Digitale weerbaarheid in Nederland

Digitale weerbaarheid van de samenleving; daar draait het om bij de ‘Wet beveiliging netwerk- en informatiesystemen’ (Wbni). In die wet worden specifieke onderdelen van de samenleving aangewezen die moeten worden beschermd tegen digitale aanvallen en kwetsbaarheden. Per onderdeel wordt in de wet aangegeven wie, wanneer aan welke eisen moet voldoen. Er zijn grote verschillen te benoemen en het is erg belangrijk om precies te weten óf, en zo ja waaraan een bedrijf moet voldoen op basis van de Wbni.

Een introductie van de Wbni als bescherming van de digitale weerbaarheid van de Nederlandse samenleving kan in dat verband behulpzaam zijn. In de Wbni worden specifieke onderdelen van de samenleving benoemt die beschermd moeten worden.

Die specifieke onderdelen zijn:

• Vitale aanbieders
• Digitale dienstverleners
• Onderdelen van de Rijksoverheid

Vitale aanbieders

De groep vitale aanbieders is weer verdeeld in sectoren:

• Energie
• Vervoer
• Bankwezen
• Infrastructuur voor de financiële markt
• Zorg
• Levering en distributie van drinkwater
• Digitale infrastructuur

Rechten en plichten

In de Wbni en het besluit bij de Wbni (Bbni) worden deze drie onderdelen verder gedefinieerd. Vitale aanbieders en digitale dienstverleners hebben op basis van de Wbni bepaalde rechten én plichten hebben ómdat zij een belangrijke functie hebben in de Nederlandse samenleving en economie.

Recht op informatie

Vitale aanbieders en digitale dienstverleners ontvangen vertrouwelijke dreigingsinformatie die zij kunnen inzetten ter verdediging van hun diensten en systemen. Daarin hebben verschillende organisaties een taak gekregen op basis artikel 3 van de Wbni.

• Het NCSC als centraal contactpunt,
• het CSIRT (Computer security incident response team) voor de essentiële diensten
• organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek daarover te informeren (OKTT’s)
• andere bij ministeriele regeling aangewezen computercrisisteams
• aanbieders van internettoegangs- en internetcommunicatiediensten ten behoeve van het informeren van gebruikers van die diensten

Zorgplicht en meldplicht

Vitale aanbieders en digitale dienstverleners hebben een zorgplicht voor de beveiliging van hun systemen. En zij hebben een meldplicht voor incidenten. Waarbij de meldingen van de vitale aanbieders moeten worden gedaan bij het NCSC én bij de bevoegde autoriteit voor de sector. Voor digitale dienstverleners geldt dat zij moeten melden aan een aangewezen CSIRT én de voor de digitale dienstverlener bevoegde autoriteit.

Als die (de NCSC of het CSIRT) vervolgens verzoeken om informatie, bestaat de verplichting om die informatie ook te verstrekken.

Handhaving

De bevoegde autoriteit heeft volgens de Wbni de mogelijkheid om bestuursrechtelijke handhavingsinstrumenten in te zetten zoals het opleggen van een audit, het geven van een bindende aanwijzing, last onder bestuursdwang en het opleggen van een boete van maximaal 5 miljoen euro. Het hoofdstuk handhaving in de Wbni is uitsluitend van toepassing op aanbieders van essentiële diensten en digitale dienstverleners. De wet schrijft als bevoegde autoriteit voor aanbieders van essentiële diensten en digitale dienstverleners voor:

• Minister van Economische Zaken en Klimaat
• De Nederlandsche Bank N.V.
• Minister van Infrastructuur en Waterstaat
• Minister voor Medische Zorg