Een incident melden

Welke incidenten moet je melden?

Je bent verplicht te melden als een incident voldoet aan de criteria (de drempelwaarden) uit het Cyberbeveiligingsbesluit Hoger Onderwijs. Het gaat om:

• grote verstoringen van onderwijs of onderzoek - bijvoorbeeld een ransomware-aanval waardoor tentamens niet kunnen doorgaan, of een langdurige uitval van onderzoeksinfrastructuur waardoor onderzoeksdata ontoegankelijk is;
• het binnendringen van een kwaadaardige actor - bijvoorbeeld een hacker die toegang krijgt tot het studentinformatiesysteem, of malware die via een phishingmail het interne netwerk van je instelling binnendringt.

Ook incidenten die redelijkerwijs tot zo'n situatie kunnen leiden, moet je melden. Raadpleeg het besluit voor de precieze definities.

Voldoet je incident niet aan de drempelwaarden?

Dan heet dit een niet-significant incident. Meld dit incident dan alsnog vrijwillig bij SURFcert via cert@surfcert.nl of via de officiële formulieren, zodat er altijd een duidelijk beeld ontstaat van de dreigingen binnen de sector. Wanneer je een niet-significant incident via de officiële route meldt, gaat de melding alleen naar SURFcert, en niet naar de toezichthouder. Daarnaast kun je elk incident - significant of niet – altijd vertrouwelijk delen binnen de SCIRT-community.

Wanneer moet je een incident melden?

Een melding verloopt in 3 fases:

Fase	Termijn	Wat je meldt
Vroegtijdige melding	Binnen 24 uur	Eerste bekende informatie over het incident
Vervolgmelding	Binnen 72 uur	Aanvulling op de eerste melding
Eindverslag	Binnen 1 maand	Oorzaak (root cause), gevolgen en reikwijdte - of een tussenstand als het incident nog loopt

Let op: de termijnen zijn in klokuren. Een incident dat op zaterdag ontdekt wordt, moet dus datzelfde weekend nog gemeld worden.

Hoe moet je een incident melden?

Melden doe je binnen de gestelde termijnen via het centrale loket, dat wordt gehost door het NCSC. De melding gaat niet naar het NCSC zelf, maar direct naar SURFcert (als jouw CSIRT) en de Inspectie van het Onderwijs (als toezichthouder).

Stap 1 - Inloggen via MijnNCSC (voorkeur)

Als jouw instelling geregistreerd is onder de Cbw, log je in op MijnNCSC met eHerkenning. Vul de gevraagde gegevens voor de vroegtijdige waarschuwing in, zoals details over het incident en de contactpersoon binnen je instelling.

Stap 2 - Vervolgfases

Open de vroegtijdige waarschuwing opnieuw in MijnNCSC en kies de volgende meldfase om de informatie over je melding aan te vullen.

Geen toegang tot MijnNCSC?
Je kunt ook zonder inlog melden, via het beveiligde meldformulier op de NCSC-website. Overigens kun je op elk moment – dus ook al voordat je de formele melding doet - contact opnemen met SURFcert voor hulp of advies.

Wat gebeurt er na je melding?

Je melding gaat tegelijkertijd zowel naar SURFcert als naar de Inspectie van het Onderwijs. Het proces verloopt als volgt:

• SURFcert bevestigt de melding zo snel mogelijk – in ieder geval binnen 24 uur – en biedt hulp en advies. SURFcert gebruikt de informatie uit de melding ook (vertrouwelijk) om andere instellingen te beschermen en een sectoraal dreigingsbeeld te vormen.
• De Inspectie van het Onderwijs gaat als toezichthouder zelfstandig met de melding aan de slag.

Doe je een vrijwillige melding (die onder de drempelwaarden blijft)? Dan gaat die alleen naar SURFcert.

Op nationaal en Europees niveau worden gemelde incidenten statistisch samengevoegd voor dreigingsbeeldvorming. De details van individuele meldingen worden daarvoor nooit gebruikt.

Hoe zit het met de AVG-meldplicht?

Zijn er bij het incident ook persoonsgegevens gelekt? Dan moet je dat binnen 72 uur apart melden bij de Autoriteit Persoonsgegevens, oftewel binnen dezelfde termijn als de vervolgmelding onder de Cbw. Er is op dit moment geen mogelijkheid om de twee meldingen samen te voegen.