Natuurlijk bent u op de hoogte van de Sleepwet – officieel bekend onder de naam Wet Inlichtingen- en Veiligheidsdiensten (WiV 2017). En aan aandacht voor de GDPR- en Privacy richtlijnen heeft het de afgelopen tijd niet ontbroken.
Maar bent u ook op de hoogte van de wat minder ‘mediagenieke’ richtlijnen en regelgeving?
Onze ON2IT Security Officer vertelt graag meer over een tweetal minder bekende wetten. Onbekendheid met een wet wil namelijk niet zeggen dat er geen impact is op het bedrijfsleven in het algemeen en een aantal sectoren in het bijzonder. Dus misschien ook op uw activiteiten.
De wetten zijn nog onderhevig aan verdere aan- en invulling middels Algemene Maatregelen van Bestuur (AMvB). Deze AMvB’s worden ingezet om op een later tijdstip details in te vullen, zonder daarvoor eerst toestemming van de Eerste of Tweede Kamer te hoeven vragen.
Wet Gegevensverwerking en Meldplicht Cybersecurity
Per 1 januari 2018 is de Wet Gegevensverwerking en Meldplicht Cybersecurity (WGMC) in werking getreden. In deze wet staan de taken en bevoegdheden van het Nationale Cyber Security Centrum (NCSC) beschreven. Zo staat ook beschreven hoe het NCSC moet handelen in geval van melding van een digitaal veiligheidsincident bij een vitale aanbieder. Deze vitale aanbieders bieden een product of dienst aan waarvan beschikbaarheid en betrouwbaarheid van vitaal belang zijn voor de Nederlandse samenleving. Het gaat hierbij om bedrijven die voorzien in:
- drinkwater, netbeheerder in de energiesector, nucleaire bedrijven,
- financiële instellingen,
- aanbieders van communicatienetwerken of -diensten met minimaal 1 miljoen eindgebruikers,
- aanbieders van internetknooppunt met poortcapaciteit van minimaal 8 terabytes/seconde,
- Mainport Rotterdam en Mainport Schiphol
Richtlijn voor Beveiliging van Netwerk- en Informatiesystemen
Op 19 juli 2016 is de Europese richtlijn voor Netwerk- en Informatiesystemen Beveiliging (NIB-richtlijn) gepubliceerd, met als doel een gemeenschappelijk niveau van netwerk- en informatiebeveiliging binnen Europa te bewerkstelligen. Artikelen uit de richtlijn dienen binnen 2 jaar geformuleerd te zijn in beleid. Hoewel er niet veel veranderingen zijn ten opzichte van eerdere nationale wetgeving op dit gebied, zijn er toch een aantal aandachtspunten:
Computer Security Incident Response Teams (CSIRT’s)
Nederland moet Computer Security Incident Response Teams (CSIRT’s) in het leven roepen en bevoegde autoriteiten aanwijzen. Deze CSIRT’s hebben de taak om te reageren op incidenten en risico’s binnen netwerk- en informatiesystemen.
Dit betekent dat de overheid meer bevoegdheid krijgt om actie te ondernemen binnen systemen van derde partijen. Als de overheid heeft moeten ingrijpen bij een incident dan is imagoschade al snel het gevolg.
Aanbieders van Essentiele Diensten (AED’s)
Het Ministerie van Economische Zaken moet uiterlijk op 9 november 2018 Aanbieders van Essentiele Diensten (AED’s) met vestiging op Nederlands grondgebied aanwijzen. Net als de eerder genoemde ‘vitale aanbieders’ zijn deze AED’s actief binnen bijvoorbeeld energie, vervoer, bankwezen, gezondheidszorg en drinkwater. De te verlenen diensten moeten van essentieel belang zijn voor de instandhouding van kritieke maatschappelijke en/of economische activiteiten en afhankelijk zijn van netwerk- en informatiesystemen.
Digitale dienstverleners zoals aanbieders van online marktplaatsen, zoekmachines en cloud diensten moeten passende technische en organisatorische maatregelen nemen om het netwerk- en informatiesystemen te beveiligen tegen – en schade te beperken bij -incidenten.
Hiermee zijn dus meer organisaties in focus dan ooit tevoren, met als gevolg dat organisaties maatregelen zullen moeten treffen – of aanscherpen – ter beveiliging van netwerk- en informatiesystemen.
Houd overzicht en blijf in controle
Het Zero Trust Security Framework houdt rekening met kwetsbaarheden, dreigingen en compliance richtlijnen zoals hierboven. Door beleid, architectuur en operatie aan elkaar te koppelen, weet u zeker dat u beschikt over een totaalbeeld op informatiebeveiliging en aantoonbaar compliant bent.
