Besluit van 30 oktober 2018, houdende regels ter uitvoering van de Wet beveiliging netwerk- en informatiesystemen (Besluit beveiliging netwerk- en informatiesystemen)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Justitie en Veiligheid van 4 juli 2018, Directie Wetgeving en Juridische Zaken, nr. 2306334, gedaan in overeenstemming met Onze Ministers van Defensie, Economische Zaken en Klimaat, Financiën en Infrastructuur en Waterstaat;

Gelet op richtlijn (EU) 2016/1148, uitvoeringsverordening (EU) 2018/151 en de artikelen 5, eerste lid, 6, 9, 15 en 34 van de Wet beveiliging netwerk- en informatiesystemen;

De Afdeling advisering van de Raad van State gehoord (advies van 25 juli 2018, nummer W16.18.0203/II);

Gezien het nader rapport van Onze Minister van Justitie en Veiligheid van 24 oktober 2018, Directie Wetgeving en Juridische Zaken, nr. 2346717, uitgebracht in overeenstemming met Onze Ministers van Defensie, Economische Zaken en Klimaat, Financiën en Infrastructuur en Waterstaat;

Hebben goedgevonden en verstaan:

Artikel 1 (begripsbepalingen)

In dit besluit en de daarop berustende bepalingen wordt onder wet verstaan: Wet beveiliging netwerk- en informatiesystemen.

Artikel 2 (aanwijzing aanbieders van een essentiële dienst)

Als aanbieders van een essentiële dienst of categorieën van zodanige aanbieders worden aangewezen:

Sector

Aanbieder

Essentiële dienst

Energie:

elektriciteit

• De netbeheerder van het landelijk hoogspanningsnet, aangewezen op grond van artikel 10, tweede lid, of 14 van de Elektriciteitswet 1998

• De regionale netbeheerders, aangewezen op grond van artikel 10, negende lid, 13, eerste lid, of 14 van de Elektriciteitswet 1998

Transmissie en distributie van elektriciteit

Energie: gas

• De netbeheerder van het landelijk gastransportnet, aangewezen op grond van artikel 2, eerste lid, of 5 van de Gaswet

• De regionale netbeheerders, aangewezen krachtens artikel 2, achtste lid, of 5 van de Gaswet

Transmissie en distributie van gas

De Nederlandse Aardolie Maatschappij B.V.

Het opsporen en winnen van gas op basis van de concessie voor de aardgaswinning uit het Groningenveld op grond van het koninklijk besluit van 30 mei 1963, nr. 39 (Stcrt. 1963, 126)

Energie: aardolie

Stichting Centraal Orgaan Voorraadvorming Aardolieproducten

Het beheren van strategische olievoorraden

Vervoer

De Divisie Havenmeester van het Havenbedrijf Rotterdam N.V.

Het afwikkelen van scheepvaartverkeer

• Royal Schiphol Group N.V.

• Luchtverkeersleiding Nederland

• Maastricht Upper Area Control Centre (MUAC)

• Aircraft Fuel Supply B.V.

• Koninklijke marechaussee

• elke luchtvaartmaatschappij met minimaal 25% van het totaal aantal vliegbewegingen op Schiphol in een kalenderjaar

Een veilige en vlotte vlucht- en vliegtuigafhandeling voor wat betreft de luchthaven Schiphol

Bankwezen

De bij besluit van De Nederlandsche Bank N.V. aangewezen kredietinstellingen als bedoeld in artikel 4, punt 1, van Verordening (EU) nr. 575/2013

Het aanbieden en afwikkelen van betalings- en effectenverkeer

Infrastructuur voor de financiële markt

De bij besluit van De Nederlandsche Bank N.V. aangewezen:

• exploitanten van handelsplatformen als bedoeld in artikel 4, punt 24, van Richtlijn 2014/65/EU;

• centrale tegenpartijen als bedoeld in artikel 2, punt 1, van Verordening (EU) nr. 648/2012

Het aanbieden en afwikkelen van effectenverkeer

Drinkwater

Drinkwaterbedrijf als bedoeld in artikel 1, eerste lid, van de Drinkwaterwet

Het leveren van deugdelijk drinkwater door middel van een openbare drinkwatervoorziening

Digitale infrastructuur

Een aanbieder van een internetknooppunt als bedoeld in artikel 4, onder 13, van Richtlijn (EU) 2016/1148 waarop meer dan 300 autonome systemen zijn aangesloten

Het faciliteren van het internet- en dataverkeer

Een beheerder van een register voor topleveldomeinnamen die bij de Internet Assigned Number Authority (IANA) is geregistreerd en die meer dan 1.000.000 geregistreerde domeinnamen in beheer heeft

Het beheren en registreren van domeinnamen onder een topleveldomein
 

Een beheerder van een register voor topleveldomeinnamen die bij de IANA is geregistreerd, meer dan 1.000.000 geregistreerde domeinnamen in beheer heeft en ten behoeve van die domeinnamen DNS-diensten verleent als bedoeld in artikel 4, onder 14 en 15, van Richtlijn (EU) 2016/1148

Het verlenen van DNS-diensten ten behoeve van domeinnamen onder een topleveldomein

Artikel 3 (aanwijzing andere vitale aanbieders)

Als andere vitale aanbieders of categorieën van zodanige aanbieders als bedoeld in artikel 5, eerste lid, onder b, van de wet worden aangewezen:

Sector

Andere vitale aanbieder

Dienst

Nucleair

Houder van een vergunning als bedoeld in artikel 15, onderdeel b, van de Kernenergiewet

De bescherming van inrichtingen, waarin kernenergie kan worden vrijgemaakt, splijtstoffen kunnen worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen worden opgeslagen of inrichtingen, waarin kernenergie kon worden vrijgemaakt, splijtstoffen konden worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen werden opgeslagen

Bedrijf vallend onder het Geheimhoudingsbesluit Kernenergiewet, Bedrijf vallend onder het Toepassingsbesluit 24 september 1971/nr.671/524

• De bescherming van inrichtingen, waarin kernenergie kan worden vrijgemaakt, splijtstoffen kunnen worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen worden opgeslagen of inrichtingen, waarin kernenergie kon worden vrijgemaakt, splijtstoffen konden worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen werden opgeslagen

• Het waarborgen van de beveiliging en geheimhouding van gegevens, welke noodzakelijk zijn voor het scheiden van verschillende in splijtstof voorkomende uraniumisotopen met gebruikmaking van gasultracentrifuges en het produceren van hulpmiddelen en materialen, welke zijn benodigd voor het scheiden van verschillende in splijtstof voorkomende uraniumisotopen met gebruikmaking van gasultracentrifuges

