Meldplicht Datalekken ook voor online, zorg en energie

Niet alleen banken en financiële markten, maar ook energiebedrijven, zorginstellingen, waterbedrijven en transportbedrijven moeten binnenkort datalekken en cyberaanvallen melden bij de autoriteiten. Dat is het Europarlement overeengekomen met de lidstaten begin deze week, in een poging de digitale omgeving veiliger te maken voor consumenten. Niet voldoen aan deze Meldplicht wordt bestraft met stevige sancties.

De ‘Network and Information Security Directive’ (NIS) is de eerste Europese cybersecuritywet. Het betreft een richtlijn voor de lidstaten om zelf wetgeving te implementeren die hierop aansluit. De wet verplicht bedrijven en overheden om cyberaanvallen en datalekken te melden bij de nationale autoriteiten, in Nederland het College bescherming persoonsgegevens (CBP). In Nederland wordt de NIS richtlijn opgenomen in de Meldplicht Datalekken, die in januari 2016 van kracht wordt. Verzaken om datalekken en aanvallen van hackers te melden heeft stevige sancties tot gevolg.

Uitbreiding reikwijdte
Begin deze week zijn de EU-lidstaten en het Europarlement het eens geworden over de invulling van de NIS. Hoewel de nieuwe wet nog steeds moet worden goedgekeurd zorgt de steun van alle lidstaten ervoor dat de kans op verandering erg klein is. Een belangrijk onderdeel van de overeenkomst is de vaststelling van de reikwijdte van de richtlijn – oftewel welke bedrijven en organisaties onder de wet vallen. Naast banken, financiële markten en energie- en waterbedrijven, zijn ook zorginstellingen, transport- en – het meest opvallend – internetbedrijven in de wet opgenomen. Het Europarlement stelt dat ook internetbedrijven als Google, Cisco en Amazon onderdeel uitmaken van de kritieke infrastructuur in de Europese samenleving, en daarom moeten ook zij zich inspannen om de digitale gegevens van klanten zo goed mogelijk te beschermen. Social mediabedrijven als Facebook en Twitter vallen niet onder de NIS.

Dat bedrijven verplicht worden om serieuze inbraken (bijv. verlies van een USB-stick met persoonsgegevens, diefstal van werklaptop, of aanval van hackers waarbij persoonsgegevens gelekt zijn) te melden bij de autoriteiten, moet er namelijk voor gaan zorgen dat zij meer gaan investeren in de bescherming en beveiliging van hun digitale omgeving. Op deze manier zouden consumenten zich minder zorgen hoeven maken om cybersecurityproblemen van de online diensten van deze bedrijven, ook in andere landen binnen Europa.

Meldplicht Datalekken
De Nederlandse Meldplicht Datalekken, die op 1 januari 2016 van kracht wordt, werd reeds eerder vastgesteld dan de Europese richtlijn. In plaats van onderscheid te maken tussen kritieke en niet-kritieke infrastructuur geldt de Meldplicht in Nederland voor alle bedrijven en overheden, waardoor de Nederlandse cybersecurity regelgeving een stuk vooruitstrevender is dan de NIS.