Meld”plicht” ICT-inbreuken

Als het aan minister Opstelten ligt, komt er een nieuwe wet waarin een meldplicht voor ICT-inbreuken wordt geïntroduceerd; de Wet melding inbreuken elektronische informatiesystemen.

Naast de reeds geldende meldplicht voor internet providers en telecomaanbieders uit artikel 11.3a Telecommunicatiewet en het wetsvoorstel meldplicht datalekken, wordt er nu een nieuwe meldplicht geïntroduceerd. Voor wie geldt deze meldplicht en wat houdt deze precies in?

Meldplichtige partijen
Artikel 1 van het wetsvoorstel vermeldt dat de wet van toepassing is op “de bij algemene maatregel van bestuur” aan te wijzen aanbieders. De memorie van toelichting bij het wetsvoorstel leert dat het gaat om aanbieders van vitale producten of diensten binnen diverse sectoren. Concreet worden de volgende sectoren vermeld:

  1. Elektriciteit;
  2. Gas;
  3. Drinkwater;
  4. Telecom;
  5. Keren en beheren oppervlaktewater;
  6. Financiën;
  7. Overheid;
  8. Transport (mainports Rotterdam en Schiphol).

Het wetsvoorstel geeft verder ook aan welke aanbieders hier onder meer onder zouden kunnen vallen; energienetwerkbeheerders, drinkwaterbedrijven en banken. De meldplicht geldt niet voor certificaatdienstverleners.

Te melden inbreuken
In de algemene maatregel van bestuur waarin de meldplichtige aanbieders zullen worden vastgesteld, zal ook worden bepaald op welke vitale producten en diensten de meldplicht betrekking zal hebben.

Het gaat daarbij alleen om een daadwerkelijke inbreuk op de veiligheid en op een daadwerkelijk verlies van integriteit van een elektronisch informatiesysteem. Er zal sprake moeten zijn van een maatschappelijke ontwrichting.

Wanneer er precies sprake is van een ICT-inbreuk, is nog niet geheel duidelijk. Wel duidelijk is dat een DDOS aanval niet als een ICT-inbreuk moet worden gezien. Er is bij een DDOS aanval weliswaar sprake van een ernstige verstoring van de bereikbaarheid van een dienst, maar de achterliggende systemen worden daarbij niet aangetast. Bovendien is een DDOS aanval tijdelijk. Hierdoor zou de maatschappelijk ontwrichtende werking beperkter zijn.

Een melding wordt behandeld door het Nationaal cyber Security Centrum (NCSC).

Handhaving
Vreemd genoeg voorziet het wetsvoorstel niet in een mogelijkheid tot sanctionering. Het NCSC gaat geen toezicht houden op naleving van de meldplicht en krijgt ook geen handhavingsbevoegdheden. Bij de adviserende en ondersteunende rol van het NCSC past geen handhavende functie, aldus het wetsvoorstel. De betrokken partijen zouden zich al bewust zijn van hun verantwoordelijkheden hetgeen tot spontane naleving moet leiden. Het gehele wetsvoorstel gaat daarbij uit van een vrijwillige melding.

Samenvatting
Samenvattend gaat het dus om een meldplicht die alleen geldt voor:

  1. Aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid  van vitaal belang is voor de samenleving; en
  2. ICT-inbreuken die tot gevolg hebben dat de beschikbaarheid of betrouwbaarheid in belangrijke mate wordt onderbroken; en
  3. Bij algemene maatregel aan te wijzen aanbieders van daarbij aan te wijzen producten en diensten.

Wanneer er nu precies verstaan moet worden onder een ICT-inbreuk, is nog niet geheel duidelijk. Wel duidelijk is dat er geen sanctie staat op het niet melden van een ICT-inbreuk.

De internetconsultatie voor het wetsvoorstel is op 22 juli geopend en duurt tot 17 september.

Lees hier het wetsvoorstel en de memorie van toelichting (bron: internetconsultatie.nl).


Thomas van Essen is advocaat bij SOLV. Hij is specialist op het gebied van IT/ICT alsmede privacy en gaming. Hij is al sinds de oprichting verbonden aan het kantoor en kreeg tussendoor een kijkje in de keuken bij Skype.

Dit artikel verscheen op 24 juli 2013 het blog van SOLV en is met toestemming overgenomen op ISP Today.

Over Thomas van Essen

Thomas van Essen is advocaat bij SOLV. Hij is specialist op het gebied van IT/ICT alsmede privacy en gaming. Hij is al sinds de oprichting verbonden aan het kantoor en kreeg tussendoor een kijkje in de keuken bij Skype.