Wet beveiliging netwerk- en informatiesystemen (Wbni)

Bent u een digitale dienstverlener, of biedt u essentiële diensten aan? Dan is de Wet beveiliging netwerk- en informatiesystemen (afgekort Wbni) van toepassing op uw organisatie. De Rijksinspectie Digitale Infrastructuur is toezichthouder op deze wet. De Wbni is de Nederlandse implementatie van de Europese Netwerk- en Informatiebeveiliging Richtlijn (afgekort de NIB-Richtlijn).  

Voor wie geldt de Wet beveiliging netwerk- en informatiesystemen

Het gaat om organisaties die de volgende diensten aanbieden:

Essentiële diensten

U bent een aanbieder van essentiële diensten als u een dienst aanbiedt die van essentieel belang is voor instandhouding van kritieke, maatschappelijke en/of economische activiteiten. Aanbieders voor wie dit geldt, ontvangen daarover bericht van het ministerie van Economische Zaken.

Digitale diensten

De Wet beveiliging netwerk- en informatiesystemen geldt ook voor digitale dienstverleners. Dit zijn aanbieders van online marktplaatsen, online zoekmachines en cloudcomputerdiensten (zie artikel 4 van de NIB-richtlijn) die voldoen aan onderstaande voorwaarden: 

Is uw antwoord op de volgende vragen 'nee', dan valt uw bedrijf niet onder de Wet Wbni: uw bedrijf is een online marktplaats, online zoekmachine, clouddienstverlener. Heeft mijn bedrijf een Europese hoofdvestiging of vertegenwoordiging in Nederland? Zijn bij mijn bedrijf 50 of meer medewerkers werkzaam? Is mijn balanstotaal of jaaromzet meer dan 10 miljoen euro?
Beeld: ©RDI
Controleer of uw bedrijf onder de Wbni valt.

Zorgplicht: incidenten voorkomen en maatregelen nemen

Aanbieders van essentiële diensten en digitale dienstverleners moeten technische en organisatorische maatregelen nemen om hun netwerk- en informatiesystemen te beveiligen. Die maatregelen moeten passend en evenredig zijn. Verder nemen zij passende maatregelen om incidenten te voorkomen en, als zich toch incidenten voordoen, de gevolgen daarvan zo veel mogelijk te beperken. Onder een incident verstaan we een gebeurtenis met schadelijke effecten op de beveiliging van netwerk- en informatiesystemen, met aanzienlijke verstoring van de dienstverlening tot gevolg. Bij de beveiliging van netwerk- en informatiesystemen gaat het om de beschikbaarheid, integriteit, vertrouwelijkheid, en authenticiteit (biva) van netwerk- en informatiesystemen.

Wbni self-assessment tool

Digitale dienstverleners kunnen met behulp van een Wbni self-assessment bepalen of de Wbni voor hun organisatie van toepassing is en of de genomen maatregelen aansluiten bij de doelstellingen van de Wbni.

Meldplicht: incidenten melden

Doet zich een incident met aanzienlijke gevolgen voor? Dan meldt u dit bij de Rijksinspectie Digitale Infrastructuur (RDI) en bij een Computer Security Incident Response Team (CSIRT). Voor aanbieders van essentiële diensten is het NCSC het aangewezen CSIRT. Digitale dienstverleners schakelen het CSIRT-DSP in.

Meldproces aanbieders essentiële diensten
Lees meer over uw meldplicht als aanbieder van essentiële diensten. We leggen uit welke beveiligingsincidenten u moet melden bij de RDI en hoe dat in zijn werk gaat. 

Meldproces digitale dienstverleners
Lees meer over uw meldplicht als digitale dienstverlener. We leggen uit welke beveiligingsincidenten u moet melden bij de RDI en hoe dat in zijn werk gaat.

Europese richtlijnen

De Wet beveiliging netwerk- en informatiesystemen is de Nederlandse implementatie van de Europese Netwerk- en Informatiebeveiliging Richtlijn, de NIB-Richtlijn. Deze richtlijn maakt Europa digitaal veiliger door de digitale weerbaarheid te vergroten en de gevolgen van cyberincidenten te verkleinen. Alle Europese lidstaten nemen daarom in nationale wetgeving verplichtingen op rond cybersecurity en de continuïteit van dienstverlening. De Wbni verwijst naar definities en bepalingen In deze richtlijn. 

Toezicht en handhaving

De Rijksinspectie Digitale Infrastructuur (RDI) is toezichthouder op de naleving van de Wbni voor de energiesector, de digitale infrastructuur en voor digitale dienstverleners. Dit toezicht geldt voor zowel de zorgplicht als voor de meldplicht die op organisaties rust.

Toezicht op aanbieders van essentiële diensten
Deze groep aanbieders valt onder een actief toezichtbeleid. Er vinden geplande inspecties plaats, gericht op het risicomanagementproces en het treffen van passende beheersingsmaatregelen. Daarbij worden ook reality checks uitgevoerd.

Toezicht op digitale dienstverleners 
Bij deze aanbieders hanteren wij reactief toezicht. Inspecties vinden plaats op basis van signalen en incidenten. De RDI heeft, net als andere toezichthouders, bij de uitvoering van het toezicht diverse bevoegdheden. Zoals het (laten) uitvoeren van een beveiligingsinspectie. Ook heeft de RDI de mogelijkheid om handhavend op te treden.

Meer uitleg over de Wbni
Download de brochure ‘Wet beveiliging netwerk- en informatiesystemen’ voor meer informatie over de NIB-richtlijn, de Wbni en aanvullende wet- en regelgeving.