Volg ons op sociale media

Blog: De Wet Beveiliging Netwerk- en Informatiesystemen, voorheen bekend als de Cybersecuritywet

Geplaatst op 10 december 2018 om 09:35

De nieuwe Wet Beveiliging Netwerk- en Informatiesystemen (WBNI), voorheen bekend als de Cybersecuritywet, moet ervoor gaan zorgen dat ons land bestand is tegen cybergevaren. De WBNI is op 9 november jl. in werking getreden en is de Nederlandse vertaalslag van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (de NIB—Richtlijn). De NIB-richtlijn moet de lidstaten aansporen hun digitale weerbaarheid te vergroten en dient ervoor te zorgen dat lidstaten op het gebied van cybersecurity beter met elkaar gaan samenwerken. 

In dit artikel bespreek ik waarom deze wet is ingevoerd en of en zo ja, wat deze wet voor u als ICT-ondernemer betekent. 

De wet is op u als ICT-ondernemer van toepassing, wanneer u als een Aanbieder van Essentiële Diensten (AED) of als een Digitale Dienstverlener (DSP) bent te kwalificeren. 

Aanbieder van Essentiële Diensten (AED)

Of uw onderneming een AED is, wordt door de overheid bepaald. De overheid stelt u hiervan op den hoogte. AED’s bevinden zich in essentiële sectoren als energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater of digitale infrastructuur. Een voorbeeld hiervan is de beheerder van de .nl domeinnamen, of de grote internetknooppunten in Nederland. 

Digitale Dienstverlener (DSP)

Verder is de WBNI op u van toepassing wanneer u als DSP bent te kwalificeren. Een DSP is een aanbieder van een online marktplaats, online zoekmachine en/of cloudcomputingdienst (IaaS, PaaS, SaaS). Een DSP wordt niet door de overheid aangewezen. Als ondernemer dient u zelf de afweging te maken of u onder de definitie valt. 

U bent een DSP, wanneer:

-       u een van de diensten aanbiedt;

-       uw onderneming de hoofdvestiging in Nederland heeft of een vertegenwoordiging daarvan;

-       u meer dan 50 werknemers in dienst heeft of uw bedrijf een jaaromzet of balanstotaal heeft van meer dan € 10 miljoen. 

De WBNI legt AED’s en DSP’s twee verplichtingen op. Enerzijds een zorgplicht om de nodige passende en evenredige technische en organisatorische maatregelen te nemen om de ICT te beveiligen tegen incidenten en anderzijds geldt er een meldplicht voor (mogelijk) ernstige incidenten. 

Een incident is “elke gebeurtenis met een schadelijk effect op de beveiliging van netwerk- en informatiesystemen”. De meldplicht geldt niet voor ieder incident, er dient sprake te zijn van aanzienlijke gevolgen voor de dienstverlening. Een incident dient te worden gemeld bij het Agentschap Telecom en bij het Computer Security  Incident Response Team (CSIRT). Wanneer de verplichtingen niet worden nageleefd, dan kan een maximale boete van € 5 miljoen worden opgelegd. 


Verschil tussen de WBNI en de AVG

De zorgplicht onder de WBNI lijkt veel op de verantwoordingsplicht die we kennen van de AVG. Het verschil met de AVG is echter dat de WBNI niet alleen geldt voor de verwerking van persoonsgegevens. 

Vragen?

Heeft u vragen? Neem dan gerust contact met mij op via mwijnholds@ictwaarborg.nlof telefonisch op 088-77 300 80. 

Meer nieuws & blogs, december 2018

Onze evenementen

Als speler in de ICT-branche wilt u natuurlijk ook een rol spelen en in contact komen met andere belangrijke bedrijven in de sector. Daarom organiseert ICTWaarborg regelmatig leuke en leerzame events.

Post- en vestigingsadres

Tasveld 1A
3417 XS Montfoort

Telefoon en e-mail

088 - 77 300 73