Nieuwe wet kan miljoenboete opleggen bij ernstig cyberincident
Bedrijven met vitale infrastructuur moeten een ernstig cyberincident in de loop van 2018 ook melden bij hun toezichthouder. Dat staat in het voorstel voor de nieuwe Cybersecuritywet (Csw) die minister Grapperhaus van Justitie en Veiligheid gisteren naar de Tweede Kamer heeft gestuurd. De wet vloeit voort uit de Netwerk- en Informatiebeveiligingsrichtlijn (NIB) van de Europese Unie.
Bedrijven die een incident niet melden of daartoe niet genoeg informatie verschaffen aan de minister of de toezichthouder riskeren miljoenenboetes.
Van bedrijven die – zoals de overheid dat noemt – essentiële diensten aanbieden wordt verwacht dat ze adequate maatregelen nemen tegen inbreuken van buitenaf op hun netwerk- en informatiebeveiliging. En mocht er toch een cyberincident voordoen, dan moet de infrastructuur zo zijn ingericht dat ze de “digitale brand snel kunnen blussen en de schade zoveel mogelijk kunnen beperken.” Het gaat bijvoorbeeld om organisaties als drinkwaterbedrijven, banken en beheerders van gas- en elektriciteitsleidingen.
In de praktijk betekent het dat een DDoS-aanval zoals zich eind januari bij een banken en overheidsinstellingen voordeed, gemeld moet worden aan De Nederlandse Bank, de toezichthouder voor de sector en bij het Ministerie van Justitie en Veiligheid. Bij het bepalen of een incident gevolgen heeft voor de continuïteit van de dienst wordt gekeken naar de duur, de omvang van het geografische gebied en het aantal gebruikers dat door de verstoring is getroffen.
Wet Gegevensverwerking en Meldplicht Cybersecurity
Deze wet vervangt de Wet Gegevensverwerking en Meldplicht Cybersecurity die in 2016 door toenmalig staatssecretaris Klaas Dijkhoff werd ingediend. Deze wet verplichtte organisaties in vitale sectoren cyberincidenten te melden bij het Nationaal Cyber Security Centrum (NCSC). Deze wet, die in oktober 2017 in werking treedde, heeft geen meldplicht. Door een meldplicht aan de nieuwe wet toe te voegen gaat Nederland voldoen aan de Europese richtlijn waaraan Nederland en andere EU-landen vanaf 9 mei aan 2018 aan moeten voldoen.
Ernstige DDoS-aanvallen in Nederland
Eind januari werden een aantal Nederlandse banken en de Belastingdienst getroffen door DDoS-aanvallen. Woordvoerders noemden de aanvallen vele, vele malen groter dan voorheen. De aanvallen waren beperkt tot Nederlandse instellingen. Begin februari werd een Brabander opgepakt voor andere DDoS-aanvallen dan die van eind januari, toch werd hij door de media snel als dader van alle aanvallen aangemerkt. En hoewel een scriptkiddie tot een van de 4 type DDoS-daders behoort en een DDoS-aanval al voor 10 dollar te realiseren is, is het nog de vraag of hij daadwerkelijk de dader is. Het onderzoek loopt nog. Hoogleraar Aiko Pras verwacht dat aanvallen in de toekomst nog 1000 keer heftiger worden en vraagt zich af of de bestaande beveiliging wel toekomstbestendig is.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee