Minister Opstelten introduceert meldplicht voor gehackte bedrijven

business_trendsOm een snelle en effectieve aanpak van digitale veiligheidsincidenten te versterken moeten organisaties binnen vitale sectoren daar voortaan verplicht melding van maken bij het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het Ministerie van Veiligheid en Justitie. Dat staat in een wetsvoorstel dat minister Opstelten van Veiligheid en Justitie voor advies naar verschillende instanties heeft gestuurd, zoals VNO-NCW, Nederland ICT en de Nederlandse Vereniging van Banken. Het wetsvoorstel is tevens voor internetconsultatie opengesteld.

Het wetsvoorstel heeft betrekking op ict-inbreuken die de continuïteit van dienstverlening in de vitale sectoren in belangrijke mate kunnen verstoren en in potentie tot grote maatschappelijke ontwrichting kunnen leiden. In dergelijke gevallen is het van belang dat de overheid snel kan handelen om door het verlenen van hulp de beschikbaarheid van voor de samenleving vitale diensten te waarborgen en zo maatschappelijke ontwrichting te voorkomen of te beperken.

Telecom

De meldplicht zal gaan gelden voor organisaties binnen de volgende sectoren: elektriciteit, gas, drinkwater, telecom, keren en beheren oppervlaktewater, transport (mainports Rotterdam en Schiphol), financiën en (rijks)overheid. Voor al deze sectoren geldt dat het gaat om onderdelen van de vitale infrastructuur van Nederland waarbij een uitval direct of indirect tot maatschappelijke ontwrichting kan leiden.

Artikel 3

Volgens het wetsvoorstel meldt de aanbieder onverwijld een inbreuk op de veiligheid of een verlies van integriteit van zijn informatiesysteem waardoor de beschikbaarheid of betrouwbaarheid van een product of dienst in belangrijke mate wordt of kan worden onderbroken. De kennisgeving omvat in ieder geval:

  • de aard en omvang van de inbreuk of het verlies;
  • het tijdstip van de aanvang van de inbreuk of het verlies;
  • de mogelijke gevolgen van de inbreuk of het verlies;
  • een prognose van de hersteltijd;
  • zo mogelijk de door de aanbieder genomen of te nemen maatregelen om de gevolgen van de inbreuk of het verlies te beperken of herhaling hiervan te voorkomen;
  • de contactgegevens van de in Nederland gevestigde functionaris die verantwoordelijk is voor het doen van de kennisgeving.

Tot en met 17 september 2013 staat het hierboven beschreven wetsvoorstel open voor commentaar.

Risico’s

Door deze vitale organisaties wettelijk te verplichten melding te maken van ict-inbreuken, kan het NCSC volgens eigen zeggen de risico’s voor de samenleving inschatten én hulp verlenen aan de getroffen organisatie. Bovendien is het NCSC hierdoor in staat om andere vitale organisaties zo nodig te waarschuwen en te adviseren. Deze hulp en advisering aan vitale organisaties, met als doel om maatschappelijke ontwrichting te voorkomen of te beperken, staat bij de meldplicht aan het NCSC centraal.

Kwetsbaarheden

Bij het doen van de meldingen is van belang dat deze in vertrouwen gedaan worden om kwetsbaarheden te beperken of in de toekomst te vermijden. De meldplicht past daarbij in het bredere kader van de ingezette publiek-private samenwerking om cybersecurity binnen de (rijks)overheid en de vitale sectoren te realiseren. Met de wettelijke regeling geeft het kabinet uitvoering aan de motie-Hennis-Plasschaert waarin wordt gevraagd om een meldplicht voor security breaches voor organisaties die zijn betrokken bij voor de samenleving vitale informatiesystemen.

Storingen

Sinds juni 2012 zijn aanbieders van openbare communicatiediensten en -netwerken al verplicht hun grotere storingen te melden bij het Loket Meldplicht Telecomwet. Het gaat daarbij om storingen waarbij overlast is voor veel klanten, een vitale dienst of sector wordt getroffen of het alarmnummer 1-1-2 uitvalt. De storingen worden veelal veroorzaakt door stroomuitval en ict-fouten. Sinds 1 januari 2013 zijn aanbieders van openbare communicatiediensten en –netwerken bovendien wettelijk verplicht de maatregelen die zij hebben genomen ter voorkoming van verstoringen, vast te leggen in een continuïteitsplan.

Datalekken

Het nu voor internetconsultatie aangeboden wetsvoorstel staat overigens los van het wetsvoorstel meldplicht datalekken dat op 21 juni jongstleden door staatssecretaris Teeven van Veiligheid en Justitie naar de Tweede Kamer gestuurd. Zowel private als publieke organisaties die persoonsgegevens verwerken worden straks verplicht om inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden. Dat zijn dus meer organisaties dan de aanbieders van elektronische communicatienetwerken en -diensten voor wie op grond van de Telecommunicatiewet reeds een meldplicht geldt bij diefstal, verlies of misbruik van persoonsgegevens van abonnee of gebruiker. Het doel van die meldplicht is om tot een betere bescherming van persoonsgegevens te komen. De toezichthouder - het College bescherming persoonsgegevens (Cbp) - ontvangt een melding. Daarnaast ontvangt in veel gevallen ook degene wiens persoonsgegevens het betreft een melding, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Is er sprake van nalatigheid om te melden, dan kan het Cbp een boete opleggen van maximaal 450.000 euro.

Onder druk van de Europese Commissie en door schade en schande wijs geworden (denk aan het debacle met DigiNotar) probeert de Rijksoverheid middels een nieuw wetsvoorstel dat voor internetconsultatie is aangeboden, de gevolgen van cybercriminaliteit zoveel mogelijk te beperken. Zij hoopt hiermee maatschappelijke ontwrichting te voorkomen. Belangenorganisatie BTG juicht dit uiteraard toe, maar pleit er wel voor dat de diverse wetsvoorstellen logisch op elkaar aansluiten en een samenhangend geheel vormen, waardoor het voor (telecom)bedrijven, bedrijven en instellingen glashelder is aan welke wettelijke verplichtingen ze moeten voldoen. Alleen dan zijn de torenhoge boetes (maximaal 450.000 euro) bij overtredingen te rechtvaardigen.

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

Magazine

BTG in Business - Najaar 2021
Lees de laatste editie

Meld je aan voor onze nieuwsbrief!

Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.