Meldplicht cyberincidenten wordt waarschijnlijk uitgebreid naar meer sectoren

EU-ministers hebben een akkoord bereikt over de uitbreiding van het aantal sectoren dat verplicht is om cyberincidenten te melden. Ook krijgen die sectoren te maken met meer digitale-veiligheidseisen. Het Europees Parlement en de EC moeten NIB2 nog goedkeuren.

Voorbeelden van de nieuwe sectoren zijn voedselproductie en -distributie, de maakindustrie, de post- en koeriersdienst en de productie van medische apparatuur, chemicaliën en geneesmiddelen. Demissionair minister Stef Blok zegt dat het verplichten van het melden van cyberincidenten noodzakelijk is, omdat dergelijke incidenten 'in toenemende mate' gevolgen hebben voor de maatschappij en economie. Daarom kan het regelen van de digitale veiligheid voor deze bedrijven niet langer geschoven worden onder 'eigen verantwoordelijkheid'.

De EC zegt dat het toezicht bij deze nieuwe diensten achteraf plaats gaat vinden, vooral naar aanleiding van een incident. De aanbieders worden verder verplicht aan een aantal veiligheidsmaatregelen te voldoen. Zo moeten ze de beveiliging van de toeleveringsketen en de afhandeling van incidenten op orde hebben.

Momenteel hebben enkel digitale dienstverleners en de zogenaamde essentiële diensten een meldplicht. Onder dat laatste vallen banken en de drinkwater- en energiesector. Daar komen nu zogenaamde 'belangrijke diensten' bij. Het verschil is dat toezicht bij essentiële diensten proactief is, in plaats van achteraf zoals bij de belangrijke diensten.

Her voorstel om deze zogenoemde Netwerk- en Informatiebeveiligingsrichtlijn, of NIB, te herzien kwam vanuit de Europese Commissie. De verantwoordelijke EU-ministers zijn akkoord gegaan met de genoemde richtlijnaanpassing 'NIB2', maar voordat deze officieel wordt, moeten het Europees Parlement en de Europese Commissie de uitbreiding nog goedkeuren. In 2022 moet het definitieve akkoord beschikbaar zijn.

IT-banen

Reacties (27)

FrostyPeet 4 december 2021 10:42

Leuk al die meldplichten in een ideale wereld. Maar een ZZP-er wil wel een nieuwe klus, een uitzendkracht een verlenging van zijn contract en een vaste kracht wil ook om de zoveel jaar loonsverhoging of promotie. Moeilijke gesprekken met managers "waarom het incident heeft kunnen gebeuren" en "jij bent toch verantwoordelijk voor beveiliging" lijken wel voor een klimaat van twee keer nadenken voor iets te melden te zorgen. Helemaal als het incident verder geen gevolgen heeft, of opgelost kan worden zonder dat de manager het weet. Je ziet het bij het gebutste bedrijfswagenpark waar niemand een deukje reed, de medewerker die per ongeluk op dat linkje in de e-mail klikt, tot een ambtenaar die "ook maar de procedure volgt" terwijl hij drommels goed weet dat het niet door de beugel kan. We zijn allemaal mensen.

AntiSpam 3 december 2021 16:10

Wat je niet weet kun je niet melden.

jj71 @AntiSpam • 3 december 2021 16:49

Dat is een ware, maar irrelevante uitspraak. De richtlijn gaat erover dat als je het wel weet, je verplicht bent het te melden.

AntiSpam @jj71 • 3 december 2021 16:52

Irrelevant?

Je moest eens weten hoeveel manager "wat niet weet, wat niet deert" mentaliteit hebben.

killercow @AntiSpam • 3 december 2021 18:32

Met deze wetgeving zijn ze dus aansprakelijk te stellen als ze het hadden kunnen weten omdat het ze gemeld is door werknemers.

m4ikel @killercow • 3 december 2021 20:09

Uit ervaring is dat absoluut géén garantie, dan kun je namelijk als werknemer direct vertrekken. Kortom: er is geen 'paper trail' en de werknemers die zwijgen wel.

KroeT @m4ikel • 3 december 2021 21:22

Toevallig moet er half december een nieuwe EU-richtlijn over de bescherming van klokkenluiders worden geïmplementeerd in Nederlandse wetgeving. Dat halen we niet, maar als dat gebeurt moeten bedrijven bewijzen dat een klokkenluider niet is benadeeld na een melding. En nog veel meer moois, tenzij je werkgever bent en ermee aan de slag moet. Tussen wet en daad staan dromen over 'wat niet weet, wat niet deert, in de weg, en praktische bezwaren. Maar het is een stap voorwaarts.

