Per 9 november 2018 geldt de Wet beveiliging netwerk- en informatiesystemen (Wbni). De Wbni streeft ernaar de digitale weerbaarheid van Nederland, en in het bijzonder van vitale aanbieders, de rijksoverheid en digitaledienstverleners, te vergroten. Dat doet de wet door aanbieders van essentiële diensten (AED’s) en digitaledienstverleners (DSP’s) te verplichten maatregelen te nemen om hun ICT te beveiligen tegen incidenten (de zogenoemde zorgplicht). Voor ernstige incidenten geldt bovendien een meldplicht. De wet is er daarmee op gericht de gevolgen van cyberincidenten bij die groepen te beperken en zo ook maatschappelijke ontwrichting te voorkomen.
Meer eenheid in beleid
De Wbni volgt op de NIB-richtlijn van de Europese Unie, die moet zorgen voor meer eenheid in beleid over netwerk- en informatiebeveiliging. Vanwege de inhoudelijke samenhang en overlap met de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) is ook die, zonder inhoudelijke wijzigingen, geïncorporeerd in de Wbni.
De Wbni wordt uiteindelijk vervangen door de Cyberbeveiligingswet. De Cyberbeveiligingswet is de Nederlandse implementatie van de Europese NIS2-richtlijn en treedt naar verwachting in het tweede kwartaal van 2026 in werking. De wet verplicht organisaties in kritieke sectoren om aan cybersecurityeisen te voldoen, incidenten te melden en zich te registreren bij het NCSC.
Besluit beveiliging netwerk- en informatiesystemen
Samen met de Wbni treedt op 9 november 2018 ook het Besluit beveiliging netwerk- en informatiesystemen (Bbni) in werking. In het Bbni worden onder meer de vitale aanbieders aangewezen die onder de reikwijdte vallen van de verplichtingen van de Wbni.