Cloudproviders en andere grote digitale dienstverleners die met ernstige cyberincidenten te maken krijgen moeten dit sinds 1 januari bij twee Nederlandse overheidsinstanties melden. Op 9 november vorig jaar werd de Wet beveiliging netwerk- en informatiesystemen van kracht.
De wet verplicht aanbieders van essentiële diensten in onder andere de energie-, de financiële- en vervoerssector en digitale dienstverleners, zoals clouddiensten, online zoekmachines en online marktplaatsen, om ernstige cyberincidenten te melden. Aanbieders van essentiële diensten moeten incidenten bij het Agentschap Telecom en het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid rapporteren.
Leveranciers van clouddiensten, zoals Software as a Service (SaaS), Platform as a Service (PaaS) en Infrastructure as a service (IaaS), moeten incidenten met aanzienlijke gevolgen ook bij het Agentschap Telecom melden, alsmede bij het CSIRT DSP (Computer Security Incident Response Team voor digitale dienstverleners) dat op 1 januari van dit jaar operationeel is geworden.
Het gaat dan om incidenten die voor meer dan 100.000 gebruikers in de EU negatieve gevolgen hebben als het gaat om integriteit, vertrouwelijkheid of authenticiteit, één of meerdere gebruikers van de dienst meer dan 1 miljoen euro schade hebben opgelopen of wanneer er sprake is van een risico voor de openbare veiligheid, openbare beveiliging of het verlies van één of meerdere mensenlevens.
Dat ernstige incidenten twee keer moeten worden gemeld komt doordat beide organisaties een verschillende rol vervullen. Het CSIRT gebruikt de meldingen om de economische en eventueel maatschappelijke schade van een incident te beperken, bijvoorbeeld door een organisatie te helpen. Verder kan het CSIRT andere dienstverleners waarschuwen als er zich een bepaald type incident voordoet. Zo wordt er bijvoorbeeld actuele dreigingsinformatie gedeeld.
Het Agentschap Telecom controleert daarentegen of organisaties zich aan hun zorgplicht én meldplicht houden. De toezichthouder gebruikt informatie uit ontvangen meldingen om een beeld te krijgen van de stand van zaken in een sector en kijkt of het nodig is om daarop bij te sturen, bijvoorbeeld door te informeren, in gesprek te gaan of in verdergaande gevallen, te handhaven.
Doordat cloudproviders en andere digitale dienstverleners per 1 januari verplicht zijn om incidenten bij het CSIRT te rapporteren, kan ook het Agentschap Telecom nu sancties opleggen als organisaties de meldplicht overtreden, zo liet minister Grapperhaus van Justitie en Veiligheid eerder weten (pdf).
Deze posting is gelocked. Reageren is niet meer mogelijk.