Victor Bouman, 26 januari 2016

Meldplicht cybersecurity op komst

Organisaties die opereren binnen sectoren die onderdeel uitmaken van de vitale infrastructuur van Nederland (zogenaamde “vitale aanbieders”), krijgen in de nabije toekomst bij inbreuken op de digitale beveiliging te maken met een nieuwe meldplicht naast de sinds 1 januari jl. bestaande meldplicht bij datalekken. Dat is althans de bedoeling van een afgelopen week ingediend wetsvoorstel van de staatssecretaris van Veiligheid en Justitia. De nieuwe wet, de Wet gegevensverwerking en meldplicht cybersecurity, geeft bovendien een wettelijke basis voor de taken en bevoegdheden van het Nationaal Cyber Security Centrum (NCSC).

De meldplicht gaat alleen gelden voor vitale aanbieders. Dit kunnen zowel overheidsorganen als private bedrijven zijn, maar zij hebben alle gemeen dat ze actief zijn in een sector die onderdeel uitmaakt van de vitale infrastructuur van Nederland. Daarbij gaat het om elektriciteitsleveranciers, gasleveranciers, drinkwaterbedrijven en telecombedrijven, maar ook om de Rotterdamse haven en Schiphol. Uitval van bedrijven in deze sectoren zou volgens het wetsvoorstel kunnen leiden tot maatschappelijke ontwrichting.

Wanneer er sprake is van een inbreuk op de veiligheid of een verlies van integriteit van een ICT-systeem zal dit gemeld moeten worden bij het NCSC. Daarbij geldt wel een drempel: melden is alleen noodzakelijk wanneer die inbreuk of dat verlies kan leiden tot een belangrijke onderbreking van de beschikbaarheid of betrouwbaarheid van het product of de dienst van de vitale aanbieder. Een inbreuk die gemeld zou moeten worden is bijvoorbeeld een hack van de IT-systemen van een energiecentrale waardoor de energieproductie (mogelijk) gevaar loopt. Een DDoS-aanval (waarbij in korte tijd heel veel dataverkeer op een server wordt gericht, met het doel deze te verstoren) valt niet onder de meldplicht – daarbij is immers geen sprake van een inbreuk.

Na melding is de vitale aanbieder verplicht om mee te werken met verder onderzoek. Zo zal de aanbieder op verzoek van het NCSC alle benodigde informatie moeten verstrekken. Met behulp van die informatie kan het NCSC de risico's voor de samenleving inschatten en daarnaast hulp verlenen aan de getroffen organisatie. Bovendien helpen de meldingen het NCSC om andere vitale organisaties te waarschuwen en te adviseren over mogelijke inbreuken.

De taken van het NCSC zijn op grond van de nieuwe wet echter breder. Het centrum zal zich niet alleen bezig houden met de digitale veiligheid van vitale aanbieders, maar ook inzetten voor “verdere versterking van de digitale weerbaarheid van de Nederlandse samenleving”. In dat kader gaat het NCSC Nederlandse bedrijven in het algemeen wijzen op dreigingen en incidenten met betrekking tot informatiesystemen, alsmede adviseren over het voorkomen daarvan. Het NCSC heeft straks het recht om bij alle Nederlandse bedrijven informatie op te vragen om deze taken goed te vervullen. Die bedrijven zijn echter, in tegenstelling tot vitale aanbieders die een melding hebben gedaan, niet verplicht om die informatie te verstrekken.

Voor alle duidelijkheid: het betreft hier een eerste voorstel voor een nieuwe wet. De Tweede Kamer zal zich allereerst over dit voorstel gaan buigen, en het is zeer wel mogelijk dat er nog wijzigingen zullen volgen. Wij houden u daarvan uiteraard op de hoogte.

Vragen?