Artikel:

Wat betekent de recent ingevoerde Wet beveiliging netwerk- en informatiesystemen (Wbni) voor digitale dienstverleners?

03 juni 2019

Om de digitale weerbaarheid te vergroten is op 9 november 2018 de Wet beveiliging Netwerk- en Informatiesystemen in werking getreden (hierna: “Wbni”). Deze wet vindt haar oorsprong in de Europese Netwerk- en informatiebeveiligingsrichtlijn (NIB-richtlijn). De NIB-richtlijn verplicht alle EU-lidstaten om nationale wetgeving op te stellen in lijn met deze richtlijn. In Nederland is dat de Wbni geworden. Deze Wbni is van toepassing op aanbieders van essentiële diensten (AED’s) en op aanbieders van digitale diensten (hierna: “DSP’s” – Digital Service Providers).

Met de komst van de Wbni is een nieuwe meldplicht (naast de meldplicht datalekken) in het leven geroepen, namelijk de meldplicht voor het melden van cybersecurity incidenten. DSP’s moeten (impactvolle) cybersecurity incidenten melden bij het CSIRT-DSP. Daarnaast geldt een nieuwe zorgplicht voor DSP’s. Deze zorgplicht houdt kort gezegd in dat DSP’s verplicht zijn passende (technische) maatregelen te treffen om de digitale veiligheid te vergroten.

Waarom de Wbni?

Misschien vraagt u zich af waarom DSP’s ook aan de Wbni moeten voldoen. Het brengt immers veel regeldruk met zich mee. Deze keuze is gemaakt omdat veel bedrijven en consumenten afhankelijk zijn van deze digitale dienstverleners. Als DSP’s hun diensten niet meer kunnen leveren door een cybersecurity incident (bijvoorbeeld een hack), heeft dat impact op de maatschappij en dat wil de overheid zoveel mogelijk voorkomen.

Bent u een aanbieder van digitale diensten volgens de Wbni?

Niet iedere partij die een digitale dienst aanbiedt valt onder de Wbni. In dit factsheet leggen we uit welke ondernemingen digitale dienstverleners zijn zoals bedoeld in de Wbni.

Wettelijke verplichtingen: de zorg- en meldplicht

Wanneer u door de Wbni als DSP wordt beschouwd, moet minstens worden voldaan aan de zorg- en meldplicht.

Zorgplicht

De zorgplicht houdt in dat passende organisatorische en technische maatregelen genomen moeten worden, om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen en de gevolgen van incidenten te verkleinen. Kortom; organisaties die onder de Wbni vallen, dienen “best practices” te volgen op het gebied van digitale beveiliging. Steeds meer organisaties kiezen voor ISO 27001 (met de mogelijkheid tot certificering).

Meldplicht

De meldplicht houdt in dat cyber incidenten onverwijld gemeld moeten worden bij de toezichthouder Agentschap Telecom en tevens zo snel mogelijk bij het CSIRT (Computer Security Incident Respons Team) voor DSP’s. Beide organisaties zijn onderdeel van het Ministerie van Economische Zaken en Klimaat.

Niet ieder incident hoeft gemeld te worden. Volgens artikel 4 lid 7 van de NIB-richtlijn is een incident “elke gebeurtenis met een schadelijk effect op de beveiliging van netwerk- en informatiesystemen.” Er gelden bepaalde drempelwaarden om te bepalen of een incident moet worden gemeld, bijvoorbeeld een minimumaantal gebruikers dat door de verstoring van de dienst getroffen moet zijn. 

Mogelijkheden handhaving

Het Agentschap Telecom beschikt over de bevoegdheid om informatie op te vragen om te controleren of de digitale beveiliging van netwerk- en informatiesystemen op orde is. Met het oog op de handhaving beschikt het Agentschap Telecom over de mogelijkheid om bindende aanwijzingen geven waardoor organisaties binnen een redelijke termijn maatregelen moeten treffen. Ook beschikt het Agentschap Telecom over de mogelijkheid om bestuurlijke boetes op te leggen.

Meer informatie

Wilt u meer weten over hoe u aan de zorg- en meldplicht uit de Wbni kan voldoen? Twijfelt u of u als online cloud dienstverlener wordt gezien? Neem dan contact met ons op.