De aankomende meldplicht cybersecurity

Deze maand is de Cybersecuritywet in consultatie gebracht. Deze wet implementeert de EU Richtlijn inzake netwerk- en informatiebeveiliging (NIB-Richtlijn). Kortgezegd verplicht de Cybersecuritywet dat Rijksoverheidsorganisaties, vitale sectoren en digitale dienstverleners (DSPs) adequate beveiligingsmaatregelen nemen om hun netwerken en systemen te beschermen. Daarnaast introduceert de wet een meldplicht voor cyber security incidenten alsook toezicht en handhaving van deze verplichtingen. U kunt tot 16 juli op dit voorstel reageren.

Het wetsvoorstel

Het kabinet wil met de Cybersecuritywet voorkomen dat belangrijke diensten die afhankelijk zijn van netwerk- en informatiesystemen uitvallen, of tenminste de gevolgen daarvan beperken. Daarmee wil het kabinet de digitale weerbaarheid van de Nederlandse samenleving versterken.

Het kabinet beoogt met de implementatie een zo letterlijk mogelijke implementatie van de NIB-richtlijn, zonder extra regels. Wel wordt in de Cybersecuritywet ook de Wet gegevensverwerking en meldplicht cybersecurity – vanwege de vele overlap – geïntegreerd. Deze is eerder al door de Tweede Kamer aangenomen.

Geldt de Cybersecuritywet voor u?

De Cybersecuritywet geldt voor

  • Digitale dienstverleners (DSPs): aanbieders van online marktplaatsen, online zoekmachines en cloudcomputingdiensten;
  • Onderdelen van de Rijksoverheid die digitale diensten exploiteren, beheren of beschikbaar stellen;
  • Aanbieders van essentiële diensten in de sectoren energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater en digitale infrastructuur en andere diensten waarvan de continuïteit van vitaal belang is voor de Nederlandse samenleving. Het kabinet zal deze aanbieders aanwijzen. 

Beveiligingsverplichting en Meldplicht cybersecurity

De Cybersecuritywet introduceert een beveiligingsplicht en de meldplicht cybersecurity.

  • Beveiligingsplicht: aanbieders van essentiële diensten en DSPs moeten passende en evenredige technische en organisatorische maatregelen nemen om hun ICT adequaat te beveiligen tegen inbreuken van buitenaf en gevolgen van dergelijke incidenten minimaliseren.
  • Meldplicht: bedrijven en organisaties die onder deze wet vallen, moeten onverwijld incidenten melden die substantiële of significante gevolgen hebben voor de dienstverlening. De Cybersecuritywet verplicht om zowel bij de toezichthouder als bij het Nationaal Cyber Security Centrum – of een ander aangewezen Computer Security Incident Response Team (CSIRT) – melding te maken. Het CSIRT heeft tot doel om organisaties te helpen en – indien nodig – andere organisaties te waarschuwen of adviseren. De toezichthouder kan aan de hand van de melding een onderzoek starten en een boete opleggen als blijkt dat er onvoldoende beveiligingsmaatregelen waren genomen of incidenten niet tijdig zijn gemeld.

Zowel aanbieders van essentiële diensten als DSPs zijn verplicht melding te maken.  Ook vallen een aantal andere aangewezen vitale aanbieders, zoals primaire waterkeringen en nucleaire aanbieders onder de meldplicht. Verder moeten vitale aanbieders melding maken als ze zelf door een incident zijn getroffen dat veroorzaakt is door uitval van een digitale dienst (bijvoorbeeld een cloud dienst). Dit betekent dat deze aanbieders in kaart moeten brengen van welke DSPs zij gebruik maken en zullen over deze meldplicht onderling (contractuele) afspraken moeten worden gemaakt.

Tot slot maakt deze wet het mogelijk dat organisaties die formeel geen meldplicht hebben, wel de mogelijkheid krijgen om vrijwillig melding van incidenten te doen.

Wat nu?

De verplichtingen uit de Cybersecuritywet zullen aanvullende maatregelen vanuit organisaties vergen.

Wij helpen u graag inzichtelijk te krijgen wat de impact van de Cybersecuritywet is op uw organisatie. Neem hiervoor contact op met ons.

Bart Pegge Managing Director / Director PA Practice

Meer weten over dit onderwerp?

pegge@considerati.com +31 (0) 644768320