Management

Dit is een bijdrage van KPMG
Privacy
De Wet beveiliging netwerk- en informatiesystemen (Wbni)

De Wet beveiliging netwerk- en informatiesystemen (Wbni)

Grote impact op digitaledienstverleners 

 

4 april 2019
Door: KPMG, partner

Grote impact op digitaledienstverleners 

 

Digitale platforms die online bemiddelen of diensten verlenen aan andere bedrijven, vormen een nieuwe generatie Nederlandse bedrijven. Denk aan ondernemers in clouddiensten of online marktplaatsen. Deze nieuwe generatie heeft een steeds belangrijker rol in onze economie. Met de mooie kansen die erbij horen – én nieuwe verplichtingen. Zoals een meldplicht bij een cybersecurity-incident. KPMG helpt u overzicht te houden en de juiste acties te ondernemen.

Digitalisering biedt een oneindige stroom aan nieuwe ondernemingskansen. Hoe groter de economische rol van een nieuwe generatie digitaledienstverleners, hoe duidelijker hun invloed op onze samenleving. Inclusief risico’s als privacyschendingen en informatielekken. Met nieuwe wet- en regelgeving ondervangt de overheid deze risico’s. Zo werd in 2018 de Algemene verordening gegevensbescherming (AVG) van kracht. En een paar maanden later – in november – de Wet beveiliging netwerk- en informatiesystemen (Wbni). Ondanks de veel geringere aandacht heeft deze wet óók grote impact. Op grotere digitaledienstverleners zelfs meer dan de AVG.

Essentieel voor de samenleving
De Wbni is de uitgebreide en geactualiseerde versie van de vroegere Cybersecuritywet. In de Wbni wijst de overheid feitelijk twee categorieën bedrijven aan. Allereerst de aanbieders van essentiële diensten (AED’s) die ook al in de vorige wet stonden – de bedrijven die echt too big to fail zijn. Denk aan energiecentrales of de grote telefonienetwerken. Liggen die stil vanwege een cyberincident, dan stokt de samenleving. De tweede categorie is nieuw: digital service providers (DSP’s) of digitaledienstverleners, zoals het ministerie van Justitie ze noemt.

Online hubs
Deze digitaledienstverleners zijn bijvoorbeeld online marktplaatsen, zoekmachines en ‘hubs’. Wat deze nieuwe generatie bedrijven bindt, is dat ze een steeds belangrijker schakel vormen in onze economie. Ligt hun dienstverlening eruit door een storing of inbraak, dan heeft dat mogelijk groot effect op veel andere bedrijven. En daarmee op de samenleving. Denk maar aan de grotere datacenters: kunnen die hun clouddiensten niet leveren, dan ligt een groot aantal organisaties – bedrijven, maar ook gemeentes of ziekenhuizen – gedeeltelijk of zelfs helemaal stil.

Bent u een digitaledienstverlener?
Digitaledienstverleners of DSP’s zijn, anders dan de essentiële bedrijven, niet door het ministerie gewezen op het feit dat ze een DSP zijn. Het zou dus zomaar kunnen zijn dat uw bedrijf een DSP is. In het kort: DSP’s zijn digitaledienstverleners met een Europese hoofdvestiging in Nederland, met meer dan 50 medewerkers in dienst én een hogere jaaromzet dan 10 miljoen.

Meldplicht
Bent u een DSP, dan heeft dat gevolgen voor uw informatiebeveiliging. Naast dat die aan bepaalde standaarden moet voldoen, heeft u ook een meldplicht wanneer u getroffen wordt door cyberincident. Net als bij de AVG zijn er sancties. En net als bij de AVG geldt dat bestuurders, als ze onvoldoende maatregelen hebben getroffen, zelfs hoofdelijk aansprakelijk gesteld kunnen worden. Verschillen met de AVG zijn er natuurlijk ook: een melding in het kader van de Wbni doet u bij het Nationaal Cyber Security Center (NCSC), dat onder Justitie valt. Een privacyschending meldt u bij de Autoriteit Persoonsgegevens (AP).

Goed overzicht
Vanwege die verschillen zien wij binnen bedrijven versnippering ontstaan. Al die verschillende wetten en normen, en het voldoen eraan, wordt nu via verschillende collega’s, programma’s en bestanden opgevolgd en geregistreerd. Zonde, want ondanks de verschillen zijn er ook veel overeenkomsten. Zoals de maatregelen die u moet treffen.

Een goed overzicht van de normenkaders, wetten en regels waar u aan moet voldoen, is daarom geen overbodige luxe. Wij helpen u met onze complianceservices om dat overzicht te krijgen. Mocht u te maken hebben met een incident, dan weet u meteen, met één druk op de knop, wat u te doen staat. Achteraf kunt u bovendien al uw handelingen verantwoorden bij de diverse toezichthouders. Zo houdt u met een gerust hart uw groeitempo als digitaledienstverlener vast.

Zo helpt KPMG
Samen met onze partner CompLions-GRC bieden we u een complete aanpak: een combinatie van onze ervaring en expertise, plus de compliancetool van CompLions-GRC. We inventariseren alle relevante normenkaders voor de Wbni, ontwerpen de protocollen en richten de tool voor u in. Zo voorkomen we dubbele maatregelen. Is er een incident? Dan ziet u direct in de tool wat u te doen staat, inclusief praktische templates voor de verplichte meldingen. Met achteraf een complete audittrail, dossiers en rapportages. Die combinatie maakt onze ondersteuning pragmatisch, hands-on en prettig effectief.

Reactie toevoegen