Home

Wet beveiliging netwerk- en informatiesystemen

Geldig van 1 december 2022 tot 1 oktober 2024
Geldig van 1 december 2022 tot 1 oktober 2024

Wet beveiliging netwerk- en informatiesystemen

Opschrift

[Tekst geldig vanaf 01-12-2022 tot 01-10-2024]

Aanhef

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Allen, die deze zullen zien of horen lezen, saluut! doen te weten:

Alzo Wij in overweging genomen hebben dat het gelet op richtlijn (EU) 2016/1148 noodzakelijk is om wettelijke bepalingen vast te stellen ter bevordering van de beveiliging van netwerk- en informatiesystemen;

Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:

Hoofdstuk 1. Begripsbepalingen

Artikel 1. (begripsbepalingen)

In deze wet en de daarop berustende bepalingen wordt verstaan onder:

  • aanbieder: overheidsorganisatie of privaatrechtelijke rechtspersoon die een dienst exploiteert, beheert of beschikbaar stelt;

  • aanbieder van een essentiële dienst: aanbieder van een essentiële dienst als bedoeld in artikel 4 van de NIB-richtlijn, aangewezen op grond van artikel 5, eerste lid, onder a;

  • beveiliging van netwerk- en informatiesystemen, digitale dienst, incident, netwerk- en informatiesysteem, norm, onderscheidenlijk afbreekrisico: hetgeen daaronder wordt verstaan in artikel 4 van de NIB-richtlijn;

  • bevoegde autoriteit: bevoegde autoriteit, genoemd in artikel 4;

  • centraal contactpunt: centraal contactpunt als bedoeld in artikel 8, derde lid, van de NIB-richtlijn;

  • CSIRT: Computer security incident response team als bedoeld in artikel 9 van de NIB-richtlijn;

  • CSIRT voor digitale diensten: CSIRT, aangewezen op grond van artikel 4, tweede lid, onder b;

  • digitaledienstverlener: rechtspersoon die een digitale dienst aanbiedt en gelet op artikel 18, eerste en tweede lid, van de NIB-richtlijn onder de jurisdictie van Nederland valt, met uitzondering van kleine en micro-ondernemingen als bedoeld in artikel 16, elfde lid, van de NIB-richtlijn;

  • NIB-richtlijn: richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194);

  • Onze Minister: Onze Minister van Justitie en Veiligheid;

  • vitale aanbieder:

    1. aanbieder van een essentiële dienst;

    2. aanbieder van een andere dienst waarvan de continuïteit van vitaal belang is voor de Nederlandse samenleving.

Hoofdstuk 2. Taken van Onze Minister

Artikel 2. (centraal contactpunt; CSIRT voor essentiële diensten; instantie voor vrijwillige meldingen)

Artikel 3. (taken van Onze Minister)

Hoofdstuk 3. Taken van andere instanties

Artikel 4. (bevoegde autoriteit; CSIRT voor digitale diensten)

Hoofdstuk 4. Beveiligingseisen en melding van incidenten

§ 1. Algemeen

Artikel 5. (aanwijzing van vitale aanbieders)

Artikel 6. (voorrang voor sectorspecifieke EU-regels)

§ 2. Beveiliging

Artikel 7. (risico’s beheersen)

Artikel 8. (incidenten voorkomen en gevolgen van incidenten beperken)

Artikel 9. (nadere regels)

§ 3. Meldplicht voor incidenten

Artikel 10. (aangewezen vitale aanbieder)

Artikel 11. (bij de melding te verstrekken gegevens)

Artikel 12. (verstrekking nadere gegevens door aangewezen vitale aanbieder)

Artikel 13. (digitaledienstverlener)

Artikel 14. (verstrekking nadere gegevens door digitaledienstverleners)

Artikel 15. (nadere regels meldplicht)

§ 4. Vrijwillige melding van incidenten

Artikel 16. (vrijwillige melding van incidenten)

Hoofdstuk 5. Verwerking van gegevens

Artikel 17. (verwerking van gegevens door Onze Minister en andere instanties)

Artikel 18. (verstrekking gegevens aan Onze Minister)

Artikel 19. (verstrekking incidentinformatie aan en door centrale contactpunten)

Artikel 20. (verstrekking van vertrouwelijke gegevens door Onze Minister)

Artikel 21. (verstrekking van vertrouwelijke gegevens door het CSIRT voor digitale diensten)

Artikel 22. (verstrekking van vertrouwelijke gegevens door de bevoegde autoriteit)

Artikel 23. (openbaarmaking incidenten)

Hoofdstuk 6. Handhaving

Artikel 24. (reikwijdte)

Artikel 25. (toezichthoudende personen)

Artikel 26. (beveiligingsaudit)

Artikel 27. (bindende aanwijzing)

Artikel 28. (last onder bestuursdwang)

Artikel 29. (bestuurlijke boete)

Hoofdstuk 7. Slotbepalingen

Artikel 30. (wijziging Algemene wet bestuursrecht )

Artikel 31. (samenloop met wetsvoorstel Wet bekostiging financieel toezicht 2019)

Artikel 32. (samenloop met Wet op de inlichtingen- en veiligheidsdiensten 2017 )

Artikel 33. (samenloop met wetsvoorstel Wet open overheid)

Artikel 34. (intrekking Wet gegevensverwerking en meldplicht cybersecurity )

Artikel 35. (inwerkingtreding)

Artikel 36. (citeertitel)