TK 2017/18, 34 883 Cybersecuritywet

Wetsvoorstel (14-02-2018) ­houdende regels ter implementatie van richtlijn (EU) 2016/1148 (Cybersecuritywet)

—Dit voorstel voor een Cybersecuritywet (Csw) strekt ter uitvoering van de NIB-richtlijn van de EU, waarbij NIB staat voor Netwerk- en Informatiebeveiliging. De lidstaten moeten op 9 mei 2018 aan deze richtlijn voldoen door deze waar nodig in hun regelgeving om te zetten. Vanwege inhoudelijke samenhang en overlap met de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) wordt de Wgmc beleidsneutraal, zonder materiële wijzigingen, geïncorporeerd in de Csw en ingetrokken.

Het doel van de NIB-richtlijn is om eenheid en samenhang te brengen in Europees beleid voor netwerk- en informatiebeveiliging, door de digi­tale paraatheid te vergroten en de gevolgen van cyberincidenten te verkleinen. Lidstaten moeten zowel aanbieders van essentiële diensten als digitaledienstverleners verplichten om (i) adequate maatregelen te nemen om beveiligingsrisico’s te beheersen, incidenten te voorkomen en, als zich toch incidenten voordoen, de gevolgen daarvan zo veel mogelijk te beperken en (ii) ernstige incidenten te melden aan de nationale bevoegde autoriteit of het CSIRT (computer security incident response team). De belangrijkste onderdelen van de richtlijn zijn:

  • a. Reikwijdte
  • b. Aanwijzing van aanbieders van essentiële diensten
  • c. Nationale strategie
  • d. Aanwijzing van centraal contactpunt, CSIRT en bevoegde autoriteit
  • e. Samenwerking op nationaal en Europees niveau
  • f. Beveiligingseisen, meldplicht en vrijwillige melding
  • g. Toezicht en sancties


a. Reikwijdte

De NIB-richtlijn is van toepassing op (i) door de lidstaten aan te wijzen ‘aanbieders van essentiële diensten’ (hierna: AED’s) binnen de in bijlage II van de richtlijn genoemde sectoren (energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater en digitale infrastructuur) en (ii) ‘digitaledienstverleners’ (hierna: DSP’s): aanbieders van onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten. De richtlijn geldt ook voor overheidsorganisaties die essentiële diensten aanbieden.

De beveiligings- en meldingseisen zijn niet van toepassing op openbare elektronische-communicatienetwerken en -diensten (telecomsector) en verleners van elektronische vertrouwensdiensten (zoals een certificaat voor een elektronische handtekening), omdat voor die sectoren al vergelijkbare EU-regels gelden. Meer in het algemeen geeft de richtlijn voorrang aan bestaande en toekomstige sectorspecifieke EU-regels inzake de beveiliging van netwerk- en informatiesystemen of meldplichten voor incidenten, als die regels ten minste gelijkwaardig zijn aan de verplichtingen van de NIB-richtlijn.


b. Aanwijzing van AED’s

De aanwijzing van de AED’s moet uiterlijk op 9 november 2018 gereed zijn. De richtlijn geeft drie criteria voor de aanwijzing:

  1. de aanbieder verleent een dienst die van essentieel belang is voor de instandhouding van kritieke maatschappelijke of economische activiteiten;
  2. de verlening van die dienst is afhankelijk van netwerk- en informatiesystemen;
  3. een incident zou aanzienlijke verstorende effecten hebben voor de verlening van die dienst.

