LegalizeWet van 17 oktober 2018, houdende regels ter implementatie van richtlijn (EU) 2016/1148 (Wet beveiliging netwerk- en informatiesystemen)
Allen, die deze zullen zien of horen lezen, saluut! doen te weten:
Alzo Wij in overweging genomen hebben dat het gelet op richtlijn (EU) 2016/1148 noodzakelijk is om wettelijke bepalingen vast te stellen ter bevordering van de beveiliging van netwerk- en informatiesystemen;
Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:
Hoofdstuk 1. Begripsbepalingen
Artikel 1. (begripsbepalingen)
In deze wet en de daarop berustende bepalingen wordt verstaan onder:
- –. aanbieder: overheidsorganisatie of privaatrechtelijke rechtspersoon die een dienst exploiteert, beheert of beschikbaar stelt;
- –. aanbieder van een essentiële dienst: aanbieder van een essentiële dienst als bedoeld in artikel 4 van de NIB-richtlijn, aangewezen op grond van artikel 5, eerste lid, onder a;
- –. beveiliging van netwerk- en informatiesystemen, digitale dienst, incident, netwerk- en informatiesysteem, norm, onderscheidenlijk afbreekrisico: hetgeen daaronder wordt verstaan in artikel 4 van de NIB-richtlijn;
- –. bevoegde autoriteit: bevoegde autoriteit, genoemd in artikel 4;
- –. centraal contactpunt: centraal contactpunt als bedoeld in artikel 8, derde lid, van de NIB-richtlijn;
- –. CSIRT: Computer security incident response team als bedoeld in artikel 9 van de NIB-richtlijn;
- –. CSIRT voor digitale diensten: CSIRT, aangewezen op grond van artikel 4, tweede lid, onder b;
- –. digitaledienstverlener: rechtspersoon die een digitale dienst aanbiedt en gelet op artikel 18, eerste en tweede lid, van de NIB-richtlijn onder de jurisdictie van Nederland valt, met uitzondering van kleine en micro-ondernemingen als bedoeld in artikel 16, elfde lid, van de NIB-richtlijn;
- –. NIB-richtlijn: richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194);
- –. Onze Minister: Onze Minister van Justitie en Veiligheid;
- –. vitale aanbieder:
- a. aanbieder van een essentiële dienst;
- b. aanbieder van een andere dienst waarvan de continuïteit van vitaal belang is voor de Nederlandse samenleving.
Hoofdstuk 2. Taken van Onze Minister
Artikel 2. (centraal contactpunt; CSIRT voor essentiële diensten; instantie voor vrijwillige meldingen)
Onze Minister is:
- a. het centrale contactpunt;
- b. voor aanbieders van een essentiële dienst: het CSIRT;
- c. de instantie voor de behandeling van vrijwillige meldingen als bedoeld in artikel 16.
Artikel 3. (taken van Onze Minister)
Onze Minister heeft, ter voorkoming of beperking van het uitvallen van de beschikbaarheid of het verlies van integriteit van netwerk- en informatiesystemen van vitale aanbieders, en van andere aanbieders die onderdeel zijn van de rijksoverheid, ter verdere versterking van de digitale weerbaarheid van de Nederlandse samenleving en ter uitvoering van de NIB-richtlijn, de volgende taken:
- a. de taken van het centrale contactpunt;
- b. voor aanbieders van een essentiële dienst: de in bijlage I, onder 2, van de NIB-richtlijn genoemde taken van het CSIRT;
- c. het bijstaan van de in de aanhef bedoelde aanbieders bij het treffen van maatregelen om de continuïteit van hun diensten te waarborgen of te herstellen;
- d. het informeren en adviseren van deze aanbieders en anderen in en buiten Nederland over dreigingen en incidenten met betrekking tot de in de aanhef bedoelde netwerk- en informatiesystemen;
- e. het verrichten van analyses en technisch onderzoek ten behoeve van de onder b, c en d genoemde taken, naar aanleiding van de onder d bedoelde dreigingen en incidenten of aanwijzingen daarvoor, niet zijnde onderzoek naar personen of organisaties die voor die dreigingen of incidenten verantwoordelijk zijn of die daar anderszins aan bijdragen of hebben bijgedragen.
