Kabinet: providers en nutsbedrijven moeten beveiligingsproblemen melden

Bedrijven in vitale sectoren, zoals de drinkwatervoorziening, elektriciteitsleveranciers en telecomaanbieders, moeten beveiligingsproblemen die een grote impact kunnen hebben verplicht melden. Dat wil althans het kabinet.

De beveiligingsproblemen die straks bij het Nationaal Cyber Security Centrum moeten worden gemeld, zijn beveiligingsproblemen die de samenleving zouden kunnen ontwrichten en die de dienstverlening kunnen verstoren. Dat heeft minister Ivo Opstelten van Veiligheid en Justitie maandagmiddag bekendgemaakt.

De wettelijke verplichting gaat gelden voor onder andere gas-elektriciteitsbedrijven, leveranciers van drinkwater en telecomaanbieders, maar ook financiële instellingen, overheden zelf en belangrijke transportbedrijven, zoals het vliegveld Schiphol. Volgens het kabinet wordt daardoor niet alleen de getroffen organisatie geholpen, maar worden ook de gevolgen voor de samenleving en voor andere bedrijven beperkt.

Het wetsvoorstel, waarop tot halverwege september feedback kan worden geleverd, moet nog worden goedgekeurd door de Tweede Kamer. Het voorstel staat los van een andere meldplicht, de meldplicht datalekken. Daarbij gaat het om beveiligingsproblemen waarbij data van gebruikers in het geding is; die meldplicht geldt ook voor bedrijven in andere sectoren. Eurocommissaris Neelie Kroes zei eerder al dat ze wil dat internetbedrijven beveiligingsproblemen gaan melden bij de overheid.

IT-banen

Reacties (29)

Verwijderd 22 juli 2013 13:58

De wetgeving heeft heel weinig kans van slagen.

Stel een bedrijf als Philips laat gigantische beveiligingsfouten zitten in haar netwerk, waardoor taloze gegevens gelekt kunnen worden. Als Philips dit niet meldt dan zijn ze met de bovenstaande regelgeving dus in overtreding.

Maar, de wet voor de bescherming van klokkenluiders is nog steeds niet actief in Nederland. Dit wil zeggen dat wanneer Philips zijn mond houd over een beveiligingslek, maar persoon A in het bedrijf hiervan weet, maar niet beschermt wordt volgens de wet, de drempel velen malen hoger ligt dan dat deze wetgeving er wel zou zijn.

Deze wetgeving is in mijn ogen een lege kogel, het kruid moet nog gevuld worden met de wetgeving voor bescherming van klokkenluiders.

tes_shavon @Verwijderd • 22 juli 2013 14:19

Het gaat wel om commerciele bedrijven maar dan specifiek die voor algemeen nut (bijvoorbeeld ziekenhuizen, electriciteirsbedrijven, waterleidingbedrijven, internet, luchthavens, etcetera )... dus niet om alle bedrijven.
Het lijkt me niet dat Philips onder deze definitie gaat vallen.

Ik deel wel je mening dat deze wetgeving uiterst lastig te handhaven is. Hoe ga je het conroleren?

[Reactie gewijzigd door tes_shavon op 7 augustus 2024 08:41]

proatjeboksem @tes_shavon • 22 juli 2013 14:25

Dat is een arbitraire lijst natuurlijk. Is je kabeltv boer een bedrijf voor algemeen nut?
Nee, want RTL4 dient geen enkel nut

of Ja, want ze zenden evt. nooduitzendingen uit.

Valt een hoofdleverancier van pompen voor een waterbedrijf er onder? Of alleen het waterbedrijf zelf?

Dit is de basis voor een hele hoop rechtszaken en juridisch getouwtrek.

Wortelsoep @proatjeboksem • 22 juli 2013 15:27

Als je nou het wetsvoorstel had gelezen had je het volgende gezien:

Deze wet is van toepassing op de bij algemene maatregel van bestuur aan te wijzen aanbieders van de daarbij aan te wijzen producten of diensten die van zodanig belang zijn voor de Nederlandse samenleving dat onderbreking van de beschikbaarheid of betrouwbaarheid daarvan kan leiden tot ernstige maatschappelijke gevolgen.

Kortom, er wordt gewoon bij AMvB een lijstje samengesteld zodat volstrekt duidelijk is wat er wel en niet onder valt. Klaar.

proatjeboksem @Wortelsoep • 22 juli 2013 16:22

Als ik het wetsvoorstel had gelezen had ik nu sterretjes gezien

Maar zo'n amvb is precies wat ik zeg: een arbitraire lijst.

