Besluit beveiliging netwerk- en informatiesystemen

Besluit van 30 oktober 2018, houdende regels ter uitvoering van de Wet beveiliging netwerk- en informatiesystemen (Besluit beveiliging netwerk- en informatiesystemen)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz. Op de voordracht van Onze Minister van Justitie en Veiligheid van 4 juli 2018, Directie Wetgeving en Juridische Zaken, nr. 2306334, gedaan in overeenstemming met Onze Ministers van Defensie, Economische Zaken en Klimaat, Financiën en Infrastructuur en Waterstaat; Gelet op richtlijn (EU) 2016/1148, uitvoeringsverordening (EU) 2018/151 en de artikelen 5, eerste lid, 6, 9, 15 en 34 van de Wet beveiliging netwerk- en informatiesystemen; De Afdeling advisering van de Raad van State gehoord (advies van 25 juli 2018, nummer W16.18.0203/II); Gezien het nader rapport van Onze Minister van Justitie en Veiligheid van 24 oktober 2018, Directie Wetgeving en Juridische Zaken, nr. 2346717, uitgebracht in overeenstemming met Onze Ministers van Defensie, Economische Zaken en Klimaat, Financiën en Infrastructuur en Waterstaat; Hebben goedgevonden en verstaan:

Artikel 1

(begripsbepalingen).

In dit besluit en de daarop berustende bepalingen wordt onder wet verstaan: Wet beveiliging netwerk- en informatiesystemen.

Artikel 2

(aanwijzing aanbieders van een essentiële dienst).

Als aanbieders van een essentiële dienst of categorieën van zodanige aanbieders worden aangewezen:

Sector

Aanbieder

Essentiële dienst

Energie:

elektriciteit

• De netbeheerder van het landelijk hoogspanningsnet, aangewezen op grond van artikel 10, tweede lid, of 14 van de Elektriciteitswet 1998

• De regionale netbeheerders, aangewezen op grond van artikel 10, negende lid, 13, eerste lid, of 14 van de Elektriciteitswet 1998

Transmissie en distributie van elektriciteit

Energie: gas

• De netbeheerder van het landelijk gastransportnet, aangewezen op grond van artikel 2, eerste lid, of 5 van de Gaswet

• De regionale netbeheerders, aangewezen krachtens artikel 2, achtste lid, of 5 van de Gaswet

Transmissie en distributie van gas

De Nederlandse Aardolie Maatschappij B.V.

Het opsporen en winnen van gas op basis van de concessie voor de aardgaswinning uit het Groningenveld op grond van het koninklijk besluit van 30 mei 1963, nr. 39 (Stcrt. 1963, 126)

Energie: aardolie

Stichting Centraal Orgaan Voorraadvorming Aardolieproducten

Het beheren van strategische olievoorraden

Vervoer

De Divisie Havenmeester van het Havenbedrijf Rotterdam N.V.

Het afwikkelen van scheepvaartverkeer

• Royal Schiphol Group N.V.

• Luchtverkeersleiding Nederland

• Maastricht Upper Area Control Centre (MUAC)

• Aircraft Fuel Supply B.V.

• Koninklijke marechaussee

• elke luchtvaartmaatschappij met minimaal 25% van het totaal aantal vliegbewegingen op Schiphol in een kalenderjaar

Een veilige en vlotte vlucht- en vliegtuigafhandeling voor wat betreft de luchthaven Schiphol

Bankwezen

De bij besluit van De Nederlandsche Bank N.V. aangewezen kredietinstellingen als bedoeld in artikel 4, punt 1, van Verordening (EU) nr. 575/2013

Het aanbieden en afwikkelen van betalings- en effectenverkeer

Infrastructuur voor de financiële markt

De bij besluit van De Nederlandsche Bank N.V. aangewezen:

• exploitanten van handelsplatformen als bedoeld in artikel 4, punt 24, van Richtlijn 2014/65/EU;

• centrale tegenpartijen als bedoeld in artikel 2, punt 1, van Verordening (EU) nr. 648/2012

Het aanbieden en afwikkelen van effectenverkeer

Drinkwater

Drinkwaterbedrijf als bedoeld in artikel 1, eerste lid, van de Drinkwaterwet

Het leveren van deugdelijk drinkwater door middel van een openbare drinkwatervoorziening

Digitale infrastructuur

Een aanbieder van een internetknooppunt als bedoeld in artikel 4, onder 13, van Richtlijn (EU) 2016/1148 waarop meer dan 300 autonome systemen zijn aangesloten

Het faciliteren van het internet- en dataverkeer

Een beheerder van een register voor topleveldomeinnamen die bij de Internet Assigned Number Authority (IANA) is geregistreerd en die meer dan 1.000.000 geregistreerde domeinnamen in beheer heeft

Het beheren en registreren van domeinnamen onder een topleveldomein

Een beheerder van een register voor topleveldomeinnamen die bij de IANA is geregistreerd, meer dan 1.000.000 geregistreerde domeinnamen in beheer heeft en ten behoeve van die domeinnamen DNS-diensten verleent als bedoeld in artikel 4, onder 14 en 15, van Richtlijn (EU) 2016/1148

Het verlenen van DNS-diensten ten behoeve van domeinnamen onder een topleveldomein

Artikel 3

(aanwijzing andere vitale aanbieders).

