Wet melding inbreuken elektronische informatiesystemen

Dit wetsvoorstel introduceert een meldplicht voor ICT-inbreuken. De meldplicht geldt alleen voor aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving, en alleen als de inbreuk tot gevolg heeft of kan hebben dat die beschikbaarheid of betrouwbaarheid in belangrijke mate wordt onderbroken.

Consultatie gegevens

Publicatiedatum 22-07-2013
Einddatum consultatie 17-09-2013
Status Gesloten
Type consultatie Wet
Organisatie Ministerie van Justitie en Veiligheid
Onderwerpen Criminaliteit

Publicatie reacties

Reacties worden gepubliceerd nadat de consultatie is gesloten. Alleen die reacties worden gepubliceerd waarvan is aangeven, door de inzender, dat deze openbaar mogen zijn.

Doel van de regeling

De melding moet worden gedaan aan de Minister van Veiligheid en Justitie. De melding wordt behandeld door het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het ministerie. De meldplicht heeft primair tot doel om het NCSC in staat te stellen om de risico’s van de ICT-inbreuk te kunnen inschatten en de door de inbreuk getroffen aanbieder bij te staan. Het achterliggende belang daarvan is het voorkomen of beperken van maatschappelijke ontwrichting in Nederland. De verstrekte gegevens mogen vervolgens ook worden gebruikt als basis voor advies en informatie aan (o.a.) andere vitale aanbieders en het publiek. Publieksvoorlichting kan bijvoorbeeld inhouden dat wordt gewaarschuwd voor de risico’s van een door internetcriminelen gehanteerde werkwijze of dat wordt gewaarschuwd dat een bepaald product of een bepaalde dienst tot nader order beter niet gebruikt kan worden.

Doelgroepen die door de regeling worden geraakt

Aanbieders van vitale producten of diensten binnen de sectoren elektriciteit, gas, drinkwater, telecom, keren en beheren oppervlaktewater, financiën, overheid en transport, zoals energienetwerkbeheerders, drinkwaterbedrijven, telecombedrijven, beheerders van hoofdwaterkeringen, banken, het Havenbedrijf Rotterdam, de NV Luchthaven Schiphol en Luchtverkeersleiding Nederland. Het gaat om onderdelen van de vitale infrastructuur waarbij een ICT-inbreuk direct of indirect tot maatschappelijke ontwrichting kan leiden.
De meldplicht zal niet gelden voor certificaatdienstverleners. Voor hen zal de melding van ICT-inbreuken op andere wijze worden vormgegeven (zie memorie van toelichting, paragraaf 2, Meldplichtige partijen).

Verwachte effecten van de regeling

De meldplicht zal leiden tot een bescheiden stijging van de administratieve lasten voor de bedrijven en andere organisaties die onder het toepassingsbereik vallen.
Sommige bedrijven moeten ICT-inbreuken nu al melden aan een toezichthouder. Daarnaast is specifiek voor persoonsgegevens een meldplicht voor datalekken in voorbereiding. Een toename van de administratieve lasten zal zo veel mogelijk worden voorkomen door de wijze waarop moet worden gemeld en de gegevens die dienen te worden verstrekt op elkaar af te stemmen en door processen efficiënt in te richten.

Doel van de consultatie

Gelegenheid bieden voor commentaar.

Op welke onderdelen van de regeling wordt een reactie gevraagd

Op alle onderdelen is een reactie mogelijk.