Meldplicht vitale sectoren een tandeloze tijger

Minister Opstelten wil een meldplicht invoeren voor ICT-inbreuken in vitale sectoren. Een goed idee, maar niet goed genoeg. Benieuwd waarom niet?

Meldplicht

De meldplicht zou volgens het wetsvoorstel moeten gelden voor alle organisaties die actief zijn in vitale sectoren, zoals energievoorziening, watervoorziening en telecommunicatie.

Meldplicht onvoldoende effectief

Het probleem is dat de wet niet voorziet in de mogelijkheden om te controleren of de meldplicht wordt nageleefd. Ook kan er geen boete worden opgelegd. Onverstandig, want handhaving van de regeling is een belangrijke stok achter de deur om de meldplicht daadwerkelijk effectief te laten zijn.

DDoS-aanvallen onterecht uitgesloten

Ook de reikwijdte van de meldplicht is een probleem. DDoS-aanvallen hoeven volgens de minister niet gemeld te worden. DDoS-aanvallen kunnen een opstap zijn naar een grotere inbreuk op een systeem, of als afleidingsmanoeuvre dienen. Het melden van een (succesvolle) DDoS-aanval draagt dan bij aan de bewustwording en alertheid van andere organisaties. Het is dus niet meer dan logisch dat DDoS-aanvallen gemeld moeten worden, maar vreemd genoeg wil minister Opstelten de DDoS-aanvallen juist uitsluiten van de meldplicht.

Onvoldoende transparantie

Tot slot vinden we het wetsvoorstel niet transparant genoeg. Dat komt omdat heel veel regels rond de meldplicht nog in overleg met de organisaties in de vitale sectoren ingevuld gaan worden. Gek, want het parlement loopt zo het risico het initiatief uit handen te geven.

Daarbij is er in het wetsvoorstel weinig tot niets opgenomen over de openheid van de meldingen die worden gedaan. Wij vinden dat er in ieder geval per kwartaal een duidelijk overzicht moet komen van het aantal meldingen. Dat geeft ons een goed inzicht in de stand van beveiliging bij deze bedrijven en waar dat eventueel beter kan – en of het na verloop van tijd ook daadwerkelijk beter gaat.

We zijn benieuwd wat de Minister Opstelten met onze opmerkingen gaat doen. We houden je vanzelfsprekend op de hoogte!

Gerelateerde berichten:

• Beperkte meldplicht cyberincidenten is goede zaak (23/07/13 16:05)
• Opstelten versterkt aanpak bij digitale veiligheidsincidenten (22/07/13 12:31)
• Opstelten introduceert meldplicht cybersecurity: goed idee, uitvoering kan beter (09/03/15 17:26)
• Succes! Meldplicht datalekken in maart 2011 [VIDEO] (22/02/11 15:12)
• Meldplicht datalekken en uitbreiding boetebevoegdheid Cbp 1 januari 2016 van kracht (10/07/15 13:13)

Reacties: