Veel van ons leven en werk speelt zich af in de digitale wereld. Omdat de digitale veiligheid van onze samenleving en economie steeds vaker onder druk staat, heeft de Europese Unie (EU) de NIS2-richtlijn vastgesteld. Deze richtlijn is de opvolger van de NIS1-richtlijn. De NIS2-richtlijn heeft tot doel om een hoog gemeenschappelijk niveau van cyberbeveiliging in de EU te bereiken.
In Nederland wordt de NIS2-richtlijn geïmplementeerd met de Cyberbeveiligingswet. Op het moment dat de Cyberbeveiligingswet in werking treedt, vervangt deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). Tegelijkertijd loopt ook de implementatie van de Critical Entities Resilience Directive (CER-richtlijn), die wordt geïmplementeerd in de Wet weerbaarheid kritieke entiteiten (Wwke). De wetten gaan tegelijkertijd in.
Wacht niet af, maar ga nu al aan de slag
De Rijksoverheid adviseert organisaties om niet af te wachten totdat de Cyberbeveiligingswet inwerking treedt. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Met de tien zorgplichtmaatregelen uit de Cyberbeveiligingswet kunnen organisaties al stappen zetten.
Weten waar organisaties terecht kunnen met vragen, meldingen of incidenten? Bekijk de Cyberbeveiligingswet doorverwijsboom voor een uitgebreid overzicht van de verantwoordelijke ministeries, CSIRTS en toezichthouders per sector.
Wat zijn de belangrijkste onderdelen van de wet?
Audiodescriptie: Animatie
Wet weerbaarheid kritieke entiteiten, de Wwke.
Sommige diensten zijn cruciaal voor het
goed functioneren van onze maatschappij.
Zoals energie, drinkwater en de gezondheidszorg.
Organisaties die kritiek zijn voor deze dienstverlening
moeten weerbaar zijn tegen uiteenlopende dreigingen en risico’s.
Denk aan terrorisme, sabotage, een pandemie of natuurrampen.
Daarom heeft de Europese Unie de CER-richtlijn,
Critical Entities Resilience, aangenomen.
In Nederland zetten we deze richtlijn om in een nationale wet,
de Wet weerbaarheid kritieke entiteiten,
de Wwke.
Kritieke entiteiten zijn organisaties of bedrijven waarbij
een incident aanzienlijke verstorende effecten kan hebben
op de verlening van de essentiële diensten.
Denk bijvoorbeeld aan diensten van zorgaanbieders,
luchthavens, kredietinstellingen en energieleveranciers.
In eerste instantie vallen elf sectoren onder deze wet.
Zoals transport, digitale infrastructuur,
en de productie, verwerking en distributie van levensmiddelen.
Ministeries kunnen op een later moment
ook aanvullende sectoren aanwijzen.
Ten minste elke vier jaar worden de volgende stappen doorlopen:
Het ministerie van Justitie en Veiligheid stelt
samen met de betrokken ministeries
een nationale uitvoeringsstrategie op
over de weerbaarheid van kritieke entiteiten.
Vervolgens voert het verantwoordelijk ministerie
een risicobeoordeling voor de sector uit
en wijst op basis van criteria uit de wet de ‘kritieke entiteiten’ aan.
De resultaten van de risicobeoordeling worden
gedeeld met de aangewezen kritieke entiteiten,
zodat zij deze kunnen gebruiken bij
het uitvoeren van de eigen risicobeoordeling.
De kritieke entiteiten worden uiterlijk één maand
na de inwerkingtreding van de wet aangewezen.
Vervolgens wordt ten minste om de vier jaar gekeken
of er aanleiding is om andere entiteiten als kritiek aan te wijzen.
Na aanwijzing hebben kritieke entiteiten 10 maanden
de tijd om aan de verplichtingen van de wet te voldoen.
Een van die verplichtingen is een zorgplicht.
Dat betekent dat zij passende maatregelen moeten nemen
om verstorende incidenten te voorkomen,
de impact te beperken en snel ervan te herstellen.
Denk aan plannen maken voor crisisbeheersing
of maatregelen nemen voor toegangsbeveiliging.
Kritieke entiteiten doen dit
op basis van een eigen risicobeoordeling.
Daarnaast hebben ze een meldplicht.
Een aanzienlijke verstoring van hun essentiële dienst
moet door de kritieke entiteit binnen 24 uur
gemeld worden in een meldportaal van de overheid.
Elk verantwoordelijk ministerie wijst een toezichthouder aan
die controleert op de naleving van de verplichtingen
die gelden voor kritieke entiteiten.
De wet regelt ook dat kritieke entiteiten
door de overheid worden ondersteund
bij het verhogen van hun weerbaarheid.
Die ondersteuning kan bestaan uit informatie-uitwisseling,
het bieden van methodieken
en weerbaarheid-verhogende instrumenten.
Ook kunnen kritieke entiteiten ondersteuning krijgen
als er een incident plaatsvindt.
Kritieke entiteiten moeten niet alleen weerbaar zijn
tegen fysieke dreigingen en risico’s,
maar óók beschermd zijn tegen digitale dreigingen en risico’s.
Daarom zijn zij verplicht om te voldoen
aan de verplichtingen uit de Cyberbeveiligingswet.
Zo wordt onze kritieke infrastructuur
zo goed mogelijk beschermd.
Wil je meer weten over de
Wet weerbaarheid kritieke entiteiten?
Ga naar www.nctv.nl/wwke
Beeld: © NCTV