Ter invulling van het derde criterium geeft de richtlijn een niet-limitatieve opsomming van relevante factoren. Aanwijzing van DSP’s is niet nodig en niet toegestaan; de richtlijn is van toepassing op alle DSP’s die binnen de definities vallen. De categorieën worden limitatief opgesomd in bijlage III van de richtlijn en gedefinieerd in artikel 4 van de richtlijn.


c. Nationale strategie

Elke lidstaat moet voor de beveiliging van netwerk- en informatiesystemen een nationale strategie vaststellen waarin de strategische doelstellingen en concrete beleidsmaatregelen worden bepaald voor de in bijlage II genoemde sectoren en voor de digitale diensten van bijlage III.


d. Aanwijzing van centraal contactpunt, CSIRT en bevoegde autoriteit

Elke lidstaat moet één centraal contactpunt aanwijzen en een of meer CSIRT’s en bevoegde autoriteiten:

  • het centrale contactpunt heeft een verbindingsfunctie in de samenwerking tussen de lidstaten;
  • het CSIRT heeft onder meer tot taak om te waarschuwen voor cyberrisico’s en te reageren op incidenten;
  • de bevoegde autoriteit ziet toe op de naleving van de beveiligingseisen en de meldplicht en legt indien nodig sancties op.


e. Samenwerking op nationaal en Europees niveau

Als de taken van de bevoegde autoriteit, het centrale contactpunt en het CSIRT binnen een lidstaat aan meerdere instanties zijn toegekend, moeten zij samenwerken. Op EU-niveau is een samenwerkingsgroep opgericht om de strategische samenwerking en uitwisseling van informatie tussen de lidstaten te ondersteunen en te faciliteren. De samenwerkingsgroep bestaat uit vertegenwoordigers van de lidstaten, de Europese Commissie en ENISA, het Europese Agentschap voor netwerk- en informatiebeveiliging. De samenwerkingsgroep krijgt elk jaar een verslag van de centrale contactpunten van de lidstaten over de ontvangen incidentmeldingen.

Daarnaast is een netwerk van nationale CSIRT’s ingesteld, dat bestaat uit vertegenwoordigers van de CSIRT’s van de lidstaten en CERT-EU (het computer emergency response team voor de instellingen van de Europese Unie). Dit netwerk moet een snelle en doeltreffende operationele samenwerking tussen de lidstaten bevorderen. Daartoe kan onder meer (niet-vertrouwelijke) informatie worden uitgewisseld over diensten, activiteiten, samenwerkingscapaciteiten en afzonderlijke incidenten.


f. Beveiligingseisen, meldplicht en vrijwillige melding

De AED’s en DSP’s moeten volgens de richtlijn passende en evenredige technische en organisatorische maatregelen nemen om hun ICT adequaat te beveiligen tegen inbreuken van buitenaf, passende maatregelen treffen om incidenten te voorkomen en, als zich toch incidenten voordoen, de gevolgen daarvan zo veel mogelijk te beperken. Verder moeten zij incidenten met aanzienlijke gevolgen melden bij de bevoegde autoriteit of het CSIRT. Om te bepalen of een incident aanzienlijke gevolgen heeft, zijn in elk geval de volgende factoren relevant: het aantal getroffen gebruikers, de omvang van het getroffen geografische gebied en de duur van het incident. Voor DSP’s voegt de richtlijn daar nog twee factoren aan toe: de omvang van de verstoring van de werking van de dienst en de omvang van de gevolgen voor de economische en maatschappelijke activiteiten.

De richtlijn voorziet ook in de mogelijkheid voor het vrijwillig melden van niet-meldplichtige incidenten met aanzienlijke gevolgen.


g. Toezicht en sancties

Op de naleving van de beveiligingseisen en meldplichten moet toezicht gehouden worden en zo nodig moet handhavend worden opgetreden.

De NIB-richtlijn is gericht op minimumharmonisatie, behalve voor wat betreft DSP’s. Dit betekent dat lidstaten aanvullende regels kunnen stellen en een onderwerp uitgebreider kunnen reguleren dan de desbetreffende bepaling(en) in de richtlijn, maar bijvoorbeeld ook dat de richtlijn de lidstaten vrij laat om regels te stellen over cybersecurity voor sectoren die niet onder de richtlijn vallen, zoals waterkeringen en nucleair. Voor wat betreft DSP’s verbiedt de richtlijn in beginsel het stellen van andere beveiligings- en meldingseisen (zie artikel 16, tiende lid, van de richtlijn).

