U kunt nu reageren op het Wetsvoorstel melding inbreuken elektronische informatiesystemen. De wet is opgesteld onder anderen naar aanleiding van de gevolgen van de gebeurtenissen bij het bedrijf DigiNotar. De meldplicht gaat alleen gelden voor aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving, oftewel nutsbedrijven. Voor certificaatdienstverleners (zoals voorheen DigiNotar) wordt een aparte regeling getroffen. Ik licht de meldplicht hieronder toe. Mijn mening bewaar ik voor een volgend blog.
De nutsbedrijven moeten melden als de integriteit van hun ICT is aangetast. Dat houdt in dat indien een digitaal en on premises informatiesysteem of een informatiesysteem in de cloud gelekt heeft, dat er dan gemeld moet worden indien het lek de vitale dienstverlening in gevaar brengt. Bij DDOS aanvallen wordt er niet gelekt, het informatiesysteem gaat enkel plat vanwege overbelasting. Dan bestaat er geen meldplicht.
De voor de maatschappij vitale bedrijven moeten gaan melden bij Minister van Veiligheid en Justitie. De melding wordt in vertrouwen behandeld door het NCSC (het Nationaal Cyber Security Centrum). De wetgever wil met dit wetsvoorstel de beschikbaarheid en betrouwbaarheid van de vitale dienstverlening veilig stellen en een veiligheidscultuur creëren waarbij meldingen worden gedaan om er wat van te leren. Het primaire doel is het bieden van hulp bij het oplossen van het lek en het beperken van de gevolgen ervan voor de maatschappij, niet het straffen op grond van een ICT-lek. Er staat dan ook geen boete op het niet-melden.
De vertrouwelijkheid van de melding is beperkt. Het NCSC mag namelijk andere vitale organisaties waarschuwen voor de gebleken kwetsbaarheden. Ook mag het NCSC kennis uitwisselen met andere CERTs (Computer Emergency Response Teams van een overheid) uit binnen en buitenland.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.