Hét informatieplatform over cloudoplossing en -bedrijven

Contact

Voldoet uw bedrijf aan de onbekende cybersecuritywet?

Voldoet uw bedrijf aan de onbekende cybersecuritywet?
09 July 2020 10:30 uur

Tijdens de coronacrisis lijkt alles anders dan normaal. Maar is dat ook zo? De economie is sterk ontregeld en De Nederlandsche Bank waarschuwt voor een diepe recessie. Daarnaast hebben we geleerd dat we juist nu sterk afhankelijk zijn van vitale sectoren. Maar weten we ook dat juist deze sectoren, samen met de digitale dienstverleners, aan de Wet Beveiliging Netwerk- en Informatiesystemen (WBNI) moeten voldoen? En voldoet uw bedrijf daar wel aan?

Onbekend maakt onbemind, zo luidt de uitdrukking. Maar er valt weinig te beminnen of af te wijzen als niets bekend is. Een simpele zoekopdracht op Google laat zien dat maar weinig bedrijven, instellingen en bestuurders bezig zijn met de Wet Beveiliging Netwerk- en Informatiesystemen. Toch is de WBNI omvattender en belangrijker dan u misschien op het eerste gezicht zou denken. Om direct het eerste misverstand maar uit de weg te ruimen: dit is geen marginale wet die slechts van toepassing is op een zeer kleine en specifieke groep bedrijven en instellingen. Integendeel: de wet is onder meer van toepassing op vitale sectoren, de sectoren waarop Nederland juist nu vertrouwt en steunt. Drinkwaterbedrijven, gezondheidszorg, energieleveranciers, banken, digitale dienstverleners zoals online marktplaatsen, cloud computingHet op aanvraag via het internet beschikbaar stellen van rekenkracht, opslag, beveiliging, software en gegevens. De gebruiker van informatie is niet verantwoordelijk voor de hardware en software en neemt automatisering als een dienst af., allemaal moeten zij voldoen aan de WBNI.

Wat is de WBNI?

Aangezien de wet niet bekend kan worden verondersteld, volgt een beknopte introductie van de reikwijdte en inhoud ervan. De Wet Beveiliging Netwerk- en Informatiesystemen (‘WBNI’, ook wel ‘Wet cybersecurity genoemd’) is in werking getreden op 9 november 2018. De kern is het zoveel mogelijk voorkomen van cyberincidenten door middel van het adequaat beveiligen van de (interne) digitale infrastructuur. Uw beveiliging moet dus op orde zijn om te voldoen aan de wet. Dat gaat verder dan alleen het voorkomen van een datalek. Handhaving, monitoren en up to date houden van uw beveiligingssystemen zijn ook vereisten, evenals in sommige gevallen een meldplicht. Daarnaast dient er een plan van aanpak te zijn als het toch misgaat.

Doel is de continuïteit van ondernemingen waarborgen. En zoals we de afgelopen maanden hebben gezien, valt de continuïteit van ondernemingen in vitale sectoren samen met de continuïteit van onze samenleving. Het functioneren van bedrijven in deze sector is inherent verbonden met het functioneren van onze samenleving. Als kwaadwillende entiteiten erin slagen een bedrijf in vitale sectoren te treffen, ligt er meer op straat dan alleen privégegevens. Dan rijden de treinen niet, gaat het licht niet aan en is er geen internetEen zeer groot openbaar netwerk van samenwerkende computers, vaak verward met het World Wide Web (www). Om dit te voorkomen is op Europees niveau besloten (NIB–richtlijn) dat de lidstaten eenzelfde niveau van netwerk- en informatiebeveiliging moeten hebben en ook moeten voldoen aan internationaal erkende beveiligingsstandaarden.

Terug naar de wet: waar komt deze vandaan? De NIB-richtlijn is geïmplementeerd in de WBNI. Toch is deze wet niet helemaal nieuw; in Nederland kenden wij al een meldplicht voor cybersecurity incidenten, de Wet gegevensverwerking en meldplicht cybersecurity (‘WGMC’). Op 1 oktober 2017 is de WGMC in werking getreden. De meldplicht uit deze wet was pas vanaf 1 mei 2018 verplicht en het belangrijkste doel van de wet was een meldplicht voor vitale aanbieders in geval van een inbreuk op hun informatiesysteem. Op 9 november 2018 is deze wet vervangen door de WBNI. De WBNI brengt naast een meldplicht ook een zorgplicht ten aanzien van beveiligingsmaatregelen voor de Aanbieders van essentiële diensten en digitale dienstverleners met zich mee. De belangrijkste wijziging is dat onder de WBNI nu ook digitale dienstverleners vallen, waaronder bijvoorbeeld cloudcomputerdiensten.