Voorts heeft Onze Minister, ter voorkoming van nadelige maatschappelijke gevolgen in en buiten Nederland, tot taak: het verstrekken van ingevolge het eerste lid, onder e, verkregen gegevens over dreigingen en incidenten met betrekking tot andere netwerk- en informatiesystemen dan bedoeld in de aanhef van het eerste lid aan:
- a. organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek daarover te informeren, aangewezen bij regeling van Onze Minister of behorend tot een bij die regeling aangewezen categorie;
- b. CSIRT’s;
- c. andere computercrisisteams, aangewezen bij regeling van Onze Minister of behorend tot een bij die regeling aangewezen categorie;
- d. aanbieders van internettoegangs- en internetcommunicatiediensten ten behoeve van het informeren van gebruikers van die diensten;
- e. Onze Minister van Economische Zaken en Klimaat, ten behoeve van de uitvoering van de taken, bedoeld in artikel 2, eerste lid, van de Wet bevordering digitale weerbaarheid bedrijven;
- f. aanbieders, niet zijnde een vitale aanbieder of een andere aanbieder die onderdeel is van de rijksoverheid, indien een dreiging of incident aanzienlijke gevolgen heeft of kan hebben voor de continuïteit van hun dienstverlening en voor de verstrekking van gegevens een onder a tot en met c of e bedoelde organisatie ontbreekt.
Voorts heeft Onze Minister tot taak: de behandeling van vrijwillige meldingen als bedoeld in artikel 16.
Hoofdstuk 3. Taken van andere instanties
Artikel 4. (bevoegde autoriteit; CSIRT voor digitale diensten)
De bevoegde autoriteit, bedoeld in artikel 8, eerste lid, van de NIB-richtlijn, is voor de sectoren, genoemd in bijlage II van die richtlijn:
| Bevoegde autoriteit | Sector |
|---|---|
| Onze Minister van Economische Zaken en Klimaat | energie |
| Onze Minister van Economische Zaken en Klimaat | digitale infrastructuur |
| De Nederlandsche Bank N.V. | bankwezen |
| De Nederlandsche Bank N.V. | infrastructuur voor de financiële markt |
| Onze Minister van Infrastructuur en Waterstaat | vervoer |
| Onze Minister van Infrastructuur en Waterstaat | levering en distributie van drinkwater |
| Onze Minister voor Medische Zorg | gezondheidszorg |
Voor de digitale diensten, genoemd in bijlage III van de NIB-richtlijn, is:
- a. de bevoegde autoriteit, bedoeld in artikel 8, eerste lid, van de NIB-richtlijn: Onze Minister van Economische Zaken en Klimaat;
- b. het CSIRT: de bij koninklijk besluit aangewezen instantie.
De bevoegde autoriteit heeft voor wat betreft de aanbieders van een essentiële dienst in de betrokken sector of sectoren, onderscheidenlijk voor de digitaledienstverleners, tot taak zorg te dragen voor de bestuursrechtelijke handhaving van het bepaalde bij of krachtens deze wet.
Het CSIRT voor digitale diensten heeft voor wat betreft digitaledienstverleners de in bijlage I, onder 2, van de NIB-richtlijn genoemde taken.
Hoofdstuk 4. Beveiligingseisen en melding van incidenten
§ 1. Algemeen
Artikel 5. (aanwijzing van vitale aanbieders)
Bij algemene maatregel van bestuur of bij besluit van een bij die maatregel genoemd bestuursorgaan worden aangewezen:
- a. aanbieders van een essentiële dienst of categorieën van zodanige aanbieders;
- b. andere vitale aanbieders of categorieën van zodanige aanbieders.
Bij de toepassing van het eerste lid, onder a, worden de artikelen 5 en 6 van de NIB-richtlijn en bijlage II van die richtlijn in acht genomen.
Artikel 6. (voorrang voor sectorspecifieke EU-regels)
Voor zover artikel 1, zevende lid, van de NIB-richtlijn van toepassing is, kan bij algemene maatregel van bestuur worden bepaald dat daarbij aangewezen, bij of krachtens deze wet gestelde voorschriften niet gelden voor daarbij aangewezen categorieën van aanbieders van essentiële diensten of digitaledienstverleners.
§ 2. Beveiliging
Artikel 7. (risico’s beheersen)
De aanbieder van een essentiële dienst en de digitaledienstverlener nemen passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. De maatregelen zorgen, gezien de stand van de techniek, voor een niveau van beveiliging dat is afgestemd op de risico's die zich voordoen.
De in het eerste lid bedoelde maatregelen van de digitaledienstverlener houden in elk geval rekening met de volgende aspecten:
- a. de beveiliging van systemen en voorzieningen;
- b. behandeling van incidenten;
- c. het beheer van de bedrijfscontinuïteit;
- d. toezicht, controle en testen;
- e. inachtneming van de internationale normen.
Artikel 8. (incidenten voorkomen en gevolgen van incidenten beperken)
De aanbieder van een essentiële dienst en de digitaledienstverlener nemen passende maatregelen om incidenten die de beveiliging van de voor de verlening van de betrokken dienst gebruikte netwerk- en informatiesystemen aantasten, te voorkomen en de gevolgen van dergelijke incidenten zo veel mogelijk te beperken, teneinde de continuïteit van die dienst te waarborgen.
Artikel 9. (nadere regels)
Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gegeven over de maatregelen, bedoeld in de artikelen 7 en 8.
§ 3. Meldplicht voor incidenten
Artikel 10. (aangewezen vitale aanbieder)
De vitale aanbieder, aangewezen op grond van artikel 5, eerste lid, onder a of b, meldt onverwijld bij Onze Minister:
- a. een incident met aanzienlijke gevolgen voor de continuïteit van de door hem verleende dienst;
- b. een inbreuk op de beveiliging van netwerk- en informatiesystemen die aanzienlijke gevolgen kan hebben voor de continuïteit van de door hem verleende dienst.
De aanbieder van een essentiële dienst meldt een incident als bedoeld in het eerste lid, onder a, ook onverwijld bij de bevoegde autoriteit.
Onverminderd artikel 13 meldt de aanbieder van een essentiële dienst een incident bij een digitaledienstverlener onverwijld bij Onze Minister en bij de bevoegde autoriteit, als dat incident aanzienlijke gevolgen heeft voor de continuïteit van zijn essentiële dienst.
Om te bepalen of een incident aanzienlijke gevolgen heeft voor de continuïteit van de essentiële dienst, worden in elk geval in aanmerking genomen:
- a. het aantal gebruikers dat door de verstoring van de dienst wordt getroffen;
- b. de duur van het incident;
- c. de omvang van het geografische gebied dat door het incident is getroffen.
In afwijking van artikel 1 wordt in het derde lid onder digitaledienstverlener tevens de digitaledienstverlener verstaan die niet valt onder de jurisdictie van Nederland.
Artikel 11. (bij de melding te verstrekken gegevens)
De in artikel 10 bedoelde melding omvat in ieder geval:
- a. de aard en omvang van het incident;
- b. het vermoedelijke tijdstip van de aanvang van het incident;
- c. de mogelijke gevolgen in en buiten Nederland van het incident;
- d. een prognose van de hersteltijd;
- e. zo mogelijk, de door de aanbieder genomen of te nemen maatregelen om de gevolgen van het incident te beperken of herhaling hiervan te voorkomen;
- f. de contactgegevens van de functionaris die verantwoordelijk is voor het doen van de melding.
Artikel 12. (verstrekking nadere gegevens door aangewezen vitale aanbieder)
Desgevraagd verstrekt de aanbieder die een melding als bedoeld in artikel 10, eerste of derde lid, bij Onze Minister heeft gedaan, Onze Minister onverwijld alle overige gegevens die noodzakelijk zijn om:
- a. de aanbieder bij te staan bij het treffen van maatregelen om de continuïteit van zijn diensten te waarborgen of te herstellen;
- b. de risico’s in te schatten voor de netwerk- en informatiesystemen, bedoeld in artikel 3, eerste lid, aanhef.
Het eerste lid is van overeenkomstige toepassing als de aanbieder een incident heeft gemeld bij de bevoegde autoriteit en deze de door haar ontvangen gegevens heeft verstrekt aan Onze Minister.
Artikel 13. (digitaledienstverlener)
Een digitaledienstverlener meldt een incident met aanzienlijke gevolgen voor de verlening van de door hem verleende dienst in de Europese Unie onverwijld bij:
- a. het CSIRT voor digitale diensten, en
- b. de bevoegde autoriteit.
Om te bepalen of een incident aanzienlijke gevolgen heeft als bedoeld in het eerste lid, worden in elk geval in aanmerking genomen:
- a. het aantal gebruikers dat door de verstoring van de dienst wordt getroffen;
- b. de duur van het incident;
- c. de omvang van het geografische gebied dat door het incident is getroffen.
- d. de omvang van de verstoring van de werking van de dienst;
- e. de omvang van de gevolgen voor de economische en maatschappelijke activiteiten.
Het eerste lid geldt alleen als de digitaledienstverlener toegang heeft tot de informatie die nodig is om te beoordelen of het incident aanzienlijke gevolgen heeft als bedoeld in dat lid.
Artikel 14. (verstrekking nadere gegevens door digitaledienstverleners)
Desgevraagd verstrekt de digitaledienstverlener die een melding als bedoeld in artikel 13, eerste lid, onder a, bij het CSIRT voor digitale diensten heeft gedaan, het CSIRT voor digitale diensten onverwijld alle overige gegevens die noodzakelijk zijn om:
- a. de digitaledienstverlener bij te staan bij het treffen van maatregelen om de continuïteit van zijn diensten te waarborgen of te herstellen;
- b. de risico’s in te schatten voor de netwerk- en informatiesystemen van andere digitaledienstverleners.
Het eerste lid is van overeenkomstige toepassing als de digitaledienstverlener een incident heeft gemeld bij de bevoegde autoriteit en zij de door haar ontvangen gegevens heeft verstrekt aan het CSIRT voor digitale diensten.
Artikel 15. (nadere regels meldplicht)
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.