Volg ons op sociale media

Update Cybersecuritywet

Geplaatst op 15 januari 2018 om 13:35

Medio 2017 is het Wetsvoorstel Cybersecuritywet in consultatie gebracht. Dit wetsvoorstel is de implementatie van de Europese richtlijn voor Netwerk- en Informatiebeveiliging 2019/1148. Het kabinet wil met de Cybersecuritywet voorkomen dat belangrijke diensten die afhankelijk zijn van netwerk- en informatiesystemen uitvallen, of tenminste de gevolgen daarvan beperken. Daarmee wil het kabinet de digitale weerbaarheid van de Nederlandse samenleving versterken.

De Europese richtlijn voor Netwerk- en Informatiebeveiliging 2019/1148 heeft als doel om binnen Europa een gemeenschappelijk niveau van netwerk- en informatiebeveiliging te creëren. Vanwege de inhoudelijke samenhang en overlap wordt de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc), die op 1 oktober (wet) en 1 januari (meldplicht) jl. in werking is getreden, overgeheveld naar de Cybersecuritywet.

Deze richtlijn bevat inhoudelijk de volgende verplichtingen:

De Cybersecuritywet geldt voor digitale dienstverleners, zoals aanbieders van online marktplaatsen, online zoekmachines en cloudcomputingdiensten. Daarnaast geldt deze wet voor onderdelen van de Rijksoverheid die digitale diensten exploiteren, beheren of beschikbaar stellen. Ook aanbieders van essentiële diensten in de sectoren energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater en digitale infrastructuur en andere diensten waarvan de continuïteit van vitaal belang is voor de Nederlandse samenleving vallen onder deze wet. Het kabinet zal deze aanbieders aanwijzen. 

De Cybersecuritywet introduceert bovendien een beveiligingsplicht en de meldplicht cybersecurity. Dit houdt in dat aanbieders van essentiële diensten en digitale dienstverleners zogenaamd passende en evenredige technische en organisatorische maatregelen moeten nemen om hun ICT adequaat te beveiligen tegen inbreuken van buitenaf en de gevolgen van dergelijke incidenten moeten minimaliseren. Daarnaast moeten bedrijven en organisaties die onder deze wet vallen incidenten die substantiële of significante gevolgen hebben voor de dienstverlening onverwijld melden.

De Cybersecuritywet verplicht daarnaast om zowel bij de toezichthouder als bij het Nationaal Cyber Security Centrum – of een ander aangewezen Computer Security Incident Response Team (CSIRT) – melding te maken. De toezichthouder kan aan de hand van de melding een onderzoek starten en een boete opleggen als blijkt dat er onvoldoende beveiligingsmaatregelen waren genomen of incidenten niet tijdig zijn gemeld.

Zowel aanbieders van essentiële diensten als digitale dienstverleners, maar ook een aantal andere aangewezen vitale aanbieders, zoals nucleaire aanbieders en primaire waterkeringen, zijn aan deze meldplicht gebonden. Verder moeten vitale aanbieders melding maken als ze zelf door een incident zijn getroffen dat veroorzaakt is door uitval van een digitale dienst (bijvoorbeeld een clouddienst). Dit betekent dat deze aanbieders in kaart moeten brengen van welke digitale dienstverleners zij gebruik maken en zullen over deze meldplicht onderling (contractuele) afspraken moeten worden gemaakt.

Tot slot maakt deze wet het mogelijk dat organisaties die formeel geen meldplicht hebben, wel de mogelijkheid krijgen om vrijwillig melding van incidenten te doen.

Als brancheorganisatie verwachten wij dat de verplichtingen uit de Cybersecuritywet het noodzakelijk maken dat vanuit organisaties aanvullende maatregelen zullen moeten worden genomen. Welke aanvullende maatregelen dit zullen zijn, is voor een groot deel afhankelijk van de definitieve wettekst die nog moet worden vastgesteld. De consultatiefase is inmiddels afgerond. Aan de hand van alle reacties en opmerkingen die naar aanleiding van de consultatie zijn ontvangen, wordt op dit moment door het Ministerie van Justitie en Veiligheid gewerkt aan de definitieve wettekst die vervolgens in de loop van 2018 in de Tweede Kamer zal worden behandeld. Wij blijven het dossier nauwlettend voor u volgen en houden u uiteraard op de hoogte van de ontwikkelingen.

Meer nieuws & blogs, januari 2018

Onze evenementen

Als speler in de ICT-branche wilt u natuurlijk ook een rol spelen en in contact komen met andere belangrijke bedrijven in de sector. Daarom organiseert ICTWaarborg regelmatig leuke en leerzame events.

Post- en vestigingsadres

Tasveld 1A
3417 XS Montfoort

Telefoon en e-mail

088 - 77 300 73