Keren en Beheren

Onze Minister van Infrastructuur en Waterstaat

De bij besluit van Onze Minister van Infrastructuur en Waterstaat aangewezen waterkeringen of onderdelen daarvan

Financieel

De bij besluit van De Nederlandsche Bank N.V. aangewezen:

  

• afwikkelondernemingen, bedoeld in artikel 1:1 van de Wet op het financieel toezicht

• het verlenen van afwikkeldiensten als bedoeld in artikel 1:1 van de Wet op het financieel toezicht

• centrale effectenbewaarinstelling, bedoeld in artikel 2, eerste lid, van Verordening (EU) nr. 909/2014

• het exploiteren van een effectenafwikkelingssysteem

Elektronische communicatienetwerken en -diensten/ICT

Een aanbieder van een elektronisch communicatienetwerk of een elektronische communicatiedienst die een netwerk of infrastructuur beheert dat of die direct of indirect wordt gebruikt ten behoeve van het verlenen van een telefoon-, sms- of internettoegangsdienst aan minimaal 1.000.000 eindgebruikers

Het verlenen van een telefoon-, sms- of internettoegangsdienst

Artikel 4 (uitzondering beveiligingseisen financiële instellingen)

De artikelen 7, 8, 9, 26 en 27 van de wet zijn niet van toepassing op de bij besluit van De Nederlandsche Bank N.V. krachtens artikel 2 aangewezen kredietinstellingen, centrale tegenpartijen en exploitanten van handelsplatformen.

Artikel 5 (beveiliging en meldplicht digitaledienstverlener)

Het is verboden te handelen in strijd met de artikelen 2, 3, en 4, eerste lid, van uitvoeringsverordening (EU) 2018/151 van de Commissie van 30 januari 2018 tot vaststelling van toepassingsbepalingen voor Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad wat betreft de nadere specificatie van de door digitaledienstverleners in aanmerking te nemen elementen voor het beheer van de risico’s in verband met de beveiliging van netwerk- en informatiesystemen en van de parameters om te bepalen of een incident aanzienlijke gevolgen heeft (PbEU 2018, L 26).

Artikel 6 (wijze waarop een incident wordt gemeld)

  • 1. Een melding bij Onze Minister als bedoeld in artikel 10, eerste of derde lid, van de wet wordt gedaan op een door Onze Minister aangegeven wijze.

  • 2. Een melding bij de bevoegde autoriteit als bedoeld in artikel 10, tweede of derde lid, of 13, eerste lid, onder b, van de wet wordt gedaan op een door de bevoegde autoriteit aangegeven wijze.

  • 3. Een melding bij het CSIRT voor digitale diensten als bedoeld in artikel 13, eerste lid, onder a, van de wet wordt gedaan op een door het CSIRT voor digitale diensten aangegeven wijze.

Artikel 7 (intrekking Besluit meldplicht cybersecurity)

Het Besluit meldplicht cybersecurity wordt ingetrokken.

Artikel 8 (inwerkingtreding)

Dit besluit treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan of voor verschillende categorieën van aanbieders of diensten verschillend kan worden vastgesteld.

Artikel 9 (citeertitel)

Dit besluit wordt aangehaald als: Besluit beveiliging netwerk- en informatiesystemen.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.histnoot

Wassenaar, 30 oktober 2018

Willem-Alexander

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus

Uitgegeven de achtste november 2018

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus

NOTA VAN TOELICHTING

1. Algemeen

Dit besluit, het Besluit beveiliging netwerk- en informatiesystemen (Bbni), strekt ter uitvoering van de zogenoemde NIB-richtlijn van de Europese Unie1 en uitvoeringsverordening 2018/151.2 Voor aanbieders van een essentiële dienst (AED’s) eindigt de implementatietermijn van die richtlijn materieel op 9 november 2018, de datum waarop zij door de lidstaten uiterlijk aangewezen moeten zijn. De transponeringstabel is opgenomen aan het eind van het algemeen deel van deze nota van toelichting.

Het Bbni wijst de AED’s en andere vitale aanbieders aan die onder de reikwijdte vallen van de verplichtingen van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Verder regelt dit besluit dat de beveiligingseisen van de Wbni niet gelden voor AED’s in de sectoren bankwezen en infrastructuur van de financiële markt. Ook bevat het Bbni een bepaling ter uitvoering van uitvoeringsverordening 2018/151 over digitaledienstverleners (DSP’s). Ten slotte regelt het Bbni dat ernstige incidenten gemeld moeten worden op de wijze die wordt aangegeven door de betrokken instantie.

Vanwege de inhoudelijke samenhang en overlap met de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) is de Wgmc geïncorporeerd in de Wbni. Dat is beleidsneutraal gedaan, zonder materiële wijzigingen. Hetzelfde geldt voor het Besluit meldplicht cybersecurity (Bmc): het Bmc wordt zonder materiële wijzigingen geïncorporeerd in het Bbni, en ingetrokken in artikel 7.

De aanwijzing van vitale aanbieders bestaat uit twee tabellen. De eerste (artikel 2) wijst AED’s aan, de tweede (artikel 3) andere vitale aanbieders. De AED-tabel strekt ter implementatie van de NIB-richtlijn. Voor AED’s gaan de bepalingen gelden die voor die aanbieders in de Wbni zijn opgenomen ter implementatie van de NIB-richtlijn, met name:

  • a. de beveiligingseisen van de artikelen 7 en 8 Wbni (niet voor financiële instellingen, zie artikel 4 Bbni);

  • b. de verplichting om ernstige ICT-incidenten te melden bij het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het Ministerie van Justitie en Veiligheid, en bij de sectorale toezichthouder (de bevoegde autoriteit, aangewezen in artikel 4, eerste lid, Wbni), zie artikel 10, tweede en derde lid, Wbni;

  • c. de mogelijkheid dat de sectorale toezichthouder het publiek informeert over een gemeld incident of vordert dat de aanbieder dat doet (artikel 23, onder a, Wbni);

  • d. toezicht en sancties (artikelen 24-29 Wbni).

De meeste AED’s waren in het Bmc al aangewezen als vitale aanbieders. Voor hen gold dus al de verplichting om ernstige ICT-incidenten te melden bij het NCSC. De vakdepartementen hebben voor hun eigen sectoren beoordeeld of de NIB-richtlijn aanleiding geeft tot wijziging van de lijst met vitale processen3 en de daarbij behorende vitale aanbieders. Van die vitale aanbieders zijn AED’s een subgroep. Artikel 2 Bbni wijst AED’s aan in de sectoren die worden genoemd in bijlage II van de NIB-richtlijn.

