Op maandag 8 oktober organiseerde het Ministerie van Economische Zaken en Klimaat zal samen met Agentschap Telecom de informatiebijeenkomst “Wet beveiliging netwerk- & informatiesystemen” (Wbni).
Tijdens deze druk bezochte meeting in de Social Impact Factory in Utrecht, werd informatie gegeven over deze aanstaande nieuwe wet.
Deze nieuwe wet is bedoeld om vitale Nederlandse informatietechnologie systemen die bijvoorbeeld belangrijke publieke instellingen draaiende houden, beter te beschermen. Ook veel digitale service providers zoals krijgen met de wet te maken. De wet is de Nederlandse uitwerking van de Europese richtlijn Netwerk- en Informatiebeveiliging (NIB), en zal -zo schat het Ministerie- per 9 november van kracht zijn. Eerst moet de Eerste Kamer deze echter nog goedkeuren.
Er is nog onduidelijkheid over op wie deze wet nu precies van toepassing is. DHPA deelnemers lijken voor een deel wel en voor een deel niet onder deze wet te vallen. Als zogenaamde digitale dienstverleners worden zij expliciet genoemd in de wet. De NIB richtlijn wordt ook hier weer gevolgd: clouddienstverleners leveren een digitale dienst die toegang mogelijk maakt tot een schaalbare en elastische pool van deelbare computercapaciteit. Clouddienstverleners leveren diensten die overal en altijd toegankelijk zijn. Zowel IaaS, PaaS als SaaS vallen hieronder aldus het Ministerie en het Agentschap. Echter is er een omzet- en/of medewerkersgrens van 10 miljoen euro op jaarbasis en/of 50 medewerkers (fte). En ook al heb je als zogenaamde digitale dienstverlener slechts een deel van die minimaal €10 miljoen omzet uit clouddiensten, toch val je dan nog steeds onder de Wbni. Privécloud dienstverlening, bijvoorbeeld clouddiensten die binnen één organisatie alleen worden gebruikt door die organisatie, vallen niet in de reikwijdte van deze wet.
De wet beveiliging netwerk- & informatiesystemen (Wbni) omvat de elementen (dubbele; zowel bij Agentschap Telecom als een nog op te richten CSIRT voor DSP’s) meldplicht, zorgplicht (welke beveiligingsmaatregelen moet men treffen), toezicht en vertrouwen. In dit document (downloadlink (pdf)is informatie te vinden over deze elementen. En ook over wat kwalificeert als een incident.
Tijdens de bijeenkomst bleek dat op dit punt nog veel onduidelijkheid bestaat. Zowel het ministerie als het Agentschap konden deze niet helemaal wegnemen. Wordt dus nog vervolgd.
Per 1 januari 2019 wordt een Computer Security Incident Response Team (CSIRT) actief dat digitale dienstverleners gaat bijstaan bij de aanpak van incidenten. Dit CSIRT voor DSP’s, dat niet onder de WOB (Wet Openbaarheid Bestuur) valt, zal in eerste instantie reactief zijn. Om later (vanaf 2020) meer proactief te worden. Het CSIRT DSP zal samenwerken met het NCSC.
