Nieuwe meldplicht cyberincidenten voor vitale sectoren
De overheid wil organisaties die actief zijn in zogenoemde ‘vitale sectoren’ verplichten om cyberincidenten te melden bij de betreffende toezichthouders. Het nieuwe wetsvoorstel moet een oude wet vervangen en regelt dat flinke boetes voortaan mogelijk zijn.
Organisaties die actief zijn binnen vitale sectoren dragen bij aan het draaiende houden van Nederland. Te denken valt aan de overheid, financiële instellingen, telecomproviders en stroomleveranciers; als de bedrijfsvoering bij deze organisaties hapert, kan het land in de problemen komen. Om die reden is in oktober 2017 een wet in werking getreden die dergelijke organisaties verplicht om cyberincidenten te melden bij het Nationaal Cyber Security Centrum (NCSC).
Miljoenenboetes voor digitale incidenten
Het NCSC kan bij nalatigheid of falend handelen bij cyberincidenten echter geen boetes uitdelen. Dit komt ten dele omdat nog onduidelijk was welke ‘vitale bedrijven’ onder de wet vallen. De nieuwe Cybersecuritywet van minister Grapperhaus van Justitie en Veiligheid moet de bestaande wet vervangen en zal aan de meldplicht boetes verbinden. Organisaties in vitale sectoren die verzuimen om een digitaal incident te melden, kunnen een boete van maximaal € 5 miljoen tegemoet zien. Voor organisaties die wel melding maken van een incident maar hierbij onvoldoende informatie (tool) delen, kan de boete maximaal € 1 miljoen bedragen.
Cybersecuritywet voldoet aan EU-richtlijn
In het nieuwe wetsvoorstel moet in het geval van een cyberincident de betreffende toezichthouder ingelicht worden. Dat kunnen, afhankelijk van de sector, de minister van Infrastructuur en Milieu, de Nederlandsche Bank, de minister voor Economische Zaken en Klimaat of de minister voor Medische Zorg zijn. Ook zal geregeld worden welke IT-maatregelen (tool) bedrijven moeten nemen om dergelijke incidenten te voorkomen. Als het wetsvoorstel erdoor komt, zal het op 9 mei 2018 in werking treden. Dat is namelijk de datum waarop alle EU-landen een Europese richtlijn omtrent cybersecurity in hun nationale wetgeving geïmplementeerd moeten hebben.