De meldplicht

02-11-2022

In deze blog gaan we in op de meldplicht. Met de komst van de NIS2-richtlijn wordt naast de zorgplicht ook nadere invulling gegeven aan de meldplicht, die ook al bestond onder de huidige NIS-richtlijn.

In de huidige richtlijn netwerk- en informatiebeveiliging bestaat er een meldplicht ten aanzien van incidenten die aanzienlijke gevolgen hebben voor de continuïteit van de dienstverlening. Van een incident wordt volgens de richtlijn gesproken wanneer er sprake is van de volgende situatie: ‘elke gebeurtenis met een daadwerkelijk schadelijk effect op de beveiliging van netwerk- en informatiesystemen’. Met beveiliging wordt gedoeld op ‘het vermogen van netwerk- en informatiesystemen om met een bepaalde mate van betrouwbaarheid bestand te zijn tegen acties die de beschikbaarheid, integriteit, vertrouwelijkheid en authenticiteit van netwerk- en informatiesystemen’. Om te beoordelen of een incident aanzienlijke gevolgen heeft, beschrijft de richtlijn een aantal parameters die in aanmerking moeten worden genomen, waaronder het aantal getroffen gebruikers, de duur van het incident en de omvang van het geografische gebied dat door het incident is getroffen. Indien voor een leverancier blijkt dat een incident een aanzienlijk gevolg heeft voor de continuïteit van de verleende dienst, dan moet het incident onverwijld gemeld worden aan de bevoegde autoriteit dan wel het CSIRT (Computer Security Incident Response Team), zoals aangewezen door de lidstaat. Voor Nederland is dit het Nationaal Cyber Security Centrum (NCSC). Voor de inhoud van de melding geldt dat deze voldoende informatie moet bevatten zodat de bevoegde autoriteit of het CSIRT in staat is om de grensoverschrijdende gevolgen van het incident te bepalen.

Twee fasen melding
De NIS2-richtlijn voorziet in een ‘twee-fasen-aanpak' voor de melding van incidenten. De eerste melding is erop gericht om de potentiële verspreiding van incidenten te beperken en de entiteiten in de gelegenheid te stellen om steun te zoeken. De tweede melding dient grondig te zijn, en moet ervoor zorgen dat geleerd kan worden van eerdere incidenten. Daarnaast heeft het tevens als doel de veerkracht van individuele bedrijven en hele sectoren ten aanzien van cyber dreigingen gaandeweg te verbeteren. Afgezien van de verplichting om de eerste melding in te dienen, ligt de focus bij de eerste melding bij de behandeling van incidenten.

Eerste melding
Zonder onnodige vertraging en in ieder geval binnen 24 uur na het bekend raken met het incident moet er een eerste melding worden gedaan bij de bevoegde autoriteit of het CISRT waarbij, indien mogelijk, moet worden aangegeven of het incident is veroorzaakt door een onwettige of kwaadwillige handeling. Het gaat hierbij om de strikt noodzakelijke informatie. Binnen 24 uur na indiening van deze melding krijgt de meldende entiteit een antwoord met eerste feedback van de bevoegde nationale autoriteit of het CSIRT. Indien de entiteit daarom verzoekt, kunnen richtsnoeren voor de uitvoering van mogelijk risicobeperkende maatregelen worden ontvangen en eventueel aanvullende technische ondersteuning. In het geval van een incident van criminele aard, ontvangt de entiteit tevens richtsnoeren voor het melden van het incident aan de rechtshandhavingsinstanties.

Eindmelding
Uiteindelijk zal binnen één maand na indiening van de eerste melding, oftewel het eerste verslag, een eindverslag worden ingediend met i) een gedetailleerde beschrijving van het incident, de ernst en gevolgen ervan, ii) het soort dreiging of de oorzaak die waarschijnlijk tot een incident heeft geleid en iii) toegepaste en lopende beperkende maatregelen. In gemotiveerde gevallen en in overleg met de bevoegde autoriteit kan van de 24-uur termijn voor de eerste melding en één maand termijn van het verslag worden afgeweken.

Significante cyberbedreigingen
De bepaling ten aanzien van het melden van incidenten met aanzienlijke gevolgen is overgenomen in de NIS2-richtlijn, en daar komt bij dat entiteiten elke significante cyberbedreiging die ze vaststellen en die tot een significant incident kunnen leiden tevens zullen moeten melden. Voor wat betreft het begrip ‘cyberbeveiliging’ wordt aangesloten bij de definitie zoals in de Verordening inzake ENISA (het Agentschap van de Europese Unie voor cyberbeveiliging) en inzake de certificering van cyberbeveiliging van informatie- en communicatietechnologie; de cyberbeveiligingsverordening. Deze verordening definieert cyberbeveiliging als ‘de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die getroffen worden door cyberbedreigingen, te beschermen’. Een incident wordt als significant beschouwd als het incident leidt of kan leiden tot een aanzienlijke operationele verstoring of financiële verliezen voor de betrokken entiteit of wanneer het incident natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

Vrijwillige meldingen
Entiteiten die buiten het toepassingsgebied van de NIS2-richtlijn vallen, zoals nader gespecificeerd in artikel 2 en met uitzondering van artikel 3 van de richtlijn, kunnen op vrijwillige basis meldingen doen van significante incidenten, cyberdreigingen of bijna-incidenten. Hierbij volgt de bevoegde autoriteit of CSIRT de procedure zoals beschreven onder de ‘twee-fasen-melding'. Aan vrijwillig ingediende meldingen mogen geen bijkomende verplichtingen worden opgelegd. Indien een entiteit vrijwillig melding maakt, dan mogen zij dus geen zwaardere verplichtingen krijgen dan in het geval dat zij de melding niet zou hebben ingediend.

Omvang verplichtingen
De Europese Commissie kan via uitvoeringshandelingen nadere invulling geven aan het soort informatie, het formaat en de procedure ten aanzien van zowel de melding van incidenten met aanzienlijke gevolgen als de melding met betrekking tot cyberbedreigingen die tot een significant incident kunnen leiden. De omvang van de verplichtingen kunnen daarmee dus uitgebreid worden.