Vitale sector krijgt meldplicht ict-inbreuken

Vitale organisaties en de Rijksoverheid moeten ict-veiligheidsincidenten melden bij het Nationaal Cyber Security Centrum van het ministerie van Veiligheid en Justitie. De Tweede Kamer heeft daartoe donderdag een wetsvoorstel aangenomen.

De meldplicht gaat gelden voor bepaalde organisaties in de sectoren elektriciteit, gas, kernenergie, drinkwater, telecom, transport, financiën en overheid. De overheid beschouwt deze sectoren als de vitale infrastructuur van Nederland, waarbij problemen tot maatschappelijke ontwrichting kunnen leiden. Welke bedrijven en overheidsorganisaties er precies onder gaan vallen moet nog vastgesteld worden. Het Nationaal Cyber Security Centrum noemt als voorbeelden Schiphol, de haven van Rotterdam en de waterkeringen.

Het NCSC stelt dat de meldplicht ervoor zorgt dat het centrum de risico’s voor de samenleving in kan schatten, hulp kan verlenen aan de getroffen organisatie en andere vitale organisaties kan waarschuwen en adviseren. De meldplicht is onderdeel van het donderdag door de Tweede Kamer aangenomen Wetsvoorstel Wet gegevensverwerking en meldplicht cybersecurity, dat is ingediend door staatssecretaris Dijkhoff van Veiligheid en Justitie.

Voluit heet het dat de meldplicht geldt voor 'een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen'. Een ddos-aanval valt hier bijvoorbeeld buiten. De Europese Commissie wil voor de hele EU komen tot een meldplicht voor overheden en vitale marktpartijen op dit gebied.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 27-10-2016 17:58 37

27-10-2016 • 17:58

37

Lees meer

Nederland en andere EU-lidstaten willen 'cyber rapid response teams' opzetten
Nederland en andere EU-lidstaten willen 'cyber rapid response teams' opzetten Nieuws van 26 juni 2018
Eerste Kamer steunt meldplicht ernstige ict-inbreuken vitale sector
Eerste Kamer steunt meldplicht ernstige ict-inbreuken vitale sector Nieuws van 12 juli 2017
NCSC maakt tool om netwerkverkeer te pseudonimiseren open source
NCSC maakt tool om netwerkverkeer te pseudonimiseren open source Nieuws van 26 april 2017
Ict-systeem Tweede Kamer getroffen door ransomware
Ict-systeem Tweede Kamer getroffen door ransomware Nieuws van 28 maart 2017
MKB-NL en VNO: politie mist capaciteit en kennis over internetcriminaliteit
MKB-NL en VNO: politie mist capaciteit en kennis over internetcriminaliteit Nieuws van 29 november 2016
Autoriteit Persoonsgegevens vermoedt dat organisaties datalekken niet melden
Autoriteit Persoonsgegevens vermoedt dat organisaties datalekken niet melden Nieuws van 13 mei 2016
Voorstel meldplicht ict-incidenten bij vitale diensten gaat naar Tweede Kamer
Voorstel meldplicht ict-incidenten bij vitale diensten gaat naar Tweede Kamer Nieuws van 21 januari 2016
Autoriteit Persoonsgegevens: twintig datalekken gemeld in eerste week
Autoriteit Persoonsgegevens: twintig datalekken gemeld in eerste week Nieuws van 8 januari 2016
Europese meldplicht voor datalekken komt eraan
Europese meldplicht voor datalekken komt eraan Nieuws van 8 december 2015
Nederlandse overheid: meldplicht datalekken geldt vanaf volgend jaar
Nederlandse overheid: meldplicht datalekken geldt vanaf volgend jaar Nieuws van 10 juli 2015
Eerste Kamer steunt meldplicht datalekken
Eerste Kamer steunt meldplicht datalekken Nieuws van 27 mei 2015
Meer producten en artikelen
Netwerk en systeembeheer Cybercrime Hackers

Reacties (37)

-Moderatie-faq
37
35
31
1
0
1
Wijzig sortering

Sorteer op:

Weergave:
StefanJanssen 27 oktober 2016 18:04
Er was toch al een meldplicht voor elk bedrijf en instantie met datalekken? Hoe breid deze wet de eerdere meldplicht uit?

