Ga direct naar inhoud

Meldplicht Cyberbeveiligingswet

Met de komst van de Cyberbeveiligingswet (Cbw) verandert er veel op het gebied van cyberbeveiliging voor organisaties in Nederland. Zowel organisaties als overheidsinstellingen krijgen te maken met verplichtingen en uitgebreid toezicht. Een van de belangrijke verplichtingen is de meldplicht voor significante cyberincidenten.

Wat houdt de meldplicht in?

Organisaties die onder de Cbw vallen, moeten significante incidenten melden. Dit zijn digitale beveiligingsincidenten die grote gevolgen hebben of kunnen hebben voor de dienstverlening van een organisatie.

Een incident kan ervoor zorgen dat systemen niet goed werken, dat informatie verandert of uitlekt, of dat u niet zeker weet of uw gegevens echt betrouwbaar zijn. Zelfs een bijna-incident, iets dat nét geen schade heeft aangericht, kan belangrijk zijn om te melden. Niet ieder incident hoeft gemeld te worden. Alleen incidenten met (mogelijk) aanzienlijke gevolgen vallen onder de meldplicht.

Een melding doen is niet alleen een verplichting, maar kan ook voordelen opleveren. U kunt namelijk rekenen op bijstand en ondersteuning. Dit kan bijvoorbeeld bestaan uit hulp bij incidenten om schade te beperken, monitoring en dreigingsinformatie om beter voorbereid te zijn op nieuwe aanvallen. Hiermee is de meldplicht ook een manier om toegang te krijgen tot expertise en hulp bij het versterken van de cyberbeveiliging van uw organisatie.

Wanneer moet u melden?

Significante incidenten moet u melden. Een incident is significant als het:

  • een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken organisatie veroorzaakt of kan veroorzaken;
  • andere organisaties heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

Deze algemene criteria worden door de overheid in een ministeriele regeling nog concreter ingevuld in zogenaamde drempelwaarden. Met andere woorden: niet elk klein probleem hoeft gemeld te worden, alleen incidenten die grote gevolgen (kunnen) hebben, bijvoorbeeld omdat ze veel gebruikers treffen, lang duren of grote schade veroorzaken. Pas dan is melden verplicht. Als één of meerdere van deze factoren zó groot zijn dat het incident aanzienlijke gevolgen heeft voor de dienstverlening, dan is dat de drempelwaarde voor melden.

Waar en hoe meldt u?

U kunt incidenten melden bij de sectorale Computer Security Incident Response Team (CSIRT). Door deze incidenten tijdig te melden, ontstaat er beter inzicht in dreigingen en kan de cyberbeveiliging in Nederland als geheel worden versterkt. 

Zodra de Cbw van kracht wordt, is de meldplicht formeel verplicht: binnen 24 uur na ontdekking van een significant incident moet u een melding doen. Vanaf 17 oktober is het mogelijk een vrijwillige melding te maken via een webformulier op www.ncsc.nl. Spoedig daarna volgt een centraal meldpunt op mijn.ncsc.nl. Hier kan jouw organisatie in één keer melding maken bij het betreffende sectorale CSIRT en de bevoegde toezichthouder.

Wat betekent dit voor uw organisatie?

Het is cruciaal om nu al te beginnen met voorbereiden op de Cbw. Denk aan:

  • Het opstellen of bijwerken van een incidentresponsplan waarin het melden van incidenten is opgenomen;
  • Het alvast registeren bij het NCSC;
  • Het naleven van de zorgplicht om de beveiliging van uw organisatie op orde te krijgen;
  • Het in kaart brengen van risico's in de toeleveringsketen;
  • Het trainen van medewerkers op meldprocedures;
  • Het inrichten van interne processen voor snelle en correcte melding.

Door tijdig te handelen voldoet u niet alleen aan de wet, maar draagt u ook bij aan een veiliger digitaal Nederland.