Het Nationaal Cyber Security Center (NCSC), onderdeel van het ministerie van Justitie en Veiligheid, gaat meer bedrijven informeren over geconstateerde cyberdreigingen. Tot vandaag kon het gebeuren dat bedrijven werden getroffen door aanvallen, waarvoor de NCSC had kunnen waarschuwen. Dat gaat veranderen.

Het NCSC zegt elke dag te werken aan een digitaal veiliger Nederland. Als het instituut informatie heeft over dreigingen en incidenten op de systemen van organisaties, wil het hen hierover informeren en adviseren. Bijvoorbeeld over welke maatregelen een organisatie het beste kan nemen. Tot 1 december mocht het NCSC deze informatie alleen delen met organisaties die als vitaal zijn aangemerkt of binnen de rijksoverheid vallen. Er was niet altijd een grondslag in de wet voor het NCSC om dreigings- en incidentinformatie te verstrekken aan andere organisaties. Die organisaties wisten daarom niet dat hun systemen kwetsbaar waren, terwijl het NCSC daarover wel informatie had. Dat is vanaf vandaag veranderd doordat de aangepaste Wet beveiliging netwerk- en informatiesystemen (Wbni) in werking treedt. Die zorgt nu precies voor die grondslag om meer informatie te verstrekken aan meer organisaties.

Lang op gewacht
Hans de Vries, directeur NCSC: “Vandaag is een dag waar we lang op hebben gewacht als organisatie en ik ben dan ook blij dat het eindelijk zo ver is. We kunnen vanaf vandaag informatie over bijvoorbeeld een kwetsbaarheid of ransomware aanval die eraan komt ook delen met organisaties die niet tot de vitale organisaties of de Rijksoverheid behoren. Zo maken we ook die organisaties digitaal veiliger en daarmee Nederland.”

Informeren en adviseren
De Wbni regelt de wettelijke taken van het NCSC op het terrein van cybersecurity. Primair heeft het NCSC onder andere tot taak om vitale aanbieders en organisaties binnen de rijksoverheid te informeren en adviseren over digitale dreigingen en incidenten. Hierdoor beschikt het NCSC regelmatig ook over informatie over digitale dreigingen of incidenten die relevant is voor andere organisaties. Het gaat dan bijvoorbeeld om distributeurs van voedselwaren, politieke partijen of containeroverslagbedrijven. Die informatie kan per 1 december ook worden verstrekt aan die andere aanbieders of hun schakelorganisaties. Je kan daarbij denken aan informatie waardoor het NCSC weet dat een organisatie software gebruikt die kwetsbaar is voor misbruik door criminelen of wanneer het NCSC informatie heeft over een op handen zijnde ransomware-aanval.

Schakelorganisaties
Zogeheten OKTT’s (organisaties die objectief kenbaar tot taak hebben om organisaties of het publiek te informeren over dreigingen en incidenten), die als schakelorganisaties van andere aanbieders fungeren, kunnen vanaf nu organisaties in hun achterban van die informatie en advies daarover voorzien. Daarnaast is er nu een grondslag voor het NCSC om in bijzondere gevallen dreigings- of incidentinformatie met andere aanbieders zelf te delen. Van een bijzonder geval is sprake als er geen schakelorganisatie (zoals een OKTT of computercrisisteam) is die de aanbieder van de informatie kan voorzien én de informatie over een dreiging of incident gaat met (potentiële) aanzienlijke gevolgen voor de continuïteit van de dienstverlening van de aanbieder.