top

Voorkom een boete op grond van de Wbni

  /  Nieuws   /  Voorkom een boete op grond van de Wbni
Een dief die persoonlijke informatie probeert te stelen vanaf een computerscherm (wbni)

Voorkom een boete op grond van de Wbni

In dit blog geven we aan hoe je een boete op grond van de Wet beveiliging netwerk- en informatiesystemen (Wbni) kan voorkomen.

Eind mei 2018 stond bijna heel Nederland op zijn kop vanwege de inwerkingtreding van de Algemene Verordening Gegevensbescherming (“AVG”). Begin november 2018 hoorde je echter niemand over de Wet beveiliging netwerk- en informatiesystemen (“Wbni”), ook wel Cybersecuritywet genoemd. Dat terwijl de potentiele boetes bij overtreding van de Wbni toch echt in de miljoenen kunnen lopen.

Wat is de Wbni / cybersecuritywet?

De Wbni is de Nederlandse implementatie van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (de “NIB-Richtlijn”). Wbni is van toepassing op aanbieders van vitale diensten (denk aan energieleveranciers, luchtvaartmaatschappijen, banken, ziekenhuizen, drinkwaterbedrijven) en op digitale dienstverleners. Digitale dienstverleners (ook wel Digital Service Providers genoemd) zijn aanbieders van clouddiensten (SaaS/PaaS/IaaS-leveranciers), online zoekmachines en online marktplaatsen, met minimaal 50 medewerkers en/of meer dan € 10 miljoen jaaromzet.

De vitale en digitale aanbieders die onder de reikwijdte van de Wbni vallen, hebben een (dubbele) meldplicht en een zorgplicht.

De zorgplicht op grond van de Wbni

De zorgplicht houdt in dat passende technische en organisatorische maatregelen moeten worden genomen om risico’s voor de beveiliging van ICT-systemen te kunnen beheersen. De gevolgen van Cyberincidenten moeten worden verkleind. Dit betekent effectief dat IT security systemen moeten worden gemonitord en up-to-date gehouden. Ook is een actieplan nodig voor het geval het toch fout gaat. De bedoeling is dat in dit kader wordt aangesloten bij internationale standaarden en normenkaders, zoals ISO 27001 en 27002. Als niet goed aan de Wbni zorgplicht wordt voldaan, ontstaat het risico van een forse geldboete.

Wbni meldplicht

De meldplicht houdt in dat cyberincidenten dan wel datalekken op netwerk- en informatiesystemen onverwijld moeten worden gemeld. Digitale aanbieders moeten dit melden bij de toezichthouder Agentschap Telecom (“AT”) én bij het Computer Security Incident Response Team (“CSIRT”). Beide organisaties zijn onderdeel van het Ministerie van Economische Zaken en Klimaat. Aanbieders van vitale diensten dienen cyberincidenten te melden bij het Nationaal Cyber Security Centrum (“NCSC”), onderdeel van het Ministerie van Justitie en Veiligheid, én, afhankelijk van de toepasselijke sector, bij de bevoegde autoriteit (bijv. De Nederlandsche Bank voor het bankwezen of Inspectie Gezondheidszorg en Jeugd voor de gezondheidszorg). Indien er tevens sprake is van een datalek met waarschijnlijke privacy risico’s voor de personen wiens gegevens het betreft, dient het beveiligingsincident op grond van de AVG ook te worden gemeld bij de Autoriteit Persoonsgegevens.

Niet ieder incident hoeft te worden gemeld. Voor de vitale aanbieder geldt dat alleen incidenten of beveiligingsinbreuken – ongeacht de oorzaak – die, conform geldende drempelwaarden, aanzienlijke gevolgen voor de continuïteit van de aangeboden dienst kunnen hebben, moeten worden gemeld. Denk bijvoorbeeld aan het uitvallen van IC-capaciteit.

Een melding van een cyberincident dient in ieder geval de volgende gegevens te bevatten:

i. de aard en omvang van het incident;
ii. het vermoedelijke tijdstip van de aanvang van het incident;
iii. de mogelijke gevolgen in en buiten Nederland van het incident;
iv. een prognose van de hersteltijd;
v. zo mogelijk, de door de aanbieder genomen of te nemen maatregelen om de gevolgen van het incident te beperken of herhaling hiervan te voorkomen;
vi. de contactgegevens van de functionaris die verantwoordelijk is voor het doen van de melding.

Vanwege de verplichting om cybermeldingen (en datalekken) bij mogelijk meerdere instanties te moeten doen, is het verstandig om direct juridisch advies in te winnen.

Risico bij niet-naleving Wbni

Indien de vitale of digitale aanbieder niet voldoet aan de vereisten uit de Wbni, kan de ‘bevoegde autoriteit’ een bestuurlijke boete van maximaal € 5 miljoen (!) opleggen.

Indien er melding is gedaan van een incident kan de bevoegde autoriteit, na raadpleging van de ICT aanbieder, deze melding openbaar (laten) maken indien publieke bewustwording nodig is om een incident te voorkomen of een lopend incident te beheersen.

Tot op heden zijn er nog geen geldboetes opgelegd, maar in een tijd waarin digitalisering in opmars is en de dreiging van cybercriminaliteit aan de orde van de dag, is een proactieve houding van vitale en digitale aanbieders om hun cybersecurity maatregelen up-to-date te houden, noodzakelijk.

Tips: wat te doen om de continuïteit van IT systemen te waarborgen en boetes te voorkomen?

Tip 1

De Wbni richt zich op het beschermen van de continuïteit van netwerken en informatiesystemen. Het is daarom van essentieel belang om aandacht te besteden aan Business Continuity Management. Veelal wordt een algemeen geformuleerd informatiebeveiligingsbeleid gehanteerd, al dan niet gecombineerd met een datalekkenbeleid conform de AVG. In het licht van de Wbni verplichtingen is het raadzaam om deze beleidsstukken nog eens te beoordelen en te toetsen aan het wettelijk kader.

Tip 2

Vanuit technisch perspectief zijn o.a. de volgende kernvragen van belang: is er binnen de organisatie een goed beeld van de hard- en software die wordt gebruikt en sturen leveranciers actuele informatie over kwetsbaarheden en updates? Worden netwerken binnen de organisatie gescheiden zodat malware zich moeilijker kan verspreiden? Worden er back-ups van data gemaakt? Is er een ‘fall back scenario’ aanwezig voor het geval zich toch een cyberincident voordoet? Het antwoord op deze vragen moet eigenlijk al vast liggen in het informatiebeveiligingsbeleid.

Tip 3

Minstens zo belangrijk is om het beleid daarnaast ook in de praktijk te toetsen, bijvoorbeeld door pentesten uit te voeren, beveiligingsincidenten te ‘oefenen’ en personeel te trainen. Weten zij een netwerk- of informatiebeveiligingsincident te signaleren en wat de interne (meldings)procedure is in geval van een dergelijk incident?

Juridisch advies nodig over de Wbni? Neem contact op met IT Advocaat Chantal Bakermans via email (c.bakermans@penrose.law) of telefonisch (020-2400710).

Advocatenkantoor Penrose, Amsterdam.

Anderen zochten ook naar: