Een aantal online dienstverleners zijn tegenwoordig wettelijk verplicht om hun cyber security op orde te hebben. Sinds kort moeten online marktplaatsen, zoekmachines en clouddiensten namelijk passende maatregelen nemen “om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen”. Natuurlijk zit niemand te wachten op een hack of een lek, dus het regelen van je beveiliging is eigenlijk altijd een goed idee. Belangrijk is echter dat de deze nieuwe wetgeving (de Wbni) ook verplicht om cyber security incidenten actief te melden bij bepaalde instanties.
Valt jouw site onder de nieuwe wet?
Online marktplaatsen en zoekmachines zullen zichzelf waarschijnlijk snel herkennen in de nieuwe wet. Voor clouddiensten is dat wat vager. Volgens de overheid gaat het om infrastructure en platform as-a-service (Iaas en Paas), maar ook om SaaS-diensten, zoals “een financieel pakket, online office, etc.”. Dat is natuurlijk vrij breed.
Niet iedereen krijgt overigens te maken met de nieuwe meld- en beveiligingsplicht. De wet geldt grof gezegd niet voor kleine bedrijven (minder dan 50 werknemers en balanstotaal < €10mio).
Ook hoeven niet alle incidenten gemeld te worden. Alleen voor incidenten met ‘aanzienlijke gevolgen’ geldt een meldplicht. De overheid heeft hiervoor een handig schemaatje gemaakt.
Datalekken moesten toch al gemeld worden?
Dit soort regels zijn niet helemaal nieuw. Voor het verwerken van persoonsgegevens gelden vergelijkbare verplichtingen. Qua scope is de Wbni iets breder; deze geldt bijvoorbeeld ook voor partijen/systemen die geen persoonsgegevens verwerken. Belangrijk is vooral dat cyber-incidenten met persoonsgegevens (datalekken) nu niet meer alleen bij de Autoriteit Persoonsgegevens gemeld moeten worden, maar ook bij het CSIRT-DSP.
Kortom: ben je als bedrijf online actief – check even vooraf welke stappen je precies moet nemen voor als er onverhoopt toch iets fout gaat.
Met dank aan Joost Lichtendahl
