Wet beveiliging netwerk- en informatiesystemen

Wet van 17 oktober 2018, houdende regels ter implementatie van richtlijn (EU) 2016/1148 (Wet beveiliging netwerk- en informatiesystemen)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz. Allen, die deze zullen zien of horen lezen, saluut! doen te weten:Alzo Wij in overweging genomen hebben dat het gelet op richtlijn (EU) 2016/1148 noodzakelijk is om wettelijke bepalingen vast te stellen ter bevordering van de beveiliging van netwerk- en informatiesystemen; Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:

HOOFDSTUK 1 BEGRIPSBEPALINGEN Artículo 1

Artikel 1

(begripsbepalingen).

In deze wet en de daarop berustende bepalingen wordt verstaan onder:– aanbieder:

overheidsorganisatie of privaatrechtelijke rechtspersoon die een dienst exploiteert, beheert of beschikbaar stelt; – aanbieder van een essentiële dienst:

aanbieder van een essentiële dienst als bedoeld in artikel 4 van de NIB-richtlijn, aangewezen op grond van artikel 5, eerste lid, onder a; – beveiliging van netwerk- en informatiesystemen, digitale dienst, incident, netwerk- en informatiesysteem, norm, onderscheidenlijk risico:

hetgeen daaronder wordt verstaan in artikel 4 van de NIB-richtlijn;– bevoegde autoriteit:

bevoegde autoriteit, genoemd in artikel 4;– centraal contactpunt:

centraal contactpunt als bedoeld in artikel 8, derde lid, van de NIB-richtlijn;– CSIRT:

Computer security incident response team als bedoeld in artikel 9 van de NIB-richtlijn;– CSIRT voor digitale diensten:

CSIRT, aangewezen op grond van artikel 4, tweede lid, onder b;– digitaledienstverlener:

rechtspersoon die een digitale dienst aanbiedt en gelet op artikel 18, eerste en tweede lid, van de NIB-richtlijn onder de jurisdictie van Nederland valt, met uitzondering van kleine en micro-ondernemingen als bedoeld in artikel 16, elfde lid, van de NIB-richtlijn; – NIB-richtlijn:

richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194); – Onze Minister:

Onze Minister van Justitie en Veiligheid;– vitale aanbieder: a. aanbieder van een essentiële dienst; b. aanbieder van een andere dienst waarvan de continuïteit van vitaal belang is voor de Nederlandse samenleving.

HOOFDSTUK 2 TAKEN VAN ONZE MINISTER Artículos 2 y 3

Artikel 2

(centraal contactpunt; CSIRT voor essentiële diensten; instantie voor vrijwillige meldingen).

Onze Minister is:a. het centrale contactpunt; b. voor aanbieders van een essentiële dienst: het CSIRT; c. de instantie voor de behandeling van vrijwillige meldingen als bedoeld in artikel 16.

Artikel 3

(taken van Onze Minister).

1. Onze Minister heeft, ter voorkoming of beperking van het uitvallen van de beschikbaarheid of het verlies van integriteit van netwerk- en informatiesystemen van vitale aanbieders, en van andere aanbieders die onderdeel zijn van de rijksoverheid, ter verdere versterking van de digitale weerbaarheid van de Nederlandse samenleving en ter uitvoering van de NIB-richtlijn, de volgende taken: a. de taken van het centrale contactpunt; b. voor aanbieders van een essentiële dienst: de in bijlage I, onder 2, van de NIB-richtlijn genoemde taken van het CSIRT; c. het bijstaan van de in de aanhef bedoelde aanbieders bij het treffen van maatregelen om de continuïteit van hun diensten te waarborgen of te herstellen; d. het informeren en adviseren van deze aanbieders en anderen in en buiten Nederland over dreigingen en incidenten met betrekking tot de in de aanhef bedoelde netwerk- en informatiesystemen; e. het verrichten van analyses en technisch onderzoek ten behoeve van de onder b, c en d genoemde taken, naar aanleiding van de onder d bedoelde dreigingen en incidenten of aanwijzingen daarvoor, niet zijnde onderzoek naar personen of organisaties die voor die dreigingen of incidenten verantwoordelijk zijn of die daar anderszins aan bijdragen of hebben bijgedragen. 2. Voorts heeft Onze Minister, ter voorkoming van nadelige maatschappelijke gevolgen in en buiten Nederland, tot taak: het verstrekken van ingevolge het eerste lid, onder e, verkregen gegevens over dreigingen en incidenten met betrekking tot andere netwerk- en informatiesystemen dan bedoeld in de aanhef van het eerste lid aan: a. organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek daarover te informeren; b. CSIRT’s; c. andere computercrisisteams, aangewezen bij regeling van Onze Minister of behorend tot een bij die regeling aangewezen categorie; d. aanbieders van internettoegangs- en internetcommunicatiediensten ten behoeve van het informeren van gebruikers van die diensten. 3. Voorts heeft Onze Minister tot taak: de behandeling van vrijwillige meldingen als bedoeld in artikel 16.

