Meldplicht datalekken ter bescherming van de Nederlandse kritische infrastructuur

Naar mate de samenleving verder digitaliseert, worden ook de risico’s en de afhankelijkheden groter. Één van de thema’s die op dit moment brede aandacht krijgt, is wat in Duitsland ‘kritische infrastructuur’ wordt genoemd.

In Nederland is hier ook aandacht voor, want in januari jl. is een voorstel voor een ‘Wet gegevensverwerking en meldplicht cybersecurity‘ bij de tweede kamer ingediend. Onder andere het DigiNotar schandaal was aanleiding voor het voorstel.

Vitale aanbieders

Strekking van het voorstel is dat extra verplichtingen worden opgelegd aan ‘vitale aanbieders’, dat zijn aanbieders van producten en diensten waarvan de beschikbaarheid en betrouwbaarheid van vitaal belang zijn voor de Nederlandse samenleving.

Op grond van het voorstel dienen vitale aanbieders datalekken te melden. Voorts bevat artikel 7  de verplichting voor deze aanbieders om de cybersecurity minister, te weten de Minister van Veiligheid en Justitie, gegevens te verschaffen over hun informatiesystemen en de maatregelen die zij hebben genomen om de beschikbaarheid en betrouwbaarheid van het product of de dienst te waarborgen of te herstellen. Een verdere uitwerking zal in lagere regelgeving plaats vinden.

Het begrip vitale aanbieder in het wetsvoorstel omvat zowel overheidsorganisaties als privaatrechtelijke rechtspersonen. De (categorieën van) vitale aanbieders en hun concrete producten of diensten waarvoor de meldplicht gaat gelden, zullen worden aangewezen bij algemene maatregel van bestuur. De aanwijzing zal, zo zegt de memorie van toelichting, in ieder geval betrekking hebben op op aanbieders in de volgende sectoren: elektriciteit, gas, drinkwater, telecom, financiën, overheid (waaronder in ieder geval primaire waterkeringen) en transport (mainports Rotterdam en Schiphol) alsook op vitale aanbieders in de nucleaire sector.

Ondernemingen die als vitale aanbieders worden aangemerkt kunnen na inwerkingtreding van de wet op verhoogde overheidsaandacht rekenen.

Memorie van toelichting: introductie

Onderstaand de inleiding zoals opgenomen in de memorie van toelichting.

