Om een snelle en effectieve aanpak van digitale veiligheidsincidenten te versterken moeten organisaties binnen vitale sectoren daar voortaan verplicht melding van maken bij het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het Ministerie van Veiligheid en Justitie. Het gaat daarbij om ICT-inbreuken die de continuïteit van dienstverlening in de vitale sectoren in belangrijke mate kunnen verstoren en in potentie tot grote maatschappelijke ontwrichting kunnen leiden. In dergelijke gevallen is het van belang dat de overheid snel kan handelen om door het verlenen van hulp de beschikbaarheid van voor de samenleving vitale diensten te waarborgen en zo maatschappelijke ontwrichting te voorkomen of beperken. Dat staat in een wetsvoorstel dat minister Opstelten van Veiligheid en Justitie voor advies naar verschillende instanties heeft gestuurd, zoals VNO-NCW, Nederland ICT en de Nederlandse Vereniging van Banken, en voor internetconsultatie heeft opengesteld.
De meldplicht zal gaan gelden voor organisaties binnen de volgende sectoren: elektriciteit, gas, drinkwater, telecom, keren en beheren oppervlaktewater, transport (mainports Rotterdam en Schiphol), financiën en (rijks)overheid. Voor al deze sectoren geldt dat het gaat om onderdelen van de vitale infrastructuur van Nederland waarbij een uitval direct of indirect tot maatschappelijke ontwrichting kan leiden.
Door deze vitale organisaties wettelijk te verplichten melding te maken van ICT-inbreuken, kan het NCSC de risico’s voor de samenleving inschatten én hulp verlenen aan de getroffen organisatie. Bovendien is het NCSC hierdoor in staat om andere vitale organisaties zo nodig te waarschuwen en te adviseren. Deze hulp en advisering aan vitale organisaties, met als doel om maatschappelijke ontwrichting te voorkomen of te beperken, staat bij de meldplicht aan het NCSC centraal.
Bij het doen van de meldingen is van belang dat deze in vertrouwen gedaan worden om kwetsbaarheden te beperken of in de toekomst te vermijden. De meldplicht past daarbij in het bredere kader van de ingezette publiek-private samenwerking om cybersecurity binnen de (rijks)overheid en de vitale sectoren te realiseren.
Met de wettelijke regeling geeft het kabinet uitvoering aan de motie-Hennis-Plasschaert waarin wordt gevraagd om een meldplicht voor security breaches voor organisaties die zijn betrokken bij voor de samenleving vitale informatiesystemen.
