Drinkwaterbedrijven verplicht tot vertrouwelijk melden cyberaanvallen

Stel dat terroristen een waterkering onklaar maken. Of er met een cyberaanval in slagen de drinkwatervoorziening lam te leggen. Dat zal leiden tot grote maatschappelijke ontwrichting. Dijkhoff wil door te zorgen voor een tijdige melding een effectievere aanpak van dit soort incidenten mogelijk maken, met als doel maatschappelijke ontwrichting te voorkomen of te beperken.

Risico's inschatten
Het NCSC, dat rechtstreeks onder het ministerie van Veiligheid en Justitie ressorteert, kan met hulp van de wettelijk verplichte meldingen risico's inschatten en hulp verlenen aan getroffen organisaties. Ook stelt het melden het NCSC in staat andere vitale organisaties te waarschuwen en te adviseren.

Cybersecurity
De meldplicht past volgens Dijkhoff in het bredere kader van de ingezette publiek-private samenwerking om cybersecurity binnen de (rijks)overheid en de vitale sectoren te bevorderen. Het vertrouwelijke karakter van de gemelde informatie over incidenten en kwetsbaarheden blijft gewaarborgd. Dijkhoff meent dat het wetsvoorstel bij de informatievoorziening aan (onder meer) het publiek over deze incidenten en kwetsbaarheden voldoende rekening met de belangen van de betrokken aanbieders.

Vertrouwelijkheid
De Vewin drong eerder in de consultatierondes op het conceptwetsvoorstel aan op vertrouwelijkheid als randvoorwaarde voor het delen van gevoelige informatie. De vrees bestond dat via de Wet Openbaarheid Bestuur (WOB) vertrouwelijke informatie op straat zou komen te liggen via de meldplicht.
Over het wetsvoorstel zoals dat nu in de Kamer ligt is Vewin bij monde van plaastvervangend directeur Arjen Frentz “gematigd positief”. “Sommige issues zijn niet vanuit onze koker ten principale ingezet en bedacht, echter wel door ons bijgebogen in de goede richting”, aldus Frentz. Als belangrijkste punt dat is overgenomen in het wetsvoorstel noemt hij de bijzondere openbaarheidsregeling. Deze zorgt ervoor dat alle herleidbare gegevens die bedrijven verplicht en onverplicht delen met het NCSC zijn uitgezonderd van de WOB.

ILT
Ook noemt hij het intact blijven van de sectorale bevoegdheden. De Vewin sprak zich eerder uit tegen een dubbele meldplicht. Op basis van de Drinkwaterwet zijn drinkwaterbedrijven al verplicht (potentiële) drinkwaterverstoringen te melden bij de sectorale toezichthouder ILT. Hieronder vallen ook ICT-inbreuken met een (potentiële) drinkwaterverstoring als gevolg. Vewin pleitte ervoor dat de ILT de inbreuk beoordeelt en zo nodig doormeldt aan het NCSC.

Afbakening
Ook toont Frentz zich tevreden over het uitgangspunt van de meldplicht: het bieden van hulp en bijstand, en geen toezicht, handhaving of sanctionering door het NCSC. De plaatsvervangend directeur toont zich tot slot tevreden over de afbakening van de meldplicht. Alleen grote ICT-inbreuken moeten gemeld worden. Groot wil hier zeggen: een ICT-inbreuk op een informatiesysteem met als (mogelijk) gevolg dat de drinkwatervoorziening aan meer dan tienduizend huishoudens voor langer dan zes uur uitvalt.
“De behandeling in de Tweede Kamer zullen we intensief en goed volgen”, aldus Frentz.