Meldplicht digitale dienstverleners

Definitie van een incident

Onder een incident verstaan we een gebeurtenis met schadelijke effecten op de beveiliging van netwerk- en informatiesystemen, met verstoring van de dienstverlening tot gevolg. Het kan daarbij gaan om verlies aan continuïteit, integriteit, authenticiteit of vertrouwelijkheid van de opgeslagen, verzonden of verwerkte gegevens. 

Wanneer geldt de meldplicht?

De meldplicht geldt alleen voor incidenten die aanzienlijke gevolgen hebben voor de continuïteit van de diensten die u in de Europese Unie verleent. Op Europees niveau zijn drempelwaarden vastgesteld die bepalen of een incident aanzienlijke gevolgen voor de maatschappij heeft. Deze drempelwaarden zijn vastgesteld in artikel 4 van de Europese uitvoeringsverordening voor digitale dienstverleners (2018/151). Bepaal aan de hand van onderstaand schema (met vermelding van de drempelwaarden) of een incident aanzienlijke gevolgen voor de maatschappij heeft. 
 

Bij welke partijen meldt u een incident?

U meldt het incident altijd bij de Rijksinpsectie Digitale Infrastructuur (RDI) en bij het CSIRT-DSP van het ministerie van Economische Zaken en Klimaat. Mogelijk moet u daarnaast bij andere toezichthouders, zoals de Autoriteit Persoonsgegevens (AP), een melding doen. 
 

Incidenten bij andere partijen

Levert u diensten aan aangewezen aanbieders van essentiële diensten in Nederland of in een andere lidstaat van de Europese Unie? En heeft een incident bij uw organisatie aanzienlijke gevolgen voor de continuïteit van hun essentiële dienstverlening? Dan meldt u het incident óók bij de RDI en bij het CSIRT-DSP. Daarnaast melden de andere aanbieders het incident bij hun eigen toezichthouder en CSIRT.

Hoe meldt u een incident bij de Rijksinspectie Digitale Infrastructuur?

Download het meldformulier DSP, vul dat in en stuur het ons retour. Retourneren kan op de volgende manieren: 
• Via ons beveiligde infoportal: Om gebruik te maken van het infoportal heeft u een account nodig. Neem hiervoor contact op met de Rijksinspectie Digitale Infrastructuur via wbni@rdi.nl. U krijgt dan de benodigde inloggegevens en informatie over de contactpersoon die u wordt toegewezen voor dit incident.
• Via e-mail naar wbni@rdi.nl. Let op: de inhoudelijke incidentgegevens zijn mogelijk te gevoelig om via e-mail verzonden te worden!

Wat gebeurt er nadat u een incident meldt bij ons?

Nadat u een melding heeft gedaan bij de Rijksinspectie Digitale Infrastructuur nemen we contact met u op. We vragen u dan om aanvullende informatie. Na melding vindt er nader onderzoek plaats, en monitoren we uw verbeteringen. Dat doen we samen met u. Dit betekent dus dat we niet automatisch handhavend optreden. Dat gebeurt pas als uw organisatie verwijtbaar in overtreding is met de Wbni. Soms is het nodig om het publiek te informeren over een incident. Bijvoorbeeld om het incident te beheersen, of escalatie te voorkomen. Als dit bij een incident binnen uw organisatie het geval is, informeren we u hier van tevoren over. Het is ook mogelijk dat we u vragen om het publiek zelf te informeren. 

Incidenten vrijwillig melden

Incidenten mogen ook vrijwillig  gemeld worden als ze (nog) niet onder de meldplicht vallen. Dit stellen wij erg op prijs. Met deze informatie weten we niet alleen beter wat er speelt binnen de sector, maar kunnen we ook met elkaar werken aan het verhogen van de digitale weerbaarheid van digitale dienstverleners in Nederland. 

Delen van gegevens

Als de Rijksinspectie Digitale Infrastructuur het noodzakelijk vindt om vertrouwelijke gegevens over uw organisatie aan derden te verstrekken, gebeurt dit alleen voor zover wet- en regelgeving dit toestaat. Dat doen we op voorwaarde dat de geheimhouding voldoende is geborgd en als voldoende is gewaarborgd dat gegevens niet voor een ander doel worden gebruikt. De Wet open overheid is niet van toepassing op deze vertrouwelijke gegevens.