EDIT: De mensen hieronder hebben mijn vraag goed beantwoord :D

[Reactie gewijzigd door StefanJanssen op 24 juli 2024 19:58]

CAPSLOCK2000
@StefanJanssen27 oktober 2016 18:08
Niet iedere aanval resulteert in een datalek. Als iemand de stroom in heel NL weet uit te schakelen dan is er geen sprake van een datalek.
dj__jg @CAPSLOCK200027 oktober 2016 18:27
Als bij Vitens alle kranen worden opengezet, geldt dat dan wel als lek?

(Sorry)
Atmosphere @dj__jg27 oktober 2016 20:04
als daarmee klanten dossier uit de kelder boven komen drijven en daarmee inzichtelijk zijn misschien wel ;)
djiwie @dj__jg28 oktober 2016 08:17
Dan is de beveiliging in ieder geval niet waterdicht. :)
ThaJens @dj__jg28 oktober 2016 07:50
Dan is het nog steeds niet lek. :)
Saph @StefanJanssen28 oktober 2016 01:06
Er is dacht wel al een meldplicht voor een lek van persoonlijke gegevens, die geldt voor alle bedrijven.
cbravo2 @Saph28 oktober 2016 07:35
Nee, dat is niet zo. Dat geldt alleen als je de eigenaar van de persoonsgegevens bent. Een grote misser vind ik.
Saph @cbravo228 oktober 2016 11:33
Indien een bedrijf een serieus datalek heeft moet zij dit melden. Niet als je de eigenaar van de persoongegevens bent.
https://autoriteitpersoon...den/meldplicht-datalekken
cbravo2 @Saph28 oktober 2016 22:46
Dat doen ze graag zo overkomen. Maar de boeiendste link is het beleid zelf . Ga dan naar blz. 57, artikel 34a paragraaf 1. Daar staat niets anders dan dat de verantwoordelijke (en niet de bewerker) verplicht is om te melden.

En de verantwoordelijke moet afspraken maken met de bewerker zodat die de verantwoordelijke inlicht bij een datalek bij die bewerker.

Dus: Alle hosting partijen hoeven nooit te melden aan de bestandseigenaar tenzij die een contract heeft waarin dat is vastgelegd.

[Reactie gewijzigd door cbravo2 op 24 juli 2024 19:58]

rik86 @cbravo228 oktober 2016 10:55
Een drama eigenlijk, want iedereen die z'n salarisadministratie (deels) heeft uitbesteed, moet z'n externe leverancier op de 1 of andere manier dwingen om een lek direct door te geven. Want als die externe leverancier jouw data verliest, heb jij een probleem en niet je externe leverancier.
Slurpgeit @StefanJanssen27 oktober 2016 18:06
Volgens die meldplicht hoef je afhankelijk van de omstandigheden soms niet te melden. Met deze nieuwe meldplicht moet je ongeacht de omstandigheden toch melden.
ImaPseudonym @StefanJanssen27 oktober 2016 18:07
Dat gaat om datalekken (volgens mij van persoonsgegevens). Dat kan dus ook het geval zijn als een gemeente per ongeluk een verzameling persoonsgegevens op een publiek toegankelijke pagina zet. Daar hoeft geen 'inbraak' aan te pas te komen.

