Onder verschillende wetten is er sprake van meldplicht bij incidenten. Incidentmeldingen van organisaties of berichten in de media kunnen aanleiding zijn voor nader onderzoek door de Rijksinspectie Digitale Infrastructuur (RDI). Lees de vragen en antwoorden over de rol van de organisatie waar het incident plaatsvond en over de rol van de RDI bij incidenten.
Waarom een cyberincident melden?
Organisaties hebben een wettelijke verplichting om bepaalde incidenten te melden bij de toezichthouder (meldplicht). De RDI raadt aan dit ook te zien als een ‘leerplicht’. Een incident is een kans om te leren wat er beter kan of moet, zodat u de digitale weerbaarheid van uw organisatie kunt verhogen. Door inzichten en leerervaringen uit incidenten met elkaar te delen werken we samen aan de digitale weerbaarheid van de sector. Wij gaan uiteraard op vertrouwelijke wijze om met de informatie die u met ons deelt
We nodigen u nadrukkelijk uit om ook incidenten die (nog) niet onder de meldplicht vallen bij ons te melden. Ook van incidenten met kleinere impact kunnen we samen veel leren.
Hoe meldt u een cyberincident?
Lees alles over het doen van incidentmeldingen via onderstaande pagina's:
(meldplicht bij toezichthouder)
(meldplicht bij CSIRT en bij toezichthouder)
(meldplicht bij CSIRT – de CSIRT informeert de toezichthouder)
Wanneer een cyberincident melden?
Het is belangrijk dat u zo snel mogelijk een melding doet na ontdekking van een incident. Waarschijnlijk is op het moment van melden nog niet alle informatie over het incident bij u bekend. Daarvoor hebben we begrip. Meld wat u weet! Na een initiële melding bij de RDI verstrekt u op een later moment de aanvullende informatie.
Wat doet de RDI na de melding van een incident?
Nadat u een melding heeft gedaan bij de RDI, nemen we contact met u op. We vragen u dan om aanvullende informatie. De RDI heeft als toezichthouder geen rol bij het oplossen van het incident zelf; dat is de taak van de organisatie waar het incident plaats vindt. Wel is ondersteuning daarbij mogelijk van een CSIRT - zie de ondersteuning die het NCSC kan bieden.
De RDI kan ook proactief, zonder dat er een melding is gedaan, starten met het verzamelen van de feiten en omstandigheden waaronder een incident heeft plaatsgevonden.
Binnen een vaste termijn na het begin van het incident dient de organisatie zelf een afrondende melding te doen, waarin de organisatie meer informatie aan de RDI verstrekt over wat er heeft plaatsgevonden. Denk aan een door de organisatie uitgevoerde ‘root cause analysis’ over de oorzaak van het incident of een ‘lessons learned’ over hoe soortgelijke incidenten in de toekomst worden voorkomen.
RDI bepaalt eventueel vervolgstappen en doet in sommige gevallen onderzoek
Op basis van verkregen input, feiten en vaststellingen over het incident beslist de RDI of en welke vervolgstappen ze gaat nemen. De eigen analyse van de organisatie en de genomen stappen om nieuwe incidenten te voorkomen kunnen voldoende zijn zodat er niet direct aanleiding is voor de RDI om eigen onderzoek te doen. Als er sprake is van een terugkerende soortgelijke incidenten, of als er ernstige tekortkomingen zijn, dan kan het zijn dat de RDI eigen onderzoek gaat doen om een beter beeld te kunnen vormen en, indien nodig, handhavend op te treden.
Wat kan ik verwachten als de RDI besluit tot onderzoek?
Onderzoek door de RDI kan bestaan uit gesprekken met verantwoordelijke personen in de organisatie, opvragen van schriftelijke informatie en/of we kunnen langskomen voor een inspectie op locatie om eigen waarnemingen te doen.
Bevoegdheden RDI
De RDI mag als toezichthouder informatie opvragen en onderzoek doen. Dit is geregeld in de Algemene wet bestuursrecht (AWB). Toezichthouders van de RDI mogen zich legitimeren en toegang vragen tot alle plaatsen die nodig zijn voor het onderzoek. Organisaties die onder toezicht staan, zijn verplicht aan de inspectie mee te werken. Dit betekent dat organisaties documenten, configuraties, logbestanden en andere gegevens moeten overleggen als de RDI daarom vraagt.
Tijdens of na een onderzoek krijgt u altijd de kans om uw kant van het verhaal te vertellen. U wordt tussentijds geïnformeerd over de bevindingen en kunt daarop reageren. Van de gesprekken maakt de RDI een verslag. Dat wil zeggen dat de RDI moet aantonen dat regels zijn overtreden. Daarom doet de RDI onderzoek en verzamelt bewijs via de opgevraagde documentatie en technische bestanden.
Wat doet RDI met de gegevens over mijn incident?
Informeren van het publiek
Soms is het nodig om het publiek te informeren over een incident. Bijvoorbeeld om het incident te beheersen, of escalatie te voorkomen. Als dit bij een incident binnen uw organisatie het geval is, informeren we u hier van tevoren over. Het is ook mogelijk dat we u vragen om het publiek zelf te informeren.
Input voor toezichtsprogrammering
Inzichten uit ons onderzoek nemen we ook mee in onze toezichtsprogrammering. Zo kan het zijn dat we andere partijen contacten om (anoniem) belangrijke informatie te delen, of dat we breder in de sector op soortgelijke naleving controleren of dat we een nieuw onderzoek starten bij de organisatie waar het incident plaatsvond, om na te gaan of het ook in bredere zin nu wel goed gaat.
Omgang met vertrouwelijke gegevens
Als de RDI het noodzakelijk vindt om vertrouwelijke gegevens over uw organisatie aan derden te verstrekken, gebeurt dit alleen voor zover wet- en regelgeving dit toestaat. Dat doen we op voorwaarde dat de geheimhouding voldoende is geborgd en als voldoende is gewaarborgd dat gegevens niet voor een ander doel worden gebruikt.
Publiceert de RDI de resultaten van onderzoek en wanneer?
Publicatie kan onderdeel zijn van de sanctie die we opleggen als we overtredingen hebben geconstateerd. Ook streven we naar publicatie van algemene inzichten en rode draden uit ons toezichtwerk zodat organisaties of de sector daarvan kunnen leren.
Lees ook: RDI-handhaving: alles over boetes
Hoe lang duurt een onderzoek na een incident?
De doorlooptijd van onderzoek naar aanleiding van incidenten verschilt sterk. Soms besluit de RDI al snel op basis van de beschikbare informatie dat vervolgonderzoek niet meer nodig is, bijvoorbeeld omdat de partij zelf adequate maatregelen heeft getroffen en niet nalatig was in de aanloop naar het incident. Als wij wel besluiten tot het doen van onderzoek dan hangt de duur van dat onderzoek ook af van de medewerking die de organisatie verleend. Soms kan onderzoek veel langer duren, bijvoorbeeld omdat juridische trajecten veel tijd in beslag kunnen nemen. Tijdens een lopend onderzoek of tijdens lopende (juridische) procedures kan RDI geen uitspraken doen.
Vindt er controle plaats of de overtredingen zijn verholpen?
De organisatie is altijd zelf verantwoordelijk voor alle nodige herstelacties naar aanleiding van een incident en is zelf verantwoordelijk dat overtredingen zijn verholpen. De RDI ziet daarop toe, bijvoorbeeld door zelf opnieuw waarnemingen te doen of door nieuw bewijsmateriaal op te vragen.