Wetsvoorstel wil miljoenenboetes opleggen bij verzwegen cyberincidenten

Een nieuw wetsvoorstel moet bedrijven binnen 'vitale sectoren' verplichten om digitale incidenten te melden bij toezichthouders. Doen ze dat niet, dan riskeren ze miljoenenboetes.

Dat staat in een voorstel voor de nieuwe Cybersecuritywet die minister Ferdinand Grapperhaus van Justitie en Veiligheid donderdag heeft ingediend bij de Tweede Kamer.

De bijbehorende toezichthouders voor vitale sectoren moeten bij een incident op de hoogte worden gesteld. Het gaat om de minister voor Economische Zaken en Klimaat, de minister voor Infrastructuur en Milieu, de minister Medische Zorg en De Nederlandsche Bank.

Organisaties die van een cyberincident geen melding maken, kunnen daarvoor een boete van maximaal 5 miljoen euro krijgen. Als een organisatie wel melding maakt, maar daarna onvoldoende informatie deelt, kan die een boete van 1 miljoen euro krijgen.

Organisaties binnen vitale sectoren zijn belangrijk voor het alledaags functioneren van Nederland, zoals stroomvoorzieners, kerncentrales, waterleveranciers, telecomproviders, financiële instanties en de overheid.

NCSC

In 2016 diende toenmalig staatssecretaris Klaas Dijkhoff al een wetsvoorstel in die organisaties in de vitale sectoren verplichtte om cyberincidenten te melden bij het Nationaal Cyber Security Centrum (NCSC).

Met die meldplicht zou het NCSC beter zijn werk kunnen doen om de vitale infrastructuur te beschermen of, in geval van een incident, de getroffen organisatie te helpen. Het NCSC kan bij gebrekkig handelen echter geen boetes uitdelen.

De bestreffende wet waarin dit werd geregeld trad in oktober 2017 in werking, maar zonder die meldplicht. Die ontbrak omdat nog niet duidelijk was welke vitale aanbieders aan aan deze eis zouden moeten voldoen.

Het wetsvoorstel van Grapperhaus vervangt de oude wet.

Europese richtlijn

Met de Cybersecuritywet geeft minister Grapperhaus invulling aan Europese richtlijnen voor een meldplicht bij vitale sectoren.

Naast de meldplicht vereist de implementatie van de richtlijn ook dat bedrijven in de vitale sectoren hun ICT voldoende beveiligen.

Nederland en andere EU-landen moeten vanaf 9 mei aan 2018 aan de richtlijn voldoen.

Lees meer over:
Tip de redactie