Australië heeft een gedurfde stap gezet om zijn cyberweerbaarheid te versterken met de invoering van het verplichte meldingssysteem voor betalingen aan ransomware en cyberafpersers onder deel 3 van de Cyber Security Act 2024 (Cyber Security Act).
Deze nieuwe regeling, die op 30 mei 2025 in werking treedt, verplicht bepaalde entiteiten – waaronder bedrijven met een jaarlijkse omzet van meer dan 3 miljoen dollar en entiteiten die verantwoordelijk zijn voor kritieke infrastructuur – om alle betalingen aan ransomware of cyberafpersers, of betalingen waarvan bekend is dat ze namens hen zijn gedaan, binnen 72 uur na betaling te melden.
Deze nieuwe verplichte vereisten zijn een reactie op de groeiende dreiging van ransomware-aanvallen in Australië. Volgens het Annual Cyber Threat Report 2023-2024 had meer dan 70% van de cyberbeveiligingsincidenten in verband met afpersing waarop het Australian Signals Directorate in het boekjaar 2023-2024 heeft gereageerd, betrekking op ransomware.
Eind mei ingegaan
De verplichte meldingsplicht voor ransomware en cyberafpersing is op 30 mei 2025 ingegaan. Vanaf deze datum zijn alle meldingsplichtige bedrijfsentiteiten verplicht om ransomware en cyberafpersing te melden met behulp van het formulier van het Australian Signals Directorate ( Australian Signals Directorate’s form).
De implementatie van de meldingsplicht zal in twee fasen plaatsvinden, zodat er tijd is om vertrouwd te raken met de regeling:
- Fase 1: Education First Approach (30 mei 2025 tot 31 december 2025 – 6 maanden)
Tijdens deze eerste periode van zes maanden zal het ministerie van Binnenlandse Zaken prioriteit geven aan een ‘eerst educatie’-benadering en zal het alleen regelgevende maatregelen nemen in gevallen van ernstige niet-naleving door bedrijven die incidenten melden.
- Fase 2: Compliance and Enforcement Approach (Naleving en handhaving, (vanaf 1 januari 2026)
Naarmate het meldingsstelsel wordt versterkt en gereguleerde entiteiten vertrouwd raken met hun verplichte meldingsvereisten, zal het ministerie van Binnenlandse Zaken zich meer gaan richten op actieve regelgeving.
Voor wie gelden de meldingsverplichtingen?De verplichtingen gelden voor meldingsplichtige bedrijfsentiteiten, zoals gedefinieerd in de Cyber Security Act.Op grond van artikel 26 van de Cyber Security Act worden de volgende entiteiten aangemerkt als meldingsplichtige bedrijfsentiteiten en moeten zij melding maken van betalingen voor ransomware of cyberafpersing:
- Entiteiten die in Australië actief zijn en in het afgelopen boekjaar een jaaromzet van 3 miljoen AUD of meer hebben behaald (met uitzondering van staats- en Commonwealth-instanties).
- Verantwoordelijke entiteiten voor kritieke infrastructuur, zoals gedefinieerd in deel 2B van de Security of Critical Infrastructure Act 2018 (Cth).
Welke cyberbeveiligingsincidenten moeten worden gemeld?
Meldingsplichten zijn van toepassing op relevante entiteiten wanneer:
- er zich een cyberbeveiligingsincident heeft voorgedaan, zich voordoet of op handen is;
- dat cyberbeveiligingsincident een (directe of indirecte) impact heeft gehad, heeft of redelijkerwijs kan worden verwacht dat het een impact zal hebben op een meldende bedrijfsentiteit;
- een afpersende entiteit een eis heeft gesteld om te profiteren van dat cyberbeveiligingsincident of de impact ervan op de meldende bedrijfsentiteit; en
- de meldende entiteit een voordeel (bijvoorbeeld betaling, diensten of gegevens) aan de afpersende entiteit heeft verstrekt (of weet dat een andere entiteit dit namens haar heeft gedaan) dat rechtstreeks verband houdt met de eis.
Wat zijn de sancties bij niet-naleving?
Op grond van de Cyber Security Act kunnen rapporterende bedrijfsentiteiten die ransomwarebetalingen niet binnen de vereiste termijn van 72 uur melden, civielrechtelijke sancties krijgen van maximaal 60 strafpunten (momenteel 19.800 dollar).Naast wettelijke sancties kan niet-naleving organisaties blootstellen aan reputatieschade en verlies van vertrouwen van klanten, partners en investeerders.