Nieuwe AED’s ten opzichte van de in het Bmc al aangewezen vitale aanbieders zijn alleen de Stichting Centraal Orgaan Voorraadvorming Aardolieproducten, het Maastricht Upper Area Control Centre en beheerders van registers voor topleveldomeinnamen. Aanbieders van internetknooppunten waren in het Bmc aangewezen als vitale aanbieder en worden in artikel 2 Bbni aangewezen als AED, maar met een andere omschrijving. De hier genoemde wijzigingen worden nader toegelicht bij artikel 2.

Omdat dit besluit geen andere regels bevat dan noodzakelijk zijn voor de implementatie van de NIB-richtlijn, is afgezien van een formele consultatieronde. Wel is er in alle sectoren contact geweest tussen de vakdepartementen en (vertegenwoordigers van) de betrokken aanbieders om hen voor te bereiden op de nieuwe wetgeving.

De in artikel 3 aangewezen andere vitale aanbieders vallen niet onder de reikwijdte van de NIB-richtlijn, maar waren in het Bmc al aangewezen als vitale aanbieders die ernstige incidenten moeten melden bij het NCSC. Voor hen heeft de aanwijzing in het Bbni geen andere gevolgen dan die krachtens het Bmc: zij blijven vallen onder de verplichting om ernstige incidenten te melden bij het NCSC.

2. Regeldruk

Dit besluit veroorzaakt geen nieuwe regeldruk ten opzichte van de Wgmc, het Bmc en de Wbni. De aanwijzing van vitale aanbieders in dit besluit bepaalt voor welke aanbieders de verplichtingen van de Wbni gelden. De regeldruk voor AED’s en DSP’s is verantwoord in de memorie van toelichting bij het wetsvoorstel voor de Wbni (toen nog Cybersecuritywet geheten).4 De regeldruk voor andere vitale aanbieders blijft gelijk aan de regeldruk veroorzaakt door de Wgmc en het Bmc.

3. Financiële consequenties

Het in ontvangst nemen van meldingen en de afhandeling daarvan is reeds verantwoord in de memorie van toelichting bij het wetsvoorstel voor de Wbni.5 Dit besluit zorgt niet voor extra financiële consequenties.

4. Evaluatie

Het Bbni zal periodiek worden geëvalueerd en waar nodig worden aangepast of aangevuld. Voor AED’s schrijft artikel 5, vijfde lid, van de NIB-richtlijn dat ook expliciet voor («op regelmatige basis», «on a regular basis»).

5. Transponeringstabel

Sector, genoemd in bijlage II bij de NIB-richtlijn1

Deelsector, genoemd in bijlage II bij de NIB-richtlijn

AED’s aangewezen bij of krachtens art. 2 Bbni?

Toelichting indien niet geïmplementeerd of naar zijn aard geen implementatie nodig

1. Energie

a) Elektriciteit

Ja

b) Aardolie

Ja

c) Gas

Ja

2. Vervoer

a) Luchtvervoer

Ja

b) Spoorvervoer

Nee, vooralsnog geen AED’s aangewezen, met name omdat uitval van het spoorsysteem niet leidt tot economische of maatschappelijke ontwrichting op nationale schaal: bij uitval van (delen van) het spoorsysteem kan worden teruggevallen op andere transportvormen of omreismogelijkheden. Vanwege toegenomen dreigingen in het digitale domein, en het bij tunnels en bruggen in belangrijke mate sprake zijn van gedigitaliseerde systemen, zal voor spoorvervoer echter een nieuwe vitaliteitsbeoordeling worden uitgevoerd aan de hand van een actueel cyberscenario.

c) Vervoer over water

Ja

d) Vervoer over de weg

Nee, geen AED’s aangewezen, omdat het wegverkeer dusdanig breed is vertakt dat er geen maatschappelijke ontwrichting is bij uitval: bij uitval kan wegverkeer uit veel alternatieve routes kiezen. Vanwege toegenomen dreigingen in het digitale domein, en het bij tunnels en bruggen in belangrijke mate sprake zijn van gedigitaliseerde systemen, zal voor wegverkeer echter een nieuwe vitaliteitsbeoordeling worden uitgevoerd aan de hand van een actueel cyberscenario.

3. Bankwezen

  

Ja

4. Infrastructuur voor de financiële markt

  

Ja

5. Gezondheidszorg

Zorginstellingen

Nee, geen AED’s aangewezen, met name omdat uitval van een deel van de zorg niet automatisch leidt tot grote maatschappelijke schade. In veel gevallen kan zorg namelijk overgenomen worden door een andere zorgaanbieder.

6. Levering en distributie van drinkwater

  

Ja

7. Digitale infrastructuur

  

Ja
X Noot
1

Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194).

Artikelsgewijze toelichting

Artikel 2 (aanwijzing van aanbieders van een essentiële dienst)

In dit artikel of (zie hieronder, bij Financiën) op grond van dit artikel worden AED’s aangewezen in de sectoren die worden genoemd in bijlage II van de NIB-richtlijn. AED’s zijn een subgroep van de categorie «vitale aanbieders» in de zin van artikel 1 Wbni (laatste streepje).

Energie

De meeste als AED aangewezen aanbieders in deze sector waren in het Bmc al aangewezen als vitale aanbieders. Nieuw is alleen de aanwijzing van de Stichting Centraal Orgaan Voorraadvorming Aardolieproducten.

Bij de transmissie en distributie van elektriciteit en gas zijn verschillende partijen betrokken, waaronder producenten, programmaverantwoordelijken, leveranciers, meetbedrijven en netbeheerders. Niet alle partijen die betrokken zijn bij het proces van energielevering worden als AED aangewezen. Bepaalde partijen zijn verantwoordelijk voor specifieke processtappen, waarvan redelijkerwijs kan worden aangenomen dat deze niet kritiek zijn voor een betrouwbare levering van de kerndienst. Deze partijen zijn dan ook niet essentieel en vallen daarmee niet onder de reikwijdte van de Wbni. Dit komt onder meer doordat voor landelijke en regionale netbeheerders geldt dat eerder sprake zal zijn van een «single point of failure». Daarnaast bestaat er een grotere mate van afhankelijkheid tussen de verschillende partijen dan bijvoorbeeld bij partijen die verantwoordelijk zijn voor de productie van elektriciteit. Uitval van dienstverlening bij deze netbeheerders zou eerder kunnen leiden tot ernstige maatschappelijke gevolgen, en wordt om die reden als essentieel gezien. Daarnaast heeft de beheerder van het landelijk gastransportnet een «peakshaver». Deze bestaat uit grote gasopslagtanks die worden ingezet op het moment dat de levering van gas in gevaar dreigt te komen als gevolg van extra vraag bij extreem lage temperaturen. In de winter van 2009-2010 is de peakshaver voor het eerst in lange tijd weer ingezet. Vanwege het single-point-of-failure-karakter van deze peakshaver wordt deze als essentieel gezien.