Dus het is bij lange nog niet klaar.

Bedrijven die er niet onder willen vallen, spannen een rechtszaak aan, klokkenluiders van bedrijven die er niet op staan, komen op straat, bedrijven die elkaar aan de schandpaal nagelen, we gaan het allemaal zien.

En daarbij: hoeveel aanslagen op onze nutsvoorzieningen hebben we de afgelopen 100 jaar gehad? Laat 'ie eerst maar eens zorgen dat de politie betere middelen krijgt om de bestaande criminaliteit aan te pakken, dan alles in het werk te stellen voor dit soort John Grisham fantasieen

thegve @proatjeboksem • 22 juli 2013 19:59

Je wilt eerst alle inwoners van een stad vergiftigd zien worden door vergiftigd leidingwater, voordat je maatregelen wilt nemen?

hidden @tes_shavon • 22 juli 2013 14:47

Philips Medical ?
Consumenten electronica doen ze toch al niet meer

proatjeboksem @hidden • 22 juli 2013 14:54

Lighting, Personal Care (scheerapparaten), NXT, research....
En voordat iemand een MRI scanner, US machine of EasyVision (=hele ouwe kijkdoos) gaat hacken...

Darude1234 23 juli 2013 00:11

En wat als deze database in handen komt van hackers? Lijkt mij niet echt een goed idee. Ok dat er meer controle moet komen ben ik met ze eens, maar dat kan ook op andere manieren. Bijvoorbeeld door er af en toe een beveiligingsexpert naar te laten kijken

duizel 22 juli 2013 14:46

snap zowiezo niet wat opstelten moet met het cyber security centrum.
veiligheid valt te verdelen in meerdere categorieen die ze moeten scheiden aan de hand waar ze voor verantwoordelijk zijn in dit geval ict. Niet gek dat alles zo mis gaat in dit land met dit soort idioten die praten over dingen waar ze nog geen scheet van weten.

Verwijderd 22 juli 2013 14:47

Dat wordt een zeer interessante database voor figuren met minder goede bedoelingen. Kan ook van binnenuit zijn. Er zullen best landen of personen zijn die veel geld over hebben voor deze informatie.

harrytasker 22 juli 2013 14:16

Tja wat versta je onder "grote impact" zo'n rekbaar begrip.... Zolang het jezelf niet aangaat is het vaak niet belangrijk, totdat je er zelf mee te maken krijgt en dan heeft het voor JOU een grote impact.

Hithran 22 juli 2013 14:22

"Bedrijven in vitale sectoren, zoals de drinkwatervoorziening, elektriciteitsleveranciers en telecomaanbieders, moeten beveiligingsproblemen die een grote impact kunnen hebben verplicht melden."
"Volgens het kabinet wordt daardoor niet alleen de getroffen organisatie geholpen, maar worden ook de gevolgen voor de samenleving en voor andere bedrijven beperkt."

Dus het melden van een potentieel beveiligingsprobleem, helpt (nog niet) getroffen organisaties en worden de (nog niet bestaande) gevolgen voor de samenleving en andere bedrijven beperkt.

Komt wat raar over zo.

[Reactie gewijzigd door Hithran op 7 augustus 2024 08:41]

tes_shavon @Hithran • 22 juli 2013 14:23

Dus het melden van een potentieel beveiligingsprobleem, helpt (nog niet) getroffen organisaties en worden de (nog niet bestaande) gevolgen voor de samenleving en andere bedrijven beperkt.

om vervolgens door die zelfde meneer Opstelten aangepakt te worden als hacker...

proatjeboksem 22 juli 2013 14:25

Arbitrair, flauw geneuzel. Opa opstelten is weer eens met een lobby-groepje uit eten geweest, zo te zien.

Wie zijn deze bedrijven, vallen hun leveranciers er ook onder?
En buitenlandse leveranciers: moeten die aan de grens hun technologie gaan uitleggen?

Wat gebeurt er met mensen die uit de school klappen? Wie is er verantwoordelijk als een dergelijk gevaar uitgebuit wordt?

[Reactie gewijzigd door proatjeboksem op 7 augustus 2024 08:41]

Verwijderd @proatjeboksem • 22 juli 2013 16:07

Om dat te controleren komt er uiteindelijk wel een 'onafhankelijke' instantie die dat na zal gaan.
Vergelijkbaar met de wijk inspectie. Laten we het de internet inspectie noemen.
'Of we even u private cloud mogen inspecteren.'

