Direct hulp nodig? Open van ma t/m vr van 08:30 uur tot 17:00 uur.   071 - 4017010 info@itcontrol.nl

Medio 2017 is het Wetsvoorstel Cybersecuritywet in consultatie gebracht. Dit wetsvoorstel is de implementatie van de Europese richtlijn voor Netwerk- en Informatiebeveiliging 2019/1148. Het kabinet wil met de Cybersecuritywet voorkomen dat belangrijke diensten die afhankelijk zijn van netwerk- en informatiesystemen uitvallen, of tenminste de gevolgen daarvan beperken. Daarmee wil het kabinet de digitale weerbaarheid van de Nederlandse samenleving versterken.

De Europese richtlijn voor Netwerk- en Informatiebeveiliging 2019/1148 heeft als doel om binnen Europa een gemeenschappelijk niveau van netwerk- en informatiebeveiliging te creëren. Vanwege de wp-contentelijke samenhang en overlap wordt de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc), die op 1 oktober (wet) en 1 januari (meldplicht) jl. in werking is getreden, overgeheveld naar de Cybersecuritywet.

Voor wie geldt de Cybersecuritywet?

De Cybersecuritywet geldt voor onderdelen van de Rijksoverheid die digitale diensten exploiteren, beheren of beschikbaar stellen, digitale dienstverleners en aanbieders van essentiële diensten. Deze laatste twee zullen we hieronder verder toelichten.

De richtlijn is heel duidelijk over wat er verstaan wordt onder digitale dienstverleners. Dit zijn aanbieders van online marktplaatsen, online zoekmachines en cloudcomputingdiensten. De omschrijving van ‘aanbieders van essentiële diensten’ is iets minder concreet. Het gaat hierbij om bedrijven die een dienst verlenen die van essentieel belang is voor maatschappelijke en economische activiteiten, die afhankelijk zijn van netwerk- en informatiesystemen en waar een incident een aanzienlijk verstorend effect zou kunnen hebben. Deze diensten worden ook wel vitale dienstengenoemd. Voorbeelden zijn nutsbedrijven, ziekenhuizen, banken en bedrijven die zich bezig houden met de digitale infrastructuur. Het kabinet zal deze aanbieders te zijner tijd aanwijzen.

Beveiligings- en meldplicht

De Cybersecuritywet introduceert een beveiligingsplicht en de meldplicht cybersecurity. Dit houdt in dat aanbieders van essentiële diensten en digitale dienstverleners passende en evenredige technische en organisatorische maatregelen moeten nemen om hun ICT adequaat te beveiligen tegen inbreuken van buitenaf en de gevolgen van dergelijke incidenten moeten minimaliseren. Daarnaast moeten bedrijven en organisaties die onder deze wet vallen incidenten die substantiële of significante gevolgen hebben voor de dienstverlening directmelden.

De Cybersecuritywet verplicht om melding te maken. De toezichthouder kan aan de hand van de melding een onderzoek starten en een boete opleggen als blijkt dat er onvoldoende beveiligingsmaatregelen waren genomen of incidenten niet tijdig zijn gemeld. Deze wet maakt het ook mogelijk dat organisaties die formeel geen meldplicht hebben, wel de mogelijkheid krijgen om vrijwillig melding van incidenten te doen.

Wat zijn de verwachtingen?

Als brancheorganisatie verwachten wij dat de verplichtingen uit de Cybersecuritywet het noodzakelijk maken dat organisaties (aanvullende) maatregelen moeten nemen. Welke aanvullende maatregelen dit zullen zijn, is voor een groot deel afhankelijk van de definitieve wettekst die nog moet worden vastgesteld. De consultatiefase is inmiddels afgerond. Aan de hand van alle reacties en opmerkingen die naar aanleiding van de consultatie zijn ontvangen, wordt op dit moment door het Ministerie van Justitie en Veiligheid gewerkt aan de definitieve wettekst die vervolgens in de loop van 2018 in de Tweede Kamer zal worden behandeld. Wij blijven het dossier nauwlettend voor u volgen en houden u uiteraard op de hoogte van de ontwikkelingen. Mocht u vragen hebben over dit onderwerp, dan kunt u altijd contact met ons opnemen via 0714017010 of info@itcontrol.nl

Dit artikel van ICTWaarborg is gepubliceerd in TBM magazine, nummer 1, februari 2018.