Voorstel meldplicht ict-incidenten bij vitale diensten gaat naar Tweede Kamer

Het Wetsvoorstel gegevensverwerking en meldplicht cybersecurity is aangeboden aan de Tweede Kamer. Het voorstel verplicht leveranciers van vitale diensten en producten om ernstige 'ict-inbreuken' te melden aan de staatssecretaris van Veiligheid en Justitie.

Volgens de Memorie van Toelichting neemt het NCSC vervolgens de melding in behandeling. Het persbericht stelt verder dat de meldplicht geldt voor sectoren als energie- en watervoorziening, telecom, transport en financiën. Bedrijven en overheidsorganisaties in deze sector moeten een melding doen als de beschikbaarheid of betrouwbaarheid van hun diensten in het geding komt door een inbreuk op de computersystemen of door andersoortige 'ict-inbreuken'. De meldplicht is niet van toepassing op ddos-aanvallen, omdat 'er dan geen sprake is van aantasting van een systeem' en 'vanwege het relatief eenvoudige karakter' van een dergelijke aanval.

Bij de melding blijft vertrouwelijke informatie geheim, zodat het NCSC de gegevens kan gebruiken om zijn taken uit te voeren en om ervoor te zorgen dat bijvoorbeeld reputatieschade of benadeling van de concurrentiepositie voor de getroffen bedrijven zoveel mogelijk beperkt blijft. De meldplicht in dit wetsvoorstel heeft als primair doel om hulp door het NCSC mogelijk te maken en de impact van een inbreuk vast te stellen. De meldplicht is breder dan bestaande meldplichten. Zo zal een datalek bijvoorbeeld ook gemeld moeten worden aan de Autoriteit Persoonsgegevens als er bij een internetaanval op een vitale dienst ook persoonsgegevens zijn buitgemaakt.

Het wetsvoorstel vindt zijn oorsprong in het feit dat er in 2011, ten tijde van de Diginotar-affaire, geen dergelijke wetgeving aanwezig was. In de tussentijd is er ook een internetconsultatie gehouden, deze sloot op 6 maart 2015.

IT-banen

Reacties (20)

MAX3400 21 januari 2016 16:28

Kort gezegd: als je als bedrijf een lek hebt, moet je met de billen bloot en alles melden/oplossen. Maar als de overheid (grootaandeelhouder van de meest kritieke persoonlijke gegevens) iets niet op orde heeft, mag dat onder de deurmat van de Tweede Kamer geschoven worden?

Waanzin natuurlijk; afgezien van het feit dat de overheid vaak niet al te rooskleurig over ICT nadenkt (techniek & budget), is dit eigenlijk een vrijbrief voor bepaalde instanties om de kantjes ervanaf te lopen als het gaat om security & auditing, if any.

geenstijl

@MAX3400 • 21 januari 2016 17:37

Even ter nuance

Wij (overheidsorganisatie) staan al tijden in contact met het NCSC etc. over dit soort zaken en bepaalde problemen worden altijd al gemeld.

Onze organisatie is juist omdat het een overheidsorganisatie is enorm bewust van de verantwoording die wij hebben en ook zijn er zeer regelmatig allerlei PEN-testen, auditing etc.
Ook ontvangen wij vanuit het NCSC meldingen indien er ergens in software een kritiek lek bekend is.

Critical-patches (bv flash-lek) worden in onze organisatie altijd zeer snel uitgerold en beveiliging is onderdeel van onze cultuur.

Het slechte beeld van overheid/ICT ontstaat vaak vooral door enorm uitgelopen kosten voor ICT-projecten, maar ik ken weinig verhalen waarin daadwerkelijk de boel "gehackt" is of veel data buitgemaakt is. (DigiNotar buiten beschouwing gelaten)

Verwijderd @geenstijl • 21 januari 2016 20:19

Je moet het NCSC op een gegeven moment gaan zien als een pot met informatie die ongelofelijk veel waard is. Er staat bij het NCSC data welke "klanten" welke produkten hebben inclusief software levels. T`is gewoon wachten totdat het NCSC zelf een keer gehacked gaat worden en dan ligt al je info op straat.

Mijns inziens is de meldplicht leuk, maar de verzameldrang van het NCSC van hun "klanten" lijkt me zeer gevaarlijk.

