17 juli 2012

ICT~Office: zorg voor een effectieve meldplicht security breaches

CYBERSECURITY, VERTROUWEN

ICT-bedrijven vallen niet onder meldplicht security breaches

In de afgelopen periode zijn er regelmatig beveiligingsincidenten in het nieuws gekomen. De impact van deze inbreuken verschilt sterk. Wanneer door een ernstige inbreuk de continuïteit van vitale diensten in gevaar komt, kan die impact groot zijn voor onze samenleving. Voor zulke gevallen stelt de overheid een meldplicht security breaches (klik op link) in. Als de veiligheid van systemen is doorbroken en de eigen (vitale) dienstverlening dreigt te worden verstoord, moeten vitale sectoren zoals de energiesector en de drinkwatersector dit melden. Ook de overheid zelf valt onder de meldplicht. Voor de telecomsector geldt deze meldplicht ook, maar er bestaan al diverse meldplichten die overlappen met de nieuwe meldplicht security breaches.

Door de inzet van ICT~Office beperkt de verplichte melding zich tot ernstige digitale inbreuken binnen vitale sectoren. Hiermee blijven in alle andere gevallen de administratieve lasten beperkt. ICT-bedrijven vallen niet onder de meldplicht. Wel zullen ICT-bedrijven, wanneer zij ICT-diensten leveren aan vitale sectoren, afspraken moeten maken met hun opdrachtgever over de mogelijke invloed van de meldplicht security breaches.

Vertrouwelijkheid garanderen

ICT~Office blijft in de verdere uitwerking van de meldplicht aandacht vragen voor de effectiviteit ervan, zodat de meldplicht niet alleen een administratieve handeling wordt. Het bieden van hulp aan getroffen organisaties door het Nationaal Cyber Security Centrum (NCSC) dient centraal te staan. Ook wil ICT~Office dat het NCSC samen met het bedrijfsleven lessen trekt uit de incidenten. Om verdere openheid over incidenten te stimuleren, dient de overheid vertrouwelijkheid te garanderen. Zo kan er worden samengewerkt aan een digitaal veiliger Nederland.

Cyber Security Manifest

ICT~Office pleitte eerder in het Cyber Security Manifest voor een meldpunt waar organisaties op vertrouwelijke wijze incidenten kunnen melden. Meldingen kunnen dan in vertrouwen worden gedeeld, zodat bedrijven en overheden van elkaars incidenten leren. Hierbij kan er een voorbeeld worden genomen aan de luchtvaartsector, waar incidenten vertrouwd en zonder betrokkenheid van justitie worden gedeeld.