Invoering Wet beveiliging netwerken en informatiesystemen (Wbni)

17 september 2018 – De invoering van de Wet beveiliging netwerken en informatiesystemen (Wbni) op 9 november 2018 is de Nederlandse vertaling van de Europese Richtlijn op het gebied van cybersecurity (EU Network and Information Security Directive 2016/1148, ook wel aangeduid als NIS directive). Het is de eerste stap van de Europese Unie waarbij wettelijke maatregelen worden ingevoerd om de cybersecurity binnen de gehele Unie te bevorderen en de regelgeving op dit gebied te harmoniseren.

Voor wie geldt de wetgeving?

Aanbieders van Essentiele Diensten (AED’s)
De Wbni geldt in het bijzonder voor organisaties die actief zijn in sectoren van vitaal belang voor de samenleving en economie, waarbij afhankelijkheid bestaat van IT-systemen en andere digitale infrastructuren. In de regelgeving wordt specifiek verwezen naar de sectoren:

-       Financiële dienstverlening

-       Energie

-       Bankensector

-       Gezondheidszorg

-       Watermanagement en –voorzieningen

-       Transport & logistiek  

Organisaties actief binnen deze sectoren en die van vitaal belang zijn, zogenaamde Aanbieders van Essentiele Diensten (AED’s), worden aangewezen door de nationale overheden. Alle lidstaten dienen de AED’s aan te wijzen voor 9 november 2018.

Digitale Service Providers (DSP’s)
De Wbni geldt ook voor Digitale Service Providers (DSP’s). DSP’s zijn organisaties die clouddiensten aanbieden en aanbieders van zoekmachines en online marktplaatsen. De criteria voor een DSP zijn beschreven in de Wbni en in de memorie van toelichting op deze wet. Het is de verantwoordelijkheid van de dienstverleners zelf om te bepalen of zij als DSP onder deze wet vallen. Een organisatie met meer dan 50 medewerkers of €10 miljoen omzet en welke diensten aanbiedt waarbij IT-middelen worden gebruikt door meer dan één organisatie kunnen aangemerkt worden als DSP. De verwachting is dat de markt van aanbieders van digitale diensten compliance met deze nieuwe wetgeving gaat afdwingen.

Wat moet u doen?

De Wbni vereist dat organisaties verantwoordelijkheid nemen voor het opstellen en handhaven van een informatiebeveiligingsbeleid en toereikende beveiligingsmaatregelen invoeren. De maatregelen moeten toereikend zijn gegeven de cyberrisico’s, voldoen aan de stand van de technologie en rekening houden met de mogelijk negatieve effecten voor klanten en / of maatschappij. Richtlijnen voor uw cybersecuritybeleid en -maatregelen worden onder andere uitgevaardigd door het Europees agentschap voor netwerk en informatiebeveiliging (ENISA), het Nationaal Cyber Security Centrum (NCSC) en de Nationale Competence Authorities. De toezichthouders met handhavingsbevoegdheden zullen per sector worden aangewezen. Toezichthouders hebben de mogelijkheid om inzicht te vereisen in het geïmplementeerde beveiligingsbeleid en de geïmplementeerde beveiligingsmaatregelen en kunnen de uitkomsten van IT-audits opvragen. Toezichthouders kunnen eventueel een externe onafhankelijke IT-audit naar cybersecurity eisen.

De NIS directive geeft aan dat gepaste sancties en boetes moeten kunnen worden opgelegd die “effectief, proportioneel en ontmoedigend” zijn. De lidstaten moeten hier zelf een sanctiebeleid voor op te stellen.

Een ander belangrijk onderdeel van NIS directive / Wbni is een meldplicht voor cybersecurity-incidenten. Relevante incidenten moeten door AED’s worden gemeld bij de nationale toezichthouder én het Nationaal Cyber Security Center (NCSC). DSP’s moeten relevante incidenten melden bij de nationale toezichthouder én het Computer Security Incident Response Team (CSIRT). Er is dus sprake van een dubbele meldplicht.

De Europese NIS directive is door het Europees Parlement aangenomen op 6 juli 2016 en is in werking sinds augustus 2016. De lidstaten hadden formeel tot 9 mei 2018 de tijd om de Europese richtlijn om te zetten in nationale wetgeving. Niet alle lidstaten, waaronder Nederland, hebben deze deadline gehaald. Aangekondigd is dat in Nederland vanaf 9 november 2018 de Wbni van kracht zal zijn. Op de site van de Europese Commissie is te zien in welk stadium de invoering van de NIS directive per lidstaat is.

Wat kan Mazars voor u betekenen?

De IT consultants van Mazars kunnen voor u nagaan of uw organisatie moet voldoen aan de Wbni. Daarnaast kunnen zij controleren of uw cybersecurity maatregelen voldoen aan de vereiste niveaus. Een cybersecurity assessment (IT-audit) kan worden overwogen om dit vast te stellen en om eventuele leemtes te ontdekken en te bepalen welke eventuele aanvullende maatregelen nodig zijn.

Meer weten?

Wilt u meer weten over hoe Mazars u kan helpen met voorbereiden op de Wbni? Neem dan contact op met Jan Matto (per e-mail of per telefoon: +31 (0)88 277 13 99). Hij helpt u graag verder.

Neem vrijblijvend contact op

Word lid van onze nieuwsbrief

Markt

IT-audit

IT-Audit_Mazars

IT-audit

IT-systemen worden meer en meer ingezet als onderdeel van dienstverlening naar klanten en zijn...

Share