India verplicht melden cyberincidenten binnen 6 uur en registratie vpn-klanten

De Indiase overheid heeft nieuwe regels afgekondigd waardoor organisaties onder andere verplicht zijn om allerlei soorten cyberincidenten binnen zes uur te melden en moeten datacenters, vpn-providers en andere it-bedrijven gegevens van klanten verplicht registreren en voor een periode van minimaal vijf jaar bewaren. Dat meldt het Indiase ministerie van Elektronica en IT (pdf).

Serviceproviders, bedrijven en overheidsinstanties die met “cyberincidenten” te maken krijgen zullen dit vanaf juli verplicht binnen zes uur bij het Indiase Computer Emergency Response Team (CERT-In) moeten melden. Volgens het ministerie liep CERT-In bij het onderzoeken van cyberincidenten vaak tegen problemen aan die het onderzoek bemoeilijkten. Door het invoeren van een meldplicht moet de overheidsinstantie sneller op cyberincidenten kunnen reageren en die onderzoeken.

Het soort cyberincidenten dat moet worden gemeld is aanzienlijk. Het gaat onder andere om scans van vitale systemen, phishingaanvallen, datalekken, dos- en ddos-aanvallen, aanvallen op IoT-apparaten, malafide mobiele apps en ongeautoriseerde toegang tot socialmedia-omgevingen. Organisaties kunnen dergelijke incidenten via e-mail, fax of telefoon doorgeven.

Registratie klantgegevens

Een ander onderdeel van de aangekondigde maatregelen maakt het voor it-bedrijven verplicht om klantgegevens te registreren en voor een bepaalde periode te bewaren. De registratieplicht gaat gelden voor datacenters, vps-providers, cloudserviceproviders en vpn-providers. Die moeten onder andere gecontroleerde naam, adres- en contactgegevens van klanten registreren, alsmede de reden voor het afnemen van de dienst. De klantgegevens moeten minimaal vijf jaar worden bewaard.