur, dan kan je door de overheid worden aangewezen als AED. Denk hier bijvoorbeeld aan de beheerder van de .nl domeinnamen, of de grote internetknooppunten in Nederland.
Als onderneming kan je ook onder de wet vallen indien je een aanbieder bent van een online marktplaats, online zoekmachine en/of cloudcomputingdienst (IaaS, PaaS, SaaS). DSP’s worden echter niet aangewezen maar dienen zelf de afweging te maken of ze onder de definities vallen. Waardoor het risico ontstaat dat je als onderneming onbewust toch een DSP kan zijn en je onvoldoende maatregelen hebt getroffen en je uiteindelijk in aanraking kan komen met een sanctionerende toezichthouder.
Om dit te voorkomen, beoordeel je in drie stappen of je een DSP bent.
- Bepaal of het bedrijf een van bovenstaande diensten aanbiedt;
- Beoordeel of het bedrijf de hoofdvestiging in Nederland of een vertegenwoordiging heeft;
- Tot slot kijk je of er binnen het bedrijf meer dan 50 medewerkers in dienst zijn of dat het bedrijf een jaaromzet of balanstotaal heeft van meer dan 10 miljoen euro.
Voldoe je aan deze eisen dan ben je, op basis van de wetgeving, een DSP.
Hoe zit het met mijn beveiliging?
Zowel AED’s en DSP’s krijgen een zorgplicht voor de beveiliging van
hun netwerk- en informatiesysteem. De Cybersecuritywet formuleert dit in vrij algemene termen. De AED’s en DSP’s moeten volgens de wet ‘passende en evenredige technische en organisatorische maatregelen’ nemen om hun ICT adequaat te beveiligen tegen inbreuken van buitenaf. Deze eis zien we ook terug in de Algemene Verordening Gegevensbescherming (AVG) die voorschrijft dat de organisatie ‘technische en organisatorische maatregelen’ moet nemen om de persoonsgegevens te beschermen. Let wel, als je AVG-proof bent, betekent dat niet dat je ook automatisch voldoet aan de Cybersecuritywet. De AVG beperkt zich namelijk enkel tot persoonsgegevens terwijl de Cybersecuritywet veel verder gaat. Met de Cybersecuritywet dien je extra passende maatregelen te treffen om incidenten, zoals uitval, te voorkomen. Zodat in het geval een incident zich voordoet moeten de gevolgen daarvan zo veel mogelijk beperkt blijven.
De Cybersecuritywet richt zich in vergelijking met de AVG op het beschermen van de continuïteit van netwerken en informatiesystemen. Het is daarom van essentieel belang om aandacht te besteden aan Business Continuity Management (BCM). Dit houdt in dat je naast het voldoen aan de normenkaders voor informatiebeveiliging, zoals ISO27001/2, ISO22301 en BIR/BIG/BIWA, je de continuïteitseisen naar de praktijk vertaald. Effectief BCM vraagt om een duidelijk proces en concrete afspraken. Volgens Monica de Wit, vooraanstaand expert op het gebied van BCM, gaat het vooral om: oefenen, oefenen, oefenen! In haar blog ‘Cyber Crisis Management: een gezamenlijke verantwoordelijkheid’ legt ze uit waarom. ‘Oefenen is een investering die zich immers altijd terugbetaalt’, stelt Monica. Dus, begin vandaag al met het trainen van crisismanagementteams, het oefenen met het datalekprotocol en het uitvoeren van crisisoefeningen.
In ons volgende blog zetten we de nieuwe meldplichten uiteen.