Verwijderd 22 juli 2013 15:03

De meesten weten toch niet dat ze gehacked zijn en zullen er ook nooit achter komen ben ik bang

Voor elk bedrijf dat door heeft dat hij gehacked word zijn er 100 die gehacked worden maar het gewoon weg niet door hebben.. De instellingen die het door hebben zijn juist de bedrijven met geavanceerd genoeg technologie om dit te detecteren, En zelfs dan nog zullen er ook nog veel bedrijven zijn die het dan verborgen zullen houden om zichzelf te beschermen (Imagoschade). Ik zie wel een verontrustende trend waarin het aantal hacks steeds meer groeit en ook steeds grotere targets.

[Reactie gewijzigd door Verwijderd op 7 augustus 2024 08:41]

houseparty 22 juli 2013 19:28

Raar wetsvoorstel imho, al geef ik toe dat ik het wetsvoorstel niet heb doorgelezen.

Betreft het een meldingsplicht van kwetsbaarheden in het algemeen, of betreft het een meldingsplicht van hack/crack acties die geslaagd zijn ten gevolge van kwetsbaarheden?

Als het dat laatste betreft dan kan ik daar enigszins in komen. Maar als het het eerste betreft dan gaat hem dat gewoon niet worden. De meeste bedrijven hebben op voorhand namelijk gewoon geen weet van heel veel kwetsbaarheden in hun systemen. En als ze dat wel op voorhand weten zullen ze het of eerst willen oplossen of zo stil mogelijk willen houden.

Bovendien zal niet perse alles gemeld gaan worden. Voor een bedrijf an sich kan het namelijk behoorlijk oninteressant zijn dit soort gegevens te delen aangezien de overheid zelf nog steeds zo lek als een mandje is. Dat klokkenluiders nog steeds niet per wet beschermd worden helpt hierbij ook nog eens totaal niet mee.

SinergyX @Hasosoft • 22 juli 2013 13:52

ook financiële instellingen, overheden zelf en belangrijke transportbedrijven

Ach leuk idee, laten ze beetje zien dat ze er mee bezig zijn, meer ook niet.

Verwijderd @SinergyX • 22 juli 2013 16:03

Ik vind het niet alleen een leuk idee en ach.. dan melden ze het wel een keer. Er zijn in Nederland een hoop bedrijven die serieus schade kunnen doen aan Nederland en de Nederlandse bevolking. Nu is het vaak zo dat dergelijke incidenten weggemoffeld worden omdat deze commerciële bedrijfen alleen maar de pingels in de kassa in de gaten houden. In principe prima, ik wil dat bij mij thuis ook de schoorsteen blijft roken, maar als je al dan niet bewust risico's neemt of incidenten ondervind waardoor anderen schade op (kunnen) lopen moet er een meldingsplicht zijn en extreem hoge sancties bij het overtreden van deze regel.

Overigens zijn een hoop nuts- en chemie bedrijven op dit moment al verplicht om bepaalde data te registreren en rapporteren aan de overheid, maar dit heeft meer met vergunningen en uitstoot te maken dan met veiligheid.

XElD @Verwijderd • 23 juli 2013 06:36

Een commercieel bedrijf heeft er ook groot belang bij geen grote fouten te maken. Dus je kuntje afvragen wat je er mee opschiet om alles centraal te moeten rapporteren.

Niet alleen introduceer je zo een hoop extra overhead, maar je loopt ook het risico juist een wegmoffel cultuur aan te moedigen.

chrisboers @Hasosoft • 22 juli 2013 13:51

"... maar ook financiële instellingen, overheden zelf en ..." ja dus. Artikel gelezen?

Hasosoft

@chrisboers • 22 juli 2013 14:03

Ja maar blijkbaar niet zo scherp vandaag, had er in het wetvoorstel ook overheen gelezen ".. financiën, overheid en transport...".

Ben dan toch ook wel benieuwd of een systeem a la PRISM er ook onder gaat vallen, of dat dat als bij het NCSC zit en dus gewoon intern wordt gehouden.

Distael @Hasosoft • 22 juli 2013 14:36

Het systeem van PRISM valt niet onder de NL wetgeving dus hoeft niets te melden...andere Nederlandse versies van PRISM hebben we hier (officieel) niet....en van wat er niet is, kun je niets melden.

hidden @Distael • 22 juli 2013 14:43

Je gaat er van uit dat PRISM alleen op de servers in de US draaien ?

Als de server in Nederland staat zou dit in mijn ogen gewoon gemeld moeten worden.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (29)

Sorteer op:

Weergave: