Vandaag is Concept wetsvoorstel gegevensverwerking en meldplicht cybersecurity in consultatie gegaan. Dit wetsvoorstel introduceert een meldplicht voor ernstige ICT-inbreuken en stelt regels over het verwerken van gegevens ten behoeve van de taken van de Minister van Veiligheid en Justitie op het terrein van cybersecurity. De meldplicht geldt alleen voor aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving.

Doel van de regeling

De melding moet worden gedaan aan de Minister van Veiligheid en Justitie. De melding wordt behandeld door het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het ministerie. De meldplicht heeft primair tot doel om het NCSC in staat te stellen om de risico’s van de ICT-inbreuk te kunnen inschatten en de door de inbreuk getroffen aanbieder bij te staan.

De regels over gegevensverwerking beogen versteviging van de wettelijke grondslag voor de werkzaamheden van het NCSC en duidelijkheid over de verstrekking door het NCSC van vertrouwelijke gegevens aan derden.

Doelgroepen die door de regeling worden geraakt

Aanbieders van vitale producten of diensten binnen de sectoren elektriciteit, gas, drinkwater, telecom, keren en beheren oppervlaktewater, financiën, overheid en transport, zoals energienetwerkbeheerders, drinkwaterbedrijven, telecombedrijven, beheerders van hoofdwaterkeringen, banken, het Havenbedrijf Rotterdam, de NV Luchthaven Schiphol en Luchtverkeersleiding Nederland. Het gaat om onderdelen van de vitale infrastructuur waarbij een ICT-inbreuk direct of indirect tot maatschappelijke ontwrichting kan leiden.

Verwachte effecten van de regeling

Voor de samenleving vitale partijen (bedrijven en overheidsorganisaties) kunnen door dit wetsvoorstel effectiever door het NCSC worden bijgestaan om de beschikbaarheid en betrouwbaarheid van hun producten en diensten te waarborgen of te herstellen. Dat is ook in het belang van niet-vitale partijen en van burgers. Als een ernstige ICT-inbreuk onder de meldplicht valt, dan veroorzaakt dat voor de getroffen aanbieder een bescheiden stijging van zijn administratieve lasten.