14
Feb
2019

Wet Beveiliging Netwerk- en Informatiesystemen (Wbni)

De afhankelijkheid van essentiële voorzieningen is zeker vanwege de digitalisering in de afgelopen decennia nog meer toegenomen. Een kwartiertje of uur zonder essentiële voorzieningen als elektriciteit, internet of drinkwater is voor iedere organisatie al zeer vervelend. Een nog langere periode zonder die voorzieningen kan zelfs schadelijk zijn. Om de risico’s zoveel mogelijk te beperken is er in de afgelopen jaren een Europese richtlijn opgesteld die inmiddels in Nederlandse wetgeving is omgezet.

Op 9 november 2018 is de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) in werking getreden. De Wbni volgt uit de Netwerk en Informatiebeveiliging (NIB) richtlijn (2016/1148) welke op Europees niveau is vastgesteld. Landen in de Europese Unie zijn verplicht om de weerbaarheid van netwerk- en informatiesystemen te vergroten.

De wettelijke maatregelen die uit de Wbni voortvloeien dienen om de digitale weerbaarheid te vergroten en gevolgen van mogelijke (cyber)incidenten te beperken. De Wbni is gericht op digitale dienstverleners en organisaties in vitale sectoren. Digitale dienstverleners zijn bijvoorbeeld online marktplaatsen, clouddiensten en zoekmachines. Bij vitale aanbieders kan gedacht worden aan aanbieders uit bijvoorbeeld de energie-, de financiële en de vervoerssector.

Geen digitale dienstverlener of organisatie in een vitale sector? Ook dan is de wet interessant omdat de bedrijven die onder de Wbni vallen vaak een grote invloed hebben op de effectiviteit van de informatiebeveiliging. Denk bijvoorbeeld aan de beschikbaarheid van de gegevens in geval van een calamiteit. Deze beschikbaarheidseis vinden we ook terug in de Algemene Verordening Gegevensbescherming (AVG).

De Wbni verplicht de betreffende organisaties goede beveiligingsmaatregelen te nemen en zet daarmee de zorgplicht uiteen. Bij de beveiliging gaat het om beschikbaarheid, integriteit en vertrouwelijkheid.

Hierbij kan gedacht worden aan bijvoorbeeld:

  • Passende organisatorische en technische beveiligingsmaatregelen;

  • Risicomanagement;

  • Toezicht, controle en testen;

  • Het melden en behandelen van incidenten, en

  • Inachtneming van de internationale normen.

Voor ernstige incidenten geldt bovendien een meldplicht.

Welke digitale dienstverleners vallen onder de Wbni?

Om als digitale dienstverlener in het kader van de Wbni te worden gezien dient aan onderstaande punten te worden voldaan. Het moet gaat om een:

  • Online- marktplaatsen, zoekmachines en/of cloud dienstverleners; met

  • 50 of meer werknemers in dienst of een balanstotaal of jaaromzet van + € 10 miljoen; en

  • Een Europese hoofdvestiging in Nederland of geen Europese hoofdvestiging maar vertegenwoordiging in Nederland

Welke organisaties in vitale sectoren vallen onder de Wbni?

Om als organisatie in vitale sectoren in het kader van de Wbni te worden gezien dient aan onderstaande punten te worden voldaan:

  • Organisaties die diensten aanbieden die van essentieel belang zijn voor de instandhouding van kritieke economische of maatschappelijke activiteiten; en

  • Die door de nationale overheid als aanbieder van essentiële diensten in het kader van de Wbni zijn aangewezen.

Alleen digitale dienstverleners dienen dus zelf te controleren of ze onder de Wbni vallen.

Voor vragen of opmerkingen kunt u contact opnemen met de IT-Jurist via info@it-jurist.nl of bel 050 534 4574.