Het is druk in law law land! Naast de veel besproken regels omtrent privacy en gegevensbescherming (AVG en mogelijk de e-Privacy Verordening), is ook gedacht aan (web)veiligheid minnend Nederland. Op 1 januari 2018 is namelijk het Besluit meldplicht cybersecurity (Bmc) in werking getreden.

De meldplicht is een aanvulling op artikel 6 Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) en wijst de zogenaamde ‘vitale aanbieders (artikel 5 Wgmc), producten en diensten’ aan ten aanzien waarvan verplicht een melding moet worden gedaan bij het Nationaal Cyber Security Centrum (NCSC) in het geval van een ernstig ICT incident.

De sectoren waarin de ‘vitale aanbieders, producten en diensten’ (artikel 1 Bmc) vallen zijn:

1)      Drinkwater

2)      Energie

3)      Nucleair

4)      Financieel

5)      Elektronische communicatienetwerken en –diensten/ ICT

6)      Mainport Rotterdam

7)      Mainport Schiphol

8)      Keren en Beheren

Volgens de Nota van Toelichting (NvT) bij het Bmc kunnen systemen zo’n groot (‘vitaal’) belang hebben voor de Nederlandse samenleving dat uitval daarvan kan leiden tot “ernstige ontwrichting” en “een bedreiging vormt voor de nationale veiligheid” (p.4 NvT).

Maatschappelijke ontwikkelingen zijn bepalend voor het predicaat ‘vitaal proces’. Hierbij moet gedacht worden aan de mate van dreiging, de risico’s en evaluaties van incidenten. Vitale processen vallen in twee categorieën uiteen. De categorie A ziet op de gevallen waarin uitval van de vitale processen ‘zeer’ serieuze gevolgen kan hebben, de categorie B ziet op de (iets) minder ernstige gevallen. Binnen het proces zijn de ‘vitale aanbieders’ zoals drinkwaterbedrijven (als bedoeld in de Drinkwaterwet) en financiële instellingen (als aangewezen bij besluit van de Nederlandse Bank N.V.) cruciaal voor wat betreft de "weerbaarheid" en "continuïteit" ervan (p. 4 MvT).

Vooralsnog ziet de meldplicht alleen op de vitale processen. Voor incidenten in het kader van andere bedrijfsprocessen geldt de meldplicht dus niet.