In dit geval komt er blijkbaar ook een meldplicht voor inbraken. Een geval van inbraak zonder datalek zou kunnen zijn als (bv) iemand in probeert te breken om het luchtverkeersleidingssysteem om zo een botsing tussen twee vliegtuigen te veroorzaken. Dat is zeker 'verlies van integriteit van een elektronisch informatiesysteem' maar niet per se een datalek.
ecolo76 27 oktober 2016 19:00
Zouden hulpdiensten en instellingen zoals ziekenhuizen ook niet onder deze regel moeten vallen? Lijkt mij vrij vitaal.
WillySis @ecolo7627 oktober 2016 19:14
De lijst moet nog definitief vastgesteld worden. De hulpdiensten moeten er natuurlijk ook op, want in geval van nood kan je beslist niet zonder.
Ziekenhuizen zijn een twijfel geval. Het uitvallen van de ICT ziekenhuis is lastig, maar er zijn altijd andere ziekenhuizen om dat op te vangen, bovendien gaat de basiszorg gewoon door. Buiten het ziekenhuis heeft ook niemand er last van. De term "vitaal" is hier dus niet van toepassing.
Maj-Maj @WillySis27 oktober 2016 19:28
Zoals al bij de behandeling van de wet inderdaad was besproken zijn storingen bij ziekenhuizen door andere ziekenhuizen en zorginstellingen goed op te vangen. Er zijn dus minder cascadeeffecten dan bij bijvoorbeeld de energiesector. De netwerk en informatiebeveiligingsrichtlijn uit europa zal zorginstellingen mogelijk wel een meldplicht opleggen.
Arfman @ecolo7628 oktober 2016 07:43
Aangezien de overheid ziekenhuizen zowat heeft geprivatiseerd (zorgverzekeraars hebben het nu voor het zeggen daar) denk ik niet dat ze dat vinde.
Verwijderd @Arfman28 oktober 2016 11:38
Misschien moet je je eens verdiepen in de materie. Dan schrijf je niet van die rare dingen.
CAPSLOCK2000
27 oktober 2016 18:14
Hoog tijd. Nu gaat deze meldplicht op zich niet veel verbeteren aan de wereld, maar het is de eerste stap. Voor we een probleem kunnen aanpakken moeten we weten hoe het er uit ziet en hoe groot het is.

Misschien dat er bedrijven zijn die zich schamen voor hun slechte IT die daar nu iets aan gaan doen omdat ze geen melding willen doen, maar voor organisaties waar het nu om gaat mag dat geen argument zijn, wie weten zelf best wel dat beveiliging belangrijk is.

Wel helpt deze meldplicht om het probleem bespreekbaar te maken. Nu is de neiging toch vaak om inbraken, aanvallen en lekken geheim te houden uit angst voor reputatieschade. Als je niet over je problemen kan praten met andere slachtoffers is het moeilijk om je te organiseren om er iets aan te doen. Door registratie verplicht te maken breng je het onderwerp in de openbaarheid en maak je het bespreekbaar.
jpsch @CAPSLOCK200027 oktober 2016 19:34
Misschien ook niet.

http://www.nu.nl/ondernem...et-melden.html?redirect=1
wizzkizz @jpsch27 oktober 2016 20:26
Dit gaat niet over persoonsgegevens en voor zover ik heb begrepen zit er ook niet direct een boete aan vast. Omdat het gaat over vitale sectoren, zal het NCSC de details van de inbreuken ook niet publiekelijk bekend maken, dus imagoschade zal wel loslopen - voor zover imago al financieel belangrijk is omdat de consument bij dit soort zaken vaak niet rechtstreeks betrokken is of geen keuze heeft.
Gomez12 @CAPSLOCK200028 oktober 2016 03:45
Whooo, hold your horses... Je loopt 10.000 stappen voor op de regering / EU.

Niemand heeft het over bespreekbaar maken, laat staan openbaar maken...

Het enige wat dit inhoud is dat het gemeld moet worden bij een instantie, die plakt een labeltje op de melding en gooit de melding het archief in.
Niemand van de betrokkenen zit er op te wachten dat er openbaarheid wordt gegeven over lekken bij vitale onderdelen, dat krijgt al heel snel het stickertje staatsgeheim als het echt vitale onderdelen zijn.
djwice 27 oktober 2016 22:04
Hmmm.. Wat als de hele ICT al jaren is uitbesteed, en intrusion detectie op de scala systemen niet op orde is?

Krijgen de IT partij dan (eindelijk) de verplichting dit tegen eigen kosten op orde te krijgen?
Want eh.. dat hoort bij je vakmanschap, en ze zijn al jaren als goede vakman betaald, dus kan er van hen verwacht worden dat dit op orde moet zijn, anders blijven ze in gebreke.

[Reactie gewijzigd door djwice op 24 juli 2024 19:58]

Yalopa @djwice28 oktober 2016 04:28
Jij mag verwachten wat je wil over vakmanschap, maar bij outsourcing geld het contract.

