NL EN

Meld"plicht" ICT-inbreuken

Als het aan minister Opstelten ligt, komt er een nieuwe wet waarin een meldplicht voor ICT-inbreuken wordt geïntroduceerd; de Wet melding inbreuken elektronische informatiesystemen.

 

Naast de reeds geldende meldplicht voor internet providers en telecomaanbieders uit artikel 11.3a Telecommunicatiewet en het wetsvoorstel meldplicht datalekken, wordt er nu een nieuwe meldplicht geïntroduceerd. Voor wie geldt deze meldplicht en wat houdt deze precies in?

 

Meldplichtige partijen

Artikel 1 van het wetsvoorstel vermeldt dat de wet van toepassing is op “de bij algemene maatregel van bestuur” aan te wijzen aanbieders. De memorie van toelichting bij het wetsvoorstel leert dat het gaat om aanbieders van vitale producten of diensten binnen diverse sectoren. Concreet worden de volgende sectoren vermeld:

1.     Elektriciteit;

2.     Gas;

3.     Drinkwater;

4.     Telecom;

5.     Keren en beheren oppervlaktewater;

6.     Financiën;

7.     Overheid;

8.     Transport (mainports Rotterdam en Schiphol).

 

Het wetsvoorstel geeft verder ook aan welke aanbieders hier onder meer onder zouden kunnen vallen; energienetwerkbeheerders, drinkwaterbedrijven en banken. De meldplicht geldt niet voor certificaatdienstverleners.

 

Te melden inbreuken

In de algemene maatregel van bestuur waarin de meldplichtige aanbieders zullen worden vastgesteld, zal ook worden bepaald op welke vitale producten en diensten de meldplicht betrekking zal hebben.

 

Het gaat daarbij alleen om een daadwerkelijke inbreuk op de veiligheid en op een daadwerkelijk verlies van integriteit van een elektronisch informatiesysteem. Er zal sprake moeten zijn van een maatschappelijke ontwrichting.

 

Wanneer er precies sprake is van een ICT-inbreuk, is nog niet geheel duidelijk. Wel duidelijk is dat een DDOS aanval niet als een ICT-inbreuk moet worden gezien. Er is bij een DDOS aanval weliswaar sprake van een ernstige verstoring van de bereikbaarheid van een dienst, maar de achterliggende systemen worden daarbij niet aangetast. Bovendien is een DDOS aanval tijdelijk. Hierdoor zou de maatschappelijk ontwrichtende werking beperkter zijn.  

 

Een melding wordt behandeld door het Nationaal cyber Security Centrum (NCSC).

 

Handhaving  

Vreemd genoeg voorziet het wetsvoorstel niet in een mogelijkheid tot sanctionering. Het NCSC gaat geen toezicht houden op naleving van de meldplicht en krijgt ook geen handhavingsbevoegdheden. Bij de adviserende en ondersteunende rol van het NCSC past geen handhavende functie, aldus het wetsvoorstel. De betrokken partijen zouden zich al bewust zijn van hun verantwoordelijkheden hetgeen tot spontane naleving moet leiden. Het gehele wetsvoorstel gaat daarbij uit van een vrijwillige melding.

 

Samenvatting

Samenvattend gaat het dus om een meldplicht die alleen geldt voor:

1.     Aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid  van vitaal belang is voor de samenleving; en

2.     ICT-inbreuken die tot gevolg hebben dat de beschikbaarheid of betrouwbaarheid in belangrijke mate wordt onderbroken; en

3.     Bij algemene maatregel aan te wijzen aanbieders van daarbij aan te wijzen producten en diensten.

Wanneer er nu precies verstaan moet worden onder een ICT-inbreuk, is nog niet geheel duidelijk. Wel duidelijk is dat er geen sanctie staat op het niet melden van een ICT-inbreuk.

 

De internetconsultatie voor het wetsvoorstel is op 22 juli geopend en duurt tot 17 september.

 

Lees hier het wetsvoorstel en de memorie van toelichting.

 

 

BRON: internetconsultatie.nl


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

REACTIE (1)

Jan dinsdag 13 augustus 2013 09:14

Hallo,

U stelt in dit artikel dat het gehele wetsvoorstel uitgaat van een vrijwillige melding.
Het gaat hier echter om een meldplicht. In hoeverre ziet u dat dan als vrijwillig?

Groeten,
Jan

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.