Vitale aanbieders

Vitale aanbieders zijn partijen die een dienst aanbieden waarvan de continuïteit van vitaal belang is voor de Nederlandse samenleving.

De vakdepartementen zijn beleidsmatig verantwoordelijk voor de vraag welke aanbieders beschouwd moeten worden als vitaal. Vitale aanbieders worden door het vakdepartement hierover geïnformeerd.

De meeste vitale aanbieders worden in of op grond van het Besluit beveiliging netwerk- en informatiesystemen (Bbni) aangewezen als aanbieder van een essentiële dienst (AED) of als aanbieder van een andere dienst waarvan de continuïteit van vitaal belang is voor de Nederlandse samenleving (‘andere aangewezen vitale aanbieder’, AAVA).

Rechten

Alle vitale aanbieders, ook als zij niet zijn aangewezen als AED of AAVA, hebben op grond van de Wet beveiliging netwerk- en informatiesystemen (Wbni) recht op:

  • Bijstand van het Nationaal Cyber Security Centrum (NCSC) bij het treffen van maatregelen om de continuïteit van hun diensten te waarborgen of te herstellen;
  • Informatie en adviezen van het NCSC over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen.

Plichten

AED’s en AAVA’s hebben naast deze rechten ook plichten op grond van de Wbni. AAVA’s hebben naast de bovenstaande rechten de plicht:

  • Incidenten met aanzienlijke gevolgen voor de continuïteit van de door hen verleende dienst direct te melden aan het NCSC;
  • Inbreuken op de beveiliging van netwerk- en informatiesystemen die aanzienlijke gevolgen kunnen hebben (‘bijna-ongelukken’) voor de continuïteit van de verleende dienst direct te melden aan het NCSC.

AED’s hebben naast bovenstaande rechten en plichten de plicht:

  • Incidenten met aanzienlijke gevolgen voor de continuïteit van de dienstverlening bij de sectorale toezichthouder te melden;
  • Passende technische en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen;
  • Passende maatregelen te treffen om incidenten te voorkomen die de beveiliging aantasten van de voor de verlening van de dienst gebruikte netwerk- en informatiesystemen. Daarnaast hebben ze de plicht de gevolgen van dergelijke incidenten zo veel mogelijk te beperken.

Aanwijzing AED’s en AAVA’s

De vakdepartementen doen een voorstel tot aanwijzing van AED’s en AAVA’s. De aanwijzing zelf gebeurt in het Bbni of in een besluit op grond van het Bbni.

Drempelwaarden meldplichtincidenten en manier van melden

De drempelwaarden voor de verplichting om incidenten te melden (wanneer heeft een incident ‘aanzienlijke gevolgen’?) worden vastgelegd in afstemming met de bevoegde autoriteiten en na overleg met de sector. Een melding moet worden gedaan op de manier zoals het NCSC, respectievelijk de sectorale toezichthouder, die aangeeft.