Als de ICT al jaren uitbesteed is staat er vast iets in het outsourcings contract met de ICT partij. Als het er niet instaat dan is dat meer de fout van degene die de diensten afneemt, dan van de leverancier. Outsourcing ontslaat je niet van contractmanagement.

in veel gevallen zal de leverancier zoveel mogelijk zaken in het contract willen stoppen, immers dat brengt hem geld op. om kosten te sparen zal de ontvangende partij niet zelden zelf dergelijke diensten out of scope zetten. "security is iets vaags wat niets direct opbrengt" dus dat gaat er al snel uit..
Verwijderd @Yalopa28 oktober 2016 04:47
Jij mag in een contract zetten wat je wil. De wet gaat nog altijd voor het contract.
cbravo2 @Verwijderd28 oktober 2016 07:42
Dat klopt. Maar als jij, als leverancier, niet in de vitale sector werkt dan hoef je dus niets te melden bij een datalek. Tenzij jij daarover een contract hebt afgesloten.

En daar kan je als vitale sector niets aan doen behalve betere contracten over afsluiten.
Verwijderd @cbravo228 oktober 2016 19:22
Ik zou het interpreteren van een nieuwe wet aan de rechter overlaten.
cbravo2 @Verwijderd28 oktober 2016 22:55
Dus ik mag niets zeggen? Slaat nergens op in een forum.
djwice @Yalopa28 oktober 2016 18:59
Ik hoop eigenlijk dat de IT partij uit vakmanschap adviseerd wat er in moet, en limieten stelt voor dingen waar ze niet achter staan.

Uitkleden leverd voor beide geen goede tevreden samenwerking op, bekeken op langertermijn.

[Reactie gewijzigd door djwice op 24 juli 2024 19:58]

Sandor_Clegane 27 oktober 2016 20:38
"Vitale" sector? Als in "Vital" in het Engels? Of een kwieke sector? Is dat een woord dat je zo kunt gebruiken?

Kritisch/onmisbaar lijkt me een beter woord.
Verwijderd @Sandor_Clegane28 oktober 2016 11:38
De redactie past zich aan het taalgebruik van veel reageerders. Mijn zoon praat ook af en toe zo krom Nederlands omdat hij altijd in het Engels communiceert tijdens het gamen.
Sandor_Clegane @Verwijderd29 oktober 2016 20:40
I know, betrap me er zelf ook op. Maar sommige dingen zijn wel erg in het oog springend.
Verwijderd 27 oktober 2016 20:41
Hmm.. In eerste instantie een goed idee, denk ik. Echter vraag ik mij wel af hoe er dan om wordt gegaan met bevindingen van eventuele daarop volgende onderzoeken naar de oorzaken van zo'n 'incident'.

Stel men heeft te maken met een (onbekende) kwetsbaarheid in software, die niet enkel door het getroffen bedrijf/instantie gebruikt wordt. Zal het NCSC dan ook de verantwoordelijkheid nemen om hier melding van te maken bij de ontwikkelaar van deze software, of het betrokken bedrijf/instantie verplichten hier melding van te maken? Zodat een dergelijk lek gedicht kan worden?

Persoonlijk denk ik dat we in deze discussies goed op moeten passen met 'aannames' maken. In principe komt dat er op neer dat we ook achterliggende gedachten in lijn met 'global politics'(ja, zelfs die tinfoil hat scenario's) in het hele verhaal moeten betrekken. Elke plausibele manier waarop iets genaaid kan worden, is wat dit onderwerp betreft iets om rekening mee te houden.

De uitspraken van sommige 'gezaghebbende' de afgelopen tijd hebben bij mij nou niet direct de indruk gewekt dat er in Nederland een consensus heerst over wat verstandig is. Er zijn nogal wat redenen te noemen waarom het NCSC dit soort 'meldplichten' naar zich toe zou willen trekken - en die zijn niet allemaal even 'verstandig', denk ik.

Maar goed.. het is een degelijke stap, hopelijk in de goede richting.
SuperDre
27 oktober 2016 20:40
tja, dan moet je natuurlijk overigens wel doorhebben dat er iemand ingebroken heeft...
SuperDre
@Verwijderd28 oktober 2016 13:27
Weet ik nog niet zo net, iemand kan je database leegtrekken en de informatie die daarin staat gebruiken voor identiteitsfraude, zolang de hacker zelf niet gepakt wordt is het moeilijk te achterhalen waar de gebruikte informatie vandaan komt.. En dan denk ik vooral aan de opkomst van bv online salarisverwerkingspakketten, daar zit eigenlijk alles in, van BSN tot IBAN en soms zelfs een kopie van de ID..

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq