Cyberbeveiligingsbesluit
Reactie
|
Naam
|
Unica ICT Solutions (A.E.H.P. Geisler)
|
|
Plaats
|
Son
|
|
Datum
|
25 februari 2025
|
Vraag1
Graag uw reactie op dit concept van het Cyberbeveiligingsbesluit.
[1] De criteria die bepalen of een incident significant is zijn niet specifiek genoeg:
Een incident is een significant incident als het:
a) een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken; of
b) andere entiteiten heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.
Dit is breed en vrij te interpreteren.
Voor entiteiten die in de digitale sector werkzaam zijn geldt uitvoeringsverordening (EU) 2024/2690 waarin de criteria die bepalen of een incident significant is aardig specifiek zijn gemaakt. Het kan een idee zijn daar naar te kijken en eventueel over te nemen in de CBB.
[2] Wat als een entiteit werkzaam is in zowel de digitale sector als in een andere sector? Welke criteria voor de grondslag van een significant incident gelden dan? En bij welke CSIRT moet dan melding gedaan worden? Het komt niet helder naar voren in de CBB.
[3] Het lijkt heel mooi dat er verschillende criteria voor significante incidenten (art 24 CBB) en maatregelen (art 19 CBB) kunnen worden opgesteld waarbij deze kunnen verschillen tussen sectoren, subsectoren en soorten entiteiten. Maar het wordt hiermee behoorlijk onoverzichtelijk, zeker als een entiteit op verschillende werkgebieden actief is. In de nota van toelichting wordt dit maatwerk als positief uitgelegd (art 24 nota van toelichting) maar juist dat maatwerk gaat tot onduidelijkheid leiden. Daarnaast geldt dat hoe meer maatwerk hoe meer verschillende regels er zijn hetgeen tot nog verdere verhoging van regeldruk leidt.