De Nederlandse Aardolie Maatschappij B.V. (NAM) beschikt over een concessie voor de aardgaswinning uit het Groningenveld op grond van koninklijk besluit van 30 mei 1963, nr. 39 (Stcrt. 1963, 126). Laagcalorisch gas is van groot belang voor de Nederlandse energievoorziening. NAM is de voornaamste producent van laagcalorisch gas en kwalificeert daarmee als AED.

De Stichting Centraal Orgaan Voorraadvorming Aardolieproducten (COVA) is in de Wet vooraadvorming aardolieproducten 2012 aangewezen als centrale entiteit voor het beheer van de aardolievoorraden die Nederland op grond van zijn internationale verplichtingen aanhoudt. Gegeven de wettelijke taak van de Stichting en het belang van de stabiliteit van de olievoorziening van de Nederlandse samenleving, kwalificeert de Stichting als AED.

Vervoer over water: Mainport Rotterdam

De als AED aangewezen aanbieder in deze sector was in het Bmc al aangewezen als vitale aanbieder.

Aangewezen aanbieder

De Divisie Havenmeester, onderdeel van het Havenbedrijf Rotterdam, neemt een centrale functie in binnen Mainport Rotterdam. Het Havenbedrijf Rotterdam zorgt voor de ontwikkeling, aanleg, beheer en exploitatie van het Rotterdamse havengebied. De Divisie Havenmeester is vanuit haar publieke taak verantwoordelijk voor een veilige, vlotte, duurzame en beveiligde afwikkeling van het scheepvaartverkeer in de Rotterdamse haven en het aanloopgebied voor de kust en heeft een eigenstandige verantwoordingsplicht naar de gemeente Rotterdam en het Rijk. Vanuit deze verantwoordelijkheid werkt de havenmeester samen met verschillende andere partijen.

Er zijn diverse partijen die de havenmeester (als de eindaanbieder) ondersteunen in de uitvoering van zijn processen, zoals Rijkswaterstaat, Portbase en verschillende IT-dienstenleveranciers. Deze partijen zijn niet als AED aangewezen omdat zij geen dienst aanbieden aan een eindgebruiker, maar aan de havenmeester.

Indien door de havenmeester wordt ingeschat dat een ICT-incident bij dergelijke dienstverleners kan leiden tot een voor hem meldplichtig incident, dient hij de nodige afspraken met dergelijke dienstverleners te maken (bijvoorbeeld met betrekking tot het melden van incidenten).

Aangewezen essentiële dienst

De toegankelijkheid van een haven staat of valt bij een vlot en veilig scheepvaartverkeer en een adequate afhandeling van lading. Binnen de Mainport Rotterdam werkt een groot aantal dienstverleners samen om deze mainportfunctie waar te kunnen maken. Hierbij valt te denken aan de havenmeester, loodsen, sleepdiensten, roeiers, douane, terminals, inspectiediensten et cetera. Bij de afwikkeling van het scheepvaartverkeer speelt de havenmeester een centrale rol in het samenbrengen van de dienstverleners en het verschaffen van de voor deze dienstverleners essentiële informatie. Deze spilfunctie is onmisbaar voor het operationeel houden van alle activiteiten die de Mainport Rotterdam tot mainport maakt.

Luchtvervoer: Mainport Schiphol

De meeste als AED aangewezen aanbieders in deze sector waren in het Bmc al aangewezen als vitale aanbieders. Nieuw is alleen de aanwijzing van Maastricht Upper Area Control Centre (MUAC).

Aangewezen aanbieders

De vlucht- en vliegafhandeling is primair een taak van de Luchtverkeersleiding Nederland (LVNL). De luchtverkeersleiding in het hogere luchtruim wordt uitgevoerd door MUAC. Door uitval van MUAC kan LVNL een groot deel van de luchtverkeer op Schiphol niet meer afhandelen.

Het faciliteren en regisseren van passagiersafhandeling met bagageafhandeling en vrachtafhandeling is primair een taak van de Royal Schiphol Group N.V. Zij is een internationale luchthavenonderneming met als belangrijkste activiteit de exploitatie van de luchthaven Schiphol. Ze stelt faciliteiten en noodzakelijke nutsvoorzieningen ter beschikking aan o.a. afhandelaren en luchtvaartmaatschappijen. De passagiersafhandeling met bagageafhandeling en vrachtafhandeling worden door haar ook getypeerd als kritische processen binnen de eigen activiteiten. Het crisismanagement vormt een belangrijk proces binnen het proces passagiersafhandeling met bagageafhandeling.

Vanwege hun grote belang voor een veilige en vlotte vlucht- en vliegtuigafhandeling worden ook Aircraft Fuel Supply B.V., de Koninklijke Marechaussee (KMar) en de luchtvaartmaatschappijen aangewezen als AED. De aanwijzing van de KMar is noodzakelijk omdat de Kmar het grenstoezicht uitvoert op de luchthaven Schiphol. Een verstoring van het grenstoezicht kan leiden tot passagiersopstoppingen en vervolgens mogelijk tot verstoring of uitval van het vliegverkeer van en naar Schiphol. De aanwijzing van luchtvaartmaatschappijen is beperkt tot de bedrijven die minimaal 25% van het totaal aantal vliegbewegingen op Schiphol voor hun rekening nemen. Uitval of verstoring van de dienstverlening van kleinere luchtvaartmaatschappijen zal niet leiden tot maatschappelijke ontwrichting.

Aangewezen essentiële dienst

De aangewezen dienst »een veilige en vlotte vlucht- en vliegtuigafhandeling» is de kerndienst van Mainport Schiphol aan zijn klanten. De dienst omvat het laten landen en stijgen van vliegtuigen op en van Schiphol, dat betrekking heeft op de luchtzijde van Mainport Schiphol waar vliegtuigen landen, taxiën, parkeren en opstijgen, het laten doorstromen van passagiers op Schiphol, dat betrekking heeft op het aankomen, inchecken, grenscontrole, veiligheidscontrole, boarden en goederencontrole in het passagiersverkeer, en het afhandelen van bagage van passagiers op Schiphol, dat betrekking heeft op het afgeven en claimen van bagage door passagiers, het screenen, laden, transporteren en uitladen van bagage door verschillende partijen op Schiphol, en het controleren van bagage door de douane.

