Nieuwe Cybersecuritywet (Csw) in aantocht

Aanbieders van essentiële diensten, zoals drinkwaterbedrijven, banken en beheerders van gas- en elektriciteitsleidingen, worden in de loop van 2018 verplicht te voldoen aan beveiligingseisen. Zij moeten adequate maatregelen nemen tegen inbreuken van buitenaf op hun netwerk- en informatiebeveiliging. Als zich toch een ‪cyberincident voordoet, moeten zij hun techniek en organisatie op orde hebben om de digitale 'brand' snel te kunnen blussen en de schade zoveel mogelijk te beperken.

Dit blijkt uit het voorstel voor de ‪Cybersecuritywet (Csw) van minister Grapperhaus (Justitie en Veiligheid), dat vandaag bij de Tweede Kamer is ingediend. Doel is Nederland digitaal veiliger te maken. De Csw vloeit voort uit de Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn) van de Europese Unie. Deze spoort de lidstaten aan hun digitale weerbaarheid te vergroten en beter met elkaar samen te werken.

NIB-richtlijn

Het doel van de NIB-richtlijn is om, ter ondersteuning van het functioneren van onze samenleving en economie, eenheid en samenhang te brengen in Europees beleid voor netwerk- en informatiebeveiliging, door de digitale paraatheid te vergroten en de gevolgen van cyberincidenten te verkleinen. Het niveau van netwerk- en informatiebeveiliging verschilt momenteel per lidstaat. Dit leidt tot een wisselend niveau van paraatheid bij incidenten en een ongelijk niveau van bescherming van consumenten en bedrijven. Deze fragmentatie leidt er mede toe dat informatie over dreigingen en incidenten niet uitgewisseld wordt.

De NIB-richtlijn verplicht de lidstaten hun paraatheid te verbeteren en beter met elkaar samen te werken. Lidstaten moeten zowel aanbieders van essentiële diensten als digitaledienstverleners verplichten om (i) adequate maatregelen te nemen om beveiligingsrisico's te beheersen, incidenten te voorkomen en, als zich toch incidenten voordoen, de gevolgen daarvan zo veel mogelijk te beperken en (ii) ernstige incidenten te melden aan de nationale bevoegde autoriteit of het CSIRT (computer security incident response team). De belangrijkste onderdelen van de richtlijn zijn:

• Reikwijdte; 

• Aanwijzing van aanbieders van essentiële diensten; 

• Nationale strategie; 

• Aanwijzing van centraal contactpunt, CSIRT en bevoegde autoriteit; 

• Samenwerking op nationaal en Europees niveau; 

• Beveiligingseisen, meldplicht en vrijwillige melding; 

• Toezicht en sancties. 


Toezichthouder

Ernstige ‪cyberincidenten moeten voortaan ook worden gemeld bij de toezichthouder. Volgens de huidige Wet gegevensverwerking en meldplicht ‪cybersecurity (Wgmc) zijn aanbieders van bepaalde diensten enkel verplicht dit soort incidenten te melden bij het Nationaal‪ Cyber Security Centrum (NCSC) - dat voor Nederland fungeert als een ‪Cyber Security Incident Response Team (CSIRT). Een CSIRT waarschuwt voor risico’s en biedt hulp en bijstand bij cyberincidenten.

De toezichthouder (voor banken is dat bijvoorbeeld De Nederlandsche Bank) ziet toe op naleving van de beveiligingseisen en de meldplicht en legt zo nodig sancties op, zoals een bestuurlijke boete. De Csw geldt straks ook voor aanbieders van onlinemarktplaatsen, cloudcomputerdiensten en onlinezoekmachines. Het is nog niet bekend welke instantie voor die aanbieders het CSIRT wordt. De bepalingen in de huidige Wgmc worden opgenomen in de nieuwe ‪cybersecuritywet. De Wgmc wordt ingetrokken.