Nederlands voorstel kritische infrastructuur

Dit wetsvoorstel introduceert een meldplicht voor een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen (hierna ook: ICT-inbreuken) en stelt regels over het verwerken van gegevens ten behoeve van de taken van de Minister (ingevolge de huidige portefeuilleverdeling de Staatssecretaris) van Veiligheid en Justitie op het terrein van cybersecurity.
De meldplicht geldt alleen voor zogenoemde vitale aanbieders: overheidsorganisaties en privaatrechtelijke rechtspersonen die producten of diensten aanbieden waarvan de beschikbaarheid en betrouwbaarheid van vitaal belang zijn voor de Nederlandse samenleving. De meldplicht geldt daarnaast alleen als de inbreuk tot gevolg heeft of kan hebben dat de beschikbaarheid of betrouwbaarheid van dergelijke producten of diensten in belangrijke mate wordt of kan worden onderbroken. De meldplicht geldt uitsluitend voor bij algemene maatregel van bestuur aan te wijzen (categorieën van) vitale aanbieders van daarbij aan te wijzen producten of diensten. De melding moet worden gedaan aan de Staatssecretaris van Veiligheid en Justitie. De melding wordt behandeld door het Nationaal Cyber Security Centrum (NCSC), een onderdeel van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), die deel uitmaakt van het Ministerie van Veiligheid en Justitie. [1] De melding stelt het NCSC in staat om hulp te verlenen aan de getroffen aanbieder en om andere aanbieders te waarschuwen, met als uiteindelijke doel om het risico van maatschappelijke ontwrichting in te schatten en die ontwrichting te voorkomen of in elk geval zo veel mogelijk te beperken.
Deze meldplicht voor ICT-inbreuken is aangekondigd in een brief aan de Tweede Kamer van 6 juli 2012, [2] naar aanleiding van een verzoek van de Kamer om te komen tot de wettelijke vastlegging van een «security breach notification» bij het NCSC voor organisaties die betrokken zijn bij voor de samenleving vitale informatiesystemen. [3] Aanleiding voor dat verzoek was de elektronische inbraak bij het bedrijf DigiNotar in het najaar van 2011. Deze ICT-inbreuk heeft het toegenomen belang en de onderlinge verwevenheid van ICT-systemen bij de overheid en (overige) vitale sectoren zichtbaar gemaakt. De meldplicht sluit aan bij het voorstel van de Europese Commissie om EU-breed te komen tot een meldplicht voor overheden en vitale marktpartijen die bijdraagt aan het verhogen van de digitale veiligheid. [4]
Naar aanleiding van het Pobelka-incident in 2013 [5] is daarnaast onderzocht of er voldoende rechtsbasis is voor de verwerking van gegevens door het NCSC. In de brief van 12 december 2013 is de Tweede Kamer bericht dat voor de huidige verwerking van (persoons)gegevens door het NCSC een afdoende wettelijke grondslag voorhanden is, maar dat het aangewezen is om de taken van het NCSC in het kader waarvan persoonsgegevens worden verwerkt, alsook de daaraan gekoppelde bevoegdheid tot verwerking daarvan, van een steviger wettelijke grondslag te voorzien. [6] Daartoe strekken met name de artikelen 2 en 3 van dit wetsvoorstel. In dezelfde brief is tevens ingegaan op het belang van de vertrouwelijkheid van aan het NCSC verstrekte gegevens. [7] Om die vertrouwelijkheid te waarborgen, bevat het voorgestelde artikel 9 een strikte regeling over de verstrekking aan derden van door het NCSC verkregen vertrouwelijke gegevens.
Het begrip vitale aanbieder zoals dat wordt gebruikt in dit wetsvoorstel, omvat zowel overheidsorganisaties als privaatrechtelijke rechtspersonen. Onder vitale aanbieders worden zowel vitale aanbieders die onder de meldplicht vallen (aangewezen vitale aanbieders) als andere vitale aanbieders verstaan. Overigens is de doelgroep van het NCSC breder dan alleen vitale aanbieders: het NCSC richt zich ook op de niet-vitale aanbieders die onderdeel zijn van de rijksoverheid.

[1] In dit wetsvoorstel worden taken en bevoegdheden toegekend aan de Minister (ingevolge de huidige portefeuilleverdeling de Staatssecretaris) van Veiligheid en Justitie, en niet rechtstreeks aan het NCSC. Waar deze memorie van toelichting de rol van het NCSC bespreekt, wordt, tenzij uit de context anders volgt, gedoeld op de uitvoering van de taken en bevoegdheden van de Staatssecretaris.
[2] Kamerstukken II 2012/13, 26 643, nr. 247.
[3] Motie-Hennis-Plasschaert c.s., Kamerstukken II 2011/12, 26 643, nr. 202.
[4] Voorstel voor een Richtlijn van het Europees Parlement en de Raad houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen, COM (2013) 48 final, 2013/0027 (COD), 7 februari 2013. Zie ook Kamerstukken I 2013/14, 33 602, C.
[5] Kamerstukken II 2012/13, 26 643, nr. 272.
[6] Kamerstukken II 2013/14, 26 643, nr. 297, p. 3
[7] Idem, p. 3 en 4.

Meer informatie

Nederland

Duitsland

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Capelle aan den IJssel (Rotterdam), telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.wordpress.com/ ||| modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in ICT, privacy, e-commerce en getagged met , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s