Er is Nederlandse wetgeving in de maak die extra cyberweerbaarheid vraagt van bedrijven die belangrijk zijn voor onze samenleving en economie; de Cyberbeveiligingswet (Cbw). Door de Europese Network and Information Security (NIS2) directive -richtlijn zullen veel drink- en afvalwaterbedrijven cybersecuritymaatregelen moeten nemen, ook bedrijven die nog niet eerder te maken hadden met cyberwetgeving.
Sinds januari 2023 werkt de Rijksoverheid aan de nationale implementatie door de Europese richtlijn om te zetten naar Nederlandse wetgeving. De NIS2-richtlijn wordt geïmplementeerd in de vorm van de Cyberbeveiligingswet (Cbw). De wet beoogt de cyberveiligheid te versterken bij bedrijven die opereren in een kritieke sector waarbij we geen uitval kunnen lijden, dus ook in de watersector.
Naast dat er veel meer bedrijven extra cybersecuritymaatregelen moeten nemen, komt er ook een verplichting om cyberincidenten te melden. Waterschappen en andere overheden worden door de wet gezien als essentiële entiteiten en moeten direct voldoen aan de Cbw.
Omvang maakt uit
De Cbw is in eerste instantie van toepassing op (middel)grote bedrijven en organisaties die opereren in (zeer) kritieke sectoren. Het gaat dan om bedrijven van minimaal 50 medewerkers met minimaal een totale jaaromzet van 10 miljoen euro. Op micro- en kleine bedrijven is de wet alleen van toepassing wanneer een vakminister hen hiertoe aanwijst op basis van een risicobeoordeling.
Geen omvangcriteria voor overheden
Voor sommige bedrijfstakken gelden de omvangcriteria niet. Aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwensdienstverleners, registers voor topleveldomeinnamen, DNS-dienstverleners, verleners van domeinregistratiediensten en overheidsorganisaties vallen áltijd onder de Cbw, ongeacht de omvang. Ministeries, provincies, gemeenten en waterschappen vallen dus direct onder de Cyberbeveiligingswet als essentiële entiteit. Voor zelfstandige bestuursorganen en gemeenschappelijke regelingen is dit afhankelijk van het geval.
NIS2-startpunt
Drinkwater- en afvalwaterbedrijven die onder de Cbw vallen en dus ook de waterschappen, zullen diverse cybersecuritymaatregelen moeten nemen om hun netwerk- en informatiesystemen te beschermen. Het nemen van deze maatregelen heeft enkele maanden doorlooptijd. Daarom adviseert het Digital Trust Center (DTC) om daar nu alvast mee te beginnen. Om alle ondernemers te helpen zich zo goed mogelijk voor te bereiden op de komst van deze wetgeving, heeft het DTC alle informatie die nu voor handen is gebundeld op het NIS2-startpunt. Zo zijn er 10 zorgplichtmaatregelen die in de Europese Richtlijn zijn opgenomen.
Ook (toe)leveranciers
Bedrijven die zelf niet aan de omvangscriteria voldoen, kunnen toch nog – indirect – gevolgen ondervinden van deze nieuwe cyberwetgeving. De wet bepaalt namelijk dat Cbw-bedrijven ervoor moeten zorgen dat hun keten van toeleveranciers veilig is. Als uit een keteninventarisatie blijkt dat een toeleverancier impact heeft op het netwerk- en informatiesysteem van een Cbw-bedrijf, kan het Cbw-bedrijf extra beveiligingsmaatregelen eisen. Proportionaliteit is bij deze onderlinge ketenafspraken belangrijk.
Datalekken bij waterschappen eind mei
Aandacht voor de cyberveiligheid is geen overbodige luxe, met de mogelijke datalekken bij twee waterschappen afgelopen week. Hoogheemraadschap Hollands Noorderkwartier (HHNK) meldt op de website dat er data is gegijzeld bij hun leverancier AddComm afgelopen week. Cybercriminelen hebben daarmee mogelijk ook gegevens van betrokken van inwoners en bedrijven in handen die door HHNK worden gebruikt. Het waterschap heeft dit op 19 mei gemeld bij de Autoriteit Persoonsgegevens. Ook bij Drentse Overijsselse Delta (DOD) is een datalek geconstateerd, maar in het eigen informatieportaal en zijn mogelijk ook gegevens van het Kadaster bij onbevoegden onder ogen gekomen.
Internetconsultatie
Tussen 21 mei en 2 juli 2024 vindt de internetconsultatie van de Cyberbeveiligingswet plaats. Men kan de concept wettekst raadplegen en er commentaar of verbetersuggesties op formuleren via Internetconsultatie Cyberbeveiligingswet. Totdat de uitwerking van de zorgplichtmaatregelen voor Nederland in een algemene maatregel van bestuur is uitgewerkt, geeft de Europese NIS2-richtlijn voldoende handvatten voor voorbereidende acties voor Cbw-compliancy.
.){kind=link}