Sinds eind 2018 geldt in Nederland de Wet beveiliging netwerk- en informatiesystemen (Wbni), ook wel de Cybersecuritywet genoemd.
De Wbni is van toepassing op vitale dienstverleners (ook wel aanbieders van essentiële diensten) en op digitale dienstverleners. Mogelijk is de Wbni ook op uw organisatie van toepassing. In dit artikel worden allereerst de vitale en digitale dienstverleners toegelicht en vervolgens zal stil worden gestaan bij de uit de Wbni voortvloeiende zorgplicht.
Wanneer bent u een vitale of digitale dienstverlener?
Onder vitale dienstverleners vallen onder meer organisaties in de energie-, de financiële en de vervoerssector. Hun diensten zijn van essentieel belang voor het goed functioneren van de Nederlandse samenleving en economie. Onder het begrip ‘digitale dienstverleners’ vallen bijvoorbeeld clouddiensten, zoekmachines en online marktplaatsen, ook wel Digital Service Providers genoemd (DSP’s).
Niet elke partij die een digitale dienst aanbiedt, valt echter automatisch onder de Wet beveiliging netwerk- en informatiesystemen (Wbni). Social media en webshops bieden bijvoorbeeld ook digitale diensten aan, maar hoeven niet per definitie aan de Wbni te voldoen. Vereist is allereerst dat de organisatie een hoofdvestiging of vertegenwoordiging in Nederland heeft. Tevens dienen binnen de organisatie meer dan 50 medewerkers werkzaam te zijn of dient er sprake te zijn van een balanstotaal of een jaaromzet van meer dan 10 miljoen euro. Kleine en micro-ondernemingen vallen derhalve niet onder de reikwijdte van de Wbni.
De uitval of verstoring van vitale dienstverleners of digitale dienstverleners kan leiden tot grote maatschappelijke ontwrichting. De Wbni bevat daarom o.a. een zorgplicht voor beveiligingsmaatregelen.
De zorgplicht
De zorgplicht houdt in dat vitale dienstverleners en digitale dienstverleners passende organisatorische en technische maatregelen dienen te nemen om beveiligingsrisico’s te beheersen en de gevolgen van incidenten te verkleinen. In de AVG (art. 24) kennen we een dergelijke regeling ook voor het verwerken van persoonsgegevens. De Wbni ziet echter specifiek op digitale beveiliging en omvat het aanbieden van vitale en/of digitale dienstverlening in de ruime zin.
De Wbni werkt vijf aspecten uit waar vitale en digitale dienstverleners rekening mee dienen houden. Deze uitwerking is gebaseerd op art. 2 EU Uitvoeringsbesluit 2019/151 en bestaat – kort samengevat – uit het treffen van de volgende maatregelen:
Allereerst dienen de netwerk- en informatiesystemen adequaat te worden beveiligd. Daarnaast moeten organisaties kunnen aantonen dat zij maatregelen nemen bij incidenten. Daarbij kan worden gedacht aan processen om incidenten te melden en om tekortkomingen en zwakke plekken in het systeem te identificeren. Verder moet worden voorzien in maatregelen waarmee de bedrijfscontinuïteit en dienstverlening na een incident deugdelijk wordt gehandhaafd of hersteld. Onder die maatregelen valt o.a. de vaststelling en het gebruik van rampenplannen. Voorts is relevant dat regelmatig wordt gecontroleerd dat de betreffende maatregelen naar behoren werken en dus periodiek worden getest. Bij dit alles dienen -tot slot- ook internationale normen in acht te worden genomen.
Al deze maatregelen beogen dat vitale dienstverleners en digitale dienstverleners voldoen aan het uitgangspunt met betrekking tot de zorgplicht zoals die in de Wbni uiteen is gezet: “het nemen van passende maatregelen om incidenten te voorkomen en, als zich toch incidenten voordoen, de gevolgen daarvan zo veel mogelijk te beperken”.
De zorgplicht in de praktijk: hoe moet de regeling concreet worden toegepast?
De Wbni geeft vooral aan wát er moet gebeuren, maar niet hoe de uitvoering van die zorgplicht vervolgens concreet vormgegeven dient te worden om de toets van voldoende zorgvuldigheid met succes te kunnen doorstaan.
Vitale dienstverleners en digitale dienstverleners dienen de uitvoering van de zorgplicht en de maatregelen geheel zelf in te vullen waarbij het Agentschap Telecom toezicht houdt en handhavend op kan treden. Doordat de concrete invulling van de zorgplicht en de maatregelen ontbreken valt echter te verwachten dat organisaties hier veel vraagtekens bij hebben. Dit zou kunnen resulteren in een tekortschieten in de op hen rustende zorgplicht.
Aanbeveling verdient derhalve juridische advisering in het zo correct mogelijk toepassen van de uit de Wbni voortvloeiende zorgplicht in de praktijk. Hierbij is het belangrijk dat een balans wordt gevonden in het voldoen aan de zorgplicht en het respecteren van de commerciële belangen van bedrijven en de privacy van natuurlijke personen. Het creëren van een beveiligingsprotocol met een concreet te doorlopen stappenplan/checklist zou hiervan een voorbeeld kunnen zijn. Door de verscheidenheid aan organisaties die onder de reikwijdte van de Wbni vallen gaat het hierbij echter om maatwerk.
Geldt de zorgplicht ook voor u?
Heeft u vragen of wenst u advies over de Wbni en de daarin geldende zorgplicht binnen uw organisatie? Neem dan contact op met onze Cyber risk expert Astrid van Noort