Artikel
1
(begripsbepalingen)
In dit besluit en de daarop berustende bepalingen wordt onder wet verstaan: Wet beveiliging netwerk- en informatiesystemen.
Besluit van 30 oktober 2018, houdende regels ter uitvoering van de Wet beveiliging netwerk- en informatiesystemen (Besluit beveiliging netwerk- en informatiesystemen)
Besluit beveiliging netwerk- en informatiesystemen
Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.
Op de voordracht van Onze Minister van Justitie en Veiligheid van 4 juli 2018, Directie Wetgeving en Juridische Zaken, nr. 2306334, gedaan in overeenstemming met Onze Ministers van Defensie, Economische Zaken en Klimaat, Financiën en Infrastructuur en Waterstaat;
Gelet op richtlijn (EU) 2016/1148, uitvoeringsverordening (EU) 2018/151 en de artikelen 5, eerste lid, 6, 9, 15 en 34 van de Wet beveiliging netwerk- en informatiesystemen;
De Afdeling advisering van de Raad van State gehoord (advies van 25 juli 2018, nummer W16.18.0203/II);
Gezien het nader rapport van Onze Minister van Justitie en Veiligheid van 24 oktober 2018, Directie Wetgeving en Juridische Zaken, nr. 2346717, uitgebracht in overeenstemming met Onze Ministers van Defensie, Economische Zaken en Klimaat, Financiën en Infrastructuur en Waterstaat;
Hebben goedgevonden en verstaan:
Artikel
2
(aanwijzing aanbieders van een essentiële dienst)
Als aanbieders van een essentiële dienst of categorieën van zodanige aanbieders worden aangewezen:
|
Energie: elektriciteit |
De transmissiesysteembeheerder voor elektriciteit, bedoeld in artikel 1.1 van de Energiewet |
Transmissie en distributie van elektriciteit |
|
De distributiesysteembeheerders voor elektriciteit, bedoeld in artikel 1.1 van de Energiewet |
||
|
BritNed Development Ltd. |
Transmissie van elektriciteit (landsgrensoverschrijdend) |
|
|
Een elektriciteitsbedrijf als bedoeld in Bijlage II van de NIB-richtlijn, dat één of meerdere installaties beheert voor de productie van elektriciteit met een cumulatief nominaal vermogen van ten minste 100 MW |
Productie van elektriciteit |
|
|
De bij besluit van Onze Minister van Klimaat en Groene Groei aangewezen elektriciteitsbedrijven, als bedoeld in Bijlage II van de NIB-richtlijn |
Levering of aankoop van elektriciteit |
|
|
Energie: gas |
De transmissiesysteembeheerder voor gas, bedoeld in artikel 1.1 van de Energiewet |
Transmissie en distributie van gas |
|
De distributiesysteembeheerders voor gas, bedoeld in artikel 1.1 van de Energiewet |
||
|
De Nederlandse Aardolie Maatschappij B.V. |
Het opslaan van gas op basis van de opslagvergunning «Norg» van 31 maart 2003 (Stcrt. 2003, 68) |
|
|
De bij besluit van Onze Minister van Klimaat en Groene Groei aangewezen leveringsbedrijven, als bedoeld in Bijlage II van de NIB-richtlijn |
Levering van gas |
|
|
De bij besluit van Onze Minister van Klimaat en Groene Groei aangewezen opslagsysteembeheerders, als bedoeld in Bijlage II van de NIB-richtlijn |
Opslag van gas |
|
|
De bij besluit van Onze Minister van Klimaat en Groene Groei aangewezen LNG-systeembeheerders, als bedoeld in Bijlage II van de NIB-richtlijn |
Het vloeibaar maken van aardgas of de invoer, de verlading en de hervergassing van LNG |
|
|
De bij besluit van Onze Minister van Klimaat en Groene Groei aangewezen aardgasbedrijven, als bedoeld in Bijlage II van de NIB-richtlijn |
Productie of aankoop van aardgas, met inbegrip van LNG |
|
|
De bij besluit van Onze Minister van Klimaat en Groene Groei aangewezen exploitanten van voorzieningen voor de raffinage en behandeling van aardgas, als bedoeld in Bijlage II van de NIB-richtlijn |
Raffinage of behandeling van aardgas |
|
|
Energie: aardolie |
Stichting Centraal Orgaan Voorraadvorming Aardolieproducten |
Het beheren van strategische olievoorraden |
|
Energie: aardolie |
De bij besluit van Onze Minister van Klimaat en Groene Groei aangewezen exploitanten van oliepijpleidingen, als bedoeld in Bijlage II van de NIB-richtlijn |
Beheer van oliepijpleidingen |
|
De bij besluit van Onze Minister van Klimaat en Groene Groei aangewezen exploitanten van voorzieningen voor de productie, opslag, transport, raffinage en behandeling van olie, bedoeld in Bijlage II van de NIB-richtlijn |
Productie, opslag, transport, raffinage, of behandeling van olie |
|
|
Vervoer: luchtvervoer |
• Nederlandse luchtvaartmaatschappijen die beschikken over een Air Operator Certificate (AOC) en die niet conform artikel 4, vierde lid van Verordening (EG) nr. 300/20081 zijn uitgezonderd van de gemeenschappelijke basisnormen voor de beveiliging van de burgerluchtvaart zoals opgenomen in deze Verordening; • De exploitant van Luchthaven Schiphol; • De exploitanten van de luchthavens, genoemd in artikel 8.1, derde lid, van de Wet luchtvaart voor zover op die luchthavens verkeersvluchten plaatsvinden van luchtvaartmaatschappijen die: a. open staan voor individuele boekingen voor passagiers, vracht of post; en b. betreffen geregelde vluchten, zijnde lijnvluchten of commerciële vluchten uitgevoerd op een vaste route volgens een gepubliceerde dienstregeling, en niet-geregelde vluchten, zijnde chartervluchten in het passagiers- en vrachtvervoer of commerciële vluchten met een ongeregeld karakter; • De burgerexploitant van de luchthaven Eindhoven; • Aircraft Fuel Supply B.V.; • Koninklijke marechaussee; • Luchtverkeersleiding Nederland (LVNL); • Maastricht Upper Area Control Centre (MUAC). |
Een veilige en vlotte vlucht- en vliegtuigafhandeling |
|
Vervoer: spoorvervoer |
De bij besluit van Onze Minister van Infrastructuur en Waterstaat aangewezen infrastructuurbeheerders, bedoeld in artikel 3 van richtlijn 2012/34/EU |
Het beheer van de hoofdspoorweginfrastructuur, bedoeld in artikel 16 van de Spoorwegwet |
|
De bij besluit van Onze Minister van Infrastructuur en Waterstaat aangewezen spoorwegondernemingen, bedoeld in artikel 3 van richtlijn 2012/34/EU |
Het vervoer van personen of goederen over (hoofd)spoorweginfrastructuur |
|
|
Vervoer: vervoer over water |
De Divisie Havenmeester van het Havenbedrijf Rotterdam N.V. |
Het afwikkelen van scheepvaartverkeer |
|
Vervoer: wegvervoer |
De bij besluit van Onze Minister van Infrastructuur en Waterstaat aangewezen wegenautoriteiten, bedoeld in artikel 2 van verordening (EU) 2015/962 |
Het beheer van weginfrastructuur |
|
De bij besluit van Onze Minister van Infrastructuur en Waterstaat aangewezen exploitanten van intelligente vervoerssystemen, bedoeld in artikel 4 van richtlijn 2010/40/EU |
Het exploiteren van een intelligent vervoerssysteem als bedoeld in artikel 4 van richtlijn 2010/40/EU |
|
|
Bankwezen |
De bij besluit van De Nederlandsche Bank N.V. aangewezen kredietinstellingen als bedoeld in artikel 4, punt 1, van Verordening (EU) nr. 575/2013 |
Het aanbieden en afwikkelen van betalings- en effectenverkeer |
|
Infrastructuur voor de financiële markt |
De bij besluit van De Nederlandsche Bank N.V. aangewezen: • exploitanten van handelsplatformen als bedoeld in artikel 4, punt 24, van Richtlijn 2014/65/EU; • centrale tegenpartijen als bedoeld in artikel 2, punt 1, van Verordening (EU) nr. 648/2012 |
Het aanbieden en afwikkelen van effectenverkeer |
|
Drinkwater |
Drinkwaterbedrijf als bedoeld in artikel 1, eerste lid, van de Drinkwaterwet |
Het leveren van deugdelijk drinkwater door middel van een openbare drinkwatervoorziening |
|
Digitale infrastructuur |
De bij besluit van Onze Minister van Economische Zaken aangewezen aanbieders van internetknooppunten, bedoeld in bijlage II van de NIB-richtlijn |
Het faciliteren van het internet- en dataverkeer |
|
De bij besluit van Onze Minister van Economische Zaken aangewezen aanbieders van registers voor topleveldomeinnamen, als bedoeld in bijlage II van de NIB-richtlijn |
Het beheren en registreren van domeinnamen onder een topleveldomein |
|
|
De bij besluit van Onze Minister van Economische Zaken aangewezen aanbieders van DNS-dienstverleners, als bedoeld in bijlage II van de NIB-richtlijn |
Het verlenen van DNS-diensten |
1 Verordening (EG) Nr. 300/2008 van het Europees Parlement en de Raad van 11 maart 2008 inzake gemeenschappelijke regels op het gebied van de beveiliging van de burgerluchtvaart en tot intrekking van Verordening (EG) nr. 2320/2002 (PbEU 2008, L 97).
Artikel
3
(aanwijzing andere vitale aanbieders)
Als andere vitale aanbieders of categorieën van zodanige aanbieders als bedoeld in artikel 5, eerste lid, onder b, van de wet worden aangewezen:
|
Nucleair |
Houder van een vergunning als bedoeld in artikel 15, onderdeel b, van de Kernenergiewet |
De bescherming van inrichtingen, waarin kernenergie kan worden vrijgemaakt, splijtstoffen kunnen worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen worden opgeslagen of inrichtingen, waarin kernenergie kon worden vrijgemaakt, splijtstoffen konden worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen werden opgeslagen |
|
Bedrijf vallend onder het Geheimhoudingsbesluit Kernenergiewet, Bedrijf vallend onder het Toepassingsbesluit 24 september 1971/nr.671/524 |
• De bescherming van inrichtingen, waarin kernenergie kan worden vrijgemaakt, splijtstoffen kunnen worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen worden opgeslagen of inrichtingen, waarin kernenergie kon worden vrijgemaakt, splijtstoffen konden worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen werden opgeslagen • Het waarborgen van de beveiliging en geheimhouding van gegevens, welke noodzakelijk zijn voor het scheiden van verschillende in splijtstof voorkomende uraniumisotopen met gebruikmaking van gasultracentrifuges en het produceren van hulpmiddelen en materialen, welke zijn benodigd voor het scheiden van verschillende in splijtstof voorkomende uraniumisotopen met gebruikmaking van gasultracentrifuges |
|
|
Keren en Beheren |
Onze Minister van Infrastructuur en Waterstaat |
De bij besluit van Onze Minister van Infrastructuur en Waterstaat aangewezen waterkeringen of onderdelen daarvan |
|
Financieel |
De bij besluit van De Nederlandsche Bank N.V. aangewezen: |
|
|
• afwikkelondernemingen, bedoeld in artikel 1:1 van de Wet op het financieel toezicht |
• het verlenen van afwikkeldiensten als bedoeld in artikel 1:1 van de Wet op het financieel toezicht |
|
|
• centrale effectenbewaarinstelling, bedoeld in artikel 2, eerste lid, van Verordening (EU) nr. 909/2014 |
• het exploiteren van een effectenafwikkelingssysteem |
|
|
Elektronische communicatienetwerken en -diensten/ICT |
Een aanbieder van een elektronisch communicatienetwerk of een elektronische communicatiedienst die een netwerk of infrastructuur beheert dat of die direct of indirect wordt gebruikt ten behoeve van het verlenen van een telefoon-, sms- of internettoegangsdienst aan minimaal 1.000.000 eindgebruikers |
Het verlenen van een telefoon-, sms- of internettoegangsdienst |
|
Digitale overheid |
De Kamer van Koophandel, bedoeld in artikel 2 van de Wet op de Kamer van Koophandel |
Het handelsregister, bedoeld in artikel 2 van de Handelsregisterwet 2007 |
|
Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties |
• De centrale voorzieningen, bedoeld in artikel 1.9, derde lid, van de Wet basisregistratie personen • De voorziening voor uitgifte of activatie van elektronische authenticatiemiddelen en voor elektronische authenticatie die bereikbaar is via het webadres www.digid.nl |
|
|
De aanbieder van een digitale overheidsvoorziening als bedoeld in de derde kolom |
Een digitale overheidsvoorziening, aangewezen bij besluit van Onze Minister die het aangaat |
|
|
Energie: elektriciteit |
De exploitant van oplaadpunten als bedoeld in artikel 2, derde lid, van Richtlijn 2014/94/EU, met een totaal opgesteld laadvermogen van minimaal 300 megawatt (300.000 kilowatt) |
Het beheer of de exploitatie van oplaadpunten die een laaddienst leveren aan particuliere of zakelijke eindgebruikers, onder meer namens en voor rekening van een aanbieder van mobiliteitsdiensten |
|
Digitale infrastructuur |
Een aanbieder van multi-tenant datacenterdiensten waarvan de datacenters een gezamenlijke stroomcapaciteit hebben van meer dan 50 megawatt |
Het verlenen van datacenterdiensten |
Artikel
3a
(beveiliging aanbieders van een essentiële dienst)
1
Ter uitvoering van de artikelen 7 en 8 van de wet neemt een aanbieder van een essentiële dienst ten minste de maatregelen, beschreven in de bijlage bij dit besluit.
Artikel
4
(uitzondering beveiligingseisen financiële instellingen)
De artikelen 7, 8, 9, 26 en 27 van de wet, artikel 3a van dit besluit en de bijlage bij dit besluit zijn niet van toepassing op de bij besluit van De Nederlandsche Bank N.V. krachtens artikel 2 aangewezen kredietinstellingen, centrale tegenpartijen en exploitanten van handelsplatformen.
Artikel
5
(beveiliging en meldplicht digitaledienstverlener)
Het is verboden te handelen in strijd met de artikelen 2, 3, en 4, eerste lid, van uitvoeringsverordening (EU) 2018/151 van de Commissie van 30 januari 2018 tot vaststelling van toepassingsbepalingen voor Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad wat betreft de nadere specificatie van de door digitaledienstverleners in aanmerking te nemen elementen voor het beheer van de risico’s in verband met de beveiliging van netwerk- en informatiesystemen en van de parameters om te bepalen of een incident aanzienlijke gevolgen heeft (PbEU 2018, L 26).
Artikel
6
(wijze waarop een incident wordt gemeld)
1
Een melding bij Onze Minister als bedoeld in artikel 10, eerste of derde lid, van de wet wordt gedaan op een door Onze Minister aangegeven wijze.
2
Een melding bij de bevoegde autoriteit als bedoeld in artikel 10, tweede of derde lid, of 13, eerste lid, onder b, van de wet wordt gedaan op een door de bevoegde autoriteit aangegeven wijze.
3
Een melding bij het CSIRT voor digitale diensten als bedoeld in artikel 13, eerste lid, onder a, van de wet wordt gedaan op een door het CSIRT voor digitale diensten aangegeven wijze.
Artikel
7
(intrekking Besluit meldplicht cybersecurity)
Het Besluit meldplicht cybersecurity wordt ingetrokken.
Artikel
8
(inwerkingtreding)
Dit besluit treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan of voor verschillende categorieën van aanbieders of diensten verschillend kan worden vastgesteld.
Artikel
9
(citeertitel)
Dit besluit wordt aangehaald als: Besluit beveiliging netwerk- en informatiesystemen.
Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.
Wassenaar
Willem-Alexander
De Minister van Justitie en Veiligheid,
F.B.J.
Grapperhaus
De Minister van Justitie en Veiligheid,
F.B.J.
Grapperhaus
Bijlage
bij artikel 3a, eerste lid, van het Besluit beveiliging netwerk- en informatiesystemen
Beveiliging aanbieders van een essentiële dienst
Ter uitvoering van de artikelen 7 en 8 van de wet neemt de aanbieder van een essentiële dienst (hierna: de aanbieder) ten minste de in deze bijlage beschreven maatregelen. De maatregelen worden door de aanbieder periodiek geëvalueerd en bijgesteld.
1
Risicogebaseerde aanpak
De aanbieder heeft een actueel overzicht van de netwerk- en informatiesystemen die zijn essentiële dienst ondersteunen. De aanbieder stelt een risicoanalyse op waarin hij de risico’s met betrekking tot de beveiliging beschrijft en ingaat op de wijze waarop hij de risico’s naar een passend niveau verkleint. Hij motiveert daarbij waarom dit niveau volgens hem proportioneel en aanvaardbaar is. In die motivering gaat hij in ieder geval in op de organisatiespecifieke en sectorspecifieke risico’s, het maatschappelijke belang van zijn essentiële dienst en de stand van de techniek. Hij legt de resultaten van de risicoanalyse schriftelijk vast en verwerkt de resultaten in beveiligings- en beheersmaatregelen.
2
Organisatie van netwerk- en informatiebeveiligingsbeheer
De aanbieder heeft een informatiebeveiligingsbeleid en -strategie en past deze actief toe. Hij heeft de taken, bevoegdheden en verantwoordelijkheden voor de beveiliging en beheer van zijn netwerk- en informatiesystemen in de organisatie belegd.
3
Incidenten voorkomen
De aanbieder heeft een gelaagde beveiligingsstrategie die is gebaseerd op de risico’s die volgen uit de risicoanalyse. Defense in depth, lifecycle-, asset-, patch-, identificatie- en toegangsmanagement vormen in ieder geval onderdeel van deze strategie. Wanneer hij door relevante instanties zoals leveranciers of betrokken overheidsinstanties geattendeerd wordt op beveiligingsadviezen en dreigingsinformatie, beoordeelt hij of op basis daarvan gegeven de stand der techniek aanvullende maatregelen noodzakelijk zijn om geïdentificeerde risico’s te verkleinen naar een passend niveau. De aanbieder legt de bevindingen van zijn beoordeling schriftelijk vast.
4
Detectie en respons
De aanbieder heeft de beveiliging van zijn netwerk- en informatiesystemen zodanig ingericht dat hij daarmee incidenten kan detecteren, analyseren en vastleggen en de gevolgen daarvan zo veel mogelijk kan beperken. Hij monitort netwerk- en informatiesystemen structureel op kwetsbaarheden en mogelijke compromittatie en houdt hierbij rekening met de beschikbare dreigingsinformatie. Hij verzorgt het loggen van de handelingen op de netwerk- en informatiesystemen en bewaart deze gegevens lang genoeg om incidenten te kunnen analyseren. Hij hanteert procedures omtrent het optreden bij incidenten.
5
Gevolgen van incidenten beperken
De aanbieder stelt een bedrijfscontinuïteitsbeleid en crisismanagementbeleid op voor de netwerk- en informatiesystemen. Het crisismanagementbeleid bestaat in ieder geval uit een plan om de essentiële dienst zo spoedig mogelijk te herstellen na een incident. Het crisismanagementbeleid wordt daartoe periodiek in de praktijk beoefend.