Wet van 17-10-2018, Stb. 2018, 387

Wet houdende regels ter implementatie van richtlijn (EU) 2016/1148 (Wet beveiliging netwerk- en informatiesystemen)

—Deze wet, die aanvankelijk als citeertitel Cybersecuritywet had, maar bij amendement de naam Wet beveiliging netwerk- en informatiesystemen heeft gekregen, strekt ter uitvoering van de NIB-richtlijn van de EU, waarbij NIB staat voor Netwerk- en Informatiebeveiliging (Wbni). De lidstaten moesten op 9 mei 2018 aan deze richtlijn voldoen door deze waar nodig in hun regelgeving om te zetten. Vanwege inhoudelijke samenhang en overlap met de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) wordt de Wgmc beleidsneutraal, zonder materiële wijzigingen, geïncorporeerd in de onderhavige wet en ingetrokken.

Het doel van de NIB-richtlijn is om eenheid en samenhang te brengen in Europees beleid voor netwerk- en informatiebeveiliging, door de digitale paraatheid te vergroten en de gevolgen van cyberincidenten te verkleinen. Lidstaten moeten zowel aanbieders van essentiële diensten als digitaledienstverleners verplichten om (i) adequate maatregelen te nemen om beveiligingsrisico’s te beheersen, incidenten te voorkomen en, als zich toch incidenten voordoen, de gevolgen daarvan zo veel mogelijk te beperken en (ii) ernstige incidenten te melden aan de nationale bevoegde autoriteit of het CSIRT (computer security incident response team). De belangrijkste onderdelen van de richtlijn zijn:

  • a. reikwijdte;
  • b. aanwijzing van aanbieders van essentiële diensten;
  • c. nationale strategie;
  • d. aanwijzing van centraal contactpunt, CSIRT en bevoegde autoriteit;
  • e. samenwerking op nationaal en Europees niveau;
  • f. beveiligingseisen, meldplicht en vrijwillige melding;
  • g. toezicht en sancties (zie uitgebreid hierover: NJB 2018/480).

Op hoofdlijnen zijn met deze wet de volgende implementatiekeuzes gemaakt:

  1. aanwijzing van de AED’s bij amvb of bij nader besluit van een in die amvb te noemen bestuursorgaan;
  2. aanwijzing van de Minister van Justitie en Veiligheid als het centrale contactpunt voor Nederland;
  3. scheiding van de functies van het CSIRT (advies en bijstand) en de bevoegde autoriteit (toezicht en sancties), waarmee wordt aangesloten bij de in Nederland nu ook al voor verschillende sectoren geldende taakverdeling;
  4. aanwijzing van de Minister van Justitie en Veiligheid als het CSIRT voor AED’s;
  5. aanwijzing van het CSIRT voor DSP’s bij kb (bij besluit van 30-10-2018, Stb. 2018, 389) is de Minister van EZK aangewezen als het CSIRT voor de digitale diensten);
  6. aanwijzing van de Minister van Justitie en Veiligheid als het ‘loket’ voor vrijwillige incidentmeldingen;
  7. sectoraal toezicht: aanwijzing van de vakministers respectievelijk De Nederlandsche Bank als de bevoegde autoriteiten;
  8. dubbel melden van ernstige ICT-incidenten: zowel bij het CSIRT als bij de bevoegde autoriteit. Er wordt naar gestreefd deze dubbele meldplicht technisch zó in te richten dat het verspreiden van de benodigde informatie maar één handeling vergt;
  9. beveiligingseisen: de beveiligingsverplichtingen zijn opgenomen in de artikelen 7 en 8 Wbni. Het is in eerste instantie aan de organisaties zelf om te bepalen welke concrete maatregelen voor hen passend en evenredig zijn. Artikel 9 Wbni geeft de bevoegdheid om desgewenst, bij of krachtens amvb, voor AED’s of DSP’s (of voor bepaalde categorieën daarvan) nadere regels te stellen over de te treffen beveiligingsmaatregelen. Die nadere regels kunnen desgewenst ook worden opgenomen in een bestaande sectorale amvb. Als op Europees niveau richtsnoeren worden opgesteld over de beveiligingsmaatregelen, zullen deze hierbij worden betrokken;
  10. een-op-een overgenomen uit de Wgmc:
    • aangewezen vitale aanbieders, inclusief AED’s, moeten ook inbreuken melden die aanzienlijke gevolgen kúnnen hebben voor de continuïteit van vitale dienstverlening (‘bijna-ongelukken’), maar dergelijke inbreuken hoeven alleen te worden gemeld bij (het Nationaal Cyber Security Centrum (NCSC) van) de Minister van Justitie en Veiligheid. Het staat aanbieders vrij om deze inbreuken op vrijwillige basis ook bij de bevoegde autoriteit te melden;
    • voor vitale aanbieders die niet onder de richtlijn vallen, geldt alleen de plicht om incidenten bij het NCSC te melden, en gelden op grond van het onderhavige wetsvoorstel dus geen beveiligingseisen en geen toezicht en sancties;
  11. implementatie in één centrale wet en niet in sectorale wetten van de vakdepartementen (zoals de Wet op het financieel toezicht (Wft) en de Drinkwaterwet).

Er is tegelijk met deze wet ook een Besluit beveiliging netwerk- en informatiesystemen in het Staatsblad verschenen (Besluit van 30-10-2019, Stb. 2018, 388). 

Inwerkingtreding op een bij kb te bepalen tijdstip.


Kamerstukken

Nieuw in Wetgeving
WETGEVING
Stb. 2025, 81 Persoonsgebonden budget
8 april 2025
WETGEVING
Stb. 2025, 83 Verzamelwet gegevensverwerking VWS
8 april 2025
WETGEVING
TK 2024/25, 36716 Digitale voorlichting bij UAD-geneesmiddelen
8 april 2025
WETGEVING
Stb. 2025, 85 Luchthavenbesluiten van negatieve lijst Awb
8 april 2025
WETGEVING
Stb. 2025, 87 Wijziging Besluit Wav 2022
8 april 2025