Als andere vitale aanbieders of categorieën van zodanige aanbieders als bedoeld in artikel 5, eerste lid, onder b, van de wet worden aangewezen:

Sector

Andere vitale aanbieder

Dienst

Nucleair

Houder van een vergunning als bedoeld in artikel 15, onderdeel b, van de Kernenergiewet

De bescherming van inrichtingen, waarin kernenergie kan worden vrijgemaakt, splijtstoffen kunnen worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen worden opgeslagen of inrichtingen, waarin kernenergie kon worden vrijgemaakt, splijtstoffen konden worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen werden opgeslagen

Bedrijf vallend onder het Geheimhoudingsbesluit Kernenergiewet, Bedrijf vallend onder het Toepassingsbesluit 24 september 1971/nr.671/524

• De bescherming van inrichtingen, waarin kernenergie kan worden vrijgemaakt, splijtstoffen kunnen worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen worden opgeslagen of inrichtingen, waarin kernenergie kon worden vrijgemaakt, splijtstoffen konden worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen werden opgeslagen

• Het waarborgen van de beveiliging en geheimhouding van gegevens, welke noodzakelijk zijn voor het scheiden van verschillende in splijtstof voorkomende uraniumisotopen met gebruikmaking van gasultracentrifuges en het produceren van hulpmiddelen en materialen, welke zijn benodigd voor het scheiden van verschillende in splijtstof voorkomende uraniumisotopen met gebruikmaking van gasultracentrifuges

Keren en Beheren

Onze Minister van Infrastructuur en Waterstaat

De bij besluit van Onze Minister van Infrastructuur en Waterstaat aangewezen waterkeringen of onderdelen daarvan

Financieel

De bij besluit van De Nederlandsche Bank N.V. aangewezen:

• afwikkelondernemingen, bedoeld in artikel 1:1 van de Wet op het financieel toezicht

• het verlenen van afwikkeldiensten als bedoeld in artikel 1:1 van de Wet op het financieel toezicht

• centrale effectenbewaarinstelling, bedoeld in artikel 2, eerste lid, van Verordening (EU) nr. 909/2014

• het exploiteren van een effectenafwikkelingssysteem

Elektronische communicatienetwerken en -diensten/ICT

Een aanbieder van een elektronisch communicatienetwerk of een elektronische communicatiedienst die een netwerk of infrastructuur beheert dat of die direct of indirect wordt gebruikt ten behoeve van het verlenen van een telefoon-, sms- of internettoegangsdienst aan minimaal 1.000.000 eindgebruikers

Het verlenen van een telefoon-, sms- of internettoegangsdienst

Artikel 4

(uitzondering beveiligingseisen financiële instellingen).

De artikelen 7, 8, 9, 26 en 27 van de wet zijn niet van toepassing op de bij besluit van De Nederlandsche Bank N.V. krachtens artikel 2 aangewezen kredietinstellingen, centrale tegenpartijen en exploitanten van handelsplatformen.

Artikel 5

(beveiliging en meldplicht digitaledienstverlener).

Het is verboden te handelen in strijd met de artikelen 2, 3, en 4, eerste lid, van uitvoeringsverordening (EU) 2018/151 van de Commissie van 30 januari 2018 tot vaststelling van toepassingsbepalingen voor Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad wat betreft de nadere specificatie van de door digitaledienstverleners in aanmerking te nemen elementen voor het beheer van de risico’s in verband met de beveiliging van netwerk- en informatiesystemen en van de parameters om te bepalen of een incident aanzienlijke gevolgen heeft (PbEU 2018, L 26).

Artikel 6

(wijze waarop een incident wordt gemeld).

  1. Een melding bij Onze Minister als bedoeld in artikel 10, eerste of derde lid, van de wet wordt gedaan op een door Onze Minister aangegeven wijze. 2. Een melding bij de bevoegde autoriteit als bedoeld in artikel 10, tweede of derde lid, of 13, eerste lid, onder b, van de wet wordt gedaan op een door de bevoegde autoriteit aangegeven wijze. 3. Een melding bij het CSIRT voor digitale diensten als bedoeld in artikel 13, eerste lid, onder a, van de wet wordt gedaan op een door het CSIRT voor digitale diensten aangegeven wijze.

Artikel 7

(intrekking Besluit meldplicht cybersecurity).

Het Besluit meldplicht cybersecurity wordt ingetrokken.

Artikel 8

(inwerkingtreding).

Dit besluit treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan of voor verschillende categorieën van aanbieders of diensten verschillend kan worden vastgesteld.

Artikel 9

(citeertitel).

Dit besluit wordt aangehaald als: Besluit beveiliging netwerk- en informatiesystemen.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.histnootWassenaar, 30 oktober 2018Willem-AlexanderDe Minister van Justitie en Veiligheid, F.B.J. Grapperhaus

Uitgegeven de achtste november 2018 De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus

NOTA VAN TOELICHTING

  1. Algemeen

    Dit besluit, het Besluit beveiliging netwerk- en informatiesystemen (Bbni), strekt ter uitvoering van de zogenoemde NIB-richtlijn van de Europese Unie1 en uitvoeringsverordening 2018/151.2 Voor aanbieders van een essentiële dienst (AED’s) eindigt de implementatietermijn van die richtlijn materieel op 9 november 2018, de datum waarop zij door de lidstaten uiterlijk aangewezen moeten zijn. De transponeringstabel is...

Om verder te lezen

PROBEER HET UIT

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT