Minister Opstelten heeft het wetsvoorstel van zijn vorig jaar aangekondigde aanvullende meldplicht van datalekken en hackaanvallen ingediend. De meldplicht draait om “onderdelen van de vitale infrastructuur waarbij een ICT-inbreuk direct of indirect tot maatschappelijke ontwrichting kan leiden” en wordt verplicht voor onder meer nutsbedrijven, banken, energienetwerkbeheerder, telco’s en (lucht)havens.

Bedrijven in totaal acht sectoren melden ICT-inbreuken bij het Nationaal Cyber Security Centrum, onderdeel van het ministerie van Justitie en Veiligheid. Onder deze plicht vallen alleen “daadwerkelijke inbreuk op de veiligheid en op een daadwerkelijk verlies van integriteit van een elektronisch informatiesysteem”, valt te lezen in het wetsvoorstel.

Het primaire doel is om het NCSC in staat te stellen om de risico’s van een inbreuk te kunnen inschatten en de getroffen aanbieder bij te staan.

Voorlopig geen toezicht en handhaving

Het NCSC gaat echter in het huidige voorstel geen toezicht houden op naleving en krijgt ook geen handhavingsbevoegdheden. Mocht blijken dat de meldplicht niet wordt nageleefd, kan dat op een later tijdstip alsnog worden geregeld.

Niet alle cyberaanvallen worden onderdeel van de meldplicht. De verplichting tot melden geldt alleen wanneer netwerkaanvallen er voor kunnen zorgen dat producten of diensten in de betreffende secoren “in belangrijke mate” kan worden onderbroken. Voor elk bedrijf en sector zal los gekeken worden waar daarbij de grens – die van maatschappelijke ontwrichting – ligt.

DDoS-aanval hoeft niet gemeld

Ook verstoringen, zoals DDoS-aanvallen, die alleen de bereikbaarheid van systemen aantasten hoeven niet te worden gemeld. “Een en ander laat overigens onverlet dat partijen de mogelijkheid hebben om ernstige verstoringen van de bereikbaarheid op basis van vrijwilligheid aan het NCSC te melden”, voegt de minister daar desondanks aan toe. DDoS-aanvallen melden mag dus wel.

Al in 2010 werd door het CBP gewezen op deze uitbreiding van de meldplicht datalekken. Zij stelden dat het verplicht melden niet alleen voor telefoon- en internataanbieders zou moeten gelden, maar voor alle bedrijven en overheidsdiensten.

Daar lijkt minister Opstelten inmiddels ook grotendeels van overtuigd. Hij legt dit wetsvoorstel nu voor bij verschillende instanties, waaronder VNO-NCW, Nederland ICT en de Nederlandse Vereniging van Banken. Ook is het voorstel voor internetconsultatie opengesteld. Dat kan nog tot 17 september.

Meldplicht datalekken

De andere meldplicht, voor datalekken van persoonsgegevens, werd vorige maand hardop ter discussie gesteld door de Raad van State omdat deze te vaag zou zijn en leiden tot onnodige meldingen.

Het wetsvoorstel van minister Opstelten:

Wv Cybermeldplicht Mvt Tbv Consultatie