020 530 0160

Cybersecurity – meldplicht ICT-inbreuken

Gepubliceerd op 10 mei 2017 categorieën ,

Naast een meldplicht datalekken, krijgen we binnenkort hoogstwaarschijnlijk ook een meldplicht cybersecurity. Het op 19 januari 2016 ingediende wetsvoorstel gegevensverwerking en meldplicht cybersecurity (hierna ook: Wgmc) ligt op dit moment bij de Eerste Kamer en introduceert, indien aangenomen, een meldplicht voor een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen (hierna ook: ICT-inbreuken). Daarnaast bevat het voorstel regels over het verwerken van gegevens ten behoeve van de taken van de Minister van Veiligheid en Justitie op het terrein van cybersecurity. Het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het Ministerie van Veiligheid en Justitie, is belast met de taak om dergelijke meldingen in ontvangst te nemen en af te handelen.

De meldplicht geldt alleen voor bij algemene maatregel van bestuur aangewezen ‘vitale aanbieders’: overheidsorganisaties en privaatrechtelijke rechtspersonen die producten of diensten aanbieden waarvan de beschikbaarheid en betrouwbaarheid van vitaal belang zijn voor de Nederlandse samenleving.  Een aangewezen vitale aanbieder is niet verplicht om elke ICT-inbreuk aan het NCSC te melden. De verplichting tot melden geldt alleen als de inbreuk of verlies van integriteit tot gevolg heeft of kan hebben dat de beschikbaarheid of betrouwbaarheid van het aangewezen product of de aangewezen dienst in belangrijke mate wordt of kan worden onderbroken. Van een inbreuk op de veiligheid kan bijvoorbeeld worden gesproken in het geval een niet-geautoriseerd persoon zich ongeoorloofd toegang heeft verschaft, of zelfs onopzettelijk toegang heeft verkregen, tot het computersysteem of netwerk van de vitale aanbieder. Van een verlies van integriteit kan bijvoorbeeld worden gesproken wanneer een derde in staat is geweest om, ongeoorloofd, informatie die een belangrijke rol speelt in een vitale dienst of een vitaal product toe te voegen, aan te passen of te verwijderen. Een DDoS-aanval (Distributed Denial of Service) valt weer niet onder het wetsvoorstel. Bij een DDoS-aanval wordt namelijk de bereikbaarheid van een online-dienst verstoort door in een zeer korte tijd heel veel dataverkeer op een server te richten, hier is geen sprake van een daadwerkelijk inbreuk op de server zelf. Bovendien zal het bij een DDoS-aanval veelal slechts om een tijdelijke beperking van de bereikbaarheid gaan.

Welke bedrijven precies een incident moeten melden, wordt geregeld in het ‘Besluit meldplicht cybersecurity’, waarover momenteel een internetconsultatie loopt. In de nota van toelichting is te lezen dat aansluiting is gezocht bij de selectie van vitale sectoren zoals beschreven in de brief aan de Tweede Kamer van 6 juli 2012, te weten Energie, Drinkwater, Keren en Beheren, Telecom, de Mainports Rotterdam en Schiphol en Financiën. Digitale overheid en Nucleair zijn hier later aan toegevoegd. Te denken valt daarbij aan vitale aanbieders zoals energienetwerkbeheerders, drinkwaterbedrijven, telecombedrijven, banken en Rijkswaterstaat als beheerder van primaire waterkeringen.

Na melding is de vitale aanbieder verplicht om mee te werken met verder onderzoek. Zo zal de aanbieder op verzoek van het NCSC alle benodigde informatie moeten verstrekken. Met behulp van die informatie kan het NCSC de risico’s voor de samenleving inschatten en daarnaast hulp verlenen aan de getroffen organisatie. Bovendien helpen de meldingen het NCSC om andere vitale organisaties te waarschuwen en te adviseren over mogelijke inbreuken. De taken van het NCSC zijn op grond van de nieuwe wet echter breder. Het centrum zal zich niet alleen bezig houden met de digitale veiligheid van vitale aanbieders, maar ook inzetten voor “verdere versterking van de digitale weerbaarheid van de Nederlandse samenleving”. In dat kader gaat het NCSC Nederlandse bedrijven in het algemeen wijzen op dreigingen en incidenten met betrekking tot informatiesystemen, alsmede adviseren over het voorkomen daarvan. Het NCSC heeft straks het recht om bij alle Nederlandse bedrijven informatie op te vragen om deze taken goed te vervullen. Die bedrijven zijn echter, in tegenstelling tot vitale aanbieders die een melding hebben gedaan, niet verplicht om die informatie te verstrekken.

Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Remco Bakker

publicaties

Gerelateerde artikelen