top of page

Meldplicht cyberaanvallen op komst



Na de meldplicht bij datalekken, is nu ook een meldplicht bij cyberaanvallen op komst! In oktober 2016 heeft de Tweede Kamer de wet gegevensverwerking en meldplicht cyberaanvallen aangenomen en wordt nu behandeld in de Eerste Kamer. Deze concept-wet verplicht bepaalde organisaties om een melding te doen als zij geconfronteerd worden met een cyberaanval.


Het doel van deze meldplicht is het bevorderen van cybersecurity. De meldplicht moet het mogelijk maken voor de overheid om snel op de hoogte te raken van nieuwe bedreigingen, zodat nieuwe incidenten zo veel mogelijk voorkomen kunnen worden. Op basis van de melding kan de overheid andere sectoren waarschuwen voor recente bedreigingen en hierover adviseren.


Wie vallen er onder deze nieuwe meldplicht? Op dit moment is het nog niet geheel duidelijk welke organisaties precies onder deze meldplicht gaan vallen. De wet noemt organisaties binnen ‘vitale’ sectoren en de rijksoverheid. Vitale sectoren zijn in ieder geval organisaties binnen de elektriciteit, gas, kernenergie, drinkwater, telecom, transport (mainports Rotterdam en Schiphol), financiën en overheid.

Wat moet worden gemeld? Een melding cyberaanval moet in ieder geval de volgende onderdelen bevatten:

  1. de aard en omvang van de inbreuk of het verlies;

  2. het vermoedelijke tijdstip van de aanvang van de inbreuk of het verlies;

  3. de mogelijke gevolgen van de inbreuk of het verlies;

  4. een prognose van de hersteltijd;

  5. zo mogelijk, de door de vitale aanbieder genomen of te nemen maatregelen om de gevolgen van de inbreuk of het verlies te beperken of herhaling hiervan te voorkomen;

  6. de contactgegevens van de functionaris die verantwoordelijk is voor het doen van de kennisgeving.

Bij wie moet gemeld worden? De melding moet worden gedaan aan het Nationaal Cyber Security Centrum (NCSC). Zij zijn verantwoordelijk voor de verwerking en monitoring van de meldingen.

Aangezien cyberaanvallen ook kunnen leiden tot datalekken, zal een organisatie soms twee verschillende meldingen moeten doen. Een melding bij het NSCS met informatie over de cyberaanval, maar ook een melding bij de Autoriteit Persoonsgegevens over een datalek. Deze twee meldpunten vormen een complicatie voor de organisaties die moeten melden.

Wanneer treedt de meldplicht cyberaanvallen in werking? Het is nog niet bekend wanneer de meldplicht cyberaanvallen in werking treedt. Deze wet dient nog te worden behandeld door de Eerste Kamer, waarna een datum uitgekozen zal worden dat de wet in werking gaat treden.

Certafin houdt u op de hoogte over deze belangrijke ontwikkelingen!



Uitgelichte berichten
Recente berichten
Archief
Zoeken op tags
Er zijn nog geen tags.
Volg ons
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square
bottom of page