Het Ministerie van Veiligheid en Justitie heeft een herzien wetsvoorstel inzake meldplicht voor ernstige ICT-inbreuken ter consultatie voorgelegd. De consultatie loopt tot en met 6 maart 2015.
Het wetsvoorstel behelst regels over het verwerken van gegevens ten behoeve van de taken van de Minister van Veiligheid en Justitie (Ivo Opstelten, zie foto) op het terrein van cybersecurity. De meldplicht geldt alleen voor aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving, aldus het ministerie in een toelichting.
De melding moet volgens het wetsvoorstel worden gedaan aan de Minister van V&J en wordt behandeld door het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het ministerie. Het voornaamste doel van de meldplicht is om het NCSC in staat te stellen de risico’s van de ICT-inbreuk te kunnen inschatten en de door de inbreuk getroffen aanbieder bij te staan.
De regels over gegevensverwerking beogen een versteviging van de bestaande wettelijke grondslag voor de werkzaamheden van het NCSC en duidelijkheid over de verstrekking door het NCSC van vertrouwelijke gegevens aan derden, aldus het ministerie.
De meldplicht betreft aanbieders in of van vitale infrastructuur, waarbij een ICT-inbreuk direct of indirect tot maatschappelijke ontwrichting kan leiden. Doelgroepen die door de regeling worden geraakt, zijn: aanbieders van vitale producten of diensten binnen de sectoren elektriciteit, gas, drinkwater, telecom, keren en beheren oppervlaktewater, financiën, overheid en transport, zoals energienetwerkbeheerders, drinkwaterbedrijven, telecombedrijven, beheerders van hoofdwaterkeringen, banken, Havenbedrijf Rotterdam, Luchthaven Schiphol en Luchtverkeersleiding Nederland.
V&J verwacht dat voor de samenleving vitale partijen (bedrijven en overheidsorganisaties) door dit wetsvoorstel effectiever door het NCSC kunnen worden bijgestaan om de beschikbaarheid en betrouwbaarheid van hun producten en diensten te waarborgen of te herstellen. Als een ernstige ICT-inbreuk onder de meldplicht valt, dan veroorzaakt dat voor de getroffen aanbieder een bescheiden stijging van zijn administratieve lasten.
Een eerder concept van het wetsvoorstel (wetsvoorstel melding inbreuken elektronische informatiesystemen) heeft in 2013 al opengestaan voor commentaar. Mede naar aanleiding van de ontvangen reacties is besloten om het wetsvoorstel uit te breiden met regels over de verwerking van (persoons)gegevens door het NCSC en over de verstrekking door het NCSC van vertrouwelijke gegevens aan derden. Vanwege die ruimere strekking wordt het wetsvoorstel (met gewijzigde citeertitel) nogmaals opengesteld voor commentaar.
