Meldplicht cyberincidenten breidt naar niet-essentiële bedrijven uit

Abonneer je gratis op Techzine!

Het aantal Nederlandse bedrijven dat wettelijk verplicht is om cyberincidenten te melden wordt verruimd. Een nieuw, Europees akkoord belooft de meldplicht in 2022 naar grote organisaties in de voedselproductie en -distributie, maakindustrie en post- en koeriersdiensten uit te breiden.

Op dit moment geldt de meldplicht uitsluitend voor essentiële dienstverleners als banken, water- en energiebedrijven en digitale dienstverleners als cloud providers en online marktplaatsen. Dergelijke organisaties zijn wettelijk verplicht om ernstige cyberincidenten te melden bij de Autoriteit Persoonsgegevens. De wet is Nederlands, maar wordt opgesteld op basis van Europese richtlijnen. Deze richtlijnen kaderen de verplichtbare organisatiesoorten in.

Vandaag maakt het minister van Justitie en Veiligheid bekend dat de EU-beleidsverantwoordelijken in Brussel een akkoord hebben bereikt over herziening van de Netwerk- en Informatiebeveiligingsrichtlijn waarop de Nederlandse meldplicht is opgebouwd. Dit betekent dat de Nederlandse wet wordt verruimd. Meer organisaties zullen genoodzaakt zijn om cyberincidenten te melden. Over de sectoren waarvoor de meldplicht gaat gelden wordt onderhandeld. Het ministerie streeft naar een definitief akkoord in 2022, waarna de Nederlandse wetswijziging in gang gezet kan worden.

Moet ik me voorbereiden?

Pas na het akkoord wordt duidelijk welke organisaties voortaan onder de meldplicht zullen vallen. Het ministerie van Justitie en Veiligheid beoogt grotere organisaties in de voedselproductie en -distributie, maakindustrie en post- en koeriersdiensten.

Tip: Ministerie van Justitie meldde honderden datalekken in afgelopen jaren