Op dinsdag 1 oktober 2024 is de wet bevordering digitale weerbaarheid bedrijven (Wbdwb) officieel in werking getreden. Dit wetsvoorstel legt de taken en bevoegdheden van de minister van Economische Zaken (EZ) vast op het terrein van digitale weerbaarheid van niet-vitale bedrijven in Nederland. Met deze wet is het mogelijk om vanuit de overheid dreigingsinformatie te delen die te herleiden is naar een specifiek bedrijf opdat er snel beschermende maatregelen kunnen worden getroffen.
Aanleiding
Uit onderzoek van het Centraal Bureau voor de Statistiek (CBS) blijkt dat jaarlijks duizenden bedrijven – zowel groot als klein – het slachtoffer zijn van een cyberaanval. Het Digital Trust Center (DTC) is in 2018 binnen het ministerie van EZ opgericht om het niet-vitale Nederlandse bedrijfsleven weerbaarder te maken tegen cyberdreigingen. Het DTC biedt algemene informatie en advies aan het bedrijfsleven en bevordert samenwerking tussen bedrijven op het gebied van digitale weerbaarheid. Er bleek echter een urgente behoefte om individuele bedrijven te informeren over specifieke digitale dreigingen en kwetsbaarheden die grote impact kunnen hebben op niet-vitale bedrijven. Daarom is de Tweede Kamer in 2021 geïnformeerd dat er – vooruitlopend op de wettelijke grondslag die de Wbdwb biedt – eerste stappen worden gezet om beschikbare specifieke ernstige dreigingsinformatie met de betrokken bedrijven te delen via het DTC.
DTC Notificatiedienst
Dagelijks ontvangt het DTC informatie over kwetsbare of gehackte systemen. Als deze informatie na controle wordt ingeschat als cyberdreiging voor een Nederlands bedrijf, gaat het DTC over tot het waarschuwen (notificeren) zodat het bedrijf hierop actie kan ondernemen. Dit houdt in dat een e-mailbericht wordt verzonden naar het bedrijf. Als de informatie niet te herleiden is naar een specifiek bedrijf, dan wordt de netwerkeigenaar op de hoogte gebracht. In 2023 is er ruim 140.000 keer genotificeerd, in 2024 staat de teller op ruim 150.000 notificaties.
DTC waarschuwde het bedrijfsleven 150.000 keer in 2024
Het notificeren van bedrijven gebeurt veelal vanwege een beveiligingslek of een configuratiefout die geconstateerd is bij met het internet verbonden apparaten of software. Het kan gaan om recent ontdekte kwetsbaarheden die nog niet actief worden misbruikt maar ook om al langer bekende kwetsbaarheden van systemen die nog op oudere software versies draaien. Denk bijvoorbeeld aan Microsoft Exchange maar ook aan zogenoemde ‘edge devices’ zoals firewalls en VPN-oplossingen. Zo notificeerde het DTC dit jaar meerdere keren over Ivanti en Fortinet. Ook kon het DTC bedrijven notificeren over kwetsbare Qlik Sense Servers dankzij het samenwerkingsverband Melissa. Ook komt het voor dat het DTC bedrijven notificeert in het geval van gestolen bedrijfsinformatie. Zo kon het Nederlandse organisaties waarschuwen voor gelekte inloggegevens van bedrijfsaccounts die de internationale actie ‘Operation Endgame’ achterhaalde.
Wat regelt de Wbdwb?
Met de inwerkingtreding van de Wbdwb ontstaat er een nieuwe wettelijke taak voor de minister van EZ om het bedrijfsleven te voorzien van bij de overheid bekende bedrijfsspecifieke ernstige dreigingsinformatie. Voor de vitale organisaties is dit geregeld in de Wet beveiliging netwerk- en informatiesystemen (Wbni), voor het niet-vitale bedrijfsleven is dit nu geregeld in de Wbdwb. Voor het notificeren over digitale kwetsbaarheden en beveiligingslekken, is vaak nodig persoonsgegevens te gebruiken zoals IP-adressen en e-mailgegevens van medewerkers. De nieuwe wet zorgt voor de wettelijke grondslag om deze gegevens te verwerken bij het uitvoeren van deze wettelijke taak.