Aanbieders van vitale onderdelen van de ict-infrastructuur worden verplicht aan een minimaal beveiligingsniveau te voldoen. Minister Grapperhaus (Justitie en Veiligheid) gaat hiertoe de Wet beveiliging netwerk- en informatiesystemen (Wbni) wijzigen.
Dat meldt de bewindsman in een brief aan de Tweede Kamer.
De Wbni is de Nederlandse interpretatie van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (de NIB-Richtlijn), die voor meer eenheid in beleid over netwerk- en informatiebeveiliging moet zorgen. Ook digitale dienstverleners, zoals clouddiensten, online-zoekmachines en online-marktplaatsen, vallen hieronder.
Momenteel geldt voor een aantal vitale aanbieders slechts een meldplicht van ernstige incidenten bij het Nationaal Cybersecurity Centrum (NCSC). Bij een deel van deze vitale aanbieder ontbreken de zorgplicht of het toezicht daarop. Grapperhaus wil nu ook deze groep onder het volledige regime van de Wbni brengen. Ze moeten aan de zorgplicht en daarmee aan een algemeen basisniveau van beveiligingsdoelen voldoen. Deze organisaties worden verplicht hun ict-infrastructuur tegen aanvallen en incidenten te beveiligen.
Citrix
De minister trekt ook lessen uit de Citrix-problematiek. Digitale incidenten bij organisaties zoals universiteiten en ziekenhuizen hebben aangetoond dat kwetsbaarheden een grote impact kunnen hebben. Grapperhaus: ‘Begin dit jaar heeft de Citrix-problematiek ons in de praktijk laten zien hoe groot de noodzaak is om aanvullende maatregelen te nemen.’
Uit de Citrix-evaluatie blijkt dat de beveiligingsadviezen niet in alle gevallen de organisaties buiten de primaire doelgroepen van het NCSC bereikten. Evenmin was duidelijk wat de verschillende verantwoordelijkheden binnen het stelsel zijn. Volgens Grapperhaus moet voor alle sectoren duidelijk zijn welke basismaatregelen zij minimaal moeten nemen. Ook dient helder te zijn bij welke sectorale cybersecurity-organisatie zij terecht kunnen voor actuele informatie in geval van incidenten.
De minister schrijft: ‘Dit vraagt om een actievere houding van alle betrokken organisaties en een sterker bewustzijn van de verschillende rollen en verantwoordelijkheden binnen het stelsel.’
Landelijk dekkend stelsel
Daarom komt er een landelijk dekkend stelsel (LDS) van cybersecurity samenwerkingsverbanden. Hierin wordt ingegaan op de verschillende rollen binnen het stelsel en de verantwoordelijkheid van het NCSC en de sectorale cybersecurity-organisaties bij het doorgeleiden van beveiligingsadviezen. Betrokken organisaties moeten bepaalde vertrouwelijke informatie ook doorgeleiden aan doelgroep-organisaties. Tussen de sectorale cybersecurity-organisaties en het NCSC worden hierover aanvullende afspraken gemaakt.