Op hoofdlijnen zijn in dit wetsvoorstel de volgende implementatiekeuzes gemaakt:

  1. aanwijzing van de AED’s bij amvb of bij nader besluit van een in die amvb te noemen bestuursorgaan;
  2. aanwijzing van de Minister van Justitie en Veiligheid als het centrale contactpunt voor Nederland;
  3. scheiding van de functies van het CSIRT (advies en bijstand) en de bevoegde autoriteit (toezicht en sancties), waarmee wordt aangesloten bij de in Nederland nu ook al voor verschillende sectoren geldende taakverdeling;
  4. aanwijzing van de Minister van Justitie en Veiligheid als het CSIRT voor AED’s;
  5. aanwijzing van het CSIRT voor DSP’s bij amvb;
  6. aanwijzing van de Minister van Justitie en Veiligheid als het ‘loket’ voor vrijwillige incidentmeldingen;
  7. sectoraal toezicht: aanwijzing van de vakministers respectievelijk De Nederlandsche Bank als de bevoegde autoriteiten;
  8. dubbel melden van ernstige ICT-incidenten: zowel bij het CSIRT als bij de bevoegde autoriteit. Er wordt naar gestreefd deze dubbele meldplicht technisch zó in te richten dat het verspreiden van de benodigde informatie maar één handeling vergt;
  9. beveiligingseisen: de beveiligingsverplichtingen zijn opgenomen in de artikelen 7 en 8 Csw. Het is in eerste instantie aan de organisaties zelf om te bepalen welke concrete maatregelen voor hen passend en evenredig zijn. Artikel 9 Csw geeft de bevoegdheid om desgewenst, bij of krachtens amvb, voor AED’s of DSP’s (of voor bepaalde categorieën daarvan) nadere regels te stellen over de te treffen beveiligingsmaatregelen. Die nadere regels kunnen desgewenst ook worden opgenomen in een bestaande sectorale amvb. Als op Europees niveau richtsnoeren worden opgesteld over de beveiligingsmaatregelen, zullen deze hierbij worden betrokken;
  10. een-op-een overgenomen uit de Wgmc:
    • aangewezen vitale aanbieders, inclusief AED’s, moeten ook inbreuken melden die aanzienlijke gevolgen kúnnen hebben voor de continuïteit van vitale dienstverlening (‘bijna-ongelukken’), maar dergelijke inbreuken hoeven alleen te worden gemeld bij (het Nationaal Cyber Security Centrum (NCSC) van) de Minister van Justitie en Veiligheid. Het staat aanbieders vrij om deze inbreuken op vrijwillige basis ook bij de bevoegde autoriteit te melden;
    • voor vitale aanbieders die niet onder de richtlijn vallen, geldt alleen de plicht om incidenten bij het NCSC te melden, en gelden op grond van het onderhavige wetsvoorstel dus geen beveiligingseisen en geen toezicht en sancties;
  11. implementatie in één centrale wet en niet in sectorale wetten van de vakdepartementen (zoals de Wet op het financieel toezicht (Wft) en de Drinkwaterwet).


Kamerstukken



Lees en doorzoek het NJB online in Navigator

Inloggen

Agenda

Afbeelding

Ontmoet vakgenoten en bespreek actuele onderwerpen in de LinkedIn-groep van het Nederlands Juristenblad.

 

 

U maakt gebruik van een verouderde browser

Het gebruik van een verouderde browser maakt uw computer onveilig en tevens ongeschikt voor het optimaal raadplegen van deze website.

De website van het NJB - Nederlands Juristenblad is namelijk geoptimaliseerd voor een nieuwere versie van uw browser.
In de meeste gevallen waarin het fout gaat, betreft dit het gebruik van de Internet Explorer browserversie 7 of 8.
Deze website is geoptimaliseerd voor Internet Explorer 9 en hoger, Google Chrome, Safari en Firefox.

Bekijk hier of er een nieuwere versie van uw browser beschikbaar is.