14 februari 2016
Als het aan staatssecretaris Dijkhoff ligt worden organisaties binnen de zogenaamde vitale infrastructuur binnenkort verplicht om ernstige digitale veiligheidsincidenten te melden bij het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie.
Hij heeft daartoe begin februari 2016 een wetsvoorstel bij de Tweede Kamer ingediend genaamd de wet gegevensverwerking en meldplicht cybersecurity. Het kan gezien worden als een uitbreiding van de wet datalekken die 1 januari 2016 in werking trad (zie ook de weblog USB-stick of laptop verloren?)
Voluit heet het wetsvoorstel “Regels over het verwerken van gegevens ter bevordering van de veiligheid en de integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving en regels over het melden van ernstige inbreuken”. Doel van het wetsvoorstel is een effectievere aanpak van ernstige digitale veiligheidsincidenten in deze vitale sectoren. Onder deze sectoren worden geschaard: elektriciteit, gas, kernenergie, drinkwater, telecom, transport -mainports Rotterdam en Schiphol-, financiën en overheid. Mede daardoor zou maatschappelijke ontwrichting moeten worden beperkt althans worden voorkomen. Het NCSC kan zo risico’s voor de samenleving sneller en beter inschatten én hulp verlenen aan de getroffen organisatie. Bovendien is het NCSC zo in staat andere vitale organisaties te waarschuwen en te adviseren. Het NSCS is overigens onderdeel van de Nationaal Coördinator Terrorismebestrijding en veiligheid. De meldingsplicht zorgt er enerzijds voor dat het NCSC zijn taken goed kan uitoefenen. Anderzijds houdt het bij de informatievoorziening aan (onder meer) het publiek over deze incidenten en kwetsbaarheden goed rekening met de belangen van de betrokken aanbieders. Het wetsvoorstel geeft bovendien een wettelijke basis voor de taken en bevoegdheden van het NCSC.
Een inbreuk op de veiligheid of een verlies van integriteit van een ICT-systeem moet worden gemeld bij het NCSC. Melden is alleen noodzakelijk wanneer die inbreuk of dat verlies kan leiden tot een belangrijke onderbreking van de beschikbaarheid of betrouwbaarheid van het product of de dienst van de vitale aanbieder. Als voorbeeld wordt in de memorie van toelichting (MvT) genoemd een hack van de IT-systemen van een energiecentrale waardoor de energieproductie (mogelijk) gevaar loopt. Een DDoS-aanval valt niet onder de meldplicht nu daarbij geen sprake is van een inbreuk, aldus de MvT.
Het NSCS zal zich ook in brede zin gaan bezighouden met de versterking van de digitale weerbaarheid van de Nederlandse samenleving. In dat kader gaat het Nederlandse bedrijven in het algemeen wijzen op dreigingen en incidenten met betrekking tot informatiesystemen, en adviezen geven ter voorkoming daarvan. Het NCSC heeft straks het recht om bij alle Nederlandse bedrijven informatie op te vragen om deze taken goed te vervullen. Die bedrijven zijn echter, in tegenstelling tot vitale aanbieders die een melding hebben gedaan, niet verplicht om die informatie te verstrekken.
De Tweede Kamer zal zich binnenkort over dit wetsvoorstel buigen. Dat leidt doorgaans tot wijzigingen in de tekst van het voorstel. Wij volgen deze ontwikkelingen op de voet.