En alles is te hacken.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 16:34]

djwice

@geenstijl • 21 januari 2016 23:14

Idem zo bij alle grote energie producenten van Nederland. Voor ons is dit dus niet nieuw, maar gangbaar. De samenwerking met NCSC is fijn, effectief en voegt waarde toe.

secury @MAX3400 • 21 januari 2016 16:34

Ik zie niet helemaal in waar je dat onderscheid maakt?
"Bedrijven en overheidsorganisaties in deze sector moeten een melding doen als de beschikbaarheid of betrouwbaarheid van hun diensten in het geding komt door een inbreuk op de computersystemen of door andersoortige 'ict-inbreuken'."
Rijkswaterstaat bijvoorbeeld, is een overheidsorganisatie en heeft controle over aanzienlijk wat vitale infrastructuur.
Daarnaast is het geen vrijbrief om de kantjes ervan af te lopen, de NCSC gaat aan de slag met de melding. De informatie die het NCSC nu al verschaft aan veel partijen (zowel commercieel als non-profit/overheid) is van grote waarde, en kan hiermee in de toekomst nog groter worden.

jaquesparblue 21 januari 2016 16:32

Het gaat hierbij om vitale producten en diensten. Maar kan in de tekst niet achterhalen aan welke criteria een product of dienst moet voldoen voordat het als "vitaal" bestempeld wordt. Enkel bepaalde sectoren, maar dat lijkt me een beetje te vaag.

StalieN @jaquesparblue • 21 januari 2016 16:37

Ik vind het ook vaag; aan wat voor schadelijke zaken moet je nog denken die 'meldplicht-waardig' zijn? Persoonsgegevens/gebruikersdata worden namelijk al gedekt door de meldplicht datalekken sinds 01-01-2016? (nieuws: CBP publiceert definitieve beleidsregels meldplicht datalekken) Of moet je dat nu op twee plekken gaan melden?

Ik kan me wel voorstellen dat het stelen van private keys voor certificaten buiten gebruikersgegevens valt. Maar verder? Bankgegevens, medische info, energieverbruik, zelfs juridisch gevoelige info (bewijslast tegen een verdachte op de server een advocatenkantoor); dat lijkt me toch allemaal gebruikersinformatie die al door de eerdere meldplicht gedekt wordt.

djrobo1989 @StalieN • 21 januari 2016 17:17

Het verschil zit hem in inbreuk (zonder toestemming openen van iets dat gesloten is) en lekken (wegvloeien van in dit geval privacy gevoelige gegevens.

Deze wet is voor de vitale infrastructuur bedoeld en meldplicht datalekken voor elk bedrijf/instantie. Waarbij deze wet zich richt op de inbreuk (denk aan malware op industriële systemen zoals bv in Oekraïne) en de meldplicht datalekken wil weten welke gegevens er gelekt zijn en wat je hebt gedaan om schade te voorkomen en evt betrokkenen te informeren.

Het kan dus voor een VI bedrijf/instelling zijn dat je bij zowel het NCSC als ook bij de Autoriteit persoonsgegevens moet melden.

djrobo1989 @jaquesparblue • 21 januari 2016 17:23

Een globaal overzicht van de eisen/indeling wordt gegeven voor de herijking vitale infrastructuur.
Zie hier op pagina 6

Verwijderd @jaquesparblue • 21 januari 2016 18:21

Zoals dat in andere gevallen ook gebeurt: maatschappij ontwrichtende zaken, diensten die te maken hebben met de persoonsbescherming. Dat soort dingen.

Paul1987 21 januari 2016 16:31

Bij ernstige datalekken geldt er al een meldplicht sinds 1-1-2016 aan de autoriteit persoonsgegevens.
https://autoriteitpersoon...den/meldplicht-datalekken

Ik vraag mij af wat veiligheid en justitie kunnen met deze data, een eventuele aanklacht moet door het bedrijf in kwestie ingediend worden. Het lijkt mij niet dat de overheid de capaciteit en kennis heeft om dit uit te kunnen zoeken. Wanneer je dergelijk onderzoek wilt laten doen kun je dit m.i. beter bij een gespecialiseerde instantie laten doen. Zij hebben immers kennis en ervaring met cybersecurity. Iets waar het bij de overheid nogal eens aan schort. Waar ze trouwens ook te weinig aan lijken te doen als ik artikelen uit 2011 en 2015 bekijk
2011:
http://www.nrc.nl/nieuws/...rbereid-op-cyberaanvallen
2015:
https://www.cginederland....ermijdelijke-cyber-breach

[Reactie gewijzigd door Paul1987 op 26 juli 2024 16:34]

CAPSLOCK2000

Politiek en recht

@Paul1987 • 21 januari 2016 18:17

Bij ernstige datalekken geldt er al een meldplicht sinds 1-1-2016 aan de autoriteit persoonsgegevens.

Het gaat hier nadrukkelijk niet om datalekken of persoonsgegevens maar om infrastructuur. Denk aan hackers die in breken bij een kerncentrale (om maar een simpel voorbeeld te nemen

of de regelkamer van de spoorwegen. Ook als er geen data wordt gestolen is dat een behoorlijk gevaarlijke situatie.

Ik vraag mij af wat veiligheid en justitie kunnen met deze data, een eventuele aanklacht moet door het bedrijf in kwestie ingediend worden.

Dat is niet het doel, het doel is onze infrastructuur te beschermen.
Wie nalatig omgaat met de (nationale) veiligheid is al strafbaar, daar verandert deze wet niks aan.

