Meldplicht cybersecurity vitale sectoren kritisch onthaald

Er is een nieuwe meldplicht cybersecurity op komst, speciaal voor vitale sectoren. Coulant van opzet: zo ontbreekt de handhaving. Toch is het bedrijfsleven kritisch. Net als privacybeschermers. En toezichthouders.

Eerst maar dit: nee, de meldplicht cybersecurity is niet hetzelfde als de meldplicht datalekken. Die laatste is onlangs, op 1 januari, in werking getreden en geldt voor beveiligingsincidenten met ‘een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens’. Zulke voorvallen moeten worden doorgegeven aan de Autoriteit Persoonsgegevens.

De meldplicht cybersecurity ligt vooralsnog als een wetsvoorstel bij de Tweede Kamer. De geschiedenis ervan gaat terug naar de hack van het Nederlandse DigiNotar in 2011. De inbraak bij deze certificaatautoriteit had wereldwijde gevolgen. Niet alleen werden Nederlandse overheidswebsites onveilig verklaard, ook diensten als Hotmail, Facebook en Skype liepen het risico ‘afgeluisterd’ te worden. De hack werd aanvankelijk stilgehouden door het bedrijf, wat het nut van een meldplicht voor velen onderstreepte.

Unanieme politieke steun

De Tweede Kamer stemde kort daarna unaniem voor een motie om ‘over te gaan tot een wettelijke meldplicht, de zogenaamde security breach notification, waarbij het melden van een security breach verplicht wordt gesteld, zo spoedig mogelijk na ontdekking van de inbraak, voor organisaties betrokken bij voor de samenleving vitale informatiesystemen’.

Tot twee keer toe is daarna een conceptvoorstel geconsulteerd. Daarop kwamen veelal kritische reacties binnen. Brancheorganisatie Nederland ICT kwalificeerde het als ‘de facto overbodig’. Daarbij verwijzend naar bestaande of in de maak zijnde meldplichten, zoals voor de telecombranche. ‘Voorkomen dient te worden dat bedrijven meer bezig zijn met het informeren van toezichthouders dan het oplossen…