Verbetering digitale weerbaarheid niet-gereguleerde bedrijven

Inleiding

De overheid gaat een actievere rol innemen bij het informeren van het bedrijfsleven over digitale dreigingen. Waar tot op heden enkel de Rijksoverheid, vitale aanbieders en digitale dienstverleners worden gewaarschuwd bij cyberdreigingen, moet een nieuw wetsvoorstel zorgen voor een grotere digitale weerbaarheid van het gehele bedrijfsleven. Anticiperend op dit wetsvoorstel Bevordering digitale weerbaarheid bedrijven heeft de overheid vanuit pragmatisch oogpunt besloten vanaf 13 september jl. al te starten met het waarschuwen van niet-gereguleerde bedrijven over cyber dreigingen.

Nationaal Cyber Security Centrum en Digital Trust Center

In Nederland zijn het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) opgericht om instanties, bedrijven en burgers te waarschuwen over cyberdreigingen. De Wet beveiliging netwerk- en informatiesystemen (“Wbni”) regelt de wettelijke taken van het NCSC op het terrein van cybersecurity en biedt de juridische grondslag voor het waarschuwen, informeren en adviseren over dergelijke digitale dreigingen en incidenten.

De wet beoogt de digitale weerbaarheid van Nederland te bevorderen. Benadrukt moet echter worden dat deze wet alleen van toepassing is op:

• de Rijksoverheid;
• vitale aanbieders (zoals energiebedrijven, drinkwaterbedrijven en banken); en
• digitale dienstverleners (o.a. aanbieders van clouddiensten).

Het gevolg hiervan is dat andere, niet-gereguleerde, bedrijven buiten de boot vallen op het moment dat de overheid informatie deelt over digitale kwetsbaarheden, dreigingen en incidenten.

Dit geringe werkveld van het NCSC, de roep van het bedrijfsleven om dreigingsinformatie breder te delen en de wens van de overheid om de digitale weerbaarheid van bedrijven te versterken hebben geleid tot het voorstel Wet bevordering digitale weerbaarheid bedrijven.

Het wetsvoorstel Bevordering digitale weerbaarheid bedrijven

Dit wetsvoorstel regelt de taken en bevoegdheden van de Minister van Economische Zaken en Klimaat (“Minister van EZK”) op het gebied van de verbetering van de digitale weerbaarheid van het niet-vitale bedrijfsleven in Nederland. De taken en bevoegdheden van de Minister van EZK zijn gedelegeerd aan het al bestaande DTC. Voor het DTC zijn twee hoofdtaken geformuleerd. Ten eerste informatie en advies geven, ten tweede het bevorderen van samenwerking tussen bedrijven op het gebied van digitale weerbaarheid.

De verwachting is dat door middel van de nieuwe wet het bedrijfsleven beter kan worden voorzien van praktische handvatten waarmee deels invulling kan worden gegeven door bedrijven aan de passende technische en organisatorische maatregelen als bedoeld in artikel 32 van de Algemene Verordening Gegevensbescherming. In de praktijk zou de wet dus een nuttig instrument kunnen zijn dat ter invulling kan dienen van de (cybersecurity-)zorgplicht die bedrijven in het kader van de AVG hebben.

Het wetsvoorstel dient nog wel goedgekeurd te worden door het parlement.

De DTC Informatiedienst

Vooruitlopend op de uitvoering van de wet is het DTC vanaf 13 september jl. gestart met de DTC Informatiedienst. Het DTC krijgt hierbij specifieke dreigingsinformatie van het NCSC en kan de betrokken bedrijven waarschuwen over ernstige dreigingen zodat deze maatregelen kunnen nemen om mogelijke schade te voorkomen of te beperken. Het DTC geeft daarbij, waar mogelijk, advies over te nemen maatregelen, zoals het installeren van beveiligingsupdates, het aanpassen van wachtwoorden of het inschakelen van een IT-specialist. Op dit moment kan het DTC deze taak nog slechts uitvoeren op beperkte schaal en bij ernstige dreigingen. Het doel voor de langere termijn is een systeem waarbij dreigingsinformatie aan groepen bedrijven kan worden gekoppeld.

Eigen initiatief van het bedrijfsleven

Parallel aan dit initiatief van de overheid heeft het bedrijfsleven samen met verschillende branche- en non-profitorganisaties recentelijk aangekondigd zelf een waarschuwingssysteem te introduceren dat organisaties en ondernemingen waarschuwt voor kwetsbaarheden binnen hun systemen en netwerken. Op deze manier hoopt het bedrijfsleven zelf de leemte op te vullen die nu nog bestaat bij urgente informatieverstrekking in het kader van cyberdreigingen.

Gevolgen voor de verzekeringsbranche

Met het wetsvoorstel en de reeds gestarte praktische uitvoering wil de overheid de informatiedeling met het Nederlandse bedrijfsleven dat niet valt onder de werking van de Wbni reguleren. Het gaat daarbij om het gehele scala van eenmanszaken tot en met het grootbedrijf. Er lijkt met deze wet gehoor gegeven te worden aan de sterke roep van het bedrijfsleven om hulp van de overheid bij een adequate digitale beveiliging en de wens om geïnformeerd te worden over nieuwe methodes van cybercriminelen.

De informatie die in de praktijk verstrekt kan gaan worden en de te nemen maatregelen kunnen ook de verzekeringsbranche raken. Hoe gaat de verzekeraar bijvoorbeeld om met een bedrijf dat informatie krijgt aangereikt op basis waarvan het zelf kan beoordelen of en in welke mate het maatregelen moet treffen ter mitigatie van een kwetsbaarheid of ter afwering van een dreiging, maar niet of niet adequaat handelt? Welke kosten worden gedekt op het moment dat het bedrijf vervolgens door cybercriminelen wordt aangevallen? En op welk moment kan en dient de verzekeraar ingelicht te worden door het bedrijf over de dreigingsinformatie? Met de praktische uitvoering van de wet en de pragmatische oplossingen van de overheid en het bedrijfsleven zelf in aanloop van de wet, kunnen er (in)directe gevolgen voor de verzekeringsbranche in het verschiet liggen.

Wanneer zowel verzekeraars als bedrijfsleven anticiperen op de besproken ontwikkelingen biedt dat ruimte voor een betere verzekerbaarheid van cyberrisico’s in de huidige markt. Samenwerking is essentieel om ondernemend Nederland, voor nu en in de toekomst, voldoende beschermd draaiende te houden.