Wet bevordering digitale weerbaarheid bedrijven in werking getreden
De nieuwe Wet bevordering digitale weerbaarheid bedrijven, of Wbdwb, is op 1 oktober officieel in werking getreden. De wet moet de digitale weerbaarheid van niet-vitale bedrijven in Nederland naar een hoger niveau tillen.
Onder de Wbdwb worden nieuwe taken en bevoegdheden van de minister van Economische Zaken vastgelegd op het gebied van digitale weerbaarheid van niet-vitale bedrijven in Nederland. De minister krijgt onder meer de wettelijke taak om het bedrijfsleven te voorzien van bij de overheid bekende bedrijfsspecifieke ernstige dreigingsinformatie.
De overheid deelt al langer bedrijfsspecifieke dreigingsinformatie met vitale organisaties, onder de Wet beveiliging netwerk- en informatiesystemen. Niet-vitale organisaties vielen echter buiten de boot, ook als de overheid wel beschikte over dreigingsinformatie die ook voor hen relevant is. Probleem is dat de overheid vaak persoonsgegevens moet gebruiken om een bedrijf op de hoogte te stellen van een dreiging specifiek voor hen, terwijl dat niet zomaar mag. De nieuwe wet zorgt voor de wettelijke grondslag om die gegevens alsnog te verwerken bij het uitvoeren van de wettelijke taak.
De hoop is dat nu de overheid deze dreigingsinformatie wel mag delen, bedrijven snel beschermende maatregelen kunnen treffen en er geen succesvolle aanvallen plaatsvinden.
Functie DTC
De informatie wordt gedeeld door het Digital Trust Center, dat in 2018 binnen het ministerie van Economische Zaken is opgericht om het niet-vitale Nederlandse bedrijfsleven weerbaarder te maken tegen cyberdreigingen.
Het DTC ontvangt dagelijks informatie over kwetsbare of gehackte systemen. Al snel bleek dat er behoefte was om individuele bedrijven te informeren over specifieke digitale dreigingen en kwetsbaarheden die grote impact kunnen hebben. Daarom werd de Tweede Kamer in 2021 geïnformeerd dat er eerste stappen werden gezet om die informatie toch met betrokken bedrijven te delen, vooruitlopend op de Wbdwb.
Sindsdien worden bedrijven dus op de hoogte gesteld van specifieke dreigingen voor hen. Het DTC verstuurt daarvoor e-mails naar het bedrijf in kwestie. Is de dreigingsinformatie niet naar een specifiek bedrijf te herleiden, dan wordt de netwerkeigenaar op de hoogte gebracht. Het DTC heeft in 2023 ruim 140.000 notificaties gestuurd. In 2024 staat de teller ondertussen op ruim 150.000.