‘Melden van security-incidenten moet vertrouwelijk blijven’

Bedrijven die cyberincidenten melden aan de overheid, moeten kunnen rekenen op vertrouwelijkheid en op hulp bij het oplossen van die incidenten. Dat schrijven MKB-Nederland en werkgeversorganisatie VNO-NCW in reactie op de Cybersecuritywet die minister Grapperhaus van Justitie en Veiligheid naar de Tweede Kamer heeft gestuurd.

Het wetsvoorstel is een uitbreiding van de al bestaande meldplicht voor cyberincidenten voor bedrijven uit de vitale infrastructuur, de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc). De wet moet ook gaan gelden voor aanbieders van online marktplaatsen, online zoekmachines en dienstverleners op het gebied van cloud computing. Naast de meldplicht moeten bedrijven adequate maatregelen nemen om cyberincidenten te voorkomen en, als ze zich toch voordoen, snel op te lossen.

Bedrijven uit de vitale infrastructuur melden incidenten aan het Nationaal Cyber Security Center (NCSC) en ze worden bijgestaan door Cyber Security Incident Response Team (CSIRT). Voor bedrijven buiten de vitale infrastructuur die met de nieuwe wet ook onder de meldplicht gaan vallen, zou ook een dergelijk CSIRT moeten komen.

Vertrouwelijk

In de brief benadrukken MKB-Nederland en VNO-NCW het grote belang dat ze hechten aan de vertrouwelijkheid van de gemelde informatie bij een security-incident. Ook moet de overheid bedrijven helpen bij de aanpak van incidenten en moeten de administratieve lasten van de meldingsplicht beperkt blijven.

Kritiek

Overigens is er ook kritiek op het wetsvoorstel. Zo missen enkele organisaties, waaronder Nederland ICT, VNO-NCW, MKB-Nederland en Considerati duidelijke definities van wat wordt verstaan onder online marktplaats, zoekmachines en cloudcomputerdiensten. Microsoft heeft in een reactie laten weten dat het de definitie van cloudcomputerdienst te breed vindt. Hierbij wordt namelijk geen onderscheid gemaakt tussen de verschillende cloudniveaus, zoals SaaS, PaaS, IaaS en het soort cloud (private, hybride of public).