Het lijkt mij niet dat de overheid de capaciteit en kennis heeft om dit uit te kunnen zoeken. Wanneer je dergelijk onderzoek wilt laten doen kun je dit m.i. beter bij een gespecialiseerde instantie laten doen. Zij hebben immers kennis en ervaring met cybersecurity.

Iemand zal dat gespecialiseerde bedrijf moeten inhuren en van informatie voorzien. Dat doet de overheid. De overheid heeft overigens een onderdeel dat gespecialiseerd is op dit soort onderwerpen: het NCSC. Als die er niet uit komen dan is dat ook de club die een specialist van de markt inhuurt.

Iets waar het bij de overheid nogal eens aan schort. Waar ze trouwens ook te weinig aan lijken te doen als ik artikelen uit 2011 en 2015 bekijk

Je kan het ze moeilijk kwalijk nemen wanneer ze wel iets doen.

Verwijderd 21 januari 2016 20:14

Ben benieuwd hoe het NCSC dit ziet. Meeste bedrijven ( ook van zeer vitale nutsvoorzieningen) hebben nieteens door dat ze gehacked zijn. Er wordt vaak een lijst op pastebin gezet en dan ineens hebben ze door dat ze gehacked zijn...

En hoe zit dat met cryptoware dan ? Moeten ze elke dag gaan melden dat ze gehacked zijn. Bij grote bedrijven is wekelijks wel een cryptoware uitbraak omdat een gebruiker op een mail klikt of naar websites gaan die meestal niks te maken hebben met het werk wat ze doen.

Cryptoware valt in dit geval onder het kopje beschikbaarheid van deze meldplicht aangezien er afhankelijk van de rol van de gebruiker vaak al grote aantallen bestanden niet meer beschikbaar zijn en moeten worden gerestored.

Dasprive 21 januari 2016 21:47

Ik zie hier toch ook een flinke link met de NIS richtlijn uit Europa die binnenkort wordt goedgekeurd. Die eist bijna precies hetzelfde: meldplicht datalekken voor kritische industrien (nutsvoorzieningen, finance, telecom) en digitale diensten aanbieders. (naast andere aspecten rond netwerkbeveiliging)

http://ec.europa.eu/digital-agenda/en/cybersecurity

Het feit dat er bij Autoriteit Persoonsgegevens ook melding moet worden gedaan in geval van lek persoonsgegevens is dan weer obv de nieuwe data protection regulation.

Ik moet zeggen, Nederland lijkt hier toch behoorlijk goed in te te spelen op de komende ontwikkelingen door al boel wetgeving er doorheen te jagen die bedrijven verplicht er klaar voor te zijn als het Europees vastgelegd is. Helemaal niet verkeerd.

[Reactie gewijzigd door Dasprive op 26 juli 2024 16:34]

SampleUser 21 januari 2016 16:24

Ehh...
Heeft het ministerie van Veiligheid en Justitie dan verstand van dat soort zaken? Voor zover ik weet niet.
Ik ben daarom een voorstander om dit soort zaken door een professionele non-commerciele stichting ofzo.

K4F @SampleUser • 21 januari 2016 16:28

Waar denk je dat het NCSC onder valt?

DaFifthSense 21 januari 2016 16:30

Ik hoop dat dit niet betekent dat de NCSC de lekken dan doorgeeft aan NSA en AIVD om te gebruiken.

Die hele geheimhouding hoeft voor mij niet verder te gaan dan nodig is om te zorgen dat persoonsgegevens van onschuldige gebruikers beschermd blijven.
Geen "veiligheid" als smoesje om schandalen onder het vloerkleed te vegen svp.

In de VS was een overheidsdatabase gekraakt, waar ook backgroundchecks voor wapenkopers in stonden. De overheid heeft toen alle slachtoffers een brief gestuurd met welke informatie van hen mogelijkerwijs gelekt is. Zoiets zou ik ook graag in Nederland zien.

mg794613 21 januari 2016 16:49

Ah ik las/interpreteerde de titel verkeerd!
Ik dacht eerst: Wauw, wat goed!!! Eindelijk kunnen vak professionals een steentje bijdragen door te wijzen waar de gaten zitten.

Maar als je het dus goed leest betekend het het volgende: Wijs iedereen aan die een gat kan vinden en geef diegene aan.

Sneu voor de samenleving

djwice

@mg794613 • 21 januari 2016 23:27

Volgens mij was je optimisme terecht en is je laatste interpretatie fout: NCSC ondersteunt bedrijven als ze een probleem hebben met de veiligheid van voor Nederland kritieke infrastructuur. (maar doe dat ook als ze nog geen probleem hebben)

Geen zwarte Piet toe spelen, maar sturen op voorkomen en snel en effectief oplossen bij incidenten.

Verwijderd 22 januari 2016 09:27

Ik mis de it en internet van rond 2005 en eerder. Internet is ook niet meer wat t ooit was. Jammer.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (20)

Sorteer op:

Weergave: