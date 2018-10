Bedrijven die essentiële diensten leveren, zoals energieleveranciers of luchthavens, zullen binnenkort cyberaanvallen moeten melden aan de overheid. Die bouwt daar een meldpunt voor.

Op vraag van Europa verstevigt ons land de verdedigingslinie tegen cyberaanvallen en werkt het aan de omzetting van de NIS-richtlijn. Die maatregelen voor de beveiliging van netwerk- en informatiesystemen is gericht op twee groepen van bedrijven.

Enerzijds gaat het om bedrijven die ‘vitale’ diensten leveren, zoals energieproducenten, drinkwaterleveranciers en luchthavens. Anderzijds om bedrijven die zuiver digitale diensten leveren, zoals zoekmachines, clouddiensten of webplatformen.

Europa schetste de algemene principes, maar ons land moet die nu verder invullen. Wetgeving over wat precies van die bedrijven verwacht wordt, wordt waarschijnlijk tegen eind dit jaar door het parlement goedgekeurd.

Lijst

Tegen volgende zomer wil het Centrum voor Cybersecurity (CCB) samen met de sectororganisaties een lijst opstellen van bedrijven die zulke vitale diensten leveren. ‘In het jaar nadat ze aangewezen zijn, moeten ze de benodigde cybersecuritymaatregelen doorgevoerd hebben’, stelt Valéry Vander Geeten, expert bij het CCB.

De cybersecuritymaatregelen die de bedrijven zullen moeten nemen, zullen sectorspecifiek zijn. ‘Elk IT-systeem is nu eenmaal anders’, vervolgt Vander Geeten. ‘Misschien houdt een bepaalde set regels geen steek voor een bepaald soort bedrijven.’ Alle betrokken bedrijven zullen wel de plicht hebben een cyberaanval te melden bij een centrale instantie.

Bedrijven zullen de melding moeten doen vanaf het moment dat ze zich bewust zijn van de aanval.

Het gaat om cyberaanvallen met een ‘significante impact’, waarbij het bedrijf gegevens verloren ziet gaan. ‘Bedrijven zullen die melding moeten doen vanaf het moment dat ze zich bewust zijn van de aanval.’

Om de melding te kunnen doen bouwt het CCB een digitaal platform. Elk bedrijf krijgt daarop een centrale login, waarmee het op zijn beurt extra logins kan aanmaken voor personeelsleden die instaan voor de veiligheid van de IT-systemen.

Het CCB verwacht dat het systeem tegen eind volgend jaar of begin 2020 operationeel is. Dat valt ongeveer samen met de deadline waartegen bedrijven ook in orde moeten zijn met de sectorspecifieke regels. De mogelijkheid om te bellen blijft bestaan voor het geval er geen internetverbinding is.

Maturiteit

Door de meldingsplicht bij een cyberaanval moeten andere bedrijven, sectoren of landen sneller op de hoogte zijn van de aanval. Het digitale platform van de CCB is gebaseerd op een systeem dat de telecomoperatoren en de telecomwaakhond BIPT nu al hanteren in hun sectoren.

Het BIPT verstrengde in de nasleep van de terreuraanslagen van 2016 vanaf wanneer de operatoren melding moeten maken. ‘Vroeger ging het om een aantal notificaties per jaar. Sinds de verstrenging is dat gevoelig meer geworden’, zegt BIPT-woordvoerder Jimmy Smedts

Het voorbeeld van de telecomsector toont dat sommige sectoren al een zekere voorsprong hebben op de nakende golf nieuwe cybersecuritymaatregelen. ‘De maturiteit van de beveiliging van informaticasystemen varieert heel erg per sector’, aldus Vander Geeten. De financiële wereld is volgens hem al goed mee, de gezondheidssector minder.