Wetsvoorstel gegevensverwerking en meldplicht cybersecurity

Terug 16 februari 2016

Wetsvoorstel gegevensverwerking en meldplicht cybersecurity

​Vewin is gematigd positief over het wetsvoorstel gegevensverwerking en meldplicht cybersecurity dat drinkwaterbedrijven, als zijnde vitale sector, verplicht om ernstige ICT-inbreuken te melden bij het Nationaal Cyber Security Centrum (NCSC). Drinkwaterbedrijven hebben al een algemene meldplicht aan de sectorale toezichthouder, de Inspectie Leefomgeving en Transport (ILT). Echter, gezien de doelstelling van het wetsvoorstel, namelijk het voorkomen of beperken van maatschappelijke ontwrichting middels publiek-private samenwerking in vertrouwelijke setting, kan de drinkwatersector zich vinden in onderhavig wetsvoorstel. Vewin wil het belang van de volgende twee bepalingen in het wetsvoorstel onderstrepen.

1. Hulp en bijstand staan centraal
Het doel van de meldplicht is dat het NCSC tijdig hulp en bijstand aan de getroffen vitale aanbieder kan verlenen om de effecten van een ernstige ICT-inbreuk zoveel als mogelijk te beperken én om andere vitale aanbieders te waarschuwen. Hulp en bijstand staan dus centraal. Het wetsvoorstel voorziet dan ook niet in een handhavende rol voor het NCSC, noch in sancties. Het NCSC kan wel de sectorale toezichthouder informeren als het betrokken bedrijf haar adviezen niet of onvoldoende opvolgt. Hierna kan de toezichthouder een aanwijzing geven. Dit sluit aan bij hetgeen waar Vewin voor heeft gepleit, namelijk instandhouding van- en aansluiting bij bestaande sectorale bevoegdheden. Dit bewerkstelligt een heldere verantwoordelijkheidsverdeling met enkelvoudige lijnen. Daarnaast wordt met deze verantwoordelijkheidsverdeling de positie van het NCSC als kennis- en expertisecentrum op het gebied van cybersecurity versterkt én de publiek-private samenwerking tussen het NCSC en de vitale sectoren bevorderd.
Behoud de heldere verantwoordelijkheidsverdeling waarbij het NCSC hulp en bijstand biedt en de sectorale toezichthouder toezicht houdt en aanwijzingen kan geven.

2. Bijzondere openbaarheidsregeling
De meldplicht gaat gepaard met het verstrekken van gegevens die het NCSC nodig heeft om het getroffen bedrijf adequaat te kunnen helpen en/of om de risico's voor andere vitale aanbieders in te schatten. Hierbij gaat het om kwetsbare gegevens, zoals informatie over de inrichting van ICT-systemen en netwerken. Het wetsvoorstel voorziet in een bijzondere openbaarheidsregeling. D.w.z. dat de Wet openbaarheid van bestuur (Wob) niet van toepassing is op vertrouwelijke gegevens die herleid kunnen worden naar een vitale aanbieder. Vewin is zeer content met deze bepaling en pleit voor behoud ervan. Openbaarmaking van herleidbare gegevens maakt vitale sectoren kwetsbaar voor gerichte en succesvolle ICT-aanvallen. Hiermee kan het wetsvoorstel een bedreiging zijn voor vitale sectoren en daarmee voor de nationale veiligheid.
De openbaarheidsregeling geldt ook voor vertrouwelijke gegevens die zijn verkregen door onverplichte meldingen. Deze regeling zal dan ook bijdragen aan de gewenste en noodzakelijke publiek-private samenwerking waarbij bedrijven vrijwillig informatie uitwisselen met het NCSC en meldingen doen van inbreuken ter vergroting van de veiligheid. Een ICT-inbreuk bij een vitale aanbieder, is een waarschuwing voor de andere vitale aanbieders. 
Behoud in het belang van de nationale veiligheid en de publiek-private samenwerking de bijzondere openbaarheidsregeling waarmee herleidbare gegevens op basis van de Wob niet opgevraagd kunnen worden.

Download standpunt

Tags by dit artikel

Delen via:

Gerelateerd aan dit standpunt