Het ‘Incident’ als belangrijk element van de Cyberbeveiligingswet

Het begrip incident (hierna verder ook ‘Incident’) neemt ook een centrale plaats in de meldings- en registratieprocedures onder de genoemde regelgeving. Significante Incidenten moeten worden gemeld bij de bevoegde autoriteiten. Incidenten en bijna-Incidenten kunnen vrijwillig worden gemeld bij het CSIRT (het nationale Computer Security Incident Response Team).

Veel organisaties beschikken over een Incident Respons Plan (vaak ook al om op een adequate manier om te kunnen gaan met datalekken onder de Algemene Verordening Gegevensbescherming). Het is van belang om in dat Incident Respons Plan voor de uitvoering van de Cbw een juist onderscheid te maken tussen soorten Incidenten. Dit onderscheid is geen louter technische classificatie, maar vormt het ook het juridische aanknopingspunt voor de verplichtingen en het toezicht onder de Cbw.

Alle reden dus om het begrip ‘Incident’ aan een nadere analyse te onderwerpen.

Kernbegrip: “Incident”

De basis van het begrip Incident vinden we in de lijst van definities in de Cbw.

Uitgangspunt is één breed basisbegrip:

• Incident
  Elke gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van netwerk‑ en informatiesystemen of de daarop verwerkte gegevens in gevaar brengt of aantast.

Daarmee wordt het begrip Incident zeer ruim uitgelegd (technisch, organisatorisch, kwaadwillend én niet‑kwaadwillend). Het begrip Incident is zowel belangrijk voor de invulling van de zorgplicht als voor de meldplichten waaraan onder de Cbw voldaan moet worden. Het gevolg is wel dat vrijwel elke verstoring of beveiligingsinbreuk als een Incident kwalificeert.

Gecategoriseerde Incidenten in de Cbw ‑systematiek

De Cbw kent zoals aangegeven verschillende soorten Incidenten. In de basis kan er een onderscheid worden gemaakt naar drie categorieën.

1 Significant (of “ernstig”) Incident

Dit is de categorie die de meest vergaande juridische consequenties met zich meebrengt omdat hierop zowel de bepalingen van de zorgplicht als de verplichte melding zien:

• Significant Incident
  het gaat hier om een Incident dat:
  • een ernstige operationele verstoring van diensten veroorzaakt of kan veroorzaken (continuïteit),
  • financiële verliezen voor de organisatie kan veroorzaken,
  • of aanzienlijke materiele of immateriële schade veroorzaakt of kan veroorzaken bij andere partijen

Er moet sprake zijn van aanzienlijke gevolgen voor de dienstverlening, waarbij factoren als duur en omvang (aantallen gebruikers) bepalend zijn.

Alleen voor deze categorie geldt de verplichte meldplicht aan de bevoegde autoriteit en in voorkomende gevallen ook aan de gebruikers van diensten.  

Criteria

In de lagere regelgeving, met name de ministeriele regelingen (maar ook in de Europese uitvoeringsregels voor digitale dienstverleners) worden factoren die van invloed kunnen zijn op de vraag of een Incident als ‘significant’ moet worden beschouwd, verder uitgewerkt en geconcretiseerd:

• aantal getroffen gebruikers,
• duur van de verstoring,
• geografische verspreiding,
• mate van economische/maatschappelijke schade,
• impact op veiligheid/gezondheid.

Daarnaast concretiseren de onderliggende ministeriële regelingen de genoemde factoren ook nog eens op een sector-specifiekniveau (bijvoorbeeld voor energie, zorg of voedselveiligheid) waarbij wordt gewerkt met triggerevents.

Daarbij kan gedacht worden aan: de impact op de netwerkbeschikbaarheid (telecom), patientveiligheid (zorg), verstoring van de publieke dienstverlening (overheid) of de leveringszekerheid (energie)

2 (Gewoon) Incident zonder significante impact

• Het gaat hierbij wel om een Incident dat valt onder de definitie van de Cbw maar:
  • niet meldplichtig is onder de Cbw (er kan wel vrijwillige melding van worden gedaan aan het CSIRT)
  • het Incident moet wel intern worden beheerst onder de zorgplicht, denk aan de verplichte Incidentbehandeling en herstel- en crisisplannen.

Denk hierbij aan kleine storingen of afgeweerde aanvallen zonder relevante impact.

3 Dreiging/ (bijna) Incident

De dreiging en het bijna-Incident worden als een aparte categorie genoemd in het Cbw en het Cbb. Er geldt geen verplichte melding, maar ze zijn wel relevant voor de uitvoeringspraktijk (en met name in de eerste 24 uur nadat het Incident zich voordoet en het mogelijk nog niet duidelijk is of het om een ‘significant’ Incident gaat).

• Cyberdreiging/bijna-Incident:
  • een gebeurtenis die nog geen schade heeft veroorzaakt,
  • maar dat mogelijk wél kan doen.

Deze categorie is vooral van belang bij:

• ‘vroegtijdige waarschuwing’ in het kader van de verplichte meldingen,
• vrijwillige melding aan het CSIRT.

Meldfasen van Significante Incidenten

De Cbw onderscheidt drie meldfasen voor significante Incidenten.

1 Vroegtijdige waarschuwing

De eerste melding van een (significant) Incident dient plaats te vinden binnen 24 uur na de kennisname van het Incident. Op dat moment hoeft nog niet volledig duidelijk te zijn dat het om een Incident gaat met de kwalificatie ‘significant’.

• Het gaat om het eerste signaal dat:
  • een (significant) Incident plaatsvindt,
  • (vermoedelijk) veroorzaakt is door een onrechtmatige of kwaadwillende handeling is,
  • of het Incident grensoverschrijdende impact heeft.

2 Incidentmelding

De tweede melding dient onverwijld plaats te vinden maar uiterlijk binnen 72 uur na de kennisname van het Incident. Op dit moment zal wel duidelijk moeten zijn dat het om een ‘significant’ Incident gaat, In de melding dienen de volgende factoren die het Incident betreffen te worden meegenomen:

• update van de informatie van de vroegtijdige waarschuwing
• een initiële beoordeling van de aard en ernst van het Incident,
• impactanalyse van de getroffen systemen,
• beschikbare informatie om eventuele grensoverschrijdende gevolgen te kunnen bepalen

3 Eindverslag

Binnen uiterlijk een (1) maand na de kennisname van het Incident dient er een eindverslag te worden opgeleverd aan de bevoegde autoriteit. Daarin dient op zijn minst te zijn opgenomen

• een uitgebreide beschrijving van het Incident inclusief de ernst en de gevolgen van het Incident,
• de grondoorzaak die tot het Incident heeft geleid (root cause),
• alle toegepaste en lopende risicobeperkende maatregelen,
• de (eventuele) grensoverschijdende gevolgen van het Incident.

Naast de bovenstaande drie meldfasen, dient gedurende de gehele meldfase (dat wil zeggen totdat er een eindverslag wordt ingediend) op verzoek van de CSIRT of de bevoegde autoriteit de essentiële of belangrijke entiteit van updates over het Incident te voorzien.

Als het Incident nog voortduurt op het moment dat de periode van een (1) maand na kennisname is verstreken, kan worden volstaan met een voortgangsverslag dat de elementen die hierboven worden genoemd, bevatten. Een maand na de afhandeling van het Incident dient dan een eindverslag te worden ingediend.

De eventuele melding van een significant Incident aan de gebruikers van een dienst kent haar eigen meldprocedure. De gebruikers van de dienst worden onverwijld in kennis gesteld van een significant Incident als dat Incident een nadelige invloed heeft op de verlening van de diensten aan de gebruikers.

Conclusie

De Cbw kent geen gesloten lijst van concrete Incidentsoorten, maar werkt met een gelaagd systeem met verschillende juridische consequenties:

1. Incident (breed)
2. Significant Incident (zorgplicht en meldplichtig)
3. Gewoon Incident (zorgplicht en vrijwillige melding)
4. Cyberdreiging/bijna-Incident (mogelijke melding)

Voor het opstellen van een Incident Response Plan onder de Cbw is het van belang om rekening te houden met de volgende aandachtspunten:

• Sluit aan bij de Incident categorisering in de Cbw
• Zorg dat de juiste juridische consequenties worden verbonden aan het type Incident
• Zorg dat de categorisering ook gehanteerd wordt in alle andere documentatie die onder de Cbw van belang is
• Kijk met name voor de kwalificatie van significante Incidenten nauwgezet naar de criteria en drempelwaarden in de ministeriele regelingen die op jouw sector van toepassing zijn
• Vergeet niet dat in voorkomende gevallen niet alleen de bevoegde autoriteiten maar ook de gebruikers van diensten op de hoogte dienen te worden gebracht van een Incident
• Maak een keuze in dat wat je doet met gewone Incidenten en bijna-Incidenten: wel of geen vrijwillige melding, wel of geen interne registratie