De Wet beveiliging netwerk- en informatiesystemen (Wbni) is 9 november in werking getreden (voorheen Cybersecuritywet genoemd). Doel? De samenwerking tussen lidstaten verbeteren, de digitale weerbaarheid vergroten en de gevolgen van cyberincidenten verkleinen. Doelgroep? Aanbieders van essentiële diensten én digitale dienstverleners. Wellicht moet u er dus ook aan voldoen.

Waarom deze wet?

De wet is de Nederlandse implementatie van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn). De Nib-richtlijn moet meer eenheid brengen in het beleid van de lidstaten rondom netwerk- en informatiebeveiliging. Daarnaast is het de bedoeling dat informatie rondom (grensoverschrijdende) incidenten beter gedeeld wordt.

Wat houdt de wet in?

De Wbni moet ervoor zorgen dat Nederland digitaal weerbaarder wordt. Als aanbieders van essentiële diensten en digitale dienstverleners worden gehackt of hun systemen uitvallen, dan kan dat grote gevolgen hebben voor burgers en bedrijven.

Deze gevolgen en vooral ook de kans erop moeten beperkt worden. Door strenge beveiligingsmaatregelen en een meldplicht. De nieuwe wet verplicht beiden.

Voor wie geldt de wet?

De wet geldt ten eerste voor aanbieders van essentiële diensten (AED’s) uit onder andere de energie-, de financiële en vervoerssector. De tweede groep zijn digitale dienstverleners (DSP’s), waaronder online marktplaatsen, online zoekmachines en clouddiensten.

Digitale dienstverlener?

Partijen die een digitale dienst aanbieden, kunnen vanaf een bepaalde omvang onder de Wbni vallen. Voor digitale dienstverleners die diensten aanbieden in meerdere EU-lidstaten is het tevens goed om na te gaan onder welke jurisdictie de onderneming komt te vallen.

Maar geldt de Wbni nu voor u?!

Wilt u nagaan of uw onderneming een digitale dienstverlener is en onder de Wbni valt? Bekijk dan het stroomschema in het document van het Ministerie van Economische Zaken en Klimaat over de Wbni voor digitale dienstverleners voor de criteria (onderdeel 2).

Wbni legt op: strenge beveiligingsmaatregelen

De beveiligingsmaatregelen van de digitale dienstverlener hebben betrekking op:

  1. de beveiliging van systemen en voorzieningen;

  2. behandeling van incidenten;

  3. beheer van de bedrijfscontinuïteit;

  4. toezicht (monitoring), controle (auditing) en testen;

  5. inachtneming van de internationale normen.

Deze vijf beveiligingsmaatregelen zijn nader uitgewerkt in artikel 2 van de uitvoeringsverordening (EU) 2018/151.

Wbni legt op: meldplicht

Ondernemingen die onder de Wbni vallen, moeten incidenten direct melden. Digitale dienstverleners (DSP’s) melden een incident bij de toezichthouder Agentschap Telecom en het Computer Security Incident Response Team (CSIRT). De meldplicht bij het CSIRT voor DSP’s treedt op 1 januari 2019 in werking.

Wanneer is dan sprake van een incident?

Op grond van de Nib-richtlijn is een incident “elke gebeurtenis met een schadelijk effect op de beveiliging van netwerk- en informatiesystemen”. De meldplicht geldt niet voor elk incident. Een incident moet aanzienlijke gevolgen hebben voor de dienstverlening.

Om te bepalen of een incident moet worden gemeld, gebruikt u het stroomschema in het document van het Ministerie van Economische Zaken en Klimaat over de Wbni voor digitale dienstverleners (onderdeel 3).

Overlap met de AVG

De zorgplicht van de ondernemingen die vallen onder de Wbni komt sterk overeen met de verantwoordingsplicht die op grond van de AVG geldt.

De zorgplicht van de Wbni houdt in dat digitale dienstverleners passende en evenredige technische en organisatorische maatregelen moeten nemen. Hiermee dienen ze de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen.

De Wbni geldt echter niet alleen voor de verwerking van persoonsgegevens en daarin zit het belangrijkste verschil met de AVG.

Gevolgen voor digitale dienstverleners

Digitale dienstverleners hebben als het goed is alles in orde op het gebied van de AVG. Daardoor zal het ze minder moeite kosten om ook aan deze wet te voldoen.

De te treffen maatregelen gaan echter verder dan persoonsgegevens alleen. Daarnaast heeft u nu ook een meldplicht voor incidenten die de persoonsgegevens niet raken.

Het is dan ook zaak om te achterhalen of u onder de Wbni valt en welke extra maatregelen u hiervoor moet treffen.

Hulp nodig?

Wilt u weten of uw organisatie voldoet aan de Wbni? Of heeft u advies nodig om hieraan te kunnen voldoen? Onze ICT-juristen kunnen de juridische beoordeling voor uw organisatie doen. Neem vandaag nog contact op met een van onze ICT-juristen via 010 2290 646 en wij gaan voor u aan de slag.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.