De Tweede Kamer heeft het Wetsvoorstel gegevensverwerking en meldplicht cybersecurity van staatssecretaris Dijkhoff van Veiligheid en Justitie aangenomen. Vewin is blij met de inhoud van het wetsvoorstel, omdat de meldplicht wordt beperkt tot grote potentieel maatschappij-ontwrichtende incidenten, hulp en bijstand voorop staan en de vertrouwelijkheid van gevoelige gegevens wordt geborgd.
Inbreuken met grote impact
Het wetsvoorstel regelt dat vitale organisaties, waaronder de drinkwaterbedrijven, een meldplicht krijgen voor ICT-inbreuken die (mogelijk) een grote impact hebben op de continuïteit van de vitale dienst. Deze melding vindt plaats bij het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie. Doel van het wetsvoorstel is dat het NCSC tijdig hulp en bijstand kan verlenen aan de getroffen vitale aanbieÂder(s) om de effecten van een ernstige ICT-inbreuk zoveel mogelijk te beperken. Daarnaast stelt dit het NCSC in staat om andere vitale aanbieders te waarschuwen.. Hulp en bijstand staan voorop, het wetsvoorstel regelt dan ook geen handhavende rol voor het NCSC.
Bijzondere regeling voor vertrouwelijke informatie
De meldplicht gaat gepaard met het verstrekken van informatie over de inrichting van ICT-systemen en netwerken. Omdat het hier om gevoelige informatie gaat, voorziet het wetsvoorstel in een bijzondere openbaarheidsregeling. Dit wil zeggen dat de Wet openbaarÂheid van bestuur (Wob) niet van toepassing is op vertrouwelijke gegevens die herleid kunnen worden naar een vitale organisatie.
De openbaarheidsregeling geldt overigens ook voor vertrouwelijke gegevens die zijn verkreÂgen door onverplichte meldingen. Hierdoor draagt de regeling bij aan de gewenste just culture waarbij vitale bedrijven vrijwillig informatie uitwisselen met het NCSC. Doel is het verbeteren van de veiligheid van het gehele systeem.
Conform inzet van Vewin
De inhoud van het wetsvoorstel is conform de inzet van Vewin. Deze inzet was gebaseerd op: uitsluitend een meldplicht voor ICT-inbreuken met (mogelijk) een grote impact, geen toezicht en handhaving door het NCSC en uitsluiting van de Wob bij vertrouwelijke gegevens die herleidbaar zijn naar vitale organisaties. De wet treedt naar verwachting per 1 juni 2017 in werking.