Together with the accompanying Decree on the Security of Network and Information Systems (Besluit beveiliging netwerk- en informatiesystemen, "BBNI"), the WBNI prescribes, among other things, certain security requirements aimed to increase the digital resilience of the Netherlands, limit the consequences of cyber incidents and thus prevent social disruption. The WBNI implements the EU Directive on Security of Network and Information Systems.
Providers of essential services
The WBNI includes an obligation for most of the providers of essential services (aanbieders van essentiële diensten, "AED's") to take appropriate and proportionate security measures (duty of care). In addition, AED's are obliged to report incidents with a significant impact on their services (duty of notification) to both the minister of Economic Affairs and Climate ("Minister") and the National Cyber Security Centre ("NCSC"). According to the explanatory memorandum, the duty of care and duty of notification aims to limit the consequences of cyber incidents and to prevent social disruption.
However, until 1 June 2021, the WBNI did not apply to electricity producers. Since that date, all electricity producers established in the Netherlands with a capacity of more than 100 megawatts qualify as AED's and therefore have to comply with the WBNI.
Security measures
The WBNI obliges providers of essential services to take all appropriate and proportionate technical and organisational measures, taking into consideration the nature of the risks relating to the services that they offer. They can choose to develop this knowledge in house or use external companies specialised in offering security mechanisms. The BBNI now specifies the minimum measures that an AED should take. Additional measures may be laid down by ministerial regulation.
Notification to the Minister
The Minister needs to be able to make adequate decisions following an incident or breach. Therefore, electricity producers need to inform the Minister in the event of (i) an incident that may have a material adverse effect on the continuity of the services offered and/or (ii) a breach of the security measures of the network and information systems used by the electricity producers that may have a material adverse effect on the continuity of the services offered.
Electricity producers in the Netherlands with a capacity of more than 100 megawatts are qualify as providers of essential services from 1 June 2021 and must therefore comply with the WBNI. This act aims to limit the consequences of incidents and thus to prevent social disruption.
Not only are these parties obliged to report serious incidents to the NCSC and the Minister, they must also take appropriate measures to protect their IT infrastructure against attacks and incidents.
Although targeted ransomware attacks on essential processes have not yet occurred in the Netherlands, they are already happening abroad. Ransomware attacks in both the United States and the European Union during the COVID-19 pandemic seriously hampered hospitals, COVID-19 research institutes and a vaccine distribution centre. This week the Dutch National Coordinator Counterterrorism and Security warned that ransomware is already a threat to the national security.
With special thanks to associates Laurent van der Bruggen and Luuk Jordens.
Grote elektriciteitsproducenten moeten hun inspanningen op het gebied van cyberbeveiliging opvoeren
Sinds 9 november 2018 is de Wet beveiliging netwerk- en informatiesystemen ("WBNI") van kracht. Samen met het bijbehorende Besluit beveiliging netwerk- en informatiesystemen ("BBNI") schrijft de WBNI onder meer bepaalde beveiligingseisen voor, gericht op het vergroten van de digitale weerbaarheid van Nederland, het beperken van de gevolgen van cyberincidenten en daarmee het voorkomen van maatschappelijke ontwrichting. De WBNI implementeert de EU richtlijn netwerk- en informatiebeveiliging.
Aanbieders van essentiële diensten
In de WBNI is voor de meeste aanbieders van essentiële diensten ("AED's") de verplichting opgenomen om passende en evenredige beveiligingsmaatregelen te treffen (zorgplicht). Daarnaast zijn AED's verplicht om incidenten met een significante impact op hun dienstverlening te melden (meldplicht) aan zowel de minister van Economische Zaken en Klimaat (de "Minister") als het Nationaal Cyber Security Centrum (het "NCSC"). De zorg- en meldplicht hebben volgens de memorie van toelichting tot doel de gevolgen van cyberincidenten te beperken en maatschappelijke ontwrichting te voorkomen.
Tot 1 juni 2021 was de WBNI echter niet van toepassing op elektriciteitsproducenten. Sinds die datum worden alle in Nederland gevestigde elektriciteitsproducenten met een vermogen van meer dan 100 megawatt aangemerkt als AED's en moeten zij dus voldoen aan de WBNI.
De WBNI verplicht aanbieders van essentiële diensten om alle passende en evenredige technische en organisatorische maatregelen te nemen, rekening houdend met de aard van de risico's die verbonden zijn aan de diensten die zij aanbieden. Zij kunnen ervoor kiezen deze kennis zelf te ontwikkelen of een beroep te doen op externe bedrijven die gespecialiseerd zijn in het aanbieden van beveiligingsmechanismen. Het BBNI geeft nu aan welke maatregelen een AED minimaal moet nemen. Aanvullende maatregelen kunnen bij ministeriële regeling worden vastgesteld.
Informeren van de Minister
De Minister moet adequate beslissingen kunnen nemen na een incident of inbreuk. Daarom moeten elektriciteitsproducenten de Minister informeren in geval van (i) een incident dat aanzienlijke gevolgen kan hebben voor de continuïteit van de aangeboden diensten en/of (ii) wanneer een inbreuk op de beveiligingsmaatregelen van het netwerk en de informatiesystemen die door de elektriciteitsproducenten worden gebruikt aanzienlijke gevolgen kan hebben voor de continuïteit van de aangeboden diensten.
Elektriciteitsproducenten in Nederland met een capaciteit van meer dan 100 megawatt worden vanaf 1 juni 2021 aangemerkt als aanbieders van essentiële diensten en moeten daarom voldoen aan de WBNI. Dit om de gevolgen van incidenten te beperken en daarmee maatschappelijke ontwrichting te voorkomen.
Niet alleen zijn deze partijen verplicht om ernstige incidenten te melden bij het NCSC en de Minister, ook moeten zij passende maatregelen nemen om hun IT-infrastructuur te beschermen tegen aanvallen en incidenten.
Hoewel gerichte ransomware-aanvallen op vitale processen in Nederland nog niet zijn voorgekomen, gebeurt dit in het buitenland al wel. Ransomware-aanvallen in zowel de Verenigde Staten als de Europese Unie tijdens de COVID-19 pandemie hebben ziekenhuizen, COVID-19 onderzoeksinstituten en een distributiecentrum voor vaccins ernstig gehinderd. Deze week waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid dat ransomware nu al een bedreiging is voor de nationale veiligheid.