Wet van 17 oktober 2018, houdende regels ter implementatie van richtlijn (EU) 2016/1148 (Wet beveiliging netwerk- en informatiesystemen)

Wet beveiliging netwerk- en informatiesystemen

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.
Allen, die deze zullen zien of horen lezen, saluut! doen te weten:
Alzo Wij in overweging genomen hebben dat het gelet op richtlijn (EU) 2016/1148 noodzakelijk is om wettelijke bepalingen vast te stellen ter bevordering van de beveiliging van netwerk- en informatiesystemen;

Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:

Hoofdstuk

1

Begripsbepalingen

Artikel

1

(begripsbepalingen)

In deze wet en de daarop berustende bepalingen wordt verstaan onder:

  • aanbieder: overheidsorganisatie of privaatrechtelijke rechtspersoon die een dienst exploiteert, beheert of beschikbaar stelt;

  • aanbieder van een essentiële dienst: aanbieder van een essentiële dienst als bedoeld in artikel 4 van de NIB-richtlijn, aangewezen op grond van artikel 5, eerste lid, onder a;

  • beveiliging van netwerk- en informatiesystemen, digitale dienst, incident, netwerk- en informatiesysteem, norm, onderscheidenlijk afbreekrisico: hetgeen daaronder wordt verstaan in artikel 4 van de NIB-richtlijn;

  • bevoegde autoriteit: bevoegde autoriteit, genoemd in artikel 4;

  • centraal contactpunt: centraal contactpunt als bedoeld in artikel 8, derde lid, van de NIB-richtlijn;

  • CSIRT: Computer security incident response team als bedoeld in artikel 9 van de NIB-richtlijn;

  • CSIRT voor digitale diensten: CSIRT, aangewezen op grond van artikel 4, tweede lid, onder b;

  • digitaledienstverlener: rechtspersoon die een digitale dienst aanbiedt en gelet op artikel 18, eerste en tweede lid, van de NIB-richtlijn onder de jurisdictie van Nederland valt, met uitzondering van kleine en micro-ondernemingen als bedoeld in artikel 16, elfde lid, van de NIB-richtlijn;

  • NIB-richtlijn: richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194);

  • Onze Minister: Onze Minister van Justitie en Veiligheid;

  • vitale aanbieder:

    • a.

      aanbieder van een essentiële dienst;

    • b.

      aanbieder van een andere dienst waarvan de continuïteit van vitaal belang is voor de Nederlandse samenleving.

Hoofdstuk

2

Taken van Onze Minister

Artikel

2

(centraal contactpunt; CSIRT voor essentiële diensten; instantie voor vrijwillige meldingen)

Onze Minister is:

  • a.

    het centrale contactpunt;

  • b.

    voor aanbieders van een essentiële dienst: het CSIRT;

  • c.

    de instantie voor de behandeling van vrijwillige meldingen als bedoeld in artikel 16.

Artikel

3

(taken van Onze Minister)

Hoofdstuk

3

Taken van andere instanties

Artikel

4

(bevoegde autoriteit; CSIRT voor digitale diensten)

Hoofdstuk

4

Beveiligingseisen en melding van incidenten

§

1

Algemeen

Artikel

5

(aanwijzing van vitale aanbieders)

Artikel

6

(voorrang voor sectorspecifieke EU-regels)

Voor zover artikel 1, zevende lid, van de NIB-richtlijn van toepassing is, kan bij algemene maatregel van bestuur worden bepaald dat daarbij aangewezen, bij of krachtens deze wet gestelde voorschriften niet gelden voor daarbij aangewezen categorieën van aanbieders van essentiële diensten of digitaledienstverleners.

§

2

Beveiliging

Artikel

7

(risico’s beheersen)

Artikel

8

(incidenten voorkomen en gevolgen van incidenten beperken)

De aanbieder van een essentiële dienst en de digitaledienstverlener nemen passende maatregelen om incidenten die de beveiliging van de voor de verlening van de betrokken dienst gebruikte netwerk- en informatiesystemen aantasten, te voorkomen en de gevolgen van dergelijke incidenten zo veel mogelijk te beperken, teneinde de continuïteit van die dienst te waarborgen.

Artikel

9

(nadere regels)

Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gegeven over de maatregelen, bedoeld in de artikelen 7 en 8.

§

3

Meldplicht voor incidenten

Artikel

10

(aangewezen vitale aanbieder)

Artikel

11

(bij de melding te verstrekken gegevens)

De in artikel 10 bedoelde melding omvat in ieder geval:

  • a.

    de aard en omvang van het incident;

  • b.

    het vermoedelijke tijdstip van de aanvang van het incident;

  • c.

    de mogelijke gevolgen in en buiten Nederland van het incident;

  • d.

    een prognose van de hersteltijd;

  • e.

    zo mogelijk, de door de aanbieder genomen of te nemen maatregelen om de gevolgen van het incident te beperken of herhaling hiervan te voorkomen;

  • f.

    de contactgegevens van de functionaris die verantwoordelijk is voor het doen van de melding.

Artikel

12

(verstrekking nadere gegevens door aangewezen vitale aanbieder)

Artikel

13

(digitaledienstverlener)

Artikel

14

(verstrekking nadere gegevens door digitaledienstverleners)

Dit onderdeel is nog niet inwerking getreden

Artikel

15

(nadere regels meldplicht)

Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gegeven over de artikelen 10 tot en met 13, waaronder regels over:

  • a.

    de gegevens die ter uitvoering van de artikelen 10, 11 en 13 worden verstrekt;

  • b.

    de wijze waarop een melding als bedoeld in artikel 10 of 13 wordt gedaan en waarop gegevens als bedoeld in artikel 12 worden verstrekt.

§

4

Vrijwillige melding van incidenten

Artikel

16

(vrijwillige melding van incidenten)

Hoofdstuk

5

Verwerking van gegevens

Artikel

17

(verwerking van gegevens door Onze Minister en andere instanties)

Artikel

18

(verstrekking gegevens aan Onze Minister)

Artikel

19

(verstrekking incidentinformatie aan en door centrale contactpunten)

Artikel

20

(verstrekking van vertrouwelijke gegevens door Onze Minister)

Artikel

21

(verstrekking van vertrouwelijke gegevens door het CSIRT voor digitale diensten)

Dit onderdeel is nog niet inwerking getreden

Artikel

22

(verstrekking van vertrouwelijke gegevens door de bevoegde autoriteit)

Artikel

23

(openbaarmaking incidenten)

Onverminderd artikel 20, vierde lid, onder b, kan de bevoegde autoriteit, na raadpleging van de betrokken aanbieder:

  • a.

    als publieke bewustwording nodig is om een incident te voorkomen of een lopend incident te beheersen: het publiek informeren over een gemeld incident als bedoeld in artikel 10, eerste lid, onder a, of vorderen dat de aanbieder dit doet;

  • b.

    als publieke bewustwording nodig is om een incident te voorkomen of een lopend incident te beheersen, of wanneer de openbaarmaking van het incident anderszins in het algemeen belang is: het publiek informeren over een gemeld incident als bedoeld in artikel 13, eerste lid, of vorderen dat de digitaledienstverlener dit doet.

Hoofdstuk

6

Handhaving

Artikel

24

(reikwijdte)

Dit hoofdstuk is alleen van toepassing op aanbieders van een essentiële dienst en digitaledienstverleners.

Artikel

25

(toezichthoudende personen)

Artikel

26

(beveiligingsaudit)

Artikel

27

(bindende aanwijzing)

De bevoegde autoriteit kan degene die niet voldoet aan artikel 7 of 8 of aan de nadere regels, bedoeld in artikel 9, door middel van het geven van een aanwijzing verplichten om binnen een daarbij gestelde redelijke termijn de daarbij omschreven maatregelen te nemen.

Artikel

29

(bestuurlijke boete)

Hoofdstuk

7

Slotbepalingen

Artikel

31

(samenloop met wetsvoorstel Wet bekostiging financieel toezicht 2019)

Wijzigt de Wet bekostiging financieel toezicht 2019.

Artikel

33

(samenloop met wetsvoorstel Wet open overheid)

Wijzigt de Wet open overheid.

Artikel

35

(inwerkingtreding)

Deze wet treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan, voor verschillende taken of voor verschillende categorieën van aanbieders of diensten verschillend kan worden vastgesteld.

Artikel

36

(citeertitel)

Deze wet wordt aangehaald als: Wet beveiliging netwerk- en informatiesystemen.

Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en dat alle ministeries, autoriteiten, colleges en ambtenaren die zulks aangaat, aan de nauwkeurige uitvoering de hand zullen houden.

Gegeven te

Wassenaar
Willem-Alexander
De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus
De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus