17 juli 2017

Geldt de Meldplicht Cybersecurity binnenkort voor uw organisatie?

Vanaf het najaar van 2017 moeten aanbieders van vitale producten en diensten cyberaanvallen melden. De Eerste Kamer heeft daartoe op 11 juli 2017 de Wet gegevensverwerking en meldplicht cybersecurity aangenomen. Is uw organisatie voorbereid op de Meldplicht Cybersecurity?

Voor wie gaat de Meldplicht Cybersecurity gelden?

De Wet gegevensverwerking en meldplicht cybersecurity is van toepassing op 'vitale aanbieders'. Dit zijn overheidsorganisaties of privaatrechtelijke rechtspersonen die een product of dienst exploiteren, beheren of beschikbaar stellen waarvan de beschikbaarheid en betrouwbaarheid van vitaal belang zijn voor de Nederlandse samenleving.

Wie precies als vitale aanbieders worden aangemerkt zal bij nadere algemene maatregel van bestuur worden vastgesteld. Op grond van de op dit moment beschikbare informatie is de verwachting dat de volgende sectoren onder de Meldplicht Cybersecurity komen te vallen: drinkwater, energie, nucleair, financieel, elektronische communicatienetwerken en -diensten/ICT, Mainport Rotterdam, Mainport Schiphol, keren en beheren, digitale overheid (Rijk).

Deze groep zal uiterlijk op 9 mei 2018, wanneer de Richtlijn netwerk- en informatiebeveiliging (NIB-richtlijn) in de Nederlandse wetgeving moet zijn geïmplementeerd, worden uitgebreid met onder meer ziekenhuizen en beheerders van weg-, water- en luchtwegen.

Wanneer moet er een melding worden gedaan?

Vitale aanbieders waarbij een ICT-inbreuk direct of indirect kan leiden tot maatschappelijke ontwrichting dienen onverwijld melding te doen. Volgens de nieuwe wet is sprake van een ICT-inbreuk indien de veiligheid of de integriteit van een informatiesysteem in het geding is. Deze inbreuk kan leiden tot maatschappelijke ontwrichting wanneer de beschikbaarheid of betrouwbaarheid van een product of dienstin belangrijke matewordt onderbroken of indien de kans daarop aanwezig is.

Bij wie moet de melding worden gedaan?

De melding dient zo spoedig mogelijk gedaan te worden bij de Staatssecretaris van Veiligheid en Justitie, die de melding doorzet aan het Nationaal Cyber Security Centrum.

Moeten aanbieders van vitale diensten ook beveiligingsmaatregelen treffen?

Op dit moment nog niet. Naast een meldplicht, zal de NIB-richtlijn echter ook beveiligingseisen gaan stellen aan vitale aanbieders.

Meer weten?

Het Cybersecurity Team van Pels Rijcken helpt u graag bij vragen over de Meldplicht Cybersecurity.