Energiebedrijven, banken, Schiphol en drinkwaterbedrijven moeten voortaan datalekken en hackaanvallen verplicht melden. Nog dit jaar komt er een wettelijke meldplicht.

De meldplicht geldt volgens het Kabinet voor bedrijven en instellingen in zes sectoren: elektriciteit, gas, drinkwater, telecom, oppervlaktewater en transport. De meldplicht geldt ook voor de financiŽle sector en de overheid zelf, meldt minister Opstelten van Veiligheid en Justitie.
Maatschappelijke ontwrichting

De meldplicht geldt in geval van digitale veiligheidsincidenten en "security breaches", zoals het ministerie het noemt. Volgens Opstelten kunnen dergelijke incidenten grote gevolgen hebben voor de eigen of andermans dienstverlening en kunnen ze leiden tot maatschappelijke ontwrichting. "Er is bij uitval in deze sectoren al zeer snel sprake van een cascade-effect naar andere sectoren waardoor grootschalige maatschappelijke ontwrichting een reŽel risico vormt." Opstelten wil in dergelijke gevallen zo snel mogelijk informatie om "snel en kundig" te handelen.

Centraal staat het Nationaal Cyber Security Centrum (NCSC), waar de melding wordt afgehandeld. Het NCSC zal de betreffende organisatie of de sector helpen om het lek te dichten en de effecten ervan in te dammen. Mocht er groter alarm worden geslagen, wordt het NCSC de spil in de "opgeschaalde crisisstructuur", schrijft de minister.
Overheid krijgt verregaande macht

Om maatschappelijke ontwrichting te voorkomen wil de minister komen tot nauwe samenwerking met het bedrijfsleven, maar krijgt de overheid wel verregaande bevoegdheden om in te grijpen. Dat kan bijvoorbeeld zijn het opeisen van informatie, het toepassen van bestuursdwang en het aanwijzen van een functionaris namens de overheid. Dat laatste is onder meer gebeurd bij de crisis bij DigiNotar, toen de overheid de bedrijfsvoering van die uitgever van beveiligingscertificaten overnam.

De uitbreiding van de meldplicht (in eerste instantie zou alleen de telecomsector die verplichting krijgen) komt onder meer na aandringen van het CBP en de uitkomsten van de discussie rond de DigiNotarcrisis. Een motie van Jeanine Hennis-Plasschaert (VVD) leidde tot het huidige wetsvoornemen.
Het oog is op de SCADA-systemen

Met de meldplicht voor water-, gas- en energiebedrijven lijkt het Kabinet zich ook te richten op de kwetsbaarheid van SCADA-systemen, die via het internet zijn te bedienen. Daarmee kunnen bruggen, gemalen en sluizen op afstand in werking worden gesteld (of uitgeschakeld). Maar ook kerncentrales zijn kwetsbaar via SCADA-systemen, zoals enkele incidenten in Iran hebben uitgewezen. Overigens vindt het Kabinet dat de veiligheid van SCADA-systemen in eerste instantie de verantwoordelijkheid is van organisaties en lagere overheden zelf.

Overigens worden de meldingen vertrouwelijk behandeld en worden zij niet openbaar. Wel worden vertrouwelijke gegevens door het NCSC als nodig doorgegeven aan "instanties die belast zijn met de uitoefening van strafvorderlijke bevoegdheden", schrijft Opstelten.