Digitaledienstverleners en aangewezen aanbieders van essentiële diensten in de sectoren energie en digitale infrastructuur moeten aan de Wet beveiliging netwerk- en informatiesystemen voldoen. Ze moeten maatregelen nemen om incidenten te voorkomen en incidenten met aanzienlijke gevolgen melden. Agentschap Telecom is vanaf 9 november 2018 toezichthouder op deze wet.

Voor wie geldt de Wet beveiliging netwerk- en informatiesystemen

Het gaat om organisaties die de volgende diensten aanbieden:

Essentiële diensten

U bent een aanbieder van essentiële diensten als u een dienst aanbiedt die van essentieel belang is voor instandhouding van kritieke maatschappelijke en/of economische activiteiten. Aanbieders voor wie dit geldt ontvangen daarover bericht van het ministerie 

Digitale diensten

De Wet beveiliging netwerk- en informatiesystemen geldt ook voor digitaledienstverleners.Dit zijn aanbieders van onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten die voldoen aan onderstaande voorwaarden.

Check of uw bedrijf onder de Wbni valt.

Zorgplicht: incidenten voorkomen en maatregelen nemen

Aanbieders van essentiële diensten en digitaledienstverleners moeten passende en evenredige technische en organisatorische maatregelen nemen om hun ICT te beveiligen. Verder nemen zij passende maatregelen om incidenten te voorkomen en, als zich toch incidenten voordoen, de gevolgen daarvan zo veel mogelijk te beperken.

Meldplicht: incidenten melden

Verder melden aanbieders van essentiële diensten en digitaledienstverleners incidenten met aanzienlijke gevolgen bij Agentschap Telecom en het CSIRT. Voor essentiële diensten is het NCSC het CSIRT. Digitaledienstverleners schakelen het CSIRT-DSP in. De meldplicht geldt voor digitaledienstverleners vanaf 9 november 2018. Voor aanbieders van essentiële diensten vormt de aanwijzing het startmoment.

Europese richtlijnen

De Wet beveiliging netwerk- en informatiesystemen is de vertaling van de Europese Netwerk- en Informatiebeveiliging Richtlijn, de NIB-Richtlijn. Deze richtlijn maakt Europa digitaal veiliger door de digitale weerbaarheid te vergroten en de gevolgen van cyberincidenten te verkleinen. Alle Europese lidstaten nemen daarom in nationale wetgeving verplichtingen op rond cybersecurity en de continuïteit van dienstverlening. In de richtlijn staan definities en bepalingen waar in de Wbni naar verwezen wordt.

Toezicht en handhaving

Agentschap Telecom houdt toezicht op de zorgplicht en meldplicht. Aanbieders van essentiële diensten vallen onder een actief toezichtbeleid: er vinden geplande inspecties plaats gericht op opzet, bestaan en werking van het risicomanagementproces en het treffen van passende beheersingsmaatregelen. Voor digitaledienstverleners geldt reactief toezicht. Inspecties vinden plaats op basis van signalen en incidenten. Graag gaan wij in het toezicht vroegtijdig en open het gesprek aan. Zo worden verwachtingen duidelijk en weet u waar u aan toe bent. Agentschap Telecom heeft net als andere toezichthouders bij de uitvoering van het toezicht diverse bevoegdheden, zoals het (laten) uitvoeren van een beveiligingsaudit. Ook heeft Agentschap Telecom de mogelijkheid om handhavend op te treden.

Zie ook