Wet houdende regels over het verwerken van gegevens ter bevordering van de veiligheid en de integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving en regels over het melden van ernstige inbreuken (Wet gegevensverwerking en meldplicht cybersecurity)

—Deze wet introduceert een meldplicht voor een inbreuk op de veiligheid of een verlies van integriteit van elektronische informatiesystemen en stelt regels over het verwerken van gegevens ten behoeve van de taken van de Minister (ingevolge de huidige portefeuilleverdeling de Staatssecretaris) van Veiligheid en Justitie op het terrein van cybersecurity.

De meldplicht geldt alleen voor zogenoemde vitale aanbieders: overheidsorganisaties en privaatrechtelijke rechtspersonen die producten of diensten aanbieden waarvan de beschikbaarheid en betrouwbaarheid van vitaal belang zijn voor de Nederlandse samenleving. De meldplicht geldt daarnaast alleen als de inbreuk tot gevolg heeft of kan hebben dat de beschikbaarheid of betrouwbaarheid van dergelijke producten of diensten in belangrijke mate wordt of kan worden onderbroken. De meldplicht geldt uitsluitend voor bij algemene maatregel van bestuur aan te wijzen (categorieën van) vitale aanbieders van daarbij aan te wijzen producten of diensten. De melding moet worden gedaan aan de Staatssecretaris van Veiligheid en Justitie. De melding wordt behandeld door het Nationaal Cyber Security Centrum (NCSC), een onderdeel van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), die deel uitmaakt van het Ministerie van Veiligheid en Justitie. De melding stelt het NCSC in staat om hulp te verlenen aan de getroffen aanbieder en om andere aanbieders te waarschuwen, met als uiteindelijke doel om het risico van maatschappelijke ontwrichting in te schatten en die ontwrichting te voorkomen of in elk geval zo veel mogelijk te beperken.

Het doel van deze meldplicht is tweeledig. Een melding van een ernstige ICT-inbreuk bij een vitale aanbieder aan het NCSC is enerzijds bedoeld om tijdig te kunnen inschatten hoe groot de impact en daarmee de potentiële maatschappelijke ontwrichting van een ICT-inbreuk is. Anderzijds stelt de melding het NCSC in staat om hulp aan de getroffen organisatie te verlenen en om te anticiperen op de mogelijk bredere effecten van een dergelijke inbreuk, met name ook door andere vitale aanbieders alsook andere van de rijksoverheid deel uitmakende aanbieders te waarschuwen en te adviseren.

Inwerkingtreding

Inwerkingtredingsbesluit van 20-09-2017, Stb. 2017, 347

Besluit tot vaststelling van het tijdstip van inwerkingtreding van enkele bepalingen van de Wet gegevensverwerking en meldplicht cybersecurity (Stb. 2017, 316)

—Met uitzondering van de artikelen 5 tot en met 8 treedt de wet in werking met ingang van 01-10-2017.

Inwerkingtredingsbesluit van 04-12-2017, Stb. 2017, 477

Besluit tot vaststelling van het tijdstip van inwerkingtreding van (onder andere) de artikelen 5 tot en met 8 van de Wet gegevensverwerking en meldplicht cybersecurity (Stb. 2017, 316)

—De artikelen 5 tot en met 8 treden in werking met ingang van 01-01-2018

Inwerkingtreding

Kamerstukken