Mogelijk miljoenenboete bij stilhouden cyberincident

Een nieuw wetsvoorstel moet bedrijven binnen 'vitale sectoren' verplichten om digitale incidenten te melden bij toezichthouders. Doen ze dat niet, dan riskeren ze miljoenenboetes. Dat staat in een voorstel voor de nieuwe Cybersecuritywet die minister Ferdinand Grapperhaus van Justitie en Veiligheid gisteren heeft ingediend bij de Tweede Kamer.

Organisaties die van een cyberincident geen melding maken, kunnen daarvoor een boete van maximaal vijf miljoen euro krijgen. Als een organisatie wel melding maakt, maar daarna onvoldoende informatie deelt, kan die een boete van een miljoen euro krijgen. De bijbehorende toezichthouders voor vitale sectoren moeten bij een incident op de hoogte worden gesteld. Het gaat om de minister voor Economische Zaken en Klimaat, de minister voor Infrastructuur en Milieu, de minister Medische Zorg en De Nederlandsche Bank. 

NCSC

In 2016 diende toenmalig staatssecretaris Klaas Dijkhoff al een wetsvoorstel in die organisaties in de vitale sectoren verplichtte om cyberincidenten te melden bij het Nationaal Cyber Security Centrum (NCSC). Met die meldplicht zou het NCSC beter zijn werk kunnen doen om de vitale infrastructuur te beschermen of, in geval van een incident, de getroffen organisatie te helpen. Het NCSC kan bij gebrekkig handelen echter geen boetes uitdelen.

De betreffende wet waarin dit werd geregeld trad in oktober 2017 in werking, maar zonder die meldplicht. Die ontbrak omdat nog niet duidelijk was welke vitale aanbieders aan deze eis zouden moeten voldoen.

Het wetsvoorstel van Grapperhaus vervangt de oude wet. Met de Cybersecuritywet geeft hij invulling aan Europese voorschriften voor een meldplicht bij vitale sectoren. Naast de meldplicht vereist de implementatie van de richtlijn ook dat bedrijven in de vitale sectoren hun ict voldoende beveiligen. Nederland en andere EU-landen moeten vanaf 9 mei 2018 aan deze bepaling voldoen.