Agentschap Telecom lanceert Wbni-zelftest voor digitale dienstverleners
Op 1 juli heeft Agentschap Telecom zijn Wbni-zelftest voor digitale dienstverleners (DSP’s) gelanceerd. Die test beantwoordt twee vragen voor de DSP’s: val ik onder de Wet beveiliging netwerk- en informatiesystemen en voldoe ik aan de zorgplicht. De zelftest helpt Nederland digitaal veiliger te maken en de gevolgen van cyberincidenten te verkleinen. AT gebruikt de test om algemene trends en ontwikkelingen in de sector in kaart te brengen. Er worden geen individuele bedrijfsgegevens verzameld.
Digitale dienstverleners en aanbieders van essentiële diensten vallen in het kader van de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) onder toezicht van Agentschap Telecom. Om bedrijven inzicht te geven of zij onder de wet vallen, heeft Agentschap Telecom een self-assessment tool ontwikkeld. Met deze zelftest kunnen digitale dienstverleners bepalen of ze onder de Wbni vallen. Daarnaast krijgen bedrijven die de vragen invullen een goede indicatie in hoeverre de door hun getroffen maatregelen voor informatiebeveiliging voldoen aan de doelstellingen van de Wbni-zorgplicht.
De wet is bedoeld om Nederland digitaal veiliger te maken door de digitale weerbaarheid te vergroten en de gevolgen van cyberincidenten te verkleinen. De Wbni is de Nederlandse implementatie van de Europese NIS richtlijn (2016/1148), aangevuld met de NIS Uitvoeringsverordening (2018/151). Deze wet is van toepassing op ‘digitale dienstverleners’ (Digital Service Provider, ofwel DSP) zoals clouddienstverleners, online marktplaatsen en online zoekmachines. Ook geldt de Wbni voor bedrijven die door de overheid zijn aangewezen als ‘aanbieder van essentiële diensten’ (AED). Deze AED’s zijn van vitaal belang voor de continuïteit van de Nederlandse samenleving. Het gaat dan bijvoorbeeld om energiebedrijven.
Agentschap Telecom houdt toezicht op bedrijven die vallen onder de Wbni. Deze bedrijven zijn verplicht ‘passende en evenredige’ maatregelen te nemen om incidenten te voorkomen (Zorgplicht) en incidenten met aanzienlijke gevolgen te melden (Meldplicht).
Met de self-assessment bepalen bedrijven op eenvoudige wijze:
- of ze een digitale dienstverlener zijn en de Wbni-zorgplicht en meldplicht op de organisatie van toepassing is;
- of een verstoring van de dienstverlening aanzienlijke gevolgen heeft – en waar de organisatie dit (in het kader van de Wbni) moet melden;
- of de getroffen beveiligingsmaatregelen passen bij de beveiligingsdoelstellingen van de Wbni;
- of de organisatie onder toezicht valt van Agentschap Telecom.
Als aanvulling op elke vraag wordt er toelichting gegeven. In deze toelichting staat welke wettekst op het specifieke onderdeel (uit de vraag) van toepassing is. Ook wordt duidelijk uitgelegd wat een digitale dienstverlener kan doen om te voldoen aan de wettelijke eisen als het bedrijf onder de Wbni valt.