Financiën

Op grond van het Bbni wijst De Nederlandsche Bank (DNB) de financiële instellingen aan die onder de meldplicht vallen (artikelen 10-12 Wbni; zie voor de beveiligingseisen van de Wbni artikel 4 Bbni), dat zijn zowel AED’s als andere vitale aanbieders. Gezamenlijk maken zij deel uit van de zogeheten financiële kerninfrastructuur (FKI). De instellingen van de FKI zijn instellingen die verantwoordelijk zijn voor de belangrijkste transactiestromen in de aangewezen vitale financiële diensten. Dit zijn kredietinstellingen, handelsplatformen, centrale tegenpartijen, afwikkelondernemingen, centrale bewaarinstellingen en overige financiële instellingen die een belangrijke rol spelen in de transactieketens van deze aangewezen diensten. DNB bepaalt jaarlijks op grond van kwantitatieve criteria welke instellingen deel uitmaken van de FKI. Die criteria zijn op hoofdlijnen gebaseerd op de regel dat de instellingen toegevoegd worden aan de FKI als zij deel uitmaken van de lijst van instellingen die in afnemende omvang van aandeel, cumulatief 80% verwerken van het totale transactievolume of de totale transactiewaarde. Deze regel geldt voor elk soort instellingen afzonderlijk. Daarnaast kunnen instellingen die een heel specifieke positie of rol hebben die van essentieel belang is voor aangewezen diensten eveneens toegevoegd worden aan de FKI.

Voor het bepalen van de diensten waarvoor de meldplicht komt te gelden, wordt zo veel mogelijk aangesloten bij analyses in het kader van de bescherming van vitale processen in Nederland. De financiële sector vernieuwt en verandert voortdurend. Daarnaast is ook de strategie voor de bescherming van vitale processen niet statisch. Dit betekent dat de lijst met diensten regelmatig getoetst wordt op actualiteit. DNB voert periodiek in samenwerking met het Ministerie van Financiën en de Autoriteit Financiële Markten een dergelijke evaluatie uit.

Diensten die in elk geval tot de vitale processen in Nederland behoren, zijn het aanbieden en afwikkelen van betalings- en effectenverkeer. Daaronder vallen wat betalingsverkeer betreft onder andere chartale betalingen (betalingen met bankbiljetten en munten), elektronische betalingen met debitcard en creditcard, betalingen via internetbankieren, acceptgiro’s, incasso’s en periodieke betalingen. Deze soorten betalingen worden soms samengevat als toonbankbetalingsverkeer en massaal giraal betalingsverkeer. Ook het betalingsverkeer tussen banken en andere kapitaal- en geldmarktbetalingen (waaronder treasury-verkeer van grote bedrijven) en de afwikkeling van valutatransacties vallen onder deze diensten (samen ook wel hoogwaardig betalingsverkeer). Voor het effectenverkeer vallen de gereguleerde handel, de vereffening (clearing) en de afwikkeling (settlement) van effecten- en derivatentransacties in deze categorie.

Aangewezen essentiële diensten

Als AED’s wijst DNB op grond van artikel 2 Bbni jaarlijks de instellingen aan die deel uitmaken van de FKI én genoemd worden in bijlage II van de NIB-richtlijn, namelijk kredietinstellingen, exploitanten van handelsplatformen en centrale tegenpartijen. Het enige wat er concreet verandert voor de FKI-instellingen die door DNB op grond van het Bmc waren aangewezen en op grond van artikel 2 Bbni als AED worden aangewezen, is dat zij ernstige ICT-incidenten niet alleen moeten melden bij het NCSC, maar ook bij DNB. De beveiligingseisen van de Wbni gelden voor hen immers niet (zie artikel 4).

Drinkwater

De als AED aangewezen aanbieders in deze sector waren in het Bmc al aangewezen als vitale aanbieders.

Aangewezen aanbieders

In Nederland zijn er momenteel tien drinkwaterbedrijven als bedoeld in artikel 1, eerste lid, Drinkwaterwet.

De eigenaren van een collectieve watervoorziening en een collectief leidingnet in de zin van artikel 1, eerste lid, Drinkwaterwet vallen niet onder de aanwijzing, onder meer omdat het functioneren daarvan niet afhankelijk is van ICT. Daarnaast zijn collectieve watervoorzieningen en collectieve leidingnetten van beperkte schaal in vergelijking tot openbare drinkwatervoorzieningen en distributienetten, waardoor de effecten van een verstoring relatief klein zullen zijn. Drinkwaterbedrijven kunnen afnemers van collectieve watervoorzieningen «nooddiensten» leveren, waarmee de gevolgen van een verstoring beperkt blijven.

Aangewezen essentiële dienst

Net als met het begrip «drinkwaterbedrijf» wordt met de begrippen «drinkwater» en «openbare drinkwatervoorziening» gedoeld op de betekenis die artikel 1 Drinkwaterwet daaraan geeft.

De essentiële dienst waarvoor de aanwijzing geldt, is het leveren van deugdelijk drinkwater door middel van een openbare drinkwatervoorziening. Die omschrijving ziet zowel op de leveringszekerheid als op de kwaliteit van drinkwater. De omschrijving is ontleend aan de definitie van «verstoring» in artikel 1 van de Drinkwaterwet: «uitval of aantasting van watervoorzieningswerken, waardoor de continuïteit van de levering van deugdelijk drinkwater wordt verbroken of in gevaar komt».

Digitale infrastructuur

Aanbieders van internetknooppunten waren in het Bmc al aangewezen als vitale aanbieders, maar met een andere omschrijving. Nieuw ten opzichte van het Bmc is de aanwijzing van beheerders van registers voor topleveldomeinnamen en de aanwijzing van DNS-dienstverleners als bedoeld in artikel 4, onder 15, van de NIB-richtlijn.

Internetknooppunten – Het faciliteren van het internet- en dataverkeer

In de NIB-richtlijn is internetknooppunt als volgt gedefinieerd (artikel 4, onder 13): «een netwerkinfrastructuur die de onderlinge verbinding van meer dan twee onafhankelijke autonome systemen mogelijk maakt, voornamelijk met als doel de uitwisseling van internetverkeer te vergemakkelijken; een internetknooppunt zorgt voor onderlinge verbinding enkel voor autonome systemen; een internetknooppunt vereist niet dat het internetverkeer tussen twee deelnemende autonome systemen via een derde autonoom systeem verloopt noch dat het internetknooppunt dergelijk verkeer wijzigt of anderszins daartussen komt». Het betreft hier bijvoorbeeld geen verschaffing van internettoegang of het verrichten van transitdiensten.

