Wet Beveiliging Netwerk- en Informatiesystemen (WBNI)

Wet Beveiliging Netwerk- en Informatiesystemen (WBNI) voor digitale dienstverleners

 

De Wet Beveiliging Netwerk- en Informatiesystemen (WBNI) die op 9 november 2018 is ingegaan, geldt voor vitale aanbieders in sectoren als de energie-, de financiële en vervoerssector en de rijksoverheid. Vitale diensten zijn van essentieel belang voor het goed functioneren van de Nederlandse samenleving en economie; als de ICT-systemen van deze diensten worden bedreigd of uitvallen, dan kan dat zeer grote gevolgen hebben voor een betrouwbare dienstverlening aan burgers en bedrijven. Naast de vitale aanbieders geldt de WBNI ook voor veel digitale dienstverleners. Hoewel zij niet als vitaal worden beschouwd, zijn ze belangrijk: veel burgers, consumenten en bedrijven maken gebruik van of zijn afhankelijk van hun dienstverlening. Daarom zijn ze ook in de NIB-richtlijn opgenomen.

De netwerk- en informatiesystemen die nodig zijn om vitale diensten of digitale diensten aan te bieden, moeten betrouwbaar zijn en dienen dus goed beveiligd te zijn. De zorgplicht uit de WBNI moet leiden tot het treffen van goede beveiligingsmaatregelen door betrokken partijen. Incidenten die zich ondanks die zorgplicht toch kunnen voordoen en die de beveiliging in gevaar brengen, moeten bij de overheid worden gemeld (de meldplicht uit de WBNI).

Digitale dienstverleners

Digitale dienstverleners zijn aanbieders van clouddiensten, onlinezoekmachines en onlinemarktplaatsen. Ze worden hier ook DSP’s genoemd, oftewel Digital Service Providers. Aan de hand van onderstaand schema kunt u bepalen of uw onderneming een digitale dienstverlener is zoals bedoeld in de WBNI:Wet Beveiliging Netwerk- en Informatiesystemen (WBNI)

WBNI en nu?

U valt onder de WBNI, wat moet u nu doen en welke verplichtingen heeft u? Weet u dat u er niet alleen voor staat? De meldplicht onder de WBNI houdt in dat incidenten onverwijld moeten worden gemeld bij de toezichthouder Agentschap Telecom en bij het CSIRT (Computer Security Incident Response Team) voor digitale diensten. Beide organisaties zijn onderdeel van het ministerie van Economische Zaken en Klimaat (EZK). Een incident dat gemeld moet worden, is elke gebeurtenis met aanzienlijke schadelijke gevolgen. De oorzaak van het incident is daarbij een doorbreking van de beveiliging van het netwerk- en/of de informatiesystemen.

Aanzienlijke schadelijke gevolgen zijn gedefinieerd met drempelwaarden:

  • 5.000.000 gebruikersuren uitval (aantal gebruikers in de EU x aantal uren uitval)
  • Negatieve gevolgen voor meer dan 100.000 gebruikers in de EU
  • Meer dan € 1.000.000 schade voor een of meer gebruikers in de EU
  • Risico voor de openbare veiligheid
  • Risico voor de openbare beveiliging
  • Risico voor het verlies van een mensenleven

Beveiliging van netwerk- en informatiesystemen

Bij de beveiliging van netwerk- en informatiesystemen gaat het om de beschikbaarheid, integriteit, en vertrouwelijkheid.
De zorgplicht onder de WBNI houdt in dat u passende en evenredige organisatorische en technische maatregelen moet nemen om risico’s voor de beveiliging van uw ICT-systemen te beheersen en de gevolgen van incidenten te verkleinen. Deze zorgplicht sluit grotendeels aan bij de bepalingen in de Algemene Verordening Gegevensbescherming (AVG). Door de genomen maatregelen kunnen incidenten worden voorkomen en het effect ervan worden geminimaliseerd. De beveiligingsmaatregelen moeten betrekking hebben op:

  1. De beveiliging van systemen en voorzieningen
  2. Behandeling van incidenten
  3. Beheer van de bedrijfscontinuïteit
  4. Toezicht (monitoring), controle (auditing) en testen
  5. Inachtneming van de internationale normen

Tevens heeft u recht op bijstand van het Computer Security Incident Response Team DSP’s (CSIRT DSP’s) bij het treffen van maatregelen om de continuïteit van uw dienst te waarborgen en herstellen bij incidenten. De CSIRT DSP’s kunnen u bijstaan en verzorgen vroegtijdige waarschuwingen, alarmmeldingen, aankondigingen en verspreiding van informatie over risico’s en incidenten.  De CSIRT DSP gerelateerde maatregelen gelden vanaf 1 januari 2019 vanwege de extra tijd die de inrichting van dit CSIRT kost.

Kunnen wij u helpen?

Wilt u weten of u onder de WBNI valt, of u kunt voldoen aan de meldplicht WBNI, of dat u voldoende maatregelen heeft ingericht in het kader van de WBNI? Neem gerust contact op met Lucas Vousten via +31 (0)40 240 9516 of lvousten@joanknecht.nl of Anske Jongsma via +31 (0)40 240 9428 of ajongsma@joanknecht.nl voor een nadere kennismaking.