Het NCSC mag voortaan meer dreigingsinformatie delen met meer organisaties. De aangepaste Wet beveiliging netwerk- en informatiesystemen (Wbni) die dit mogelijk maakt treedt in werking.
Het NCSC mocht voorheen informatie alleen delen met organisaties die als vitaal zijn aangemerkt of binnen de rijksoverheid vallen. Er was niet altijd een grondslag in de wet voor het NCSC om dreigings- en incidentinformatie te verstrekken aan andere organisaties. Die organisaties wisten daarom niet dat hun systemen kwetsbaar waren, terwijl het NCSC daarover wel informatie had. De aangepaste Wbni brengt hier verandering in en zorgt voor de benodigde grondslag om meer informatie te verstrekken aan meer organisaties.
Informatie delen met niet-vitale bedrijven
Hans de Vries, directeur NCSC: “Vandaag is een dag waar we lang op hebben gewacht als organisatie en ik ben dan ook blij dat het eindelijk zo ver is. We kunnen vanaf vandaag informatie over bijvoorbeeld een kwetsbaarheid of ransomware aanval die eraan komt ook delen met organisaties die niet tot de vitale organisaties of de Rijksoverheid behoren. Zo maken we ook die organisaties digitaal veiliger en daarmee Nederland.”
De Wbni regelt de wettelijke taken van het NCSC op het terrein van cybersecurity. Primair heeft het NCSC onder andere tot taak om vitale aanbieders en organisaties binnen de rijksoverheid te informeren en adviseren over digitale dreigingen en incidenten. Hierdoor beschikt het NCSC regelmatig ook over informatie over digitale dreigingen of incidenten die relevant is voor andere organisaties. Het gaat dan bijvoorbeeld om distributeurs van voedselwaren, politieke partijen of containeroverslagbedrijven. Die informatie kan per 1 december ook worden verstrekt aan die andere aanbieders of hun schakelorganisaties. Je kan daarbij denken aan informatie waardoor het NCSC weet dat een organisatie software gebruikt die kwetsbaar is voor misbruik door criminelen of wanneer het NCSC informatie heeft over een op handen zijnde ransomware-aanval.
Bijzondere gevallen
Zogeheten OKTT’s (organisaties die objectief kenbaar tot taak hebben om organisaties of het publiek te informeren over dreigingen en incidenten), die als schakelorganisaties van andere aanbieders fungeren, kunnen vanaf nu organisaties in hun achterban van die informatie en advies daarover voorzien. Daarnaast is er nu een grondslag voor het NCSC om in bijzondere gevallen dreigings- of incidentinformatie met andere aanbieders zelf te delen. Van een bijzonder geval is sprake als er geen schakelorganisatie (zoals een OKTT of computercrisisteam) is die de aanbieder van de informatie kan voorzien én de informatie over een dreiging of incident gaat met (potentiële) aanzienlijke gevolgen voor de continuïteit van de dienstverlening van de aanbieder.
Petra Claessen, CEO van BTG en BTG Services: “Cyberaanvallen en datalekken kunnen omvangrijke schade veroorzaken. Het is dan ook van belang dat informatie gerelateerd aan dreigingen niet alleen gedeeld wordt met vitale bedrijven, maar ook met bedrijven die als niet-vitaal zijn gekenmerkt. De aangepaste Wbni biedt het NCSC de ruimte hieraan invulling te geven en meer partijen te informeren over dreigingen en incidenten. Zo tillen we de digitale veiligheid van het Nederlandse bedrijfsleven en de maatschappij naar een hoger niveau.”