Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!
De business consultants van Z-CERT krijgen regelmatig vragen over eHerkenning in relatie tot de Cyberbeveiligingswet (Cbw). In dit CBWeetje leggen we uit wat eHerkenning is en wanneer je het nodig hebt.
eHerkenning is een inlogmiddel waarmee een persoon bepaalde handelingen kan uitvoeren namens een organisatie. Een soort DigiD dus, maar dan in zakelijke context. In veel organisaties hebben personen op een financiële afdeling of bij een bestuurssecretariaat inlogmogelijkheden met eHerkenning nodig voor hun werk.
Als straks de Cbw van kracht wordt geldt een registratieplicht en een meldplicht. De registratieplicht houdt in dat iemand de organisatie registreert bij het NCSC en daarbij aangeeft dat de organisatie onder de Cbw valt. Voor de registratie is eHerkenning als inlogmiddel nodig. eHerkenning is ook nodig voor mutaties van bijvoorbeeld contactpersonen of domeinnamen. En als je ingelogd bent op het NCSC-portaal zie je ook welke meldingen er voor jouw organisatie zijn en wat de status hiervan is.
De meldplicht betekent dat organisaties die onder de Cbw vallen, significante incidenten verplicht moeten melden bij het NCSC. In een eerder CBWeetje schreven we al over deze meldplicht. Voor de zorg worden de incidentgegevens vanuit het NCSC doorgegeven aan Z‑CERT en IGJ. Het NCSC kent twee mogelijkheden om een incident te melden:
1. Via het webformulier op de website (link) (geen inlog en geen registratie nodig)
2. Via het meldformulier op het NCSC-portaal (inlog en afgeronde registratie nodig)
De Cbw stelt dat een entiteit op een laagdrempelige wijze een (volledige) melding moet kunnen indienen. Dit wordt mogelijk gemaakt via het webformulier. Het webformulier blijft daarom ook na de inwerkingtreding van de Cbw beschikbaar. Nadeel van het webformulier is dat je alle velden, bijvoorbeeld het KvK-nummer, moet invullen.
Het meldformulier kent meer vooraf ingevulde velden dan het webformulier en is daardoor handiger in het gebruik. Het inloggen op het meldformulier vereist wel eHerkenning.
Beoordeel welke aanpassingen in de processen van incident management en opschalingen nodig zijn om aan de meldplicht te voldoen. De significante incidenten moeten straks binnen 24 uur gemeld worden. Het is dus ook nodig om dit buiten kantooruren te kunnen!
Kies je voor het webformulier voor de incidentmeldingen, dan moeten de personen die dit moeten kunnen gebruiken alle gegevens hebben om een volledige melding te doen. Denk er dan aan om bijvoorbeeld het KvK nummer in de procesdocumentatie te bewaren.
Wil je het meldformulier gebruiken dan moet de functionaris die dit soort meldingen gaat doen (en een vervanger!) geregistreerd zijn in het NCSC-portaal en eHerkenning hebben. Bij veel organisatie zal dit betekenen dat er voor een CISO-achtige functie eHerkenning aangevraagd moet worden.
Er zijn verschillende betrouwbaarheidsniveaus van eHerkenning. Hoe gevoeliger de dienst, hoe hoger het betrouwbaarheidsniveau.
De verplichtingen vanuit de Cbw vereisen betrouwbaarheidsniveau EH2+. Het NCSC heeft een webpagina waarop veelgestelde vragen over eHerkenning beantwoord worden.