Sinds 9 november geldt de Wet beveiliging netwerk- en informatiesystemen (NIS). Digitale dienstverleners en aangewezen aanbieders van essentiële diensten in de sectoren energie en digitale infrastructuur moeten aan deze wet voldoen. Ze moeten maatregelen nemen om incidenten te voorkomen en incidenten met aanzienlijke gevolgen melden.
De Wet beveiliging netwerk- en informatiesystemen is de vertaling van de Europese Netwerk- en Informatiebeveiliging Richtlijn. Het Agentschap Telecom is belast met een deel van het toezicht. Alle aanbieders van essentiële diensten krijgen te maken met het ministerie van EZK. Voorbeelden zijn de grote energie- en netwerkbedrijven en de grote telecomoperators.
Digitale dienstverleners zijn aanbieders van onlinemarktplaatsen, onlinezoekmachines en cloud-computerdiensten. Ze vallen onder de wet zodra ze een kantoor in Nederland hebben en boven de drempel komen van 50 medewerkers en/of een balanstotaal of jaaromzet van EUR 10 miljoen.
Zorgplicht en meldplicht
Voor alle bedrijven geldt een zorgplicht: ze moeten passende en evenredige technische en organisatorische maatregelen nemen om hun ICT te beveiligen. Verder nemen zij passende maatregelen om incidenten te voorkomen en, als zich toch incidenten voordoen, de gevolgen daarvan zo veel mogelijk te beperken.
Ook geldt er een meldplicht: aanbieders van essentiële diensten en digitale dienstverleners moeten incidenten met aanzienlijke gevolgen melden bij Agentschap Telecom en het CSIRT. Voor essentiële diensten is het NCSC het CSIRT. Digitale dienstverleners schakelen het CSIRT-DSP in.
De meldplicht geldt voor digitaledienstverleners vanaf 9 november 2018. Voor aanbieders van essentiële diensten vormt de aanwijzing het startmoment.
