Opstelten introduceert meldplicht cybersecurity: goed idee, uitvoering kan beter
Stel dat je watertoevoer het even niet doet omdat de systemen eruit liggen. Vervelend. Wat als je geen geld kunt pinnen of kunt overmaken omdat de systemen eruit liggen? Zorgelijk. Kortom: Wat als er lekken zitten in de systemen van diensten die essentieel zijn voor ons dagelijks leven? Dat is ernstig. Die inbreuken moeten zoveel mogelijk voorkomen worden. Daarom is het goed dat er een meldplicht komt voor inbreuken in dergelijke ICT-systemen.
Meldplicht
De voorgestelde meldplicht gaat gelden voor inbreuken in ICT-systemen van organisaties in vitale sectoren. Wat precies onder de vitale sectoren valt, is nog niet duidelijk, maar het moet gaan om diensten van bedrijven “waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving”. Dat zijn bijvoorbeeld sectoren als telecommunicatie, transport, drinkwater, voedsel en energie. Het is daarbij niet nodig dat er ook grote schade is ontstaan, het feit dat die inbreuk kan leiden tot grote schade is voldoende. De melding moet worden gedaan bij het Nationaal Cyber Security Centrum (NCSC), de organisatie die zich bezighoudt met het verbeteren van de digitale weerbaarheid in Nederland.
Wij zijn blij met deze meldplicht, omdat het NCSC straks sneller de getroffen organisatie kan helpen en ook niet-getroffen organisaties kan helpen om inbreuken te voorkomen. Het melden van inbreuken kan daarnaast incidenten of structurele problemen zichtbaar maken voor het NCSC. Goed werk dus van het ministerie van Veiligheid en Justitie.
Transparantie
Er is nog een positieve noot aan het voorstel. Wij hadden kritiek op het vorige wetsvoorstel omdat er te weinig transparantie zou zijn over het aantal meldingen. Uit de tekst blijkt dat de minister voorstander is van het publiceren van periodieke statistieken over het aantal meldingen. Dat is goed nieuws! We vinden wel dat de minister nu ook het volgende stapje moet zetten: maak van het openbaren van deze statistieken een wettelijke verplichting.
Minister wil in de praktijk een meldverzoek
Goede ontwikkelingen dus, maar het kan beter. Een meldplicht alleen is niet genoeg. Als de overheid een meldplicht wil opleggen, dan moet de overheid er ook voor zorgen dat bedrijven zich aan deze plicht houden. Dat kan door het houden van toezicht op de naleving ervan en door het eventueel opleggen van sancties bij niet-nakoming. Daar wil de minister van Veiligheid en Justitie niet aan. Daarmee is de meldplicht in de praktijk een meldverzoek.
Wij vinden dat niet terecht, mede omdat binnenkort waarschijnlijk een Europese verplichting wordt ingevoerd om toezicht op deze meldplicht te houden en sancties uit te kunnen delen. Het is logisch om op deze Europese ontwikkeling vooruit te lopen. Wij vinden dat de Minister toezicht en de mogelijkheid om sancties op te leggen daarom moet koppelen aan de meldplicht.
Gegevensverwerking
Een ander element van het voorstel is dat het NCSC de mogelijkheid moet krijgen om gegevens te verwerken. Ook dat vinden wij een goede ontwikkeling. Neem bijvoorbeeld het Pobelka-botnet, waarbij het NCSC de beschikking kreeg over informatie over heel veel besmette computers, maar met die informatie in eerste instantie onvoldoende deed. Nu komt er een kader waarin het NCSC wel met die gegevens kan werken en gerichte waarschuwingen aan gebruikers van besmette computers (bijvoorbeeld via de internet service provider) kan geven. Dat is een goede zaak. Toch zijn er ook vragen over de voorgestelde bevoegdheden en de afkadering hiervan. Een van die vragen gaat over de bevoegdheid van het NCSC om aan iedereen verzoeken te mogen doen om informatie te krijgen. Wij vragen ons af waarom die bevoegdheid niet ingekaderd wordt.
Onze reactie
Wij hebben op de internetconsultatie gereageerd met bovenstaande opmerkingen en zorgen. Wil je onze hele reactie lezen? Klik dan hier. We houden je sowieso op de hoogte van de reactie van het ministerie.