De gevolgen van de Wet beveiliging netwerk- en informatiesystemen

27-06-2019 Naast de AVG is er nog een wet met flinke impact op cyber security: de Wet beveiliging netwerk- en informatiesystemen (Wbni). Het verschil tussen deze wetten is dat de AVG is gericht op de bescherming van de privacy van de burger en de Wbni op de cyberweerbaarheid van organisaties. De Wbni is sinds november 2018 van kracht. Wat betekent de wet voor u in de praktijk? En hoe kunt u zich het beste voorbereiden?

De Wet beveiliging netwerk- en informatiesystemen is de vertaling van de Europese Netwerk- en Informatiebeveiliging Richtlijn, de NIB-Richtlijn. Deze richtlijn maakt Europa digitaal veiliger door de digitale weerbaarheid te vergroten, de gevolgen van cyberincidenten te beperken en zo maatschappelijke ontwrichting te voorkomen. Dat doet de wet door aanbieders van essentiële diensten (AED) en digitale dienstverleners te verplichten beveiligingsmaatregelen te nemen.

Waarom is de Wbni zo belangrijk

Veel bedrijven en consumenten zijn afhankelijk van digitale dienstverleners en essentiële diensten. Wanneer zij hun diensten niet meer kunnen leveren door een cybersecurity incident heeft dat impact op de maatschappij en dat wil de overheid zoveel mogelijk voorkomen.

Meld- en zorgplicht

De Wbni legt aanbieders van essentiële diensten en digitale dienstverleners twee verplichtingen op:

  • een zorgplicht om de nodige technische en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen en de gevolgen van incidenten te verkleinen;
  • een meldplicht wanneer zich incidenten op het gebied van cyber security voordoen met (potentieel) aanzienlijke gevolgen.

Incidenten moeten worden gemeld bij de toezichthouder en het Cyber Security Incident Response Team (CSIRT). Voor digitale dienstverleners is een apart CSIRT ingericht: het CSIRT-DSP. Het CSIRT-DSP heeft als taak om meldingen van incidenten bij digitale dienstverleners te ontvangen met het doel om de economische en eventueel maatschappelijke schade van een incident te beperken. Het CSIRT-DSP kan eventueel ook andere digitale dienstverleners waarschuwen als er zich een bepaald type incident voordoet. Verder deelt het CSIRT-DSP actuele dreigingsinformatie. De toezichthouder controleert of de risico’s door de dienstverleners voldoende worden beheerst en of hun beveiliging op orde is, waardoor de kans op een incident minimaal is.

Toezicht op de Wbni

De toezichthouder zal door middel van systeemtoezicht toezien op naleving van de Wbni. Dat doet de toezichthouder aan de hand van open normen. Vroegtijdig en open gaat zij het gesprek aan zodat verwachtingen duidelijk zijn.

Agentschap Telecom is een van de toezichthouders op de Wbni en legt in een voorlichtingsfilm uit hoe belangrijk digitale veiligheid is en hoe de Wbni helpt Nederland digitaal weerbaar te maken.

Wat kunt u doen om de Wbni na te leven

De Wbni verplicht de betreffende organisaties goede beveiligingsmaatregelen te nemen. Bij de beveiliging gaat het om beschikbaarheid, integriteit, authenticiteit en vertrouwelijkheid. Hierbij kunt u denken aan:

  • Passende organisatorische en technische beveiligingsmaatregelen;
  • Risicomanagement;
  • Toezicht, controle en testen;
  • Het melden en behandelen van incidenten, en
  • Inachtneming van de internationele normen.

Het topmanagement van een organisatie hoort nauw betrokken te zijn bij deze verantwoordelijkheden om zo actief te werken aan bewustzijn en verantwoordelijkheid.
Ook als u niet onder de Wbni valt, biedt de wet u bruikbare handvatten om te werken aan digitale weerbaarheid

Training om Wbni te helpen naleven

NEN biedt verschillende trainingen om te helpen de Wbni na te leven. In de training 'ISO 27001: informatiebeveiliging in de praktijk' leert u in twee dagen hoe u een risicoanalyse uitvoert en hoe u gestructureerd een eenvoudig te onderhouden Information Security Management Systeem (ISMS) opzet, invoert en beheert volgens ISO 27001.

Bent u werkzaam in de operationele technologie dan is de driedaagse training ‘IEC 62443: Cyber Security voor Industrial Automation And Control Systems’ zeer interessant voor u. Deze training leert u de relevante cybersecurity-terminologie en geeft een solide basis voor het managen van cybersecurity binnen de eigen organisatie.

Meer informatie

Voor meer informatie over ISO 27001 of het normalisatieproces kunt u contact opnemen met Tom Hoogendijk, consultant Kennis- en informatiediensten, telefoon 015 – 2 690 365 of stuur een e-mail naar kid@nen.nl.

Voor meer informatie over de norm IEC 62443 of als u zich wilt aanmelden als normcommissielid, kunt u contact opnemen met Rianne Boek, consultant normalisatie en secretaris NEC 65, telefoon 015 2 690 365 of stuur een e-mail naar elektrische-installaties@nen.nl.

Eerder door u bekeken