Op 3 augustus 2017 verscheen de Wet gegevensverwerking en meldplicht cybersecurity in het Staatsblad. Bent u net gewend aan de meldplicht datalekken, wordt er alweer een nieuwe meldplicht geïntroduceerd, nu voor ICT-inbreuken. ICT-inbreuken kunnen overigens tevens een datalek zijn; dan kunnen er twee meldplichten gelden.

Vitale infrastructuur

Sommige processen zijn zo vitaal voor de Nederlandse samenleving dat uitval of verstoring leidt tot ernstige maatschappelijke ontwrichting en een bedreiging vormt voor de nationale veiligheid. Denk aan de drinkwatervoorziening en elektronische communicatienetwerken/ICT. Samen vormen al deze processen de Nederlandse vitale infrastructuur. De meldplicht cybersecurity komt te rusten op aanbieders van deze infrastructuur, de zgn. vitale aanbieders.

Voor wie geldt de Meldplicht cybersecurity?

Vitale aanbieders, althans hun (categorieën) producten of diensten, waarvoor de meldplicht gaat gelden worden bij AMvB aangewezen. Sectoren die onder de meldplicht vallen zijn Drinkwater, Energie, Nucleair, Financieel, Elektronische communicatienetwerken en –diensten/ICT, Mainport Rotterdam, Mainport Schiphol, Keren en Beheren, Digitale Overheid (Rijk) (concept-Besluit meldplicht cybersecurity). Het is de bedoeling dat meldingsplichtige aanbieders daarover na inwerkingtreding van de wet nog expliciet worden geïnformeerd.

Waarom een meldplicht?

De meldplicht geldt voor ICT-inbreuken die tot gevolg (kunnen) hebben dat de beschikbaarheid of betrouwbaarheid van de betreffende producten of diensten in belangrijke mate wordt of kan worden onderbroken. Melding moet worden gedaan bij het Nationaal Cyber Security Center (NSCS), onderdeel van de NCTV. De melding stelt het NCSC in staat tijdig in te schatten hoe groot de impact en daarmee het risico van maatschappelijke ontwrichting van de ICT-inbreuk is en deze te voorkomen of zoveel mogelijk te beperken, bijvoorbeeld door andere vitale aanbieders en andere aanbieders binnen de rijksoverheid te waarschuwen en te adviseren.

Geen toezicht- en sanctiestelsel

De meldplicht is primair gericht op het bieden van hulp. Er is daarom ook niet voorzien in een toezicht- en sanctiestelsel. Worden echter in voorkomend geval geen of onvoldoende maatregelen getroffen om de (verdere) verstoring van de betrouwbaarheid of beschikbaarheid van de getroffen producten of diensten te voorkomen, dan kan de voor de desbetreffende sector (of onderdeel van de rijksoverheid) verantwoordelijke bewindspersoon worden geïnformeerd. Een besluit in de zin van de AWB levert de (beslissing tot) informatieverstrekking volgens de memorie van toelichting niet op. Bovendien kan zo nodig de AIVD worden geïnformeerd, of de computercrisisteams. Ook het publiek kan worden geïnformeerd als dat nodig is om ernstige maatschappelijke gevolge te voorkomen. In laatstbedoeld geval moet de aanbieder in kwestie eerst worden geraadpleegd.

Persoonsgegevens

Het NCSC kan vanwege zijn rol grote hoeveelheden persoonsgegevens ter beschikking krijgen. De grondslag daarvoor is in de wet geregeld. Natuurlijke personen kunnen het NCSC vragen om inzage in hen betreffende persoonsgegevens. Tegen een weigering staat bestuursrechtelijke rechtsbescherming open.

Per wanneer gaat de meldplicht gelden?

Het is nog niet duidelijk wanneer de wet in werking zal treden. Dat gebeurt op een bij Koninklijk Besluit te bepalen tijdstip; de datum van inwerkingtreding kan voor de verschillende artikelen of onderdelen daarvan verschillend worden vastgesteld.

Het is de bedoeling de bepalingen over te hevelen naar de Cybersecuritywet, die ertoe strekt de zgn. NIB-richtlijn (EU-richtlijn 2016/1148 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie, Pb. L 194/1) te implementeren. De richtlijn moet in het voorjaar van 2018 geïmplementeerd zijn. De consultatie van het wetsontwerp is deze zomer afgesloten. De richtlijn schrijft anders dan de Wet gegevensverwerking en meldplicht cybersecurity wel een handhavingsstelsel voor.

Voor meer informatie over deze meldplicht staat ons Cybersecurity Team u graag te woord.

Meer informatie over de meldplicht datalekken kunt u lezen in onze factsheet Meldplicht datalekken.

Bronnen

  • concept-Besluit meldplicht cybersecurity, bijlage bij nadere memorie van antwoord, EK 2016/2017, 34 388, nr. E
  • Wet gegevensverwerking en meldplicht cybersecurity, Stb. 2017, 316, Kamerstukken 34388
Share This