HOOFDSTUK 3 TAKEN VAN ANDERE INSTANTIES Artículo 4

Artikel 4

(bevoegde autoriteit; CSIRT voor digitale diensten).

1. De bevoegde autoriteit, bedoeld in artikel 8, eerste lid, van de NIB-richtlijn, is voor de sectoren, genoemd in bijlage II van die richtlijn:

Bevoegde autoriteit

Sector

Onze Minister van Economische Zaken en Klimaat

energie

digitale infrastructuur

De Nederlandsche Bank N.V.

bankwezen

infrastructuur voor de financiële markt

Onze Minister van Infrastructuur en Waterstaat

vervoer

levering en distributie van drinkwater

Onze Minister voor Medische Zorg

gezondheidszorg2. Voor de digitale diensten, genoemd in bijlage III van de NIB-richtlijn, is: a. de bevoegde autoriteit, bedoeld in artikel 8, eerste lid, van de NIB-richtlijn: Onze Minister van Economische Zaken en Klimaat; b. het CSIRT: de bij koninklijk besluit aangewezen instantie. 3. De bevoegde autoriteit heeft voor wat betreft de aanbieders van een essentiële dienst in de betrokken sector of sectoren, onderscheidenlijk voor de digitaledienstverleners, tot taak zorg te dragen voor de bestuursrechtelijke handhaving van het bepaalde bij of krachtens deze wet. 4. Het CSIRT voor digitale diensten heeft voor wat betreft digitaledienstverleners de in bijlage I, onder 2, van de NIB-richtlijn genoemde taken.

HOOFDSTUK 4 BEVEILIGINGSEISEN EN MELDING VAN INCIDENTEN Artículos 5 a 16

§ 1. Algemeen

Artikel 5

(aanwijzing van vitale aanbieders).

1. Bij algemene maatregel van bestuur of bij besluit van een bij die maatregel genoemd bestuursorgaan worden aangewezen: a. aanbieders van een essentiële dienst of categorieën van zodanige aanbieders; b. andere vitale aanbieders of categorieën van zodanige aanbieders. 2. Bij de toepassing van het eerste lid, onder a, worden de artikelen 5 en 6 van de NIB-richtlijn en bijlage II van die richtlijn in acht genomen.

Artikel 6

(voorrang voor sectorspecifieke EU-regels).

Voor zover artikel 1, zevende lid, van de NIB-richtlijn van toepassing is, kan bij algemene maatregel van bestuur worden bepaald dat daarbij aangewezen, bij of krachtens deze wet gestelde voorschriften niet gelden voor daarbij aangewezen categorieën van aanbieders van essentiële diensten of digitaledienstverleners.

§ 2. Beveiliging

Artikel 7

(risico’s beheersen).

1. De aanbieder van een essentiële dienst en de digitaledienstverlener nemen passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. De maatregelen zorgen, gezien de stand van de techniek, voor een niveau van beveiliging dat is afgestemd op de risico's die zich voordoen. 2. De in het eerste lid bedoelde maatregelen van de digitaledienstverlener houden in elk geval rekening met de volgende aspecten: a. de beveiliging van systemen en voorzieningen; b. behandeling van incidenten; c. het beheer van de bedrijfscontinuïteit; d. toezicht, controle en testen; e. inachtneming van de internationale normen.

Artikel 8

(incidenten voorkomen en gevolgen van incidenten beperken).

De aanbieder van een essentiële dienst en de...