De tweede kamer heeft het ‘Wetsvoorstel bevordering digitale weerbaarheid bedrijven’ (wbdwb) aangenomen. Deze wet is bedoeld zodat de Nederlandse overheid alle bedrijven in Nederland kan waarschuwen bij kwetsbaarheden, dreigingen of incidenten. Op deze manier probeert de overheid het Nederlandse bedrijfsleven, dus ook uw organisatie, te beschermen tegen cybercriminaliteit.
Alle Nederlandse bedrijven weerbaarder tegen cybercriminaliteit
Op dit moment worden bedrijven die niet onder de ‘Wet beveiliging netwerk- en informatiesystemen’ (Wbni) vallen, niet geïnformeerd over specifieke dreigingen met betrekking tot hun digitale omgeving, ook al beschikt de overheid wel over deze informatie. Dit komt omdat de overheid wettelijk geen recht heeft om gegevens van alle bedrijven in Nederland te verwerken. Dit hebben ze wel nodig om bedrijven te kunnen waarschuwen. Momenteel geldt dit recht alleen voor bedrijven die een vitale functie bieden voor de Nederlandse maatschappij, zoals het reinigen van drinkwater, energievoorziening en zorg. De komst van de nieuwe wet maakt het voor de overheid dus mogelijk om ook de rest van het bedrijfsleven te waarschuwen tegen cyberdreigingen, en zo digitaal weerbaarder te maken. Hieronder vallen ook mkb’ers en zzp’ers.
Wat betekent het dat de overheid persoonsgegevens mag verwerken?
Wanneer de overheid individuele bedrijven en organisaties wil waarschuwen tegen cyberdreigingen, kan het zijn dat er persoonsgegevens moeten worden verwerkt, zoals IP-adressen of e-mailadressen.
Een voorbeeld: de overheid vindt een lijst met IP-adressen van gecompromitteerde computers die gebruikt worden voor aanvallen. Dan kan de overheid de IP-adressen gebruiken om uit te zoeken van welke bedrijven de computers zijn, om vervolgens dat specifieke bedrijf te waarschuwen.
De overheid informeert niet-vitale bedrijven over cyberdreigingen via het Digital Trust Center (DTC). Vitale bedrijven worden geïnformeerd door het Nationaal Cyber Security Centrum (NCSC) en het nationale Computer Security Incident Response Team voor digitale diensteverleners (CSIRT-DSP) doe dit voor digitale dienstverleners. De nieuwe wetgeving zorgt er ook voor dat deze organisaties beter kunnen samenwerken door ze samen te brengen in één cybersecurityorganisatie.
Wat betekent dit voor uw organisatie?
Dient uw organisatie een vitaal belang? Dan verandert er niets. Indien uw organisatie als niet-vitaal wordt beschouwd, is het nu voor het DTC nu mogelijk persoonsgegevens van uw organisatie te verwerken om na te gaan of er een specifieke cyberdreiging is. U hoeft zelf geen actie te ondernemen.