Agentschap Telecom heeft een nieuwe Wbni-zelftest voor digitale dienstverleners (DSP’s). Die test beantwoordt twee vragen: val ik onder de Wet beveiliging netwerk- en informatiesystemen en voldoe ik aan de zorgplicht?
De zelftest helpt Nederland digitaal veiliger te maken en de gevolgen van cyberincidenten te verkleinen. AT gebruikt de test om algemene trends en ontwikkelingen in de sector in kaart te brengen. Dit gebeurt zonder verzamelen van individuele bedrijfsgegevens.
Digitale dienstverleners en aanbieders van essentiële diensten vallen in het kader van de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) onder toezicht van Agentschap Telecom. Om bedrijven inzicht te geven of zij onder de wet vallen, is er nu deze self-assessment tool.
Met deze zelftest kunnen digitale dienstverleners bepalen of ze onder de Wbni vallen. Daarnaast krijgen bedrijven die de vragen invullen een goede indicatie in hoeverre de door hun getroffen maatregelen voor informatiebeveiliging voldoen aan de doelstellingen van de Wbni-zorgplicht.
Digitale weerbaarheid
De wet moet zorgen voor een digitaal veiliger Nederland door de digitale weerbaarheid te vergroten en de gevolgen van cyberincidenten te verkleinen. De Wbni is de Nederlandse implementatie van de Europese NIS-richtlijn (2016/1148), aangevuld met de NIS Uitvoeringsverordening (2018/151).
Deze wet is van toepassing op ‘digitale dienstverleners’ (Digital Service Provider, ofwel DSP) zoals clouddienstverleners, online marktplaatsen en online zoekmachines. Ook geldt de Wbni voor bedrijven die de overheid aanwijst als ‘aanbieder van essentiële diensten’ (AED). Deze AED’s zijn van vitaal belang voor de continuïteit van de Nederlandse samenleving. Het gaat dan bijvoorbeeld om energiebedrijven.
Agentschap Telecom houdt toezicht op bedrijven die vallen onder de Wbni. Deze bedrijven zijn verplicht ‘passende en evenredige’ maatregelen te nemen om incidenten te voorkomen (Zorgplicht) en incidenten met aanzienlijke gevolgen te melden (Meldplicht).
Met de self-assessment bepalen bedrijven op eenvoudige wijze:
- of ze een digitale dienstverlener zijn en de Wbni-zorgplicht en meldplicht op de organisatie van toepassing is
- of een verstoring van de dienstverlening aanzienlijke gevolgen heeft – en waar de organisatie dit (in het kader van de Wbni) moet melden
- of de getroffen beveiligingsmaatregelen passen bij de beveiligingsdoelstellingen van de Wbni
- of de organisatie onder toezicht valt van Agentschap Telecom
Als aanvulling op elke vraag is er een toelichting. In deze toelichting staat welke wettekst op het specifieke onderdeel (uit de vraag) van toepassing is. Ook is er duidelijke uitleg wat een digitale dienstverlener kan doen om alsnog te voldoen aan de wettelijke eisen.
Lees ook:
- AT wordt Nationale Cybersecurity certificeringsautoriteit (NCCA)
- Dataprotectie in 2022: 9 op 10 bedrijven heeft gegevensbeveiliging niet op orde
