Organisaties binnen vitale sectoren worden verplicht om ernstige digitale veiligheidsincidenten te melden bij het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie. Tijdige melding maakt een effectievere aanpak van dit soort incidenten mogelijk, met als doel maatschappelijke ontwrichting te voorkomen of te beperken.
Dit staat in het nieuwe wetsvoorstel cybersecurity van staatssecretaris Dijkhoff (Veiligheid en Justitie) dat gisteren bij de Tweede Kamer is ingediend. Begin dit jaar werd ook al de meldplicht datalekken van kracht.
Deze nieuwe meldplicht gaat in elk geval gelden voor organisaties binnen elektriciteit, gas, kernenergie, drinkwater, telecom, transport (mainports Rotterdam en Schiphol), financiën en overheid, zoals primaire waterkeringen. De wet focust juist op deze sectoren omdat ze behoren tot de vitale infrastructuur van Nederland. Uitval van een van deze systemen kan direct of indirect leiden tot maatschappelijke ontwrichting, zo staat in het voorstel te lezen.
Door deze vitale organisaties wettelijk te verplichten melding te maken van ICT-inbreuken, kan het NCSC de risico’s voor de samenleving inschatten én hulp verlenen aan de getroffen organisatie. Bovendien is het NCSC zo in staat andere vitale organisaties te waarschuwen en te adviseren.
De meldplicht past volgens het Kabinet bij de ingezette publiek-private samenwerking om cybersecurity binnen de (rijks)overheid en de vitale sectoren te bevorderen. Het vertrouwelijke karakter van de gemelde informatie over incidenten en kwetsbaarheden blijft gewaarborgd.
Het wetsvoorstel voorziet in een goede balans. Het zorgt er enerzijds voor dat het NCSC zijn taken goed kan uitoefenen. Anderzijds houdt het bij de informatievoorziening aan (onder meer) het publiek over deze incidenten en kwetsbaarheden goed rekening met de belangen van de betrokken aanbieders.