In het Bmc waren alleen aanbieders van een internetknooppunt aangewezen voor zover dat knooppunt een totale poortcapaciteit heeft van minimaal 8 terabits per seconde. Artikel 2 Bbni hanteert een ander criterium: als nieuw criterium wordt het aantal op een internetknooppunt aangesloten autonome systemen (autonomous systems) geïntroduceerd. Ieder netwerk (autonoom systeem) binnen het internet wordt uniek aangeduid met een ASN (autonomous system number) op basis waarvan routering tussen netwerken kan plaatsvinden.

De omvang van aangeboden poortcapaciteit kan in de tijd toenemen of afnemen afhankelijk van de vraag en andere marktfactoren. Daartegenover zal de omvang van het aantal aangesloten autonome systemen, ook een criterium dat correleert met de omvang van internetverkeer bij een internetknooppunt, naar verwachting minder sterk wisselen in de tijd en is daarom toekomstbestendiger. Het criterium van het aantal autonome systemen sluit bovendien goed aan bij de hierboven gegeven definitie uit de richtlijn en is als criterium eenvoudig verifieerbaar. Duitsland hanteert hetzelfde criterium met dezelfde drempelwaarde van 300 aangesloten autonome systemen. Het aangepaste criterium leidt op dit moment niet tot aanwijzing van andere aanbieders van internetknooppunten dan de in het Bmc aangewezen aanbieders.

Register voor topleveldomeinnamen

De NIB-richtlijn definieert een register voor topleveldomeinnamen als een «entiteit die de internetdomeinnamen van een specifiek topleveldomein registreert en beheert» (artikel 4, onder 15). IANA (Internet Assigned Number Authority) is een onderdeel van ICANN (Internet Corporation for Assigned Names and Numbers) en houdt een lijst van topleveldomeinen bij: https://www.iana.org/domains/root/db.

De registratiefunctie van een topleveldomein (TLD) houdt in dat de TLD-beheerder («registry») domeinnamen met de eigen domeinextensie toekent en registreert, denk bijvoorbeeld aan het .nl-domein of .com-domein, en de betreffende registratiedatabase beheert.

Naast de registratie van domeinnamen publiceert de TLD-beheerder de zonetabel van de eigen domeinextensie op het internet zodat deze vindbaar is in het domeinnaamsysteem (DNS). De gepubliceerde zonetabel is een essentieel en onmisbaar element voor de vertaalslag («resolving») van de domeinnaam naar het juiste IP-adres, waarmee de locatie is vastgelegd van de website onder een domeinnaam op het internet. Zonetabellen worden frequent geactualiseerd en via internet beschikbaar gesteld ten behoeve van DNS-resolvers.

Om te bepalen in hoeverre er sprake is van een essentiële dienst wordt als criterium het aantal geregistreerde domeinnamen (bij de registry) onder een TLD toegepast; het aantal domeinnamen is een goede indicatie van de omvang van het gebruik van domeinnamen met een bepaalde extensie. Uitval of compromittering van een omvangrijke zonetabel kan in potentie veel partijen (domeinnaamhouders) raken. In artikel 2 Bbni worden als AED de TLD-beheerders aangewezen die een register beheren met meer dan 1.000.000 domeinnamen, wat overeenkomt met circa 10% van het aantal domeinnamen in Nederland.

De in Nederland gevestigde Stichting Internet Domein Registratie (SIDN) is de TLD-beheerder voor het .nl-domein en registreert alle domeinnamen die eindigen op .nl. In 2017 had het .nl-domein een marktaandeel van 63,6% en in april 2018 waren er 5,8 miljoen domeinnamen in Nederland geregistreerd met een .nl-extensie. Daaruit blijkt dat een groot deel van Nederlandse organisaties, publiek en privaat, gebruikmaken van het .nl-domein.

Naast .nl worden ook onder andere topleveldomeinen in Nederland gebruikt, overwegend .com en .eu. De beheerders van deze TLD’s zijn niet in Nederland gevestigd en kunnen niet door Nederland als AED worden aangewezen. Andere in Nederland gevestigde beheerders van TLD’s, zoals .amsterdam en .frl (Friesland), halen in 2018 de genoemde drempelwaarde niet.

DNS-dienstverleners

Een DNS is een essentieel onderdeel van de infrastructuur van het internet. Een DNS is «een hiërarchisch opgebouwd adresseringssysteem in een netwerk dat een zoekvraag naar een domeinnaam beantwoordt» (artikel 4, onder 14, van de NIB-richtlijn). Artikel 2 Bbni wijst de TLD-beheerder die als zodanig een AED is en ook DNS-diensten verleent ten behoeve van dat TLD, tevens aan als AED in zijn hoedanigheid van DNS-dienstverlener. In zo’n geval is het onderscheid tussen de TLD- en DNS-functie in de praktijk ook lastig te maken. Zo is SIDN de «authoritative» DNS-dienstverlener voor het .nl-domein. Op dit DNS-niveau van een topleveldomeinnaam wordt de vraag van een klant (query) naar een domeinnaam of IP-adres niet rechtstreeks beantwoord. Om een .nl-domeinnaam te vinden, zal de DNS-infrastructuur van SIDN de zoekvraag beantwoorden door bijvoorbeeld te verwijzen naar het DNS van de domeinnaamhouder of het DNS van de organisatie die de domeinnaam heeft geregistreerd en deze DNS-dienstverlening uitvoert namens de domeinnaamhouder. De beschikbaarheid (bijvoorbeeld bestand zijn tegen DDoS-aanvallen) en integriteit van domeinnaamsystemen van de hier omschreven categorie DNS-dienstverleners die hier als AED wordt aangewezen (op dit moment alleen SIDN, zie de vorige paragraaf), zijn van cruciaal belang voor een betrouwbare digitale infrastructuur en daarmee voor de Nederlandse samenleving en economie.

Artikel 3 (aanwijzing andere vitale aanbieders)

In dit artikel of – in de sectoren Keren en beheren en Financieel – op grond van dit artikel worden de aanbieders met de bijbehorende diensten aangewezen die geen AED zijn maar wel vitaal. Voor deze «andere vitale aanbieders» heeft deze aanwijzing geen andere gevolgen dan die krachtens het Bmc: zij blijven vallen onder de verplichting om ernstige incidenten te melden bij het NCSC (artikel 10, eerste lid, Wbni). In overeenstemming met vast kabinetsbeleid6 bevat dit besluit geen andere regels dan noodzakelijk zijn voor de implementatie van de NIB-richtlijn. Vitale aanbieders binnen de sector digitale overheid (aanbieders van datasystemen waarvan meerdere overheidsorganisaties afhankelijk zijn) zullen naar verwachting bij de eerstvolgende wijziging van het Bbni aan artikel 3 worden toegevoegd.

