SURFcert als beoogd sectoraal CSIRT: vragen en antwoorden
Wat betekent het voor SURF-leden als SURFcert het sectoraal CSIRT wordt onder de Cyberbeveiligingswet (Cbw)? Op deze pagina vind je antwoorden op de meest gestelde vragen.
Staat je vraag er niet tussen? Stuur ons een bericht via cert@surfcert.nl
Voor jou als lid verandert er in de praktijk weinig: SURFcert blijft het vertrouwde aanspreekpunt bij cyberdreigingen en incidenten. Een formele aanwijzing als sectoraal CSIRT vraagt wel om uitbreiding van capaciteit, zodat SURFcert die rol zo goed mogelijk kan invullen en jou nog beter kan ondersteunen.
Nee. SURFcert is en blijft er voor alle leden, ongeacht of jouw instelling onder de Cyberbeveiligingswet valt. De ondersteuning bij cyberdreigingen en incidenten blijft voor iedereen gelijk.
Het grootste voordeel is continuïteit. SURFcert kent de sector al jaren, en instellingen die onder de Cyberbeveiligingswet vallen behouden SURFcert als vertrouwde aanspreekpunt.
Daarnaast versterkt de wettelijke taak de positie van SURFcert binnen het Nederlandse cybersecuritynetwerk. Dit biedt kansen voor betere samenwerking, sterkere coördinatie bij grootschalige dreigingen en verdere ontwikkeling van de dienstverlening. Dat komt alle SURF-leden ten goede.
Nee. Het uitgangspunt is dat alle leden dezelfde ondersteuning krijgen, ongeacht of je instelling onder de Cyberbeveiligingswet valt of niet. Alles wat voor de wettelijke taak wordt ingericht - kennis, ervaring, capaciteit - is zo opgezet dat de hele sector ervan profiteert.
Leden die wél onder de Cbw vallen krijgen daarnaast extra verplichtingen, zoals de meld-, registratie- en zorgplicht. Ook daarvoor kun je bij SURFcert terecht voor advies en ondersteuning.
Leden die onder de Cyberbeveiligingswet (Cbw) vallen krijgen nieuwe verplichtingen, waaronder de meldplicht; zij moeten beveiligingsincidenten melden die boven een vastgestelde drempel uitkomen. SURFcert ontvangt deze meldingen en gebruikt ze om instellingen te ondersteunen en om een beeld te krijgen van dreigingen in de sector.
Voor leden die niet onder de Cbw vallen, blijft de ondersteuning hetzelfde.
Voor alle leden geldt: SURFcert blijft hét CSIRT voor de coöperatie. De samenwerking, vertrouwensbasis en inzet voor digitale weerbaarheid blijven hetzelfde.
In aanloop naar de wettelijke CSIRT-taak investeert SURFcert in mensen, processen en samenwerking. Daarbij blijft de ondersteuning van leden centraal staan. De wettelijke taak bouwt voort op wat SURFcert al jaren doet. Het is een volgende stap, geen nieuwe koers.
Nee. SURFcert blijft zorgvuldig en vertrouwelijk omgaan met gedeelde informatie, volgens de afspraken in het TLP-protocol.
De wet maakt een duidelijk onderscheid tussen ondersteuning en toezicht. SURFcert ondersteunt instellingen bij het voorkomen en afhandelen van incidenten. Toezichthouders zijn verantwoordelijk voor toezicht en handhaving.
SURFcert deelt geen informatie over een specifiek incident met toezichthouders. Meld je als instelling een incident onder de meldplicht? Dan wordt alleen de informatie die je op dat moment zelf invult doorgestuurd naar zowel SURFcert als de toezichthouder.
Sommige instellingen vallen onder een ander wettelijk CSIRT binnen de Cyberbeveiligingswet (Cbw). Zorginstellingen vallen bijvoorbeeld onder Z-CERT.
SURFcert en Z-CERT werken al samen voor instellingen die in beide sectoren actief zijn. Zij stemmen onderling af, zodat hun kennis en expertise elkaar versterken.
Voor onderzoeksinstellingen die het NCSC als wettelijk CSIRT hebben, geldt een vergelijkbare situatie. Ook daar wordt waar nodig afgestemd tussen de betrokken CSIRT’s.
Meer weten over de Cyberbeveiligingswet?
Kijk op onze focuspagina voor handvatten en hulpmiddelen