Dubbele boetes

Niet alleen moeten alle gegevens die van A naar B gaan, worden beveiligd – ook is er dus uitdrukkelijk een zorgplicht. Dienstverleners moeten handelen in het belang van de klant en zorgen dat diens gegevens voldoende beveiligd zijn. Om te voldoen aan de wet moet de bestuurstop de koppen bij elkaar steken. Dit is niet een prioriteit van alleen een CFO; hierbij moeten onder anderen de CISO, compliance officer en de Privacy Officer worden betrokken. De focus ligt wat de zorgplicht uit de WBNI betreft op vijf punten: de behandeling van incidenten, de beveiliging van systemen en voorzieningen, het beheer van de bedrijfscontinuïteit, inachtneming van de internationale normstandaarden en toezicht, controle en testen. Deze vijf punten moeten weer nader worden ingevuld aan de hand van de NIB-richtlijn en door bijvoorbeeld de ENISA richtlijnen.

Op dit moment is er nog geen jurisprudentie en zijn er nog geen boetes uitgedeeld. Maar dat zal in de toekomst anders zijn. Aanbieders van essentiële diensten en digitale dienstverleners kunnen miljoenenboetes krijgen. In de eerste plaats is dat mogelijk doordat de WBNI op veel onderdelen geen helderheid schept. Er worden generieke minimumeisen aan de beveiliging van netwerk- en informatiesystemen gesteld, maar nergens staat exact toegelicht waaraan een bedrijf moet voldoen. Het is dus goed mogelijk dat de bedrijven die wel weet hebben van de wet en proberen te voldoen aan de regels, toch falen naar de smaak van de toezichthouders. Ook de (Nederlandse) toezichthouders komen niet met nadere richtlijnen en lijken naar elkaar te kijken voor verdere invulling van deze wet.

In de tweede plaats gaat het om meer partijen: er zijn vier tot vijf toezichthouders (afhankelijk van de sectoren waarin wordt geopereerd) die moeten toezien op naleving van de regels. Hierdoor ontstaat het gevaar op dubbele boetes. Voorbeeld: beveiligingslekken hangen in de praktijk vaak samen met datalekken, waardoor twee verschillende toezichthouders in actie kunnen komen en boetes kunnen opleggen. Er is vaak een algemeen informatiebeveiligingsbeleid, al dan niet gecombineerd met een datalekkenbeleid dat een vereiste is uit de Algemene Verordening Gegevensbescherming (‘AVG’). Het is verstandig om de informatiebeveiliging- en de datalekprocedure nog eens tegen het licht te houden en deze zowel te toetsen aan de WBNI als de AVG.

Wat kan u doen?

Om (dubbele) boetes te voorkomen, moeten ondernemers kunnen aantonen dat zowel vooraf als achteraf de beveiliging aan de eisen uit de WBNI voldeed en voldoet en dat een cybersecurity-incident zo snel mogelijk wordt gemeld. Bedrijven moeten zelf kunnen aantonen welke maatregelen ze hebben genomen en waarom, al dan niet door het inhuren van externe deskundigheid. Beleid moet gedocumenteerd zijn, bekend zijn in de organisatie en worden nageleefd. Periodieke controles moeten worden uitgevoerd, door middel van pentests en audits. Daarnaast wordt er goed aan gedaan de ENISA-richtlijnen te volgen. Bedrijven zijn zelf verantwoordelijk. Dat betekent dat je er geld en tijd en aandacht aan moet besteden en dat moet blijven doen. Het is immers een continue verantwoordelijkheid.

Personeel moet weten wat te doen als er calamiteiten zijn. Het moet algemeen bekend zijn bij wie en bij welke instanties een lek moet worden gemeld. Dit is geen zaak van alleen de IT-afdeling die technisch ingrijpt als de zaken misgaan, maar ook legal en compliance moeten worden betrokken. Het is van belang om regelmatig privacy- en cybertrainingen op de werkvloer te geven. Zo kunnen zij verantwoordelijken herkennen wanneer er sprake is van een digitaal beveiligingsincident en hoe ze in die situatie goed en snel kunnen handelen. Dit is wat de WBNI vereist.

In de afgelopen maanden hebben we kunnen zien hoe economie en samenleving gedestabiliseerd kunnen worden door een virus. Het heeft onze afhankelijkheid van digitale systemen duidelijk gemaakt. Ze hebben ons zonder meer geholpen door de gezondheidszorg, thuiswerken en internetshoppen te faciliteren, maar we zijn ook kwetsbaar omdat de afhankelijkheid van IT en infrastructuur versneld is toegenomen. Laten we hopen dat de voorbije maanden ons bewust maken van de noodzaak tot een goede beveiliging van onze netwerken en informatiesystemen. De wet verlangt het, maar de samenleving ook. Bron: executivefinance.nl

 

  • Nederland ICT