image

Cloudproviders moeten cyberincidenten twee keer melden

dinsdag 8 januari 2019, 16:19 door Redactie, 9 reacties

Cloudproviders en andere grote digitale dienstverleners die met ernstige cyberincidenten te maken krijgen moeten dit sinds 1 januari bij twee Nederlandse overheidsinstanties melden. Op 9 november vorig jaar werd de Wet beveiliging netwerk- en informatiesystemen van kracht.

De wet verplicht aanbieders van essentiële diensten in onder andere de energie-, de financiële- en vervoerssector en digitale dienstverleners, zoals clouddiensten, online zoekmachines en online marktplaatsen, om ernstige cyberincidenten te melden. Aanbieders van essentiële diensten moeten incidenten bij het Agentschap Telecom en het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid rapporteren.

Leveranciers van clouddiensten, zoals Software as a Service (SaaS), Platform as a Service (PaaS) en Infrastructure as a service (IaaS), moeten incidenten met aanzienlijke gevolgen ook bij het Agentschap Telecom melden, alsmede bij het CSIRT DSP (Computer Security Incident Response Team voor digitale dienstverleners) dat op 1 januari van dit jaar operationeel is geworden.

Het gaat dan om incidenten die voor meer dan 100.000 gebruikers in de EU negatieve gevolgen hebben als het gaat om integriteit, vertrouwelijkheid of authenticiteit, één of meerdere gebruikers van de dienst meer dan 1 miljoen euro schade hebben opgelopen of wanneer er sprake is van een risico voor de openbare veiligheid, openbare beveiliging of het verlies van één of meerdere mensenlevens.

Verschillende rollen

Dat ernstige incidenten twee keer moeten worden gemeld komt doordat beide organisaties een verschillende rol vervullen. Het CSIRT gebruikt de meldingen om de economische en eventueel maatschappelijke schade van een incident te beperken, bijvoorbeeld door een organisatie te helpen. Verder kan het CSIRT andere dienstverleners waarschuwen als er zich een bepaald type incident voordoet. Zo wordt er bijvoorbeeld actuele dreigingsinformatie gedeeld.

Het Agentschap Telecom controleert daarentegen of organisaties zich aan hun zorgplicht én meldplicht houden. De toezichthouder gebruikt informatie uit ontvangen meldingen om een beeld te krijgen van de stand van zaken in een sector en kijkt of het nodig is om daarop bij te sturen, bijvoorbeeld door te informeren, in gesprek te gaan of in verdergaande gevallen, te handhaven.

Doordat cloudproviders en andere digitale dienstverleners per 1 januari verplicht zijn om incidenten bij het CSIRT te rapporteren, kan ook het Agentschap Telecom nu sancties opleggen als organisaties de meldplicht overtreden, zo liet minister Grapperhaus van Justitie en Veiligheid eerder weten (pdf).

Image

Reacties (9)
08-01-2019, 18:39 door Anoniem
Dit is ambtelijk geneuzel op z'n best. Waarom heeft er in Den Hagistan niemand achter zijn natte oortjes gekrabt en bedacht dat één keer melden voor iedereen beter gaat zijn?
08-01-2019, 21:31 door Anoniem
Ik denk zo: omdat de info die gemeld wordt van t bedrijf is en die dus weet of wil weten aan wie hij wat meldt?
Als de eigenaar van de info, het bedrijf, aangeeft: je mag al mn info altijd gelijk doorgeven aan partij a,b,.x, kan dat vast wel in een gezamenlijk meldsysteem opgezet worden.
Dus, voor de eerste opzet, best wel handig zo.
08-01-2019, 22:26 door Anoniem
Bij overheden waar Kees van der Staaij types mogen blijven zitten meld ik sowieso niks meer. Zulke overheden kun je echt niet meer serieus nemen. En mijn servers staan toch in Japan. Of nee, Nieuw Zeeland vandaag. Niks te melden. Koop maar een rolfluitje op kosten van de staat.
09-01-2019, 07:38 door Anoniem
Nog sterker. Als het om persoonsgegevens gaat waar dat incident over gaat dan is er drie keer de plicht tot melden. Ook de AP wil het dan weten. Overigens Agentschap Telecom houdt ex post (achteraf) op DSP's toezicht.
09-01-2019, 08:47 door Anoniem
Bij de bijeenkomst van een uitleg van deze wet werd er ook al gevraagd waarom er niet één formulier was dat naar twee partijen gestuurd kan worden bij het verzenden. Daar hadden ze, naar mijns inziens, nog niet helemaal over nagedacht en dat vonden ze stiekem wel een goed idee. De wet ging vorig jaar ook al in force, waar ze het CSIRT pas in januari 2019 rond hadden kunnen breien. Ook dat was best opmerkelijk.

Je bent nu onnodig heel veel tijd kwijt aan het melden van je incident aan de verschillende partijen, iets waar je natuurlijk totaal niet op zit te wachten als je getroffen bent door ransomware o.i.d.
09-01-2019, 11:19 door Anoniem
Het idee achter het dubbel melden is dat je in vertrouwen kunt melden bij het CSIRT en dat zij niet alle incidenten en informatie doorspelen naar de toezichthouder. In het meldformulier van het CSIRT DSP kun je trouwens zelf heel makkelijk met een vinkje aangeven of zij de melding voor je moeten doorzetten naar het Agentschap Telecom
10-01-2019, 09:36 door Anoniem
Dus de meeste incompetentie blijft onder de pet, doorgezette arrogantie en Big Commerce wint op alle fronten. Zo gaat security door de plee getrokken worden. Houtje touwtje codeurs krijgen ruim baan. Als het maar schuift.
10-01-2019, 16:30 door Anoniem
Ik werk voor zo'n aanbieder, de 2 meldingen zijn wel degelijk anders.

Naar NCSC is de melding direct door $iemand die het probleem vind, waarbij hun ook actief kunnen helpen met problemen oplossen of bepalen wat nu de ernst eigenlijk is.

AT verwacht op het moment dat het kan (en niet het oplosproces in de weg zit) een rapport van de directie over wat er nu gebeurd is.
04-02-2019, 23:33 door PJW9779
Jongens, wat een (anonieme) commentaren.
Als je je corporate securtiy beleid een klein beetje hebt ingericht weet je precies wat de regels en verplichtingen zijn en wat je moet doen. Die 2 á 3 (AP) meldingen zijn binnen 5 minuten de deur uit.
Je wordt niet betaald om de processen bij die overheidsdiensten te stroomlijnen.
En gaat over tot de orde van de dag.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.