Wettelijke regeling meldplicht en interventiemogelijkheden bij digitale veiligheidsincidenten
Er zal nog in 2012 een wettelijke regeling worden opgesteld waarin organisaties die te kampen hebben met een digitaal veiligheidsincident of een 'security breach' dit verplicht moeten melden. De meldplicht zal gaan gelden voor organisaties binnen zes vitale sectoren in Nederland.
Het gaat bij de meldplicht om 'security breaches' die de continuïteit van de eigen of andermans dienstverlening in belangrijke mate kunnen verstoren en die leiden tot (potentieel) maatschappelijke ontwrichting. In een dergelijk geval is het van belang dat de overheid de beschikking heeft over oplopende sectorale interventiemogelijkheden om snel en kundig handelen mogelijk te maken. De ministerraad heeft tot het opstellen van een wettelijke regeling besloten op voorstel van minister Opstelten van Veiligheid en Justitie.
Het gaat hierbij om de sectoren elektriciteit, gas, drinkwater, telecom, keren en beheren oppervlaktewater en transport (mainports Rotterdam en Schiphol). De meldplicht zal ook gelden voor de financiële sector en de overheid zelf. Voor al deze sectoren geldt dat de impact van verstoring van de dienstverlening groot is. Er is bij uitval in deze sectoren al snel sprake van een cascade-effect naar andere sectoren waardoor grootschalige maatschappelijke ontwrichting een reëel risico vormt.
Bij de invulling van de meldplicht zal zoveel mogelijk worden aangesloten bij bestaande nationale wet- en regelgeving en bij Europese initiatieven. Het bieden van hulp ter voorkoming van maatschappelijke ontwrichting staat centraal. Het Nationaal Cyber Security Centrum (NCSC) zal de organisatie of de sector hulp en advies bieden om de 'breach' te dichten en de effecten van de 'breach', die ook elders kunnen plaatsvinden, in te dammen. Indien er sprake is van opschaling in de crisisstructuur, kan het NCSC operationele respons binnen de crisisstructuur voor haar rekening nemen. Door het publiceren van beveiligingsadviezen kan de impact bij derden worden beperkt.
Om snel op te kunnen treden en mogelijke maatschappelijke ontwrichting te voorkomen, zoekt de overheid publiek-private samenwerking. Als maatschappelijke ontwrichting dreigt moet de overheid ook kunnen interveniëren. De overheid krijgt daarom de beschikking over oplopende sectorale interventiemogelijkheden. Daarbij gaat het om de bevoegdheid tot het verkrijgen van informatie, de bevoegdheid tot het geven van een aanwijzing onder bestuursdwang en de bevoegdheid tot het aanwijzen van een functionaris namens de overheid.
Met de wettelijke regeling geeft het kabinet uitvoering aan de motie Hennis-Plasschaert waarin wordt gevraagd om een meldplicht voor 'security breaches' voor organisaties die zijn betrokken bij voor de samenleving vitale informatiesystemen.