Nucleair
Aangewezen vitale aanbieders

In Nederland is een aantal bedrijven actief in de nucleaire sector die ieder hun eigen karakterisering hebben. Voor de definitie van aanbieders in de sector Nucleair wordt aangesloten bij artikel 15, onder b, van de Kernenergiewet (KEW) alsmede het Geheimhoudingsbesluit Kernenergiewet.

In artikel 15, onder b, KEW is bepaald dat nucleaire installaties voor hun activiteiten een vergunning nodig hebben. Nucleaire installaties zijn volgens de KEW inrichtingen «waarin kernenergie kan worden vrijgemaakt, splijtstoffen kunnen worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen worden opgeslagen». In het Geheimhoudingsbesluit Kernenergiewet is vastgelegd dat, als gegevens zijn verkregen onder een verplichting tot geheimhouding, of door de in het besluit genoemde ministers zijn aangewezen, diegene die deze informatie heeft, maatregelen moet nemen om de geheimhouding daarvan te verzekeren. De houders van een KEW-vergunning vallen automatisch onder het Geheimhoudingsbesluit. Dat besluit verdient desondanks aparte vermelding in de Bbni-tabel aangezien ook andere bedrijven onder het Geheimhoudingsbesluit vallen.

Aangewezen producten en diensten

De vitaliteitsbeoordeling van de nucleaire sector wordt in sterke mate beïnvloed door het non-proliferatie-aspect gepaard gaande met (internationaal) politieke gevoeligheid, alsmede de potentiële financiële en sociaal-maatschappelijke gevolgen van een incident. Gezien de potentiële gevolgen en het unieke karakter van de sector zijn alle nucleaire objecten vallend onder de KEW dan wel het Geheimhoudingsbesluit Kernenergiewet als A-vitaal aangemerkt.

De vitale producten en diensten zijn gericht op de bescherming en beveiliging van inrichtingen als bedoeld in de KEW waarin kernenergie kan worden vrijgemaakt, splijtstoffen kunnen worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen worden opgeslagen of inrichtingen, waarin kernenergie kon worden vrijgemaakt, splijtstoffen konden worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen werden opgeslagen. Daarnaast worden bedrijven aangemerkt als vitale aanbieders als deze bedrijven de beschikking hebben over gegevens die noodzakelijk zijn voor het scheiden van verschillende in splijtstof voorkomende uraniumisotopen met gebruikmaking van gasultracentrifuges en het produceren van hulpmiddelen en materialen die nodig zijn voor het scheiden van verschillende in splijtstof voorkomende uraniumisotopen met gebruikmaking van gasultracentrifuges. Deze gegevens dienen op grond van het Geheimhoudingsbesluit Kernenergiewet uit overwegingen van non-proliferatie geheim te worden gehouden.

Keren en Beheren

De onder de meldplicht vallende vitale waterkeringen worden krachtens het Bbni aangewezen bij besluit van de Minister van Infrastructuur en Waterstaat. Als zodanig zullen slechts digitaal aangestuurde objecten worden aangewezen (waterkeringen of onderdelen daarvan).

Financieel

Zie de toelichting bij artikel 2 voor de jaarlijkse aanwijzing van de FKI-instellingen. De FKI-instellingen die geen AED zijn, worden door DNB op grond van artikel 3 Bbni aangewezen als andere vitale aanbieders. Hieronder vallen afwikkelondernemingen, die afwikkeldiensten verrichten in de betalings- en effectenverkeerprocessen, en centrale effectenbewaarinstellingen, die een rol spelen bij de afwikkeling van effectentransacties.

Elektronische communicatienetwerken of -diensten/ICT
Het verlenen van een telefoon-, sms- of internettoegangsdienst

Binnen de sector elektronische communicatienetwerken of -diensten worden in artikel 3 Bbni als andere vitale aanbieder aangewezen: aanbieders van elektronische communicatienetwerken of -diensten die een netwerk of infrastructuur beheren dat of die direct of indirect wordt gebruikt ten behoeve van het verlenen van een telefoon-, sms- of internettoegangsdienst aan minimaal 1.000.000 eindgebruikers.

Ten eerste gaat het om aanbieders die zelf rechtstreeks diensten leveren aan de eindgebruiker. Zo zijn er momenteel met betrekking tot mobiele communicatie vier landelijk dekkende mobiele netwerken (Vodafone, Tele2, KPN, T-Mobile) die zelf mobiele telefoniediensten aan eindgebruikers aanbieden; zij leveren direct aan eindgebruikers. Omdat bovendien meer dan 1 miljoen eindgebruikers thans van hun telefoondiensten gebruik maken, behoren zij tot de «andere vitale aanbieders».

Ten tweede gaat het om aanbieders van netwerken en diensten die niet zelf een telefoondienst, sms-dienst of internettoegangsdienst rechtstreeks aanbieden aan eindgebruikers, maar wel essentieel zijn in de keten van het verlenen van telefoon-, sms- en internetdiensten aan eindgebruikers. Dat is bijvoorbeeld het geval als een aanbieder een netwerk aanbiedt aan een derde partij die het netwerk vervolgens gebruikt om zelf de bedoelde diensten aan te bieden. Hierdoor kan een partij (mede) door zijn activiteiten op de wholesalemarkt onder de reikwijdte van de meldplicht vallen.

De drempel van 1 miljoen eindgebruikers is gekozen omdat het bij 1 miljoen eindgebruikers of meer ondoenlijk is om binnen een redelijke termijn (enkele dagen) een alternatief voor die eindgebruikers te vinden.

Artikel 4 (uitzondering beveiligingseisen financiële instellingen)

In navolging van artikel 1, zevende lid, van de NIB-richtlijn maakt artikel 6 Wbni het mogelijk om bij of krachtens de Wbni gestelde voorschriften buiten toepassing te laten voor categorieën van AED’s of DSP’s. Die mogelijkheid is bedoeld om voorrang te kunnen geven aan sectorspecifieke EU-regels die ten minste feitelijk gelijkwaardig zijn aan de verplichtingen van de NIB-richtlijn. Artikel 4 Bbni maakt gebruik van die mogelijkheid door te bepalen dat de beveiligingseisen van de Wbni (de artikelen 7, 8 en 9) niet gelden voor de als AED krachtens artikel 2 Bbni aangewezen kredietinstellingen, centrale tegenpartijen en exploitanten van handelsplatformen. Voor die aanbieders gelden feitelijk gelijkwaardige beveiligingseisen in sectorspecifiek EU-recht:

  • voor kredietinstellingen volgen deze beveiligingseisen uit artikel 85 van de CRDIV-richtlijn,7 en – voor wat betreft het betalingsverkeer – artikel 95 van de herziene richtlijn betaaldiensten;8

