Cybersecurity

Takeaway 1: Een grote groep entiteiten kwalificeert als belangrijk of essentieel en valt dus onder de Cbw

Essentiële entiteiten zijn naast gekwalificeerde verleners van vertrouwensdiensten, aanbieders van registers voor topleveldomeinnamen, DNS-dienstverleners, middelgrote + grote (volgens de definities voor kleine, middelgrote en micro-ondernemingen van Aanbeveling 2003/361 van de Europese Commissie, de “KMO-definitie”) aanbieders van openbare elektronische communicatienetwerken en -diensten vooral:

1. Bepaalde grote (volgens de KMO-definitie) of door de betrokken Minister aangewezen entiteiten in de sectoren: Energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten en overheid.
2. De Ministeries en daartoe behorende dienstonderdelen, met uitzondering van de inlichtingen- en veiligheidsdiensten.
3. Provincies, gemeenten en waterschappen.
4. Zelfstandige bestuursorganen van de centrale overheid en openbare lichamen, gemeenschappelijke organen en bedrijfsvoeringsorganisaties als bedoeld in de Wet gemeenschappelijke regelingen die kwalificeren als ‘overheidsinstantie’.
5. Kritieke entiteiten als bedoeld in Wwke.
6. Daartoe aangewezen partijen die al waren aangewezen als aanbieder van een essentiële dienst als bedoeld in de Wbni.

Belangrijke entiteiten zijn vooral:

1. Bepaalde middelgrote (volgens de KMO-definitie) entiteiten in de hiervoor bij essentiële entiteiten genoemde sectoren.
2. Bepaalde middelgrote en grote (volgens de KMO-definitie) entiteiten die zich bezighouden met of behoren tot de sector: post- en koeriersdiensten, afvalstoffenbeheer, chemische stoffen (vervaardiging, productie en distributie), levensmiddelen (productie, verwerking en distributie), digitale aanbieders, onderzoek, ruimtevaart en vervaardiging van bepaalde producten.
3. Bepaalde micro en kleine (volgens de KMO-definitie) aanbieders van openbare elektronische communicatienetwerken en –diensten.
4. Micro en kleine (volgens de KMO-definitie) aanbieders van vertrouwensdiensten.

Daarnaast kan de Minister van OC&W instellingen voor hoger onderwijs aanwijzen als belangrijke of essentiële entiteit.

Voor de omvang van een entiteit (micro, klein, middelgroot of groot) wordt ook gekeken naar verbonden ondernemingen. Verder wordt voor de omvang gekeken naar de entiteit (en verbonden ondernemingen) als geheel en niet alleen naar de activiteit die onder het bereik van de Cbw valt.

Takeaway 2: Entiteiten die onder de Cbw vallen hebben een zorgplicht ten aanzien van de cyberbeveiliging van hun organisatie

Belangrijke en essentiële entiteiten moeten technische, operationele en organisatorische maatregelen nemen om risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheersen, incidenten te voorkomen en gevolgen van incidenten te beperken.

Deze maatregelen moeten passend zijn gelet op onder meer de stand van de techniek en evenredig gelet op onder meer de uitvoeringskosten, de omvang van de entiteit, de mate van risico en kans op en ernst van mogelijke incidenten. De maatregelen omvatten in ieder geval beleid, processen, procedures en/of rolverdeling voor risicoanalyse, de beveiliging van informatiesystemen, incidentbehandeling, bedrijfscontinuïteit, de beveiliging van de toeleveringsketen en bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, het beoordelen van de effectiviteit van maatregelen voor het beheersen van cyberbeveiligingsrisico’s, basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging, het gebruik van cryptografie en encryptie, beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van assets, wanneer gepast: het gebruik van multifactor-authenticatie- of continue authenticatieoplossingen en beveiligde communicatie en noodcommunicatiesystemen.

De zorgplicht wordt nader uitgewerkt in (algemeen) het cyberbeveiligingsbesluit (Cbb) en (per sector) ministeriële regelingen. In het concept voor de Cyberbeveiligingsregeling sector overheid (niet van toepassing op de waterschappen, daarvoor geldt de Cyberbeveiligingsregeling IenW)) is bijvoorbeeld opgenomen dat entiteiten de beheersmaatregelen van NEN-EN-ISO/IEC 27002:2022 en de overheidsmaatregelen van de Baseline Informatiebeveiliging Overheid 2 (BIO2), voor zover deze zien op de beveiliging van netwerk- en informatiesystemen en niet in de BIO2 zijn uitgezonderd, moeten toepassen en dat deze in opzet, bestaan en werking aantoonbaar moeten zijn.

Takeaway 3: Naleving van de Cbw is een bestuursaangelegenheid

De hiervoor bedoelde maatregelen vereisen goedkeuring van het bestuur en zijn een bestuursverantwoordelijkheid. Iedere persoon die direct of indirect lid is van het bestuur moet binnen 2 jaar (vanaf inwerkingtreding Cbw of aanstelling) beschikken over kennis en vaardigheden om de risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen identificeren, risicobeheersmaatregelen op het gebied van cyberbeveiliging te kunnen beoordelen en de gevolgen van de risico’s en risicobeheersmaatregelen voor de diensten die door de entiteit worden verleend te kunnen beoordelen. Deze kennis en vaardigheden moeten actueel gehouden worden en worden aangetoond door middel van certificaten.

