Het beschermen en veilig houden van uw informatiesystemen (cybersecurity) is vaak een hele klus. Een kwaadwillende hacker of verongelijkte medewerker hoeft slechts één kwetsbaarheid in uw systeem te misbruiken en de schade voor uw organisatie kan ongelofelijk groot zijn.

Aan u dus de taak om uw organisatie weerbaar te maken tegen aanvallen, kwetsbaarheden of andere dreigingen. In de meeste gevallen laat de wetgever dat helemaal aan u; u mag uw eigen risicoafweging maken en daaraan de volgens u benodigde maatregelen koppen.

Cybersecurity wordt echter steeds meer een wettelijke verplichting, waarbij de wetgever in ieder geval bepaalt welke systemen u moet beveiligen en welk niveau van beveiliging u met uw cybersecurity maatregelen moet nastreven.

Cybersecurity wet- en regelgeving

Cybersecurity kan onderdeel zijn van algemene regelgeving, zoals de Wet bescherming persoonsgegevens, die een beveiligingsverplichting oplegt aan vrijwel iedere organisatie die persoonsgegevens verwerkt.

Cybersecurity wordt echter steeds meer een onderwerp an sich: de Telecommunicatiewet, de EU Richtlijn inzake Netwerk- en Informatiebeveiliging (NIB-Richtlijn) en de EU Verordening rondom elektronische vertrouwensdiensten (eIDAS-Verordening) zijn voorbeelden van specifieke cybersecurity wetgeving voor aangewezen sectoren of organisaties.

Cyber security vanuit juridisch perspectief

Wanneer u bijvoorbeeld een aanbieder bent van vitale diensten, een vertrouwensdienst of een digitaledienstverlener (cloudcomputing, online marktplaats, zoekmachines) of online platform, zult u de komende jaren steeds meer met cybersecurity gerelateerde wetgeving worden geconfronteerd. Hoewel een deel van deze nieuwe wetgeving nog moet worden ingevuld, kunt u zich daar nu al op voorbereiden.

Een onderdeel dat in de meeste cybersecurity wetgeving terug te vinden is, is de meldplicht bij cybersecurity incidenten. Deze meldplicht kan verschillen per sector en kan verschillende organisaties betreffen bij wie de melding moet worden gedaan.

Denk bijvoorbeeld aan de Autoriteit Persoonsgegevens of de sectorale toezichthouder. In sommige gevallen moet u wellicht dubbel of zelfs driedubbel melden. Niet melden kan leiden tot handhaving en hoge boetes. Wij helpen organisaties wegwijs te worden in deze meldplichten en uw incident response zo in te richten dat u tijdig en volledig meldt.

 

Meer hierover weten?

Nathalie Falot

Senior Juridisch Adviseur