De Wet bevordering digitale weerbaarheid bedrijven treedt in werking

Op dinsdag 1 oktober 2024 is de wet bevordering digitale weerbaarheid bedrijven (Wbdwb) officieel in werking getreden. Deze wet legt de taken en bevoegdheden van de minister van Economische Zaken (EZ) vast op het terrein van digitale weerbaarheid van niet-vitale bedrijven in Nederland, zoals het verwerken en verspreiden van informatie over kwetsbaarheden, dreigingen en incidenten en het samenwerken met andere bestuursorganen en organisaties.

Aanleiding

Uit onderzoek van het Centraal Bureau voor de Statistiek (CBS) blijkt dat jaarlijks duizenden bedrijven – zowel groot als klein - het slachtoffer zijn van een cyberaanval. Het Digital Trust Center (DTC) is in 2018 binnen het ministerie van EZ opgericht om het niet-vitale Nederlandse bedrijfsleven weerbaarder te maken tegen cyberdreigingen. Het DTC biedt algemene informatie en advies aan het bedrijfsleven en bevordert samenwerking tussen bedrijven op het gebied van digitale weerbaarheid. Er bleek echter een urgente behoefte om individuele bedrijven te informeren over specifieke digitale dreigingen en kwetsbaarheden die grote impact kunnen hebben op niet-vitale bedrijven. Daarom is de Tweede Kamer in 2021 geïnformeerd dat er - vooruitlopend op de wettelijke grondslag die de Wbdwb biedt - eerste stappen worden gezet om beschikbare specifieke ernstige dreigingsinformatie met de betrokken bedrijven te delen via het DTC.

DTC Notificatiedienst

Dagelijks ontvangt het DTC informatie over kwetsbare of gehackte systemen. Als deze informatie na controle wordt ingeschat als cyberdreiging voor een Nederlands bedrijf, gaat het DTC over tot het waarschuwen (notificeren) zodat het bedrijf hierop actie kan ondernemen. Dit houdt in dat een e-mailbericht wordt verzonden naar het bedrijf. Als de informatie niet te herleiden is naar een specifiek bedrijf, dan wordt de netwerkeigenaar op de hoogte gebracht. In 2023 is er ruim 140.000 keer genotificeerd, in 2024 staat de teller op ruim 150.000 notificaties.

DTC waarschuwde het bedrijfsleven 150.000 keer in 2024

Het notificeren van bedrijven gebeurt veelal vanwege een beveiligingslek of een configuratiefout die geconstateerd is bij met het internet verbonden apparaten of software. Het kan gaan om recent ontdekte kwetsbaarheden die nog niet actief worden misbruikt maar ook om al langer bekende kwetsbaarheden van systemen die nog op oudere software versies draaien. Denk bijvoorbeeld aan Microsoft Exchange maar ook aan zogenoemde 'edge devices' zoals firewalls en VPN-oplossingen. Zo notificeerde het DTC dit jaar meerdere keren over Ivanti en Fortinet. Ook kon het DTC bedrijven notificeren over kwetsbare Qlik Sense Servers dankzij het samenwerkingsverband Melissa. Ook komt het voor dat het DTC bedrijven notificeert in het geval van gestolen bedrijfsinformatie. Zo kon het Nederlandse organisaties waarschuwen voor gelekte inloggegevens van bedrijfsaccounts die de internationale actie 'Operation Endgame' achterhaalde.

Wat regelt de Wbdwb?

De Wbdwb regelt de taken en bevoegdheden van de minister van EZ gericht op digitale weerbaarheid van niet-vitale bedrijven in Nederland. De taken zijn onder meer:

1. Het verwerken en verspreiden van informatie over kwetsbaarheden, dreigingen en incidenten aan bedrijven en het samenwerken met andere bestuursorganen en organisaties op het gebied van digitale weerbaarheid;
2. de rechtstreekse informatie-uitwisseling tussen het NCSC en het CSIRT voor digitale diensten;
3. Het voorzien in de voorwaarden waaronder vertrouwelijke gegevens die bij de Minister van Economische Zaken berusten, verstrekt mogen worden aan derden.

Deze wet is een belangrijk instrument waarmee vanuit de overheid niet-vitale Nederlandse bedrijven kunnen worden gewaarschuwd over digitale kwetsbaarheden en beveiligingslekken. Bij het waarschuwen van individuele bedrijven en organisaties kunnen persoonsgegevens verwerkt worden, denk bijvoorbeeld aan IP-adressen en de (e-mail) contactgegevens van medewerkers van een bedrijf. De Wbdwb zorgt voor de wettelijke grondslag daarvoor.