Meldplicht
De richtlijn schrijft voor dat Cbw-organisaties significante incidenten moeten melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Er geldt een gefaseerde meldplicht. De eerste melding is een vroegtijdige waarschuwing die zo snel mogelijk, maar in ieder geval binnen 24 uur na waarneming van het incident plaatsvindt.
De meldplicht draagt direct bij aan het verhogen van de digitale veiligheid binnen Nederland en de lidstaten van de Europese Unie. Informatie die uit een melding voortkomt, zoals details over het incident, kan andere organisaties helpen om zich beter te wapenen. Ook hebben organisaties recht op bijstand van het sectorale CSIR na het maken van een verplichte melding.
De meldplicht geldt voor alle organisaties die volgens de Cbw een belangrijke of essentiële entiteit is. Doe de Zelfevaluatie om er achter te komen of jouw organisatie onder de richtlijn valt, of doorloop deze flowchart. Vrijwillige meldingen kunnen worden gedaan door elke organisatie.
De meldplicht geldt voor ‘significante incidenten’. Dit zijn incidenten die een ernstige operationele verstoring van de diensten of financiële verliezen voor de organisatie (kunnen) veroorzaken. Ook gaat het om incidenten die (kunnen) leiden tot aanzienlijke materiële of immateriële schade bij andere organisaties. De exacte drempelwaarden voor significante incidenten worden nog uitgewerkt. Daarnaast worden entiteiten nadrukkelijk uitgenodigd vrijwillige meldingen te maken van niet-significante incidenten of bijna-incidenten.
In Nederland is een centraal meldpunt ingericht op mijn.ncsc.nl. Hier kan jouw organisatie in één keer melding maken bij het betreffende sectorale CSIRT en de bevoegde toezichthouder.
In de melding worden algemene gegevens (zoals de datum en tijd van het incident) en incidentspecifieke gegevens (zoals type, oorzaak en impact) uitgevraagd. Ook deel je de gegevens van een contactpersoon zodat jouw sectorale CSIRT contact kan opnemen voor hulp en bijstand.
Een melding van een significant incident wordt automatisch doorgestuurd naar jouw sectorale CSIRT en de bevoegde toezichthouder. Het sectorale CSIRT biedt vervolgens ondersteuning bij de afhandeling van het incident. De specifieke bijstand verschilt per situatie en is afhankelijk van onder andere de (potentiële) impact. Ook wordt de melding opgenomen in een totaaloverzicht van incidenten per sector. Dit overzicht wordt cijfermatig gedeeld met de EU. Een vrijwillige melding wordt enkel gestuurd naar het sectorale CSIRT en niet gedeeld met de toezichthouder.
Het is nu al mogelijk een melding te maken op mijn.ncsc.nl of via dit formulier. De verplichting is echter pas van kracht zodra de Cyberbeveiligingswet in werking treedt.
- Er geldt een bijzondere meldplicht voor partijen die ook onder de Digital Operational Resilience Act (DORA) of Netcode Netwerkcode cyber security voor grensoverschrijdend elektriciteitsstromen. vallen. Deze entiteiten moeten binnen vier uur een vroegtijdige waarschuwing geven
- Voor vertrouwensdiensten geldt dat zij binnen 24 uur een melding moeten indienen.
Maak een Cbw-melding
Omdat de Cyberbeveiligingswet nog niet inwerking is getreden, kunnen organisaties tot die tijd een vrijwillige incidentmelding doen via dit formulier of via mijn.ncsc.nl.