+31 (0)20 2060700info@devos.nl
Wetsvoorstel tot wijziging Nederlandse cybersecuritywet Wbni

Wetsvoorstel tot wijziging Nederlandse cybersecuritywet Wbni

Dreigingsinformatie nu ook bij andere aanbieders

Introductie: Hof van Twente

Eind vorig jaar was de gemeente Hof van Twente slachtoffer van een ransomware-aanval. Haar computersystemen waren platgelegd en pas na betaling van losgeld zouden de versleutelde bestanden weer worden vrijgegeven. De hackers zouden via het Remote Desktop Protocol zijn binnengekomen; een functie waarmee het mogelijk is om op afstand de controle over een andere pc over te nemen. De gebrekkige beveiliging van Hof van Twente had in een vroeg stadium met haar kunnen worden gedeeld door het Nationaal Cyber Security Centrum (NCSC), maar dat is uiteindelijk niet gebeurd mede vanwege privacy redenen. Om dergelijke onwenselijke situaties te voorkomen heeft de Minister van Justitie en Veiligheid Ferdinand Grapperhaus een voorstel ingediend tot wijziging van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Hieronder volgt een korte toelichting.

Huidige Wbni: beperkte uitwisseling van informatie

De Wbni is erop gericht de digitale weerbaarheid van Nederland te vergroten, de gevolgen van cyberincidenten te beperken en zo maatschappelijke ontwrichting te voorkomen. Op grond van de Wbni moeten onder meer ‘vitale aanbieders’ (zoals bijv. drinkwaterbedrijven) ernstige IT-incidenten melden bij het NCSC. Een van de hoofdtaken van het NCSC is dat zij die vitale aanbieders helpt bij het treffen van de juiste maatregelen om de continuïteit van hun diensten te waarborgen en hen te informeren en te adviseren over dreigingen en incidenten ten aanzien van hun netwerk- en informatiesystemen. Daarnaast mag het NCSC bepaalde dreigingsinformatie over andere aanbieders delen met een beperkte kring van organisaties (zijnde de CSIRT’s, de AIVD, de MIVD en bepaalde aangewezen computercrisisteams).

Op grond van de huidige Wbni kan het NCSC dus dreigings- of incidentinformatie alleen rechtstreeks delen met vitale aanbieders of bepaalde organisaties. Dat dergelijke informatie niet ook met andere aanbieders kan worden gedeeld (zoals bijvoorbeeld verstrekking aan het Hof van Twente), is onder meer gelegen in het feit dat de data waarover het NCSC beschikt vaak ook bestaat uit persoonsgegevens (bijv. IP-adressen en e-mail adressen). Op grond van de AVG mag die data niet zomaar door het NCSC worden verstrekt aan derde partijen, en de huidige Wbni geeft hiervoor ook (nog) geen wettelijke grondslag.

De huidige Wbni maakt het bovendien onmogelijk dat de NCSC vertrouwelijke gegevens die kunnen worden herleid tot een aanbieder, deelt met organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over digitale dreigingen en incidenten (‘OKTT’s’). Hierdoor kunnen aanbieders in de doelgroepen van deze OKTT’s niet altijd beschikken over de voor hen relevante informatie over IT-dreigingen of incidenten.

Wetswijziging Wbni

Met het wetsvoorstel wordt de Wbni onder meer aangepast zodanig dat:

  • I. in bijzondere gevallen dreigings- en incidentinformatie rechtstreeks kan worden gedeeld met andere aanbieders (die geen vitale aanbieders zijn of onderdeel van de rijksoverheid);
  • II. zonder instemming van andere aanbieders, vertrouwelijke gegevens die kunnen worden herleid tot die andere aanbieders (zoals namen) kunnen worden verstrekt aan OKTT’s.

Hierdoor kan het NCSC in bijzondere gevallen (waarbij telkens aan de AVG zal worden getoetst) ook rechtstreeks informatie verstrekken aan andere aanbieders, zodat die partijen (tijdig) concrete maatregelen kunnen treffen om de continuïteit van hun eigen dienstverlening te waarborgen. Daarnaast worden ook OKTT’s in staat gesteld om vertrouwelijke tot aanbieders herleidbare informatie te ontvangen van het NCSC, en op basis daarvan de aanbieders in hun doelgroepen te informeren over voor hen relevante incidenten of dreigingen.

Hierdoor wordt de digitale weerbaarheid van de Nederlandse samenleving verder vergroot, reden waarom ik de voorgestelde wijziging van de Wbni alleen maar kan toejuichen. Hopelijk wordt Wbni 2.0 snel realiteit.

Meer weten over de cybersecurity regelgeving? Lees dan mijn andere artikelen over dit onderwerp en/of stuur mij een bericht (jhulsebosch@devos.nl).

Geschreven door

Jasper Hulsebosch

Partner

 
Maak een afspraak

Deel dit bericht



Laatste nieuws

23-07-2021 - door

Update Huurkorting vanwege de coronacrisis

In februari van dit jaar heb ik een [artikel](https://www.de... Lees meer

Copyright/Disclaimer © 2017 by De Vos & Partners N.V., Amsterdam, Nederland. All rights reserved. Website by Omelette Du Fromage