Een van de meest concrete verplichtingen onder de Cyberbeveiligingswet is de meldplicht. Significante incidenten moeten gefaseerd worden gemeld bij het CSIRT en de toezichthouder. De termijnen zijn strak, dus het proces moet vooraf belegd zijn.
De getrapte meldtermijnen
- Binnen 24 uur
- Een vroegtijdige waarschuwing: een eerste signaal, met indien bekend of er sprake is van kwaadwillig handelen of grensoverschrijdende impact.
- Binnen 72 uur
- De formele incidentmelding: een eerste beoordeling van ernst en impact, met indien beschikbaar indicatoren van compromittering.
- Binnen één maand
- Een eindverslag: de oorzaak, de getroffen maatregelen en eventuele grensoverschrijdende gevolgen.
Wanneer is een incident significant?
Een incident is significant als het een ernstige operationele verstoring of financiële schade veroorzaakt, of aanzienlijke materiële of immateriële schade voor anderen tot gevolg kan hebben. Het is verstandig om deze criteria vooraf te vertalen naar concrete drempels voor uw eigen dienstverlening.
Waar ook persoonsgegevens zijn geraakt, blijft daarnaast de AVG-meldplicht bij de Autoriteit Persoonsgegevens gelden. Eén incident kan dus twee meldroutes hebben.
Bereid het proces voor
Richt een 24/7-bereikbaar meldpunt in, leg vast wie meldt en via welk kanaal, en maak sjablonen klaar voor de 24-uurs-, 72-uurs- en eindmelding. Oefen het minimaal jaarlijks.