Incident melden
Omdat de Cyberbeveiligingswet (de nationale implementatiewet van de NIS2-richtlijn) nog niet inwerking is getreden, blijft vooralsnog de Wbni gelden. Vitale aanbieders en aanbieders van essentiële diensten (AED’s) hebben in geval van ernstige incidenten een meldplicht bij het NCSC. Lees hieronder verder over de Wbni-melding. Daarnaast kunnen organisaties vanaf 17 oktober ook een vrijwillige NIS2-incidentmelding doen via dit formulier.
Wbni-melding
Op grond van de Wbni hebben vitale aanbieders en aanbieders van essentiële diensten (AED’s) in geval van ernstige incidenten een meldplicht bij het NCSC. AED’s melden ook bij hun sectorale toezichthouder. Digitale dienstverleners melden bij het CSIRT voor DSP’s.
Meldingen moeten zo snel mogelijk worden gedaan. Stuur een melding direct (indien gewenst versleutelde) naar cert@ncsc.nl onder vermelding van de meldplicht. U kunt ook gebruik maken van het formulier Wbni melding.
Bij een incident gaat het om elke gebeurtenis met een schadelijk effect op de beschikbaarheid, integriteit, vertrouwelijkheid en authenticiteit van netwerk- en informatiesystemen.
Moet elk incident worden gemeld? Nee, niet elk incident moet gemeld worden. U moet vaststellen of het incident aanzienlijke gevolgen voor uw dienstverlening heeft, want alleen die incidenten moeten worden gemeld. Het gaat hierbij onder meer om het aantal gebruikers dat door de verstoring van de dienst wordt getroffen of de gevolgen van een incident voor economische en maatschappelijke activiteiten. Zo zijn er ‘aanzienlijke gevolgen’ wanneer:
- de dienst in de EU meer dan 5.000.000 gebruikersuren niet beschikbaar is;
- het incident heeft in de EU voor meer dan 100.000 gebruikers negatieve gevolgen inzake de integriteit, vertrouwelijkheid of authenticiteit;
- een of meerdere gebruikers van de dienst hebben meer dan 1.000.000 EUR schade opgelopen;
- er is sprake van een risico voor de openbare veiligheid, openbare beveiliging of het verlies van een of meerdere mensenlevens.
In de factsheet staat meer informatie over wanneer, waarom en hoe u een Wbni melding doet bij het NCSC voor digitale veiligheidsincidenten.
Vrijwillige melding
Het is bij het NCSC altijd mogelijk om als digitale dienstverlener een vrijwillige melding te doen. Er wordt gesproken van een vrijwillige melding als er nog geen aanleiding is voor een wettelijk verplichte melding.
Indien u wordt getroffen door een incident, kunt u 24/7 contact opnemen met het NCSC. Ook bij vrijwillige melding kan het NCSC mogelijk ondersteuning en advies bieden. Bij een vrijwillige melding is er geen verplichting om dit te melden bij de toezichthouder, het Rijksinspectie Digitale Infrastructuur. U bepaald zelf welke informatie u wilt delen met het NCSC. Het NCSC bewaard op nationaal niveau het overzicht van cybersecurity dreigingen voor digitale dienstverleners. Vrijwillige meldingen dragen bij aan dit beeld en ondersteunt het NCSC om een actueel dreigingsbeeld te kunnen delen met digitale dienstverleners, zodat organisaties voorbereid zijn op actuele dreigingen.
U kunt een vrijwillige melding bij het NCSC doen via ons meldformulier, per e-mail of telefonisch. Bij urgente incidenten raden wij u aan telefonisch contact met ons op te nemen.
Documenten
-
Meldplicht bij het NCSC voor digitale veiligheidsincidenten
In deze factsheet staat beschreven wanneer, waarom en hoe u een Wbni melding doet bij het NCSC voor digitale ...
-
Formulier NCSC melding Wbni
Met dit formulier kunt u een Wbni melding doen bij het NCSC. Let op: Dit formulier kunt u niet online openen. De pdf-formulieren ...