Meldplicht aanbieders essentiële diensten

Aanbieders van essentiële diensten in de sectoren Energie en Digitale Infrastructuur zijn verplicht om alle incidenten die aanzienlijke gevolgen hebben voor de continuïteit van hun dienstverlening en/of de drempelwaarde(n) overschrijden, onverwijld te melden bij de Rijksinspectie Digitale Infrastructuur (RDI) en het Nationaal Cyber Security Centrum (NCSC).

Definitie van een incident

Onder een incident verstaan we een gebeurtenis met schadelijke effecten op de beveiliging van netwerk- en informatiesystemen, met verstoring van de dienstverlening tot gevolg. Het kan daarbij gaan om verlies aan continuïteit, integriteit, authenticiteit of vertrouwelijkheid van de opgeslagen, verzonden of verwerkte gegevens.

Wanneer geldt de meldplicht?

De meldplicht geldt alleen voor incidenten die de drempelwaarde(n) overschrijden en/of aanzienlijke gevolgen hebben voor de continuïteit van de diensten die u verleent. Het Ministerie van Economische Zaken en Klimaat heeft binnen de sectoren Energie en Digitale Infrastructuur de drempelwaarde(n) aan betreffende organisaties bekend gemaakt. Bepaal aan de hand van onderstaand schema (met vermelding van de drempelwaarden) of een incident aanzienlijke gevolgen aanzienlijke gevolgen heeft voor de continuïteit van de diensten die u verleent. 

Controleer of een incident aanzienlijke gevolgen aanzienlijke gevolgen heeft voor de continuïteit van de diensten die u verleent.

Bij welke partijen meldt u een incident?

U meldt een incident bij de Rijksinspectie Digitale Infrastructuur (RDI) en bij het Nationaal Cyber Security Centrum (NCSC). Het is mogelijk dat u ook bij andere toezichthouders een melding moet doen, zoals bij de Autoriteit Persoonsgegevens (AP). 

Incidenten bij andere partijen

Ook bij digitale dienstverleners bij wie u diensten -zoals clouddiensten- afneemt, kunnen incidenten plaatsvinden. Als incidenten bij één van die leveranciers aanzienlijke gevolgen hebben voor de continuïteit van uw essentiële dienstverlening, moet u dit melden bij de Rijksinspectie Digitale Infrastructuur en het NCSC.

Hoe meldt u een incident bij de Rijksinspectie Digitale Infrastructuur?

Vul het daarvoor bestemde meldformulier AED in, en stuur het ons retour. Retourneren kan op de volgende manieren: 

  • Via ons beveiligde infoportal: Om gebruik te maken van het infoportal heeft u een account nodig. Neem hiervoor contact op met de Rijksinspectie Digitale Infrastructuur via wbni@rdi.nl. U krijgt dan de benodigde inloggegevens en informatie over de contactpersoon die u wordt toegewezen voor dit incident.
  • Via e-mail naar wbni@rdi.nl. Let op: de inhoudelijke incidentgegevens zijn mogelijk te gevoelig om via e-mail verzonden te worden!

Wat gebeurt er nadat u een incident meldt?

Nadat u een melding heeft gedaan bij de Rijksinspectie Digitale Infrastructuur nemen we contact met u op. We vragen u dan om aanvullende informatie. Na melding vindt er nader onderzoek plaats, en monitoren we uw verbeteringen. Dat doen we samen met u. Dit betekent dus dat we niet automatisch handhavend optreden. Dat gebeurt pas als uw organisatie verwijtbaar in overtreding is met de Wbni. Soms is het nodig om het publiek te informeren over een incident. Bijvoorbeeld om het incident te beheersen, of escalatie te voorkomen. Als dit bij een incident binnen uw organisatie het geval is, informeren we u hier van tevoren over. Het is ook mogelijk dat we u vragen om het publiek zelf te informeren. 

Incidenten vrijwillig melden

We nodigen u nadrukkelijk uit om incidenten die (nog) niet onder de meldplicht vallen, óók bij ons te melden. Ook van incidenten met kleinere impact kunnen we samen veel leren. Het delen van deze informatie kan de digitale weerbaarheid van de hele sector bevorderen. 

Delen van gegevens

Als de Rijksinspectie Digitale Infrastructuur het noodzakelijk vindt om vertrouwelijke gegevens over uw organisatie aan derden te verstrekken, gebeurt dit alleen voor zover wet- en regelgeving dit toestaat. Dat doen we op voorwaarde dat de geheimhouding voldoende is geborgd en als voldoende is gewaarborgd dat gegevens niet voor een ander doel worden gebruikt. De Wet open overheid is niet van toepassing op deze vertrouwelijke gegevens.