De Wet bevordering digitale weerbaarheid bedrijven 

Op dinsdag 1 oktober 2024 is de Wet bevordering digitale weerbaarheid bedrijven (Wbdwb) in werking getreden. Deze wet legt de taken en bevoegdheden van de minister van Economische Zaken (EZ) vast op het terrein van digitale weerbaarheid van niet-vitale bedrijven in Nederland, zoals het verwerken en verspreiden van informatie over kwetsbaarheden, dreigingen en incidenten en het samenwerken met andere bestuursorganen en organisaties.

Aanleiding

Het Digital Trust Center (DTC) is in 2018 binnen het ministerie van Economische Zaken opgericht om het niet-vitale Nederlandse bedrijfsleven weerbaarder te maken tegen cyberdreigingen. Het DTC biedt algemene informatie en advies aan het bedrijfsleven en bevordert samenwerking tussen bedrijven op het gebied van digitale weerbaarheid. Er bleek echter een sterke behoefte bij de politiek en het bedrijfsleven zelf om het bedrijfsleven te informeren over specifieke digitale dreigingen en kwetsbaarheden bij individuele bedrijven. De verwachting hierbij was dat bedrijven bij een voor hen concrete bedreiging eerder geneigd zouden zijn het handelingsperspectief op te volgen en hiermee de kans op schade zouden verkleinen.

Wat regelt de wet?

De Wbdwb regelt de taken en bevoegdheden van de minister van EZ gericht op digitale weerbaarheid van niet-vitale bedrijven in Nederland. De taken zijn onder meer:

1. Het verwerken en verspreiden van informatie over kwetsbaarheden, dreigingen en incidenten aan bedrijven en het samenwerken met andere bestuursorganen en organisaties op het gebied van digitale weerbaarheid
2. de rechtstreekse informatie-uitwisseling tussen het NCSC en het CSIRT voor digitale diensten.
3. Het voorzien in de voorwaarden waaronder vertrouwelijke gegevens die bij de Minister van Economische Zaken berusten, verstrekt mogen worden aan derden.

Deze wet is een belangrijk instrument waarmee vanuit de overheid niet-vitale Nederlandse bedrijven kunnen worden gewaarschuwd over digitale kwetsbaarheden en beveiligingslekken. Bij het waarschuwen van individuele bedrijven en organisaties kunnen persoonsgegevens verwerkt worden, denk bijvoorbeeld aan IP-adressen en de (e-mail) contactgegevens van medewerkers van een bedrijf. De Wbdwb zorgt voor de wettelijke grondslag daarvoor.

DTC waarschuwt het bedrijfsleven

Deze taken en bevoegdheden worden uitgevoerd door het DTC. Het DTC verstrekt sinds de oprichting in 2018 generieke informatie zoals dreigingsinformatie over kwetsbare bedrijfssoftware. Ook is er de mogelijkheid om specifieke informatie over cyberdreigingen te delen met individuele bedrijven in Nederland om hen te behoeden voor een cyberaanval of -incident. In de zomer van 2021 is het Digital Trust Center met deze dienstverlening begonnen. En met succes. De Notificatiedienst van het DTC heeft sinds de start in juni 2021 ruim 300.000 waarschuwingen verstuurd over kwetsbare systemen bij bedrijven (peildatum 4 oktober 2024).

Doelgroepen die door de regeling worden geraakt

1. Niet-vitale bedrijven. Dit zijn Nederlandse bedrijven die niet vallen onder de doelgroep van de Wet beveiliging netwerk- en informatiesystemen (Wbni).
2. Samenwerkingsverbanden cyberweerbaarheid die aangesloten zijn bij het DTC.
3. Andere volgens de Wbni aangewezen organisaties (OKTT’s en CERT's die onderdeel uitmaken van de informatie uitwisseling voor digitale weerbaarheid.

Waarom een aparte wet?

De minister van Economische Zaken heeft eigen taken en bevoegdheden voor het niet-vitale bedrijfsleven. In nauw overleg met de minister van Justitie en Veiligheid is besloten om deze verantwoordelijkheden in een eigenstandige wet vast te leggen om zo de verantwoordelijkheid van EZ als departement transparant en duidelijk te maken. Bedrijven weten hierdoor op welke wettelijke kaders zij een beroep kunnen doen en daarmee waarvoor ze bij wie terecht kunnen, ook als per 1 januari 2026 het DTC en het Nationaal Cyber Security Centrum (NCSC) samen één centrale cyberorganisatie vormen.

Verschil met de Wbni

De Wbdwb heeft als doelgroep het niet-vitale bedrijfsleven, wat staat voor zo’n 2,3 miljoen bedrijven. Deze doelgroep valt niet onder de Wet beveiliging netwerk- en informatiesystemen (Wbni).

Bovendien werkt deze wet anders dan de Wbni. De Wbni dient ter implementatie van de Europese richtlijn voor Netwerk- en Informatiebeveiliging (NIB-richtlijn), is gericht op vitale aanbieders en digitale dienstverleners, en legt meld- en zorgplichten op en regelt het toezicht daarop. De Wbdwb doet dat niet: zij legt géén eisen op aan bedrijven en er is géén sprake van toezicht. Deze wet maakt het mogelijk om bedrijven beter te ondersteunen in hun cyberweerbaarheid met specifieke dreigingsinformatie vanuit de overheid. Dat maakt deze wet fundamenteel anders van aard en doelgroep en daarmee een noodzakelijke aanvulling op het bestaande stelsel.