Meldplicht vitale sectoren een tandeloze tijger
Minister Opstelten wil een meldplicht invoeren voor ICT-inbreuken in vitale sectoren. Een goed idee, maar niet goed genoeg. Benieuwd waarom niet?
Meldplicht
De meldplicht zou volgens het wetsvoorstel moeten gelden voor alle organisaties die actief zijn in vitale sectoren, zoals energievoorziening, watervoorziening en telecommunicatie.
Meldplicht onvoldoende effectief
Het probleem is dat de wet niet voorziet in de mogelijkheden om te controleren of de meldplicht wordt nageleefd. Ook kan er geen boete worden opgelegd. Onverstandig, want handhaving van de regeling is een belangrijke stok achter de deur om de meldplicht daadwerkelijk effectief te laten zijn.
DDoS-aanvallen onterecht uitgesloten
Ook de reikwijdte van de meldplicht is een probleem. DDoS-aanvallen hoeven volgens de minister niet gemeld te worden. DDoS-aanvallen kunnen een opstap zijn naar een grotere inbreuk op een systeem, of als afleidingsmanoeuvre dienen. Het melden van een (succesvolle) DDoS-aanval draagt dan bij aan de bewustwording en alertheid van andere organisaties. Het is dus niet meer dan logisch dat DDoS-aanvallen gemeld moeten worden, maar vreemd genoeg wil minister Opstelten de DDoS-aanvallen juist uitsluiten van de meldplicht.
Onvoldoende transparantie
Tot slot vinden we het wetsvoorstel niet transparant genoeg. Dat komt omdat heel veel regels rond de meldplicht nog in overleg met de organisaties in de vitale sectoren ingevuld gaan worden. Gek, want het parlement loopt zo het risico het initiatief uit handen te geven.
Daarbij is er in het wetsvoorstel weinig tot niets opgenomen over de openheid van de meldingen die worden gedaan. Wij vinden dat er in ieder geval per kwartaal een duidelijk overzicht moet komen van het aantal meldingen. Dat geeft ons een goed inzicht in de stand van beveiliging bij deze bedrijven en waar dat eventueel beter kan – en of het na verloop van tijd ook daadwerkelijk beter gaat.
We zijn benieuwd wat de Minister Opstelten met onze opmerkingen gaat doen. We houden je vanzelfsprekend op de hoogte!