Meldplicht voor ransomware en cyberaanval op bedrijven

Cybercrime Het ministerie van Economische Zaken en Klimaat wil de meldplicht van ernstige cyberincidenten uitbreiden.

De Mediamarkt werd begin november getroffen door gijzelsoftware.
De Mediamarkt werd begin november getroffen door gijzelsoftware. Foto Robin van Lonkhuijsen/ANP

Nederlandse bedrijven die stilzwijgend ransomware – software waarmee hun ict wordt ‘gegijzeld’ – afkopen in de hoop dat niemand het merkt, lopen na volgend jaar de kans daarvoor te worden beboet.

Het ministerie van Economische Zaken en Klimaat wil de meldplicht van ernstige cyberincidenten uitbreiden. Die geldt nu alleen nog voor vitale sectoren, zoals banken en energiebedrijven en branches zoals clouddiensten en internetproviders. Straks moeten ook voedseldistributeurs, post- en koeriersdiensten en bedrijven in de maakindustrie hun digitale veiligheid verbeteren en incidenten rapporteren.

Minister Stef Blok (VVD) kwam vrijdag in Brussel tot een akkoord hierover met zijn Europese collega’s. De EU krijgt in 2022 een nieuwe netwerk- en informatiebeveiligingsrichtlijn, die de lidstaten zelf in wetten dienen om te zetten.

‘Kaashack’

Een van de aanleidingen voor strenger toezicht is het snelgroeiende aantal aanvallen met gijzelsoftware, waardoor begin dit jaar onder meer een distributeur van supermarktketen Albert Heijn werd platgelegd.

Door deze ‘kaashack’ lagen er uiteindelijk geen zuivelproducten meer in het schap.

Dit najaar was industriegigant VDL nog het slachtoffer van een ransomwareaanval, die het conglomeraat met 105 werkmaatschappijen een maand lang bezighield. Ook bekende bedrijven als MediaMarkt en RTL werden getroffen door gijzelsoftware. Deze gevallen werden bekend; de meeste bedrijven proberen onder de pet te houden dat ze gehackt zijn en betalen de criminelen om zo snel mogelijk weer te kunnen werken.

Lees ook: Onderhandelen over gijzelsoftware: ‘We hadden toch 10 miljoen afgesproken?’

De nieuwe richtlijn in Nederland beslaat twee categorieën van bedrijven: ‘essentiële’ aanbieders en ‘belangrijke’ aanbieders. Bij de eerste categorie wordt tevoren gecontroleerd of ze hun veiligheid op orde hebben, bij de tweede is de controle achteraf – na een hack bijvoorbeeld. Het Agentschap Telecom, dat het toezicht uitvoert, kan boetes opleggen.

Nu vallen ongeveer tweehonderd bedrijven en instellingen onder de meldplicht. Als de nieuwe richtlijn in werking treedt, zijn het er meer dan duizend, is de verwachting. Het gaat vooral om middelgrote bedrijven, niet om kleine.

Minister Blok benadrukt dat de digitale veiligheid in eerste instantie een verantwoordelijkheid is van het bedrijfsleven zelf. Het ontbreekt aan capaciteit om toezicht te houden op alle bedrijven in Nederland.

Digitale nachtwacht

De overheid wil bijstand bieden  door sneller informatie te delen over nieuwe cyberdreigingen. Zulke waarschuwingen gingen tot voor kort alleen naar vitale sectoren. Het is de bedoeling dat heel het Nederlandse bedrijfsleven op de hoogte gehouden wordt van dreigingsinformatie. Daarvoor heeft Economische Zaken een Digital Trust Center in het leven geroepen.

De waarschuwingen komen van het Nationaal Cyber Security Centrum, onderdeel van het ministerie van Justitie en Veiligheid. Inmiddels heeft een aantal grotere Nederlandse bedrijven het initiatief genomen voor een digitale ‘nachtwacht’ ; ze wisselen onderling dreigingsinformatie en waarschuwingen voor hackpogingen uit.