WBNI: Wet Beveiliging Netwerk- en Informatiesystemen. Wat moet u weten?

Op 9 november 2018 is de Wet Beveiliging Netwerk- en Informatiesystemen (WBNI) van kracht geworden. Deze wet wordt ook wel de Cybersecuritywet genoemd. WBNI is de Nederlandse vertaling van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (de NIB-richtlijn).

Door de grote afhankelijkheid van bedrijven van netwerk- en informatiesystemen kan verstoring leiden tot ernstige maatschappelijke ontwrichting. In deze wet staan maatregelen om de digitale weerbaarheid van bedrijven te vergroten door passende organisatorische en technische maatregelen te nemen om daarmee beveiligingsrisico’s te beheersen en gevolgen van incidenten te verkleinen, de zorgplicht. Organisaties in vitale sectoren en digitale dienstverleners hebben een meldplicht van incidenten op netwerk- en beveiligingssystemen.

Agentschap Telecom is een van de toezichthouders op de WBNI. Zij houdt toezicht op bedrijven uit de energiesector, bedrijven die de digitale infrastructuur verzorgen, online marktplaatsen, online zoekmachines en cloud computing diensten.

Voor wie geldt de WBNI?

Bedrijven die actief zijn in de energiesector of in de digitale infrastructuur en onder toezicht staan, zijn daarover geïnformeerd door het ministerie van Economische Zaken en Klimaat. Voor de digitale dienstverleners geldt dat je zelf kunt beoordelen of de wet op hen van toepassing is. Dat kan aan de hand van een compacte checklist op de websites van onder andere Agentschap Telecom. Na het doorlopen van een vijftal vragen wordt duidelijk of je bedrijf moet voldoen aan de WBNI.

Zorg- en meldplicht

Agentschap Telecom houdt zoals gezegd toezicht op de zorgplicht en meldplicht. Zorgplicht betekent dat organisaties passende maatregelen moeten treffen om cyberincidenten te voorkomen. De meldplicht betekent dat als er onverhoopt toch iets mis gaat, bedrijven dit zo snel mogelijk (‘onverwijld’) moeten melden bij de toezichthouder Agentschap Telecom én bij het Computer Security Incident Response Team (CSIRT).

Moet ieder incident worden gemeld?

Niet elk incident hoeft gemeld te worden. Echter wanneer er sprake is van een incident met aanzienlijke gevolgen moet er wel gemeld worden. Sterker nog: als een dergelijk incident niet gemeld wordt dan riskeer je dat het Agentschap handhavend kan optreden met een bindende maatregel of zelfs boetes.

Wanneer is er sprake van een meldplichtig incident?

Het melden van een incident wordt niet helemaal overgelaten aan de inschatting van het bedrijf zelf: er is een meldplicht stroomschema opgesteld. Ondanks het mooie schema moeten er nog wel degelijk besluiten worden genomen en inschattingen worden gemaakt.

Het is daarom niet onverstandig om zelf enkele normen op te stellen en op te nemen in de bij sommige bedrijven al bestaande continuïteitsplannen of een beleid ten aanzien van deze meldplicht op te stellen. Zeker als het gaat om een melding die ‘onverwijld’ gedaan moet worden.

Overig

  • De Wet Gegevensverwerking en Meldplicht Cybersecurity is met ingang van 9 november jl. ingetrokken (artikel 24 WBNI).
  • Bij bedrijven die onder de WBNI vallen vinden regelmatig inspecties plaats. Ook als er nog geen sprake is van een incident. Er wordt dan gekeken naar het complete risicomanagementproces en de passende maatregelen die die organisatie vervolgens heeft getroffen. Bij digitale dienstverleners vinden inspecties plaats op basis van signalen en incidenten.