Naast de AVG is er nog een wet met flinke impact op cyber security: de Wet beveiliging netwerk- en informatiesystemen (Wbni). Het verschil tussen deze wetten is dat de AVG is gericht op de bescherming van de privacy van de burger en de Wbni op de cyberweerbaarheid van organisaties. De Wbni is sinds november 2018 van kracht. Wat betekent de wet voor u in de praktijk? En hoe kunt u zich het beste voorbereiden?
De Wet beveiliging netwerk- en informatiesystemen is de vertaling van de Europese Netwerk- en Informatiebeveiliging Richtlijn, de NIB-Richtlijn. Deze richtlijn maakt Europa digitaal veiliger door de digitale weerbaarheid te vergroten, de gevolgen van cyberincidenten te beperken en zo maatschappelijke ontwrichting te voorkomen. Dat doet de wet door aanbieders van essentiële diensten (AED) en digitale dienstverleners te verplichten beveiligingsmaatregelen te nemen.
Waarom is de Wbni belangrijk
Veel bedrijven en consumenten zijn afhankelijk van digitale dienstverleners en essentiële diensten. Wanneer zij hun diensten niet meer kunnen leveren door een cybersecurity incident heeft dat impact op de maatschappij en dat wil de overheid zoveel mogelijk voorkomen. Daarom legt de Wbni aanbieders van essentiële diensten en digitale dienstverleners twee verplichtingen op:
- Een zorgplicht om de nodige technische en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen en de gevolgen van incidenten te verkleinen;
- Een meldplicht wanneer zich incidenten op het gebied van cyber security voordoen met (potentieel) aanzienlijke gevolgen.
Incidenten moeten worden gemeld bij de toezichthouder en het Cyber Security Incident Response Team (CSIRT). Voor digitale dienstverleners is een apart CSIRT ingericht: het CSIRT-DSP. Het CSIRT-DSP heeft als taak om meldingen van incidenten bij digitale dienstverleners te ontvangen met het doel om de economische en eventueel maatschappelijke schade van een incident te beperken. Het CSIRT-DSP kan eventueel ook andere digitale dienstverleners waarschuwen als er zich een bepaald type incident voordoet. Verder deelt het CSIRT-DSP actuele dreigingsinformatie. De toezichthouder controleert of de risico’s door de dienstverleners voldoende worden beheerst en of hun beveiliging op orde is, waardoor de kans op een incident minimaal is.
Toezicht op de Wbni
De toezichthouder zal door middel van systeemtoezicht toezien op naleving van de Wbni. Dat doet de toezichthouder aan de hand van open normen. Vroegtijdig en open gaat zij het gesprek aan zodat verwachtingen duidelijk zijn. Agentschap Telecom is een van de toezichthouders op de Wbni en legt in een voorlichtingsfilm uit hoe belangrijk digitale veiligheid is en hoe de Wbni helpt Nederland digitaal weerbaar te maken.
Wat kunt u doen om de Wbni na te leven
De Wbni verplicht de betreffende organisaties goede beveiligingsmaatregelen te nemen. Bij de beveiliging gaat het om beschikbaarheid, integriteit, authenticiteit en vertrouwelijkheid. Hierbij kunt u denken aan:
- Passende organisatorische en technische beveiligingsmaatregelen;
- Risicomanagement;
- Toezicht, controle en testen;
- Het melden en behandelen van incidenten;
- Inachtneming van de internationele normen.
Het topmanagement van een organisatie hoort nauw betrokken te zijn bij deze verantwoordelijkheden om zo actief te werken aan bewustzijn en verantwoordelijkheid.
Ook als u niet onder de Wbni valt, biedt de wet u bruikbare handvatten om te werken aan digitale weerbaarheid.
Training om Wbni te helpen naleven
NEN biedt verschillende trainingen om te helpen de Wbni na te leven. In de training 'ISO 27001: informatiebeveiliging in de praktijk' leert u in twee dagen hoe u een risicoanalyse uitvoert en hoe u gestructureerd een eenvoudig te onderhouden Information Security Management Systeem (ISMS) opzet, invoert en beheert volgens ISO 27001.
Bent u werkzaam in de operationele technologie dan is de driedaagse training ‘IEC 62443: Cyber Security voor Industrial Automation And Control Systems’ interessant. Deze training leert de relevante cybersecurity-terminologie en geeft een solide basis voor het managen van cybersecurity binnen de eigen organisatie.
Meer informatie over de Wbni.
16 mei 2024 Praktische en interactieve workshop met Nigel Turner Data-gedreven worden lukt niet door alleen nieuwe technologie en tools aan te schaffen. Het vereist een transformatie van bestaande business modellen, met cultuurverandering, een heront...
29 - 31 mei 2024Praktische driedaagse workshop met internationaal gerenommeerde spreker Alec Sharp over herkennen, beschrijven en ontwerpen van business processen. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare rich...
3 t/m 5 juni 2024Praktische workshop met internationaal gerenommeerde spreker Alec Sharp over het modelleren met Entity-Relationship vanuit business perspectief. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare richtl...
10 t/m 12 juni 2024 Praktische workshop Data Management Fundamentals door Chris Bradley - CDMP-examinatie optioneel De DAMA DMBoK2 beschrijft 11 disciplines van Data Management, waarbij Data Governance centraal staat. De Certified Data Managem...
15 oktober 2024 Workshop met BPM-specialist Christian Gijsels over AI-Gedreven Business Analyse met ChatGPT. Kunstmatige Intelligentie, ongetwijfeld een van de meest baanbrekende technologieën tot nu toe, opent nieuwe deuren voor analisten met i...
28 november 2024Workshop met BPM-specialist Christian Gijsels over business analyse, modelleren en simuleren met de nieuwste release van Sparx Systems' Enterprise Architect, versie 16.Intensieve cursus waarin de belangrijkste basisfunctionaliteiten v...
Deel dit bericht