Wet beveiliging netwerk- en informatiesystemen

De Nederlandse Wet beveiliging netwerk- en informatiesystemen (Wbni) implementeert de Europese NIB-richtlijn (netwerk- en informatieveiligheid richtlijn). De bepalingen van de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) zijn overgeheveld naar de Wbni. De Wbni is op 9 november 2018 in werking getreden. De Wbni heette in de concept versie eerst Cybersecuritywet (Csw), maar die naam is nu komen te vervallen.^[1]

Aanbieders van essentiële diensten en digitaledienstverleners moeten passende en evenredige technische en organisatorische maatregelen nemen om hun ICT te beveiligen. Verder moeten zij passende maatregelen treffen om incidenten te voorkomen en, als zich toch incidenten voordoen, de gevolgen daarvan zo veel mogelijk te beperken.^[2] In Nederland houdt Agentschap Telecom toezicht op de Aanbieders van essentiële diensten die vallen onder Economische Zaken en Klimaat en de aangewezen Digitale dienstverleners. De Inspectie voor de Leefomgeving en Transport doet dit voor de onder Ministerie van Infrastructuur en Water vallende AED's.

Aanbieders van essentiële diensten en digitaledienstverleners moeten incidenten met aanzienlijke gevolgen melden bij de toezichthouder en het CSIRT.

De uitvoeringsverordening (EU) 2018/151^[3] is een lex specialis bij de NIB-richtlijn en daarmee bij de Wbni. Voluit heet deze "Uitvoeringsverordening (EU) 2018/151 van de Commissie van 30 januari 2018 tot vaststelling van toepassingsbepalingen voor Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad wat betreft de nadere specificatie van de door digitaledienstverleners in aanmerking te nemen elementen voor het beheer van de risico's in verband met de beveiliging van netwerk- en informatiesystemen en van de parameters om te bepalen of een incident aanzienlijke gevolgen heeft". Digitaledienstverleners worden niet aangewezen.^[4]

Kort samengevat bevat deze wet de volgende keuzes:

• aanwijzing AED's (aanbieders van essentiële diensten) bij algemene maatregel van bestuur (amvb) of bij nader besluit van een in die amvb te noemen bestuursorgaan;
• aanwijzing minister van Justitie en Veiligheid als het centrale contactpunt voor Nederland;
• aanwijzing minister van Justitie en Veiligheid als het CSIRT voor AED's;
• aanwijzing van het CSIRT voor digitale diensten bij algemene maatregel van bestuur;
• aanwijzing van de vakministers respectievelijk De Nederlandsche Bank (DNB) als de bevoegde autoriteiten (toezicht en sancties);
• beveiligingseisen: globale norm in de Wbni, eventueel sectoraal nader uit te werken;
• dubbel melden van ernstige ICT-incidenten: zowel bij het CSIRT als bij de bevoegde autoriteit;
• een-op-een overgenomen uit de Wgmc:
  • aangewezen vitale aanbieders, inclusief AED's, moeten ook inbreuken die ernstige gevolgen kúnnen hebben ("bijna-ongelukken") melden, maar alleen bij (het Nationaal Cyber Security Centrum (NCSC) van) de Minister van Veiligheid en Justitie;
  • voor vitale aanbieders die niet onder de richtlijn vallen, geldt alleen de plicht om incidenten bij het NCSC te melden, en dus geen beveiligingseisen en geen toezicht en sancties.

Grote DNS-dienstverleners en datacenters worden ook aangemerkt als vitale infrastructuur.^[5]

De EU is in 2015 gestart^[6] met een strategie voor een digitale eengemaakte markt. Samen met o.a. de Algemene verordening gegevensbescherming en de eIDAS-verordening wil de EU met de Europese netwerk- en informatieveiligheid richtlijn (NIB-richtlijn) een vrije en veilige digitale eengemaakte markt tot stand brengen.

• Wbni (Cybersecuritywet) op internetconsultatie.nl
• Dossier wetgeving cybersecurity op ncsc.nl
• Nationale Cybersecurity Strategie (NCSS) op ncsc.nl
• Toezichthouder Agentschap Telecom^{[dode link]} op agentschaptelecom.nl
• Wbni voor Digitale dienstverleners op rijksoverheid.nl