Vitale ict-infrastructuur krijgt veiligheidseis

Minister Grapperhaus (Justitie en Veiligheid) wil wetswijziging

Dit artikel delen:

Aanbieders van vitale onderdelen van de ict-infrastructuur worden verplicht aan een minimaal beveiligingsniveau te voldoen. Minister Grapperhaus (Justitie en Veiligheid) gaat hiertoe de Wet beveiliging netwerk- en informatiesystemen (Wbni) wijzigen.

Dat meldt de bewindsman in een brief aan de Tweede Kamer.

De Wbni is de Nederlandse interpretatie van de Europese Netwerk- en Informatiebeveiligingsrichtlijn (de NIB-Richtlijn), die voor meer eenheid in beleid over netwerk- en informatiebeveiliging moet zorgen. Ook digitale dienstverleners, zoals clouddiensten, online-zoekmachines en online-marktplaatsen, vallen hieronder.

Momenteel geldt voor een aantal vitale aanbieders slechts een meldplicht van ernstige incidenten bij het Nationaal Cybersecurity Centrum (NCSC). Bij een deel van deze vitale aanbieder ontbreken de zorgplicht of het toezicht daarop. Grapperhaus wil nu ook deze groep onder het volledige regime van de Wbni brengen. Ze moeten aan de zorgplicht en daarmee aan een algemeen basisniveau van beveiligingsdoelen voldoen. Deze organisaties worden verplicht hun ict-infrastructuur tegen aanvallen en incidenten te beveiligen.

Citrix

De minister trekt ook lessen uit de Citrix-problematiek. Digitale incidenten bij organisaties zoals universiteiten en ziekenhuizen hebben aangetoond dat kwetsbaarheden een grote impact kunnen hebben. Grapperhaus: 'Begin dit jaar heeft de Citrix-problematiek ons in de praktijk laten zien hoe groot de noodzaak is om aanvullende maatregelen te nemen.'

Uit de Citrix-evaluatie blijkt dat de beveiligingsadviezen niet in alle gevallen de organisaties buiten de primaire doelgroepen van het NCSC bereikten. Evenmin was duidelijk wat de verschillende verantwoordelijkheden binnen het stelsel zijn. Volgens Grapperhaus moet voor alle sectoren duidelijk zijn welke basismaatregelen zij minimaal moeten nemen. Ook dient helder te zijn bij welke sectorale cybersecurity-organisatie zij terecht kunnen voor actuele informatie in geval van incidenten. 

De minister schrijft: 'Dit vraagt om een actievere houding van alle betrokken organisaties en een sterker bewustzijn van de verschillende rollen en verantwoordelijkheden binnen het stelsel.'

Landelijk dekkend stelsel

Daarom komt er een landelijk dekkend stelsel (LDS) van cybersecurity samenwerkingsverbanden. Hierin wordt ingegaan op de verschillende rollen binnen het stelsel en de verantwoordelijkheid van het NCSC en de sectorale cybersecurity-organisaties bij het doorgeleiden van beveiligingsadviezen. Betrokken organisaties moeten bepaalde vertrouwelijke informatie ook doorgeleiden aan doelgroep-organisaties. Tussen de sectorale cybersecurity-organisaties en het NCSC worden hierover aanvullende afspraken gemaakt.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2020-03-23T12:02:00.000Z Alfred Monterie


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.