Meer info:
https://www.transparency....oor-melder-is-hard-nodig/

Remzi1993 @m4ikel • 3 december 2021 20:58

Daarom moet je ook een anonieme meldpunt hebben. Dan is dat snel klaar wanneer er aansprakelijkheid aan vast zit en een grote boete.

Frame164 @AntiSpam • 4 december 2021 09:07

En wat te denken van werknemers die zaken niet vertellen omdat ze het wel prima vinden. Dan kan de manager het ook niet weten. Ik heb het dan weliswaar niet meegemaakt met cyberindicenten maar vaak genoeg dat als er fouten waren gemaakt medewerkers het onder het tapijt veegden en dat het na een tijdje vanzelf een groot probleem werd en ik het mocht gaan uitleggen aan de klant.

secmango 3 december 2021 19:01

Fout in de eerste regel:
"Voorbeelden van de nieuwe sectoren zijn voedselproductie en -distributie, de maakindustrie,"
Ik lees in [1] dat het gaat om: "manufacturing of pharmaceuticals".

[1] https://www.euractiv.com/...mean-for-the-tech-sector/

[Reactie gewijzigd door secmango op 23 juli 2024 11:31]

burnedhardware @secmango • 4 december 2021 10:58

Dat is enorm relevant. Dan moet je ook GMP compliant zijn en dat heeft behoorlijke eisen als het haat om oa change management.

Aerkhanite @Verwijderd • 3 december 2021 16:18

Hoe is een meldplicht instellen gelijk aan industrieën overnemen?

De maakindustrie is in 2 seconden gegoogled met Bing.

kodak @Verwijderd • 3 december 2021 16:30

Je geeft zelf al antwoord op je eigen kritiek: het lijkt je belangrijk voor continuiteit.

Verwijderd @kodak • 3 december 2021 16:34

de essentiele zaken wel ja.
Maar deze uitbreiding vind ik wat lastiger.
Het is niet alsof we niet een dagje zonder kunnen. Ja het zal impact hebben maar we gaan er niet zo snel dood van.
En omdat bedrijven zelf verantwoordelijk zijn voor het tegengaan van hun eigen failliet...

maar de EU vindt dus dat het niet meer eigen verantwoordelijkheid is. En daar ben ik het niet mee eens.
Dit is een uitbreiding van een vinger in de pap, bij niet-essentiele zaken.

kodak @Verwijderd • 3 december 2021 16:57

Je stelling dat het wel mee zal vallen lees ik niet terug. Voedselproductie en distributie is niet iets wat alleen maar om luxe of lang houdbaar voedsel gaat. Post gaat niet alleen om de pakketjes van leuke aankopen. Medicijnen gaat niet alleen om de voorraad medicijnen die je zonder recept kan verkrijgen. Dat klinkt niet als situaties waar het alleen maar om niet failliet gaan gaat, maar ook de afhankelijkheid als die bedrijven dat (nog) niet zijn.

De regel is daarbij niet dat bedrijven zelf geen keuzes meer kunnen maken omdat ze aan eisen moeten voldoen. Het is eerder dat ze moeten tonen dat ze aan minimale eisen voldoen, net zoals ze dat moeten voor de kwaliteit van voedsel, belangrijke leveringen en medicijnen.

Verwijderd @kodak • 3 december 2021 18:32

zomaar als voorbeeld: medicijnen. Snap ik. En toch hebben ze 'de zorg' geprivatiseerd. Zou goedkoper worden. En nu willen ze toch graag toezicht. Natuurlijk staat 'de zorg' en 'farmaceutische transporten' niet gelijk aan elkaar.

Maar goed, volgende voorbeeld: de post. PTT. Het was ooit een overheidsdingetje.
Toen moest het zo nodig geprivatiseerd worden.
Natuurlijk was dat Nederland, en is dit een EU-afspraak.
Het draait mijns inziens wel een beetje de trend terug: jongens belangrijke zaken wil je goed im griff hebben. Dus we willen weer extra toezicht. Stukje bij beetje. Zeker in veranderende tijden waarin cyberwarfare big business is.

Voedsel natuurlijk, nee niet alleen luxe. De kaas was op, want problemen. Zuivel. Maar het gaat om het idee. Het volk is niet verhongerd. Er waren meer aanbieders, of andere oplossingen.

