Komst meldplicht Cybersecurity

Op 19 januari 2016 is het wetsvoorstel gegevensverwerking en meldplicht cybersecurity (Wgmc) ingediend. Dit voorstel omvat onder meer een meldplicht in geval van een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen. Het Nationaal Cyber Security Centrum (NCSC) is belast met de taak om dergelijke meldingen in ontvangst te nemen en af te handelen.

De meldplicht geldt alleen voor bij algemene maatregel van bestuur aangewezen overheidsorganisaties en privaatrechtelijke rechtspersonen die producten of diensten aanbieden waarvan de beschikbaarheid en betrouwbaarheid voor de Nederlandse samenleving van vitaal belang zijn. Een dergelijke aanbieder is niet verplicht om elke ICT-inbreuk aan het NCSC te melden. De verplichting tot melden geldt alleen als de inbreuk verlies van integriteit tot gevolg heeft of kan hebben dat de beschikbaarheid of betrouwbaarheid van het aangewezen product of de aangewezen dienst in belangrijke mate wordt of kan worden onderbroken. Denk in dat geval aan de situatie waarin sprake is van al dan niet opzettelijke ongeoorloofde toegang tot het computersysteem of netwerk van de betrokken aanbieder en/of deze ongeautoriseerde derde in staat is geweest om, ongeoorloofd, informatie die een belangrijke rol speelt in een vitale dienst of een vitaal product toe te voegen, aan te passen of te verwijderen.

Een DDoS-aanval (Distributed Denial of Service) valt overigens niet onder het wetsvoorstel, omdat er in dat geval geen sprake is van een daadwerkelijke inbreuk op de server zelf.

Op dit moment loopt er een internetconsultatie met betrekking tot de vraag welke bedrijven in dit soort zaken een meldplicht hebben. Gedacht moet worden aan bedrijven en overheidsonderdelen op het terrein van Energie, Drinkwater, Keren en Beheren, Telecom, de Mainports Rotterdam en Schiphol, Financiën, Digitale overheid en Nucleair.

Na melding is de aanbieder verplicht om mee te werken aan verder onderzoek. Zo is er een verplichting voor de aanbieder om op uitnodiging van het NCSC alle benodigde informatie te verstrekken. Het NCSC krijgt blijkens het voorstel het recht om bij alle Nederlandse bedrijven informatie op te vragen om deze taken goed te vervullen. Die bedrijven hebben echter, in tegenstelling tot de zogenaamde vitale aanbieders, geen verplichting om de gevraagde informatie te verstrekken.

Heeft u een vraag met betrekking tot dit artikel? Neemt u dan contact op met Solange Drieshen.