Einde consultatietijd voor informatiedeling NCSC nadert

De voorgestelde wijziging is voor de Wet beveiliging netwerk- en informatiesystemen (Wbni), die per 9 november 2018 in werking is getreden. In deze Nederlandse wet is onder meer een meldplicht voor ICT-beveiligingsincidenten opgenomen, en een zorgplicht (die neerkomt op het treffen van beveiligingsmaatregelen). De Wbni geldt voor vitale aanbieders, voor de Rijksoverheid zelf en voor digitale dienstverleners (DSP's).

Beperkt 'bereik'

Het NCSC, dat valt onder het ministerie van JenV, stuit in de praktijk op grenzen aan zijn mandaat. Het 'bereik' van dit cybersecurity-orgaan is namelijk beperkt; het mag dan ook informatie over digitale dreigingen niet te breed delen. In toenemende mate zijn cybergevaren echter wel breed van aard, met brede impact en/of domino-effect door een keten of sector heen.

Begin deze maand hebben drie Nederlandse topmannen uit de security-industrie dan ook alarm geslagen over de sterke toename in ransomware-aanvallen. De snelle stijging van digitale afpersing dreigt een nationale ramp te worden. Adequater optreden van de overheid kan hier veel schelen, zo is de overtuiging.

Dreigingen afweren

Het vroegtijdig delen van dreigingsinformatie door instanties zoals het NCSC kan cruciaal zijn om aanvalscampagnes de pas af te kunnen snijden. In veel gevallen worden hackaanvallen niet uitgevoerd via voorheen onbekende kwetsbaarheden (zogeheten zerodays), maar via beveiligingsgaten waar al wel patches voor beschikbaar zijn. Die zijn echter lang niet altijd al geïnstalleerd, of goed geconfigureerd.

De deadline voor de consultatie op de Wbni-wijziging ligt op 23 augustus, wat volgende week maandag is. Feedback valt online te geven en kan openbaar en toch anoniem zijn.