Takeaway 4: Er worden Computer security incident response team’s (CSIRT’s) ingericht voor monitoring, reactie op incidenten en preventie en er komen bevoegde autoriteiten voor toezicht en handhaving

Per entiteit/(sub)sector wordt een Computer security incident response team (CSIRT) aangewezen, met taken op het gebied van monitoring, reactie op incidenten en preventie van incidenten. In het algemeen wordt de Minister van Justitie en Veiligheid (via het Nationaal Cyber Security Centrum) aangewezen, maar er zijn sectorale uitzonderingen mogelijk.

Voor entiteiten in de sector zorg wordt de Stichting ZCERT aangewezen als CSIRT, voor gemeenten en gemeenschappelijke regelingen waar gemeenten aan deelnemen wordt de Informatiebeveiligingsdienst van VNG Realisatie B.V. aangewezen als CSIRT en voor waterschappen is het voornemen om CERT-WM aan te wijzen als CSIRT.

Er is per sector een bevoegde autoriteit die verantwoordelijk is voor het toezicht op de naleving van en handhaving van de Cbw. Deze bevoegdheid is belegd bij een aantal Ministers (BZK, EZ, Fin, I & W, KGG, LNV en VWS) die ieder verantwoordelijk zijn voor één of meer (sub-)sectoren.

Takeaway 5: Entiteiten die onder de Cbw vallen moeten significante incidenten met betrekking tot cyberbeveiliging onverwijld melden bij hun CSIRT en bevoegde autoriteit

Er geldt een meldplicht voor significante incidenten. Een significant incident is een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar brengt en die een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken of die andere entiteiten heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken. Bij ministeriële regeling kunnen (per sector/soort entiteit) criteria (parameters) worden vastgesteld om te bepalen of een incident significant is.

Bij significante incidenten moeten worden gemeld aan het CSIRT en de bevoegde autoriteit. Er moet eerst onverwijld en als dat niet mogelijk is binnen 24 uur na ontdekken een vroegtijdige waarschuwing worden gedaan en daarna onverwijld en als dat niet mogelijk is binnen 72 uur na ontdekken de inhoudelijke melding. Binnen 1 maand na melding (of als het incident nog loopt, na afloop van het incident) moet een eindverslag worden opgeleverd.

Significante incidenten moeten onverwijld bij ontvangers van diensten worden gemeld als deze nadelige invloed kunnen hebben op de dienstverlening. Als ontvangers van de dienst daardoor mogelijkerwijs door een significante cyberdreiging worden getroffen moet uitleg worden gegeven over de maatregelen die getroffen kunnen worden.

Er kan ook vrijwillig melding worden gemaakt van bijna-incidenten of dreigingen.

Takeaway 6: Entiteiten die onder de Cbw vallen moeten zich registreren

Essentiële en belangrijke entiteiten moeten zich registreren in een nationaal register. Dit register is niet openbaar.

Takeaway 7: Bevoegde autoriteiten hebben uitgebreide handhavingsmogelijkheden. Bij essentiële entiteiten gaan die bevoegdheden verder dan bij belangrijke entiteiten en vindt handhaving en toezicht niet alleen achteraf maar ook vooraf plaats.

Bij essentiële entiteiten vindt toezicht en handhaving vooraf en achteraf plaats. Bij belangrijke entiteiten vindt toezicht en handhaving uitsluitend achteraf plaats. De bevoegde autoriteit heeft voor het toezicht en de handhaving ten aanzien van essentiële én belangrijke entiteiten de volgende mogelijkheden:

1. Het (laten) uitvoeren van een beveiligingsscan bij entiteit op kosten van de bevoegde autoriteit;
2. Het door de entiteit (laten) uitvoeren van een audit, in beginsel op kosten van de entiteit;
3. Het door de entiteit openbaar laten maken van een overtreding;
4. Het geven van een bindende aanwijzing;
5. Het opleggen van een last onder bestuursdwang;
6. Het opleggen van een bestuurlijke boete. Daarbij gelden hoge boetemaxima.

Bij essentiële entiteiten heeft de bevoegde autoriteit daarnaast de mogelijkheid om:

1. een onafhankelijke controlefunctionaris aan te wijzen;
2. bij entiteiten die geen overheidsinstantie zijn: een einddatum stellen voor beëindiging van de overtreding en als daar niet aan is voldaan:

• • een verzoek tot intrekking van certificering of vergunning;
  • een verzoek bij de civiele rechter tot schorsing van een of meer bestuursleden.

De bevoegde autoriteit kan aan bestuurders van entiteiten een last onder dwangsom of bestuurlijke boete opleggen als zij niet voldoen aan de verplichtingen met betrekking tot kennis en vaardigheden.

Takeaway 8: Ook partijen die zelf geen ‘essentiële’ of ‘belangrijke’ entiteit zijn kunnen te maken krijgen met de Cbw als zij leverancier zijn van een ‘essentiële’ of ‘belangrijke’ entiteit

De zorgplicht voor ‘essentiële’ en ‘belangrijke’ entiteiten omvat onder meer de verplichting om passende maatregelen te treffen bij het verwerven van hardware, software of diensten die betrekking hebben op netwerk- en informatiesystemen en het (laten) beheren en onderhouden van netwerk- en informatiesystemen.