De Wet beveiliging netwerk- en informatiesystemen (Cybersecuritywet) gaat vooral om Business Continuity Management (deel 2)

De Wet beveiliging netwerk- en informatiesystemen (Wbni) in de volksmond de Cybersecuritywet heeft tot doel Nederland digitaal veiliger te maken. Deze Cybersecuritywet vindt haar basis in de Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn) van de Europese Unie. Deze richtlijn moet de lidstaten aansporen hun digitale weerbaarheid te vergroten en beter met elkaar samen te werken. In deze tweeluik besteden wij aandacht aan deze nieuwe wetgeving. In ons vorige blog hebben we stilgestaan bij de vraag voor wie deze wetgeving gaat gelden en welk maatregelen verplicht zijn. Deel twee van ons tweeluik gaat dieper in op de meldplichten uit de Cybersecuritywet.

placeholder

Wat, wanneer en aan wie melden?

Ja, en dan zijn er in de wetgeving nieuwe meldplichten opgenomen. Naast de bonte verzameling aan reeds bestaande meldplichten (o.a. datalekken) dienen AED’s en DSP’s incidenten (of bijna ongelukken) met aanzienlijke gevolgen te melden bij verschillende toezichthouders. Waarbij in het geval van ernstige ICT-incidenten er zelfs een ‘dubbele meldingsplicht’ bestaat.

Als AED richt je een strak proces in

AED’s zijn verplicht om ICT-inbreuken met aanzienlijke gevolgen voor de continuïteit te melden bij het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid en bij de sectorale toezichthouder (bijvoorbeeld Agentschap Telecom).

ICT inbreuken die aanzienlijke gevolgen hadden kunnen hebben – ofwel de ‘bijna-ongelukken’ – dien dan weer alleen bij het NCSC gemeld te worden en niet bij de sectorale toezichthouder. Deze cumulatie van meldplichten betekent concreet dat je een strak proces moet hebben ingericht om;
1. de aard van het incident of bijna-ongeluk vast te stellen;
2. te bepalen bij welke toezichthouders dit gemeld moet worden; én
3. binnen welke termijn en onder welke voorwaarden.

Voldoe je niet aan de meldplicht dan kan je een bezoek van de sectorale toezichthouder verwachten.

Als DSP is het nog complexer

Voor DSP’s ligt het nog complexer. Als een DSP een incident heeft die de continuïteit van de dienstverlener raakt, dient deze dit te melden aan toezichthouder Agentschap Telecom en het Computer Security Incident Response Team (CSIRT) voor DSP’s. De toezichthouder mag DSP’s echter niet actief controleren maar pas op het moment dat sprake is van een incident. Dit reactieve toezicht betekent dat na een incident uitgebreid onderzoek wordt verricht naar de maatregelen en procedures die de DSP heeft genomen (zorgplicht). Zijn er geen of onvoldoende maatregelen getroffen dan kan er zwaar worden gesanctioneerd.

Kortom, organisaties die denken dat ze met een ISO27001/2 of ander normenkader wel voldoen aan de Cybersecuritywet, komen voor enorme verassingen te staan. Breng dus goed in kaart of je een AED of DSP bent, toets je huidige beveiligingsniveau aan de nieuwe eisen en richt een proces in voor het doen van meldingen aan de verschillende toezichthouders.

En, het allerbelangrijkste; ga oefenen met bijna ongelukken, incidenten en crisissituaties! Net als in het vorige blog komen we nu ook tot de conclusie dat het adagium ‘oefenen, oefenen, oefenen’ essentieel is. Dus ben je een AED of DSP begin vandaag dan al met het trainen van deze meldingsplichten. Het kan immers op veel punten misgaan. Miscommunicatie, onduidelijke taken en verantwoordelijkheden, gebrek aan daadkracht en autonoom handelen zijn slechts voorbeelden waarbij het mis kan gaan. Maar bovenal; doe het niet omdat het moet, maar omdat je deze verantwoordelijkheid richting de maatschappij hebt en vele burgers en bedrijven van jullie dienstverlening afhankelijk zijn!

Related Insights

divider