Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 37 reacties

Vitale organisaties en de Rijksoverheid moeten ict-veiligheidsincidenten melden bij het Nationaal Cyber Security Centrum van het ministerie van Veiligheid en Justitie. De Tweede Kamer heeft daartoe donderdag een wetsvoorstel aangenomen.

De meldplicht gaat gelden voor bepaalde organisaties in de sectoren elektriciteit, gas, kernenergie, drinkwater, telecom, transport, financiën en overheid. De overheid beschouwt deze sectoren als de vitale infrastructuur van Nederland, waarbij problemen tot maatschappelijke ontwrichting kunnen leiden. Welke bedrijven en overheidsorganisaties er precies onder gaan vallen moet nog vastgesteld worden. Het Nationaal Cyber Security Centrum noemt als voorbeelden Schiphol, de haven van Rotterdam en de waterkeringen.

Het NCSC stelt dat de meldplicht ervoor zorgt dat het centrum de risico’s voor de samenleving in kan schatten, hulp kan verlenen aan de getroffen organisatie en andere vitale organisaties kan waarschuwen en adviseren. De meldplicht is onderdeel van het donderdag door de Tweede Kamer aangenomen Wetsvoorstel Wet gegevensverwerking en meldplicht cybersecurity, dat is ingediend door staatssecretaris Dijkhoff van Veiligheid en Justitie.

Voluit heet het dat de meldplicht geldt voor 'een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen'. Een ddos-aanval valt hier bijvoorbeeld buiten. De Europese Commissie wil voor de hele EU komen tot een meldplicht voor overheden en vitale marktpartijen op dit gebied.

Moderatie-faq Wijzig weergave

Reacties (37)

Er was toch al een meldplicht voor elk bedrijf en instantie met datalekken? Hoe breid deze wet de eerdere meldplicht uit?

EDIT: De mensen hieronder hebben mijn vraag goed beantwoord :D

[Reactie gewijzigd door StefanJanssen op 27 oktober 2016 18:13]

Niet iedere aanval resulteert in een datalek. Als iemand de stroom in heel NL weet uit te schakelen dan is er geen sprake van een datalek.
Als bij Vitens alle kranen worden opengezet, geldt dat dan wel als lek?

(Sorry)
als daarmee klanten dossier uit de kelder boven komen drijven en daarmee inzichtelijk zijn misschien wel ;)
Dan is de beveiliging in ieder geval niet waterdicht. :)
Dan is het nog steeds niet lek. :)
Er is dacht wel al een meldplicht voor een lek van persoonlijke gegevens, die geldt voor alle bedrijven.
Nee, dat is niet zo. Dat geldt alleen als je de eigenaar van de persoonsgegevens bent. Een grote misser vind ik.
Indien een bedrijf een serieus datalek heeft moet zij dit melden. Niet als je de eigenaar van de persoongegevens bent.
https://autoriteitpersoon...den/meldplicht-datalekken
Dat doen ze graag zo overkomen. Maar de boeiendste link is het beleid zelf . Ga dan naar blz. 57, artikel 34a paragraaf 1. Daar staat niets anders dan dat de verantwoordelijke (en niet de bewerker) verplicht is om te melden.

En de verantwoordelijke moet afspraken maken met de bewerker zodat die de verantwoordelijke inlicht bij een datalek bij die bewerker.

Dus: Alle hosting partijen hoeven nooit te melden aan de bestandseigenaar tenzij die een contract heeft waarin dat is vastgelegd.

[Reactie gewijzigd door cbravo2 op 28 oktober 2016 22:49]

Een drama eigenlijk, want iedereen die z'n salarisadministratie (deels) heeft uitbesteed, moet z'n externe leverancier op de 1 of andere manier dwingen om een lek direct door te geven. Want als die externe leverancier jouw data verliest, heb jij een probleem en niet je externe leverancier.
Volgens die meldplicht hoef je afhankelijk van de omstandigheden soms niet te melden. Met deze nieuwe meldplicht moet je ongeacht de omstandigheden toch melden.
Dat gaat om datalekken (volgens mij van persoonsgegevens). Dat kan dus ook het geval zijn als een gemeente per ongeluk een verzameling persoonsgegevens op een publiek toegankelijke pagina zet. Daar hoeft geen 'inbraak' aan te pas te komen.

