Meldplicht

De meldplicht uit de Wbni voor digitale dienstverleners houdt in dat zij incidenten zo spoedig mogelijk moeten melden bij het CSIRT-DSP (met als doel om de schade voor zichzelf en de sector zo veel mogelijk te beperken) en daarnaast onverwijld melding doen van het incident bij de toezichthouder Rijksinspectie Digitale Infrastructuur.

Bij een incident gaat het om elke gebeurtenis met een schadelijk effect op de beschikbaarheid, integriteit, vertrouwelijkheid en authenticiteit van netwerk- en informatiesystemen.

Moet elk incident worden gemeld? Nee, niet elk incident moet gemeld worden. U moet vaststellen of het incident aanzienlijke gevolgen voor uw dienstverlening heeft, want alleen die incidenten moeten worden gemeld. Het gaat hierbij onder meer om het aantal gebruikers dat door de verstoring van de dienst wordt getroffen of de gevolgen van een incident voor economische en maatschappelijke activiteiten. Zo zijn er ‘aanzienlijke gevolgen’ wanneer:

  • de dienst in de EU meer dan 5.000.000 gebruikersuren niet beschikbaar is;
  • het incident heeft in de EU voor meer dan 100.000 gebruikers negatieve gevolgen inzake de integriteit, vertrouwelijkheid of authenticiteit;
  • een of meerdere gebruikers van de dienst hebben meer dan 1.000.000 EUR schade opgelopen;
  • er is sprake van een risico voor de openbare veiligheid, openbare beveiliging of het verlies van een of meerdere mensenlevens.

Indien het incident niet voldoet aan de criteria voor een verplichte melding, is het mogelijk om een vrijwillige melding bij het CSIRT-DSP te doen.