Op dit moment (april 2017) loopt er een consultatie die als doel heeft om een besluit in werking te laten treden waarin wordt geregeld voor welke vitale aanbieders en producten en diensten (infrastructuur) deze meldplicht gaat gelden. Het voorstel tot wet bevat een meldplicht voor ernstige ICT-incidenten. Deze algemene maatregel van bestuur wijst de vitale aanbieders en producten en diensten aan waarvoor die meldplicht gaat gelden. De melding wordt behandeld door het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het Ministerie van Veiligheid en Justitie. De meldplicht heeft primair tot doel om het NCSC in staat te stellen om de risico’s van het ICT-incident te kunnen inschatten en de betrokken aanbieder bij te staan.
Onder vitale infrastructuur verstaan we producten, diensten en de onderliggende processen die van essentieel belang zijn voor het dagelijkse leven van de meeste mensen in Nederland. Als deze infrastructuur uitvalt, kan dat grootschalige maatschappelijke ontwrichting veroorzaken. De onderstaande financiële processen zijn (al) in 2001 als vitaal geïdentificeerd in Nederland en vallen binnen categorie B.
In categorie B staat de infrastructuur die bij verstoring, aantasting of uitval de ondergrenzen van minstens één van de drie impactcriteria voor categorie B raakt te weten:
Het onderwerp vitale infrastructuur en melden van incidenten is niet nieuw. Melden was altijd al verplicht aan DNB vanwege de plicht zoals beschreven in de Wft. De aanleiding tot het aanwijzen van kwetsbare vitale infrastructuur in 2001 en de herijking in 2010 is gelegen in de gebeurtenissen rondom millennium en later 9/11. Bij de bescherming van vitale belangen in Nederland gaat het niet alleen om de bescherming tegen terroristische aanslagen, maar ook tegen bijvoorbeeld natuurgeweld, organisatorische en technische gebreken (waaronder cybercrime). Het nu tevens moeten melden aan NCSC is echter wel nieuw.