Waar kunnen we u mee helpen?

    Artikel

    Cybersecuritywet in werking getreden

    Op 9 november jl. is de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) ofwel de Cybersecuritywet in werking getreden. Deze wet dient ter implementatie van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (de NIB-Richtlijn) en heeft als doel de digitale weerbaarheid van lidstaten en de onderlinge samenwerking te verbeteren, zodat Europa digitaal veiliger wordt. De in 2017 ingevoerde Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) vervalt met de komst van de Cybersecuritywet.

    Kern van de nieuwe wet is uitbreiding van de al voor vitale aanbieders (zoals drinkwaterbedrijven, energiebedrijven en banken) bestaande meldplicht naar digitale dienstverleners en de introductie van een zorgplicht.

    Wie is een 'digitale dienstverlener'?

    Digitale dienstverleners zijn aanbieders van online marktplaatsen, online zoekmachines, en clouddienstverleners. Op grond van de NIB-richtlijn dienen niet-EU aanbieders die geen hoofdvestiging in een EU-lidstaat hebben, een vertegenwoordiger in de EU aan te wijzen
    De Cybersecuritywet is alleen van toepassing op bedrijven die een Europese hoofdvestiging of een vertegenwoordiger in Nederland hebben. In andere gevallen is de wetgeving van het betreffende andere EU-lidstaat van toepassing. Ondernemingen met minder dan 50 werknemers en een balanstotaal of jaaromzet van minder dan 10 miljoen euro vallen buiten het bereik van de Cybersecuritywet.

    Bescherming essentiële diensten

    In de Cybersecurity wet worden twee groepen van aanbieders beschouwd als 'vitale aanbieders': (1) aanbieders van een essentiële dienst en (2) aanbieders van een andere dienst waarvan de continuïteit van vitaal belang is voor de Nederlandse samenleving. Betreffende partijen worden door de overheid aangewezen bij AMvB. De criteria voor aanwijzing zijn beschreven in Bijlage II en artikel 5 van de NIB-richtlijn. Het gaat bijvoorbeeld om elektriciteitsbedrijven, luchtvaartmaatschappijen, wegenautoriteiten, internetknooppunten en DNS-dienstverleners.

    Waaraan moeten de aanbieders voldoen?

    Naast de meldplicht, dienen de aangewezen aanbieders en digitale dienstverleners passende en evenredige technische en organisatorische maatregelen te nemen om de risico's voor de beveiliging van hun netwerk te beheersen. De maatregelen zorgen, gezien de stand van de techniek, voor een niveau van beveiliging dat is afgestemd op de risico's die zich voordoen. Bij de beoordeling van deze maatregelen wordt onder meer rekening gehouden met de beveiliging van systemen en voorzieningen, het beheer van de bedrijfscontinuïteit en de inachtneming van internationale normen. Daarnaast dienen digitale dienstverleners en aanbieders van een essentiële dienst passende maatregelen te nemen om incidenten te voorkomen en de gevolgen van incidenten zo veel mogelijk te beperken.

    Meldplicht

    Digitale dienstverleners zijn verplicht om incidenten met aanzienlijke gevolgen voor de verlening van de door hem verleende dienst te melden bij het betreffende Computer Security Incident Response Team (CSIRT) en de (per sector verschillende) bevoegde autoriteit. Aanbieders van een essentiële dienst zijn verplicht om incidenten te melden bij het Nationaal Cyber Security Centrum (NCSC) van de Minister van Justitie en Veiligheid en de (per sector verschillende) bevoegde autoriteit, als dat incident aanzienlijke gevolgen heeft voor de continuïteit van zijn essentiële dienst. Het Ministerie van Economische Zaken en Klimaat heeft onlangs een brochure gepubliceerd over de Cybersecuritywet voor digitale dienstverleners. Hieruit volgt dat een incident in ieder geval aanzienlijke gevolgen heeft, indien: de dienst in de EU meer dan 5.000.000 gebruikersuren niet beschikbaar is, het incident negatieve gevolgen heeft voor meer dan 100.000 gebruikers in de EU, een of meer gebruikers binnen de EU meer dan 1.000.000 euro schade heeft opgelopen, er een risico was voor de openbare veiligheid, de openbare beveiliging of voor het verlies van mensenlevens.

    Sancties

    De (per sector verschillende) bevoegde autoriteit kan aanbieders van een essentiële dienst de verplichting opleggen een onafhankelijke deskundige te laten onderzoeken of de getroffen maatregelen voldoen aan de zorgplicht. In geval van schending van de Cybersecuritywet kan de bevoegde autoriteit aanbieders een bestuurlijke boete opleggen van maximaal 5 miljoen euro.

    Impact op uw organisatie?

    Wilt u meer weten over de gevolgen van de Cybersecuritywet voor uw organisatie? Neem dan contact op met Chris in 't Veld of een van de andere leden van ons Cybersecurity Team.

    Thema: Cybersecurity

    Wij hebben praktische ervaring met het ondersteunen van organisaties in de voorbereiding op nieuwe Cybersecurity uitdagingen, maar kunnen ook organisaties met raad en daad bijstaan als zich een cyberincident voordoet.

    Lees meer