Cybersecuritywet naar de Tweede Kamer

De Cybersecuritywet (Csw) is afgelopen week ingediend bij de Tweede Kamer door Minister Grapperhaus van Justitie en Veiligheid.

Even opfrissen

Deze wet implementeert de EU Richtlijn inzake netwerk- en informatiebeveiliging (NIB-Richtlijn). Kortgezegd verplicht de Cybersecuritywet dat vitale sectoren en digitale dienstverleners (DSPs) adequate beveiligingsmaatregelen nemen om hun netwerken en systemen te beschermen en beveiligingsincidenten melden bij hun toezichthouder. In een van onze eerdere blogs hebben we de inhoud uitvoerig besproken. Alle DSPs die in Nederland hun hoofdvestiging hebben, vallen binnen de EU onder de Cybersecuritywet.

Het nieuwe wetsvoorstel

Tijdens de consultatie hebben verschillende partijen, waaronder Considerati, advies uitgebracht over hoe het wetsvoorstel verbeterd zou kunnen worden.

Een belangrijke aanpassing is dat in het huidige wetsvoorstel de gegevens die gedeeld worden door DSPs volgens de wet vertrouwelijk behandeld moeten worden. De inhoud alsmede de identiteit van de indiener van een melding blijven, enkele uitzonderingen in de wet daargelaten, in handen van de aangewezen toezichthouder en het Computer Security Incident Response Team (CSIRT). Het Agentschap Telecom wordt de toezichthouder voor DSPs. Welke instantie voor de DSPs gaat fungeren als CSIRT is nog niet bekend.

In reactie op de consultatie heeft het beleidsteam van Considerati nadrukkelijk om dergelijke aanpassing gevraagd. Daarnaast hebben we geadviseerd om de definitie van DSPs op te helderen en ook dit is aangepast in de Memorie van Toelichting bij het wetsvoorstel.

Implementatie Richtlijn

Voor de implementatie van de richtlijn heeft de Europese Commissie in de recent gepubliceerde bindende uitvoeringsverordening omschreven wat de eisen voor ‘adequate beveiligingsmaatregelen’ zijn.

Zo moeten de DSPs zijn voorzien van de juiste beveiligingselementen ter preventie van cyber-incidenten om aan hun zorgplicht te voldoen.

Daarnaast omschrijft de verordening wanneer DSPs een cyber-incident moeten melden. Deze uitvoeringsverordening is definitief en bindend en zal op 10 mei 2018 officieel in werking gaan treden. Dan hoopt het kabinet ook de wet door het parlement goedgekeurd te hebben. De deadline voor de schriftelijke inbreng van de kamerfracties staat op 15 maart 2018.

Marlou Dimmendaal Consultant Public Affairs