Nieuwe meldplicht cybersecurity voor vitale aanbieders

01 Januari 2018

In de aanloop naar de volledige implementatie van de EU-richtlijn Netwerk- en Informatiebeveiliging (NIB-richtlijn) heeft Nederland de Wet gegevensverwerking en meldplicht cybersecurity aangenomen in oktober 2017. Sinds 1 januari 2018 zijn de bepalingen met betrekking tot het melden van 'cybersecurity'-incidenten van kracht. Dit houdt in dat aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving, verplicht zijn bij een ernstige ICT-inbreuk melding te doen aan de Staatssecretaris van Veiligheid en Justitie, welke melding in behandeling wordt genomen door het Nationaal Cyber Security Centrum (NCSC). Bij vitale aanbieders kan gedacht worden aan energienetwerkbeheerders, drinkwaterbedrijven, telecombedrijven, banken en Rijkswaterstaat. De nieuwe meldplicht geldt onverminderd bestaande meldplichten, zoals bijvoorbeeld de meldplicht datalekken van de Wbp (en per 25 mei 2018: de AVG).