Ik ben wat te kritisch, te fel, te anti, te impulsief, voor een site als Tweakers denk ik qua impulsieve eerste reacties op nieuwsberichten.
En toch koppel ik het aan een politiek groter plaatje. Dit gaat niet alleen om cyber (dus tech) maar ook om politiek en dat was voornamelijk mijn insteek: hoe logisch ook op techvlak qua cybergevaar is dit wel weer een uitbreiding van overheidstoezicht. Wat 'we' juist zo weinig mogelijk zouden willen.
Minder liberaal, en meer 'communistisch' in de zin van 'de overheid regelt alles'.

kodak @Verwijderd • 3 december 2021 18:58

Maar in dat groter plaatje is de situatie nooit geweest dat alles maar vrij was, net zoals het nu niet zomaar gaat beteken dat er te veel vrijheid verloren gaat. Dat regels door de jaren heen kunnen veranderen komt ook door inzicht en verschillen van mening wat acceptabel is.

Frame164 @Verwijderd • 4 december 2021 09:09

De zorg is niet geprivatiseerd. Het is nooit in handen van de overheid geweest. Artsen werken al sinds mensenheugenis in maatschappen. Medicijnen zijn altijd door farmaceutische bedrijven gemaakt. Zelfs ziekenfondsen waren niet van de overheid.

Nimja @Verwijderd • 3 december 2021 16:37

Of het is terecht zich zorgen maken over hoe groot de impact is van digitale aanvallen.

Volgens mij hebben deze bedrijven ook wetgeving voor fysieke veiligheid, waarom dan niet digitale?

BlaTieBla @Verwijderd • 6 december 2021 08:12

Sommige bedrijfstakken kunnen in een keten wel redelijk essentieel zijn. Plus proberen criminelen ook regelmatig via een derde persoon bij een bedrijf binnen te dringen. Als dergelijke meldingen gemeld worden kan een overkoepelende organisatie mogelijk een trend herkennen.
1 cyber incident bij een toeleverancier voor farmaceutische grondstoffen is wellicht toeval, maar wanneer er meer toeleveranciers voor bijv. Pfizer aangevallen worden kan het zijn dat het uiteindelijke doel Pfizer is.

En toevallig een courant voorbeeld van een toeleverancier voor een essentiële sector: https://nos.nl/artikel/24...-gekraakt-en-online-gezet

[Reactie gewijzigd door BlaTieBla op 23 juli 2024 11:31]

Alxndr

@Verwijderd • 3 december 2021 16:50

Voedsel, medicijnen - hoeveel dagen voorraad heb jij daarvan in huis? Als ze de distributie van een beetje een grote speler daarin in de war schoppen hebben we toch binnen een week wel een probleem.

Wat ik vreemd vind is dat ze dan de procesindustrie niet meenemen, ik zou de meldplicht gewoon baseren op grootte: omzet en/of marktaandeel.

En ten aanzien van privatiseren of nationalisering, "seize the means of production" dat heeft hier toch niets mee te maken. Denk je dat een ransomeware groep voordat ze toeslaan gaat kijken of een bedrijf publiek, privaat of in handen van de staat is? Lijkt mij niet, we hebben afgelopen jaar wel gezien dat ook universiteiten, ziekenhuizen etc net zo makkelijk aangevallen worden als andere bedrijven.

Frame164 @Alxndr • 4 december 2021 09:11

Er zijn voldoende spelers op de markt dat het uiteindelijke effect te overzien valt. Ja, sommige producten zullen er even niet zijn maar er zal voldoende voedsel beschikbaar blijven.

Alxndr

@Verwijderd • 3 december 2021 17:12

Controle in de vorm van het verplicht melden van incidenten en toepassen van meer digitale-veiligheidseisen, tsja, ik zie het punt/probleem niet.

Net zoals je telefoon niet meer vast mogen houden op de fiets of in de auto, je zou het betuttelend/controlerend/irritant kunnen noemen, of je focust je op hoeveel ongelukken en dus maatschappelijke kosten het scheelt.

Frame164 @Verwijderd • 4 december 2021 09:13

Daar vragen we zelf om. Als er iets fout gaat willen we met z’n allen dat er meer regels komen. Zie alleen al de reacties op dit forum als er een keer wat fout gaat. En dan zitten hier nog bovengemiddeld intelligente mensen die zelfredzame zijn dan de gemiddelde burger.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (27)

Sorteer op:

Weergave: