WGK007192
Wet implementatie EU-richtlijn 2016/1148 netwerk- en informatiebeveiliging

Wet van 17 oktober 2018, houdende regels ter implementatie van richtlijn (EU) 2016/1148 (Wet beveiliging netwerk- en informatiesystemen)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Allen, die deze zullen zien of horen lezen, saluut! doen te weten:

Alzo Wij in overweging genomen hebben dat het gelet op richtlijn (EU) 2016/1148 noodzakelijk is om wettelijke bepalingen vast te stellen ter bevordering van de beveiliging van netwerk- en informatiesystemen;

Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:

Artikel 1 (begripsbepalingen)

In deze wet en de daarop berustende bepalingen wordt verstaan onder:

Artikel 2 (centraal contactpunt; CSIRT voor essentiële diensten; instantie voor vrijwillige meldingen)

Onze Minister is:

Artikel 3 (taken van Onze Minister)

Artikel 4 (bevoegde autoriteit; CSIRT voor digitale diensten)

Artikel 5 (aanwijzing van vitale aanbieders)

Artikel 6 (voorrang voor sectorspecifieke EU-regels)

Voor zover artikel 1, zevende lid, van de NIB-richtlijn van toepassing is, kan bij algemene maatregel van bestuur worden bepaald dat daarbij aangewezen, bij of krachtens deze wet gestelde voorschriften niet gelden voor daarbij aangewezen categorieën van aanbieders van essentiële diensten of digitaledienstverleners.

Artikel 7 (risico’s beheersen)

Artikel 8 (incidenten voorkomen en gevolgen van incidenten beperken)

De aanbieder van een essentiële dienst en de digitaledienstverlener nemen passende maatregelen om incidenten die de beveiliging van de voor de verlening van de betrokken dienst gebruikte netwerk- en informatiesystemen aantasten, te voorkomen en de gevolgen van dergelijke incidenten zo veel mogelijk te beperken, teneinde de continuïteit van die dienst te waarborgen.

Artikel 9 (nadere regels)

Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gegeven over de maatregelen, bedoeld in de artikelen 7 en 8.

Artikel 10 (aangewezen vitale aanbieder)

Artikel 11 (bij de melding te verstrekken gegevens)

De in artikel 10 bedoelde melding omvat in ieder geval:

Artikel 12 (verstrekking nadere gegevens door aangewezen vitale aanbieder)

Artikel 13 (digitaledienstverlener)

Artikel 14 (verstrekking nadere gegevens door digitaledienstverleners)

Artikel 15 (nadere regels meldplicht)

Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gegeven over de artikelen 10 tot en met 13, waaronder regels over:

Artikel 16 (vrijwillige melding van incidenten)

Artikel 17 (verwerking van gegevens door Onze Minister en andere instanties)

Artikel 18 (verstrekking gegevens aan Onze Minister)

Artikel 19 (verstrekking incidentinformatie aan en door centrale contactpunten)

Artikel 20 (verstrekking van vertrouwelijke gegevens door Onze Minister)

Artikel 21 (verstrekking van vertrouwelijke gegevens door het CSIRT voor digitale diensten)

Artikel 22 (verstrekking van vertrouwelijke gegevens door de bevoegde autoriteit)

Artikel 23 (openbaarmaking incidenten)

Onverminderd artikel 20, vierde lid, onder b, kan de bevoegde autoriteit, na raadpleging van de betrokken aanbieder:

Artikel 24 (reikwijdte)

Dit hoofdstuk is alleen van toepassing op aanbieders van een essentiële dienst en digitaledienstverleners.

Artikel 25 (toezichthoudende personen)

Artikel 26 (beveiligingsaudit)

Artikel 27 (bindende aanwijzing)

De bevoegde autoriteit kan degene die niet voldoet aan artikel 7 of 8 of aan de nadere regels, bedoeld in artikel 9, door middel van het geven van een aanwijzing verplichten om binnen een daarbij gestelde redelijke termijn de daarbij omschreven maatregelen te nemen.

Artikel 28 (last onder bestuursdwang)

De bevoegde autoriteit is bevoegd tot oplegging van een last onder bestuursdwang ter handhaving van:

Artikel 29 (bestuurlijke boete)

Artikel 30 (wijziging Algemene wet bestuursrecht)

Bijlage 2 bij de Algemene wet bestuursrecht wordt als volgt gewijzigd:

Artikel 31 (samenloop met wetsvoorstel Wet bekostiging financieel toezicht 2019)

Als het bij koninklijke boodschap van 25 januari 2018 ingediende voorstel van wet houdende regels met betrekking tot de begroting en verantwoording van de kosten van het toezicht van de Autoriteit Financiële Markten en de Nederlandsche Bank en de financiering van de toezichtkosten (Wet bekostiging financieel toezicht 2019) (Kamerstukken 34 870) tot wet is of wordt verheven, wordt artikel 2, tweede lid, van die wet als volgt gewijzigd:

1. de taken op grond van de Wet beveiliging netwerk- en informatiesystemen.

Artikel 32 (samenloop met Wet op de inlichtingen- en veiligheidsdiensten 2017)

Als artikel 168 van de Wet op de inlichtingen- en veiligheidsdiensten 2017 in werking is getreden of treedt, wordt in het tweede lid, onderdeel c, van de artikelen 20 en 21 van deze wet «de Wet op de inlichtingen- en veiligheidsdiensten 2002» vervangen door «de Wet op de inlichtingen- en veiligheidsdiensten 2017».

Artikel 33 (samenloop met wetsvoorstel Wet open overheid)

1. Wet beveiliging netwerk- en informatiesystemen: de artikelen 20, zevende lid, 21, zesde lid, en 22, tweede lid

Artikel 34 (intrekking Wet gegevensverwerking en meldplicht cybersecurity)

De Wet gegevensverwerking en meldplicht cybersecurity wordt ingetrokken.

Artikel 35 (inwerkingtreding)

Deze wet treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan, voor verschillende taken of voor verschillende categorieën van aanbieders of diensten verschillend kan worden vastgesteld.

Artikel 36 (citeertitel)

Deze wet wordt aangehaald als: Wet beveiliging netwerk- en informatiesystemen.

Besluit van 30 oktober 2018 tot aanwijzing van het CSIRT voor digitale diensten en tot vaststelling van het tijdstip van inwerkingtreding van de Wet en het Besluit beveiliging netwerk- en informatiesystemen

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Justitie en Veiligheid van 24 oktober 2018, nr. 2392132, directie wetgeving en juridische zaken, gedaan in overeenstemming met Onze Minister van Economische Zaken en Klimaat;

Gelet op richtlijn (EU) 2016/1148, uitvoeringsverordening (EU) 2018/151, de artikelen 4, tweede lid, onderdeel b, en 35 van de Wet beveiliging netwerk- en informatiesystemen en artikel 8 van het Besluit beveiliging netwerk- en informatiesystemen;

Hebben goedgevonden en verstaan:

Artikel 1

Onze Minister van Economische Zaken en Klimaat is het CSIRT voor digitale diensten, bedoeld in artikel 4, tweede lid, onderdeel b, van de Wet beveiliging netwerk- en informatiesystemen.

Artikel 2