In dit geval komt er blijkbaar ook een meldplicht voor inbraken. Een geval van inbraak zonder datalek zou kunnen zijn als (bv) iemand in probeert te breken om het luchtverkeersleidingssysteem om zo een botsing tussen twee vliegtuigen te veroorzaken. Dat is zeker 'verlies van integriteit van een elektronisch informatiesysteem' maar niet per se een datalek.
Zouden hulpdiensten en instellingen zoals ziekenhuizen ook niet onder deze regel moeten vallen? Lijkt mij vrij vitaal.
De lijst moet nog definitief vastgesteld worden. De hulpdiensten moeten er natuurlijk ook op, want in geval van nood kan je beslist niet zonder.
Ziekenhuizen zijn een twijfel geval. Het uitvallen van de ICT ziekenhuis is lastig, maar er zijn altijd andere ziekenhuizen om dat op te vangen, bovendien gaat de basiszorg gewoon door. Buiten het ziekenhuis heeft ook niemand er last van. De term "vitaal" is hier dus niet van toepassing.
Zoals al bij de behandeling van de wet inderdaad was besproken zijn storingen bij ziekenhuizen door andere ziekenhuizen en zorginstellingen goed op te vangen. Er zijn dus minder cascadeeffecten dan bij bijvoorbeeld de energiesector. De netwerk en informatiebeveiligingsrichtlijn uit europa zal zorginstellingen mogelijk wel een meldplicht opleggen.
Aangezien de overheid ziekenhuizen zowat heeft geprivatiseerd (zorgverzekeraars hebben het nu voor het zeggen daar) denk ik niet dat ze dat vinde.
Misschien moet je je eens verdiepen in de materie. Dan schrijf je niet van die rare dingen.
Hoog tijd. Nu gaat deze meldplicht op zich niet veel verbeteren aan de wereld, maar het is de eerste stap. Voor we een probleem kunnen aanpakken moeten we weten hoe het er uit ziet en hoe groot het is.

Misschien dat er bedrijven zijn die zich schamen voor hun slechte IT die daar nu iets aan gaan doen omdat ze geen melding willen doen, maar voor organisaties waar het nu om gaat mag dat geen argument zijn, wie weten zelf best wel dat beveiliging belangrijk is.

Wel helpt deze meldplicht om het probleem bespreekbaar te maken. Nu is de neiging toch vaak om inbraken, aanvallen en lekken geheim te houden uit angst voor reputatieschade. Als je niet over je problemen kan praten met andere slachtoffers is het moeilijk om je te organiseren om er iets aan te doen. Door registratie verplicht te maken breng je het onderwerp in de openbaarheid en maak je het bespreekbaar.
Dit gaat niet over persoonsgegevens en voor zover ik heb begrepen zit er ook niet direct een boete aan vast. Omdat het gaat over vitale sectoren, zal het NCSC de details van de inbreuken ook niet publiekelijk bekend maken, dus imagoschade zal wel loslopen - voor zover imago al financieel belangrijk is omdat de consument bij dit soort zaken vaak niet rechtstreeks betrokken is of geen keuze heeft.
Whooo, hold your horses... Je loopt 10.000 stappen voor op de regering / EU.

Niemand heeft het over bespreekbaar maken, laat staan openbaar maken...

Het enige wat dit inhoud is dat het gemeld moet worden bij een instantie, die plakt een labeltje op de melding en gooit de melding het archief in.
Niemand van de betrokkenen zit er op te wachten dat er openbaarheid wordt gegeven over lekken bij vitale onderdelen, dat krijgt al heel snel het stickertje staatsgeheim als het echt vitale onderdelen zijn.
Hmmm.. Wat als de hele ICT al jaren is uitbesteed, en intrusion detectie op de scala systemen niet op orde is?

Krijgen de IT partij dan (eindelijk) de verplichting dit tegen eigen kosten op orde te krijgen?
Want eh.. dat hoort bij je vakmanschap, en ze zijn al jaren als goede vakman betaald, dus kan er van hen verwacht worden dat dit op orde moet zijn, anders blijven ze in gebreke.

[Reactie gewijzigd door djwice op 28 oktober 2016 18:56]

Jij mag verwachten wat je wil over vakmanschap, maar bij outsourcing geld het contract.

Als de ICT al jaren uitbesteed is staat er vast iets in het outsourcings contract met de ICT partij. Als het er niet instaat dan is dat meer de fout van degene die de diensten afneemt, dan van de leverancier. Outsourcing ontslaat je niet van contractmanagement.

in veel gevallen zal de leverancier zoveel mogelijk zaken in het contract willen stoppen, immers dat brengt hem geld op. om kosten te sparen zal de ontvangende partij niet zelden zelf dergelijke diensten out of scope zetten. "security is iets vaags wat niets direct opbrengt" dus dat gaat er al snel uit..
Jij mag in een contract zetten wat je wil. De wet gaat nog altijd voor het contract.
Dat klopt. Maar als jij, als leverancier, niet in de vitale sector werkt dan hoef je dus niets te melden bij een datalek. Tenzij jij daarover een contract hebt afgesloten.

En daar kan je als vitale sector niets aan doen behalve betere contracten over afsluiten.
Ik zou het interpreteren van een nieuwe wet aan de rechter overlaten.
Dus ik mag niets zeggen? Slaat nergens op in een forum.
Ik hoop eigenlijk dat de IT partij uit vakmanschap adviseerd wat er in moet, en limieten stelt voor dingen waar ze niet achter staan.

Uitkleden leverd voor beide geen goede tevreden samenwerking op, bekeken op langertermijn.

[Reactie gewijzigd door djwice op 28 oktober 2016 19:00]

"Vitale" sector? Als in "Vital" in het Engels? Of een kwieke sector? Is dat een woord dat je zo kunt gebruiken?

Kritisch/onmisbaar lijkt me een beter woord.
De redactie past zich aan het taalgebruik van veel reageerders. Mijn zoon praat ook af en toe zo krom Nederlands omdat hij altijd in het Engels communiceert tijdens het gamen.
I know, betrap me er zelf ook op. Maar sommige dingen zijn wel erg in het oog springend.
Hmm.. In eerste instantie een goed idee, denk ik. Echter vraag ik mij wel af hoe er dan om wordt gegaan met bevindingen van eventuele daarop volgende onderzoeken naar de oorzaken van zo'n 'incident'.

Stel men heeft te maken met een (onbekende) kwetsbaarheid in software, die niet enkel door het getroffen bedrijf/instantie gebruikt wordt. Zal het NCSC dan ook de verantwoordelijkheid nemen om hier melding van te maken bij de ontwikkelaar van deze software, of het betrokken bedrijf/instantie verplichten hier melding van te maken? Zodat een dergelijk lek gedicht kan worden?

Persoonlijk denk ik dat we in deze discussies goed op moeten passen met 'aannames' maken. In principe komt dat er op neer dat we ook achterliggende gedachten in lijn met 'global politics'(ja, zelfs die tinfoil hat scenario's) in het hele verhaal moeten betrekken. Elke plausibele manier waarop iets genaaid kan worden, is wat dit onderwerp betreft iets om rekening mee te houden.

De uitspraken van sommige 'gezaghebbende' de afgelopen tijd hebben bij mij nou niet direct de indruk gewekt dat er in Nederland een consensus heerst over wat verstandig is. Er zijn nogal wat redenen te noemen waarom het NCSC dit soort 'meldplichten' naar zich toe zou willen trekken - en die zijn niet allemaal even 'verstandig', denk ik.

Maar goed.. het is een degelijke stap, hopelijk in de goede richting.
tja, dan moet je natuurlijk overigens wel doorhebben dat er iemand ingebroken heeft...
Weet ik nog niet zo net, iemand kan je database leegtrekken en de informatie die daarin staat gebruiken voor identiteitsfraude, zolang de hacker zelf niet gepakt wordt is het moeilijk te achterhalen waar de gebruikte informatie vandaan komt.. En dan denk ik vooral aan de opkomst van bv online salarisverwerkingspakketten, daar zit eigenlijk alles in, van BSN tot IBAN en soms zelfs een kopie van de ID..

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True