Cybercriminaliteit melden (Wbni)

Bent u een digitale dienstverlener of een aanbieder van essentiële diensten? Dan moet u uw bedrijf goed beveiligen tegen cybercriminaliteit. Dat staat in de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de verordening Digital Operational Resilience Act (DORA).

Is er toch een ernstig incident op het gebied van cyber security? Dan moet u dat incident melden.

Wat is een digitale dienstverlener?

U bent een digitale dienstverlener (Digital Service Provider, DSP) als uw bedrijf een rechtspersoon is die 1 of meer van deze diensten levert:

• een online marktplaats
• een clouddienst
• een zoekmachine

U valt als digitale dienstverlener onder de Wbni als uw bedrijf voldoet aan deze voorwaarden:

• de hoofdvestiging of vertegenwoordiging is in Nederland
• u heeft 50 of meer werknemers
• de balanstotaal of jaaromzet is meer dan € 10 miljoen

Wanneer bent u een aanbieder van essentiële diensten?

U bent aanbieder van een essentiële dienst (AED) als deze dienst heel belangrijk is voor de Nederlandse samenleving. Voorbeelden van essentiële diensten:

• gas
• drinkwater
• transport
• financiën

Als u een essentiële dienstverlener bent, laat het ministerie dat verantwoordelijk is dat aan u weten.

Zorgplicht: beveiligen tegen cybercriminaliteit

Als digitale dienstverlener of een aanbieder van essentiële diensten moet u zorgen voor de juiste beveiliging tegen cybercriminaliteit zoals virussen, malware en ransomware. En u moet maatregelen nemen om te voorkomen dat uw netwerksystemen en informatiesystemen beschadigd raken door een digitale aanval. U moet uw maatregelen controleren en testen. En u moet ze blijven ontwikkelen aan de hand van technologische vooruitgang en nieuwe inzichten.

Cyberveiligheid voor financiële dienstverleners (DORA)

Is uw bedrijf een financiële dienstverlener of levert u ICT-diensten aan financiële instellingen? Dan moet uw bedrijf, naast de Wbni, ook voldoen aan de Digital Operational Resilience Act (DORA). DORA geldt voor:

• financiële instellingen, zoals banken, betaaldienstverleners, verzekeringsmaatschappijen, instellingen voor elektronisch geld en beleggingsondernemingen
• leveranciers van ICT-diensten aan financiële instellingen

De Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) controleren of u zich aan de regels houdt. U moet bijvoorbeeld:

• uw ICT-risicomanagement op orde hebben
• een beheerproces voor ICT-incidenten hebben
• regelmatig de digitale weerbaarheid testen
• de risico’s van ICT-uitbesteding kennen en onder controle hebben

Heeft u een overeenkomst met leveranciers van ICT-diensten voor kritieke of belangrijke functies? Dan moet u deze melden via het AFM Portaal en via Mijn DNB.

Meldplicht bij cybercriminaliteit

Is er bij uw bedrijf een ernstig incident op het gebied van cyber security? En heeft dat mogelijk grote gevolgen? Of is uw systeem zo beschadigd waardoor u uw essentiële dienst of digitale dienst niet meer kunt verlenen? Dan moet u dit melden bij de toezichthouders. Waar u de melding maakt, hangt af van uw type bedrijf:

• Digitale dienstverleners melden incidenten bij de Rijksinspectie Digitale Infrastructuur (RDI) en bij het Computer Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP).
• Essentiële dienstverleners in de sectoren Energie en Digitale Infrastructuur melden incidenten bij de RDI en het Nationaal Cyber Security Centrum (NCSC).
• Financiële dienstverleners melden incidenten bij de RDI, bij AFM via het AFM Portaal en bij de DNB.