Minister Opstelten vraagt advies ICT-branche over meldplicht security breaches
Nederland ICT vindt transparantie over incidenten belangrijk. Een verplichte melding moet echter wel in verhouding staan tot de ernst van de situatie. Ook moeten de administratieve lasten voor bedrijven zo laag mogelijk gehouden worden. Op verzoek van minister Opstelten zal Nederland ICT binnenkort inhoudelijk reageren op het wetsvoorstel.
Vitale sectoren vallen onder meldplicht
In het afgelopen jaar werd Nederland een aantal keren opgeschrikt door grotere en kleinere beveiligingsincidenten. Zo’n incident kan een grote impact hebben op de samenleving wanneer het vitale diensten (zoals de energie- of drinkwatervoorziening) in gevaar brengt.
Voor deze gevallen stelt de overheid een meldplicht security breaches (klik op link) voor. Deze meldplicht geldt tevens voor de overheid zelf. In het voorstel valt ook de telecomsector onder de meldplicht security breaches, maar er bestaan voor deze sector al diverse meldplichten die hiermee overlappen. Nederland ICT is kritisch op deze overlap en wil voorkomen dat bedrijven voor één incident bij meerdere loketten dezelfde melding moeten doen.
Volgens Nederland ICT moet de meldplicht zich beperken tot ernstige digitale incidenten binnen de vitale sectoren. Op die manier zorgt de meldplicht in andere gevallen niet voor extra administratieve lasten. ICT-bedrijven vallen niet onder de meldplicht security breaches. Wel zullen ICT-bedrijven, wanneer zij ICT-diensten leveren aan vitale sectoren, afspraken moeten maken met hun opdrachtgever over de mogelijke invloed van de meldplicht.
Delen op basis van vertrouwen
Nederland ICT is van mening dat de meldplicht een effectief middel moet zijn om de digitale veiligheid van Nederland te waarborgen en niet slechts een administratieve handeling. Organisaties moeten hun melding bij het Nationaal Cyber Security Centrum daarom in vertrouwelijkheid kunnen doen. Wanneer de overheid deze vertrouwelijkheid garandeert, kunnen bedrijven en overheden van elkaars incidenten leren.
In het Cyber Security Manifest (klik op link) pleitte Nederland ICT eerder al voor een meldpunt waar organisaties beveiligingsincidenten vertrouwelijk en op vrijwillige basis kunnen melden. Nederland ICT zal voor 17 september een inhoudelijke reactie geven op het wetsvoorstel.