Op dinsdag 1 oktober 2024 is de wet bevordering digitale weerbaarheid bedrijven (Wbdwb) officieel in werking getreden. Met de wet is het mogelijk om vanuit de overheid dreigingsinformatie te delen die te herleiden is naar een specifiek bedrijf, zodat beschermende maatregelen snel kunnen worden genomen.
Met de inwerkingtreding van de Wbdwb ontstaat er een nieuwe wettelijke taak voor de minister van EZ om het bedrijfsleven te voorzien van bij de overheid bekende bedrijfsspecifieke ernstige dreigingsinformatie. Voor de vitale organisaties is dit geregeld in de Wet beveiliging netwerk- en informatiesystemen (Wbni), voor het niet-vitale bedrijfsleven is dit nu geregeld in de Wbdwb. Voor het notificeren over digitale kwetsbaarheden en beveiligingslekken, is vaak nodig persoonsgegevens te gebruiken zoals IP-adressen en e-mailgegevens van medewerkers. De nieuwe wet zorgt voor de wettelijke grondslag om deze gegevens te verwerken bij het uitvoeren van deze wettelijke taak.
Waarschuwen
Uit onderzoek van het Centraal Bureau voor de Statistiek (CBS) blijkt dat jaarlijks duizenden bedrijven – zowel groot als klein – het slachtoffer zijn van een cyberaanval. Het Digital Trust Center (DTC) is in 2018 binnen het ministerie van EZ opgericht om het niet-vitale Nederlandse bedrijfsleven weerbaarder te maken tegen cyberdreigingen. Het DTC biedt algemene informatie en advies aan het bedrijfsleven en bevordert samenwerking tussen bedrijven op het gebied van digitale weerbaarheid.
Er bleek echter een urgente behoefte om individuele bedrijven te informeren over specifieke digitale dreigingen en kwetsbaarheden die grote impact kunnen hebben op niet-vitale bedrijven. Daarom is de Tweede Kamer in 2021 geïnformeerd dat er – vooruitlopend op de wettelijke grondslag die de Wbdwb biedt – eerste stappen worden gezet om beschikbare specifieke ernstige dreigingsinformatie met de betrokken bedrijven te delen via het DTC.
Al 150.000 waarschuwingen in 2024
Dagelijks ontvangt het DTC informatie over kwetsbare of gehackte systemen. Als deze informatie na controle wordt ingeschat als cyberdreiging voor een Nederlands bedrijf, gaat het DTC over tot het waarschuwen (notificeren) zodat het bedrijf hierop actie kan ondernemen. Dit houdt in dat een e-mailbericht wordt verzonden naar het bedrijf. Als de informatie niet te herleiden is naar een specifiek bedrijf, dan wordt de netwerkeigenaar op de hoogte gebracht. In 2023 is er ruim 140.000 keer genotificeerd, in 2024 staat de teller op ruim 150.000 notificaties.
Het notificeren van bedrijven gebeurt veelal vanwege een beveiligingslek of een configuratiefout die geconstateerd is bij met het internet verbonden apparaten of software. Het kan gaan om recent ontdekte kwetsbaarheden die nog niet actief worden misbruikt maar ook om al langer bekende kwetsbaarheden van systemen die nog op oudere software versies draaien. (Ministerie van Economische Zaken)