Met het van kracht gaan van de Wet beveiliging netwerk- en informatiesystemen (op 9 november vorig jaar) moeten grote digitale-dienstverleners ernstige cyberincidenten melden bij twee Nederlandse overheidsinstanties. De verplichting is begin dit jaar ingegaan.
Dat bericht het platform Security.nl.
De meldplicht geldt voor aanbieders van essentiële diensten in de energie-, financiële- en vervoerssector. Onder de wet valt ook de sector digitale-dienstverlening, waardoor clouddiensten, online-zoekmachines en -marktplaatsen in het vizier komen te liggen. De aanbieders moeten een cyberincident opgeven bij zowel het Agentschap Telecom als het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid.
Leveranciers van clouddiensten, zoals Software as a Service (SaaS), Platform as a Service (PaaS) en Infrastructure as a service (IaaS), moeten ernstige incidenten óók bij het Agentschap Telecom melden, maar bovendien bij het CSIRT DSP (Computer Security Incident Response Team voor digitale-dienstverleners) dat sinds 1 januari van dit jaar operationeel is.
Van ‘ernstig’ is sprake wanneer meer dan honderdduizend gebruikers in de EU negatieve gevolgen ondervinden in termen van integriteit, vertrouwelijkheid of authenticiteit. Of als één of meerdere gebruikers van de dienst meer dan een miljoen euro schade heeft opgelopen of wanneer er sprake is van een risico voor de openbare veiligheid, openbare beveiliging of het verlies van één of meerdere mensenlevens.
Rollen
De dubbele meldplicht bij een ernstig voorval heeft te maken met de rollen die het Agentschap Telecom en het CSIRT vervullen. Het agentschap treedt als toezichthouder op en controleert of organisaties zich aan de zorg- én meldplicht houden. Het CSIRT op zijn beurt brengt een incident in kaart en onderneemt vervolgens actie teneinde de maatschappelijke schade te beperken.