Cybersecuritywet naar Tweede Kamer

Vandaag is het voorstel voor de Cybersecuritywet naar de Tweede Kamer gestuurd. In de Cybersecuritywet wordt de Europese NIB-richtlijn omgezet naar Nederlands recht. Het doel is dat lidstaten hun digitale weerbaarheid verbeteren en beter met elkaar samenwerken, zodat Europa digitaal veiliger wordt.

Nu zijn de verschillen tussen de lidstaten nog te groot met als gevolg dat burgers en bedrijven in Europa niet op hetzelfde niveau beschermd zijn tegen cyberincidenten. Ook schort het aan de uitwisseling van informatie over dreigingen en incidenten. De NIB-richtlijn moet dit verbeteren.

De wet in de praktijk

In de praktijk betekent dit dat aanbieders van essentiële diensten zoals drinkwaterbedrijven, energiebedrijven en banken verplicht worden adequate maatregelen te nemen tegen digitale inbreuken van buitenaf. Doet zich toch een cyberincident voor, dan wordt verwacht dat zij techniek en organisatie goed op orde hebben om de situatie snel onder controle te kunnen brengen en de gevolgen daarvan zo veel mogelijk te beperken.

De huidige meldplicht die per 1 januari 2018 is ingevoerd in Nederland zal onder de Cybersecuritywet worden uitgebreid. Op termijn zullen toezichthouders (voor de banken bijvoorbeeld De Nederlandsche Bank) toezien op de naleving van de beveiligingseisen en zo nodig ook sancties opleggen. Het NCSC zal dezelfde rol blijven vervullen als op dit moment; het waarschuwen voor cyberrisico’s en het bieden van hulp en bijstand bij cyberincidenten in de vitale sectoren en het Rijk.

De Cybersecuritywet zal straks ook gaan gelden voor aanbieders van onlinemarktplaatsen, cloudcomputerdiensten en onlinezoekmachines. Het is nog niet bekend welke instantie voor die aanbieders het CSIRT wordt.

Wat gebeurt er met de Wgmc?

De huidige Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) wordt opgenomen in de nieuwe Cybersecuritywet. Hoewel de Wgmc al verplicht tot het melden van ernstige cyberincidenten, voldoet Nederland daarmee maar voor een deel aan de NIB-richtlijn. Nu zijn dus de meldplicht bij de toezichthouder, de beveiligingseisen en de sancties die de toezichthouder kan opleggen toegevoegd.