  • voor centrale tegenpartijen volgt dit uit de artikelen 26 en 34 van de EMIR-verordening en de daarop gebaseerde gedelegeerde verordening (EU) nr. 153/2013;9

  • voor exploitanten van handelsplatformen volgt dit uit artikel 48, eerste lid, van de MiFIDII-richtlijn en de daarop gebaseerde gedelegeerde verordening (EU) nr. 2017/584.10

De bevoegdheden van de artikelen 26 en 27 Wbni (beveiligingsaudit en bindende aanwijzing) kunnen alleen worden toegepast in relatie tot de beveiligingseisen van de artikelen 7, 8 en 9 Wbni. Omdat die beveiligingseisen niet gelden voor als AED aangewezen kredietinstellingen, centrale tegenpartijen en exploitanten van handelsplatformen, blijven ook de artikelen 26 en 27 voor deze aanbieders buiten toepassing. Uiteraard kunnen jegens hen ook de artikelen 28 en 29 Wbni (last onder bestuursdwang en bestuurlijke boete) niet worden toegepast ter handhaving van de beveiligingseisen. Die artikelen gelden echter ook voor de meldplicht (artikelen 10-12 Wbni) en zijn in zoverre wél op hen toepasbaar.

Artikel 5 (beveiliging en meldplicht digitaledienstverlener)

De NIB-richtlijn verplicht AED’s en DSP’s om passende en evenredige technische en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. De maatregelen moeten zorgen, gezien de stand van de techniek, voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen. Voor DSP’s vult de NIB-richtlijn die zorgplicht in enige mate in, door vijf aspecten te noemen waarmee een DSP rekening moet houden. Deze aspecten zijn overgenomen in artikel 7, tweede lid, Wbni.

De NIB-richtlijn verplicht daarnaast AED’s en DSP’s om incidenten met aanzienlijke gevolgen voor de verlening van hun dienst, onverwijld te melden. De richtlijn noemt een aantal parameters die in elk geval in aanmerking genomen moeten worden om te bepalen of een incident aanzienlijke gevolgen heeft. Die parameters zijn voor AED’s overgenomen in artikel 10, vierde lid, Wbni en voor DSP’s in artikel 13, tweede lid, Wbni.

Artikel 16, achtste lid, van de NIB-richtlijn draagt de Europese Commissie op om uitvoeringshandelingen vast te stellen waarin voor wat betreft DSP’s de hierboven bedoelde aspecten en parameters nader worden gespecificeerd. Uitvoeringsverordening 2018/151 bevat de hier bedoelde nadere specificatie (nadere regels). Uiteraard moeten de artikelen 7, tweede lid, en 13, tweede lid, Wbni gelezen worden met inachtneming van deze rechtstreeks werkende uitvoeringsverordening. Die Wbni-bepalingen en de uitvoeringsverordening strekken immers ter uitvoering van dezelfde bepalingen van de NIB-richtlijn. Artikel 5 Bbni stelt dat buiten twijfel, door expliciet te verbieden om te handelen in strijd met de (relevante) bepalingen van de uitvoeringsverordening.

Artikel 6 (wijze waarop een incident wordt gemeld)

De melding moet worden gedaan op de wijze die wordt aangegeven door respectievelijk het NCSC, de bevoegde autoriteit en het CSIRT voor digitale diensten.11 Dit is bedoeld om het in behandeling nemen van de melding zo soepel mogelijk te laten verlopen. Denk bijvoorbeeld aan de situatie dat een bepaald telefoonnummer en een webformulier beschikbaar zijn gesteld voor meldingen. Er wordt overigens naar gestreefd om de meldplicht technisch zó in te richten dat het doen van de verschillende meldingen maar één handeling vergt, bijvoorbeeld door het aanvinken van meerdere instanties op een elektronisch formulier. Maar het artikel laat de mogelijkheid open voor het doen van afzonderlijke meldingen.

Het eerste lid gaat over het melden bij het NCSC door een AED of andere vitale aanbieder:

  • a. van een incident (artikel 10, eerste lid, onder a, Wbni) of bijna-ongeluk (een inbreuk die aanzienlijke gevolgen kán hebben, zie artikel 10, eerste lid, onder b, Wbni) bij die aanbieder;

  • b. van een incident bij een DSP met aanzienlijke gevolgen voor een AED (artikel 10, derde lid, Wbni).

Het tweede lid gaat over het melden bij de bevoegde autoriteit:

  • a. door een AED:

    • 1°. van een incident bij die AED (artikel 10, tweede lid, Wbni) of

    • 2°. van een incident bij een DSP met aanzienlijke gevolgen voor die AED (artikel 10, derde lid, Wbni);

  • b. door een DSP van een incident bij die DSP (artikel 13, eerste lid, onder b, Wbni).

Het derde lid gaat over het melden bij het CSIRT voor digitale diensten van een incident bij een DSP (artikel 13, eerste lid, onder a, Wbni).

Artikelen 7 en 8 (intrekking Bmc en inwerkingtreding Bbni)

In het in artikel 8 bedoelde koninklijk besluit zal worden geregeld dat het Bbni in werking treedt op 9 november 2018, de datum waarop de termijn verloopt voor het aanwijzen van AED’s (zie artikel 5, eerste lid, van de NIB-richtlijn). Op 9 november 2018 treedt ook het grootste deel van de Wbni in werking en worden de Wgmc en het Bmc ingetrokken (op grond van artikel 34 Wbni en artikel 7 Bbni). Alleen artikel 6, derde lid, Bbni treedt op een later tijdstip in werking, namelijk op 1 januari 2019. Dat lid gaat, net als de resterende Wbni-bepalingen die dan in werking treden, over het melden van incidenten bij het CSIRT voor DSP’s. Dat CSIRT zal, als onderdeel van het Ministerie van Economische Zaken en Klimaat, operationeel zijn vanaf 1 januari 2019.

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus

X Noot
1

Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194).

X Noot
2

Uitvoeringsverordening (EU) 2018/151 van de Commissie van 30 januari 2018 tot vaststelling van toepassingsbepalingen voor Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad wat betreft de nadere specificatie van de door digitaledienstverleners in aanmerking te nemen elementen voor het beheer van de risico’s in verband met de beveiliging van netwerk- en informatiesystemen en van de parameters om te bepalen of een incident aanzienlijke gevolgen heeft (PbEU 2018, L 26).

X Noot
3

Processen die zo vitaal zijn voor de Nederlandse samenleving dat uitval of verstoring tot ernstige maatschappelijke ontwrichting leidt en een bedreiging vormt voor de nationale veiligheid, zie Kamerstukken II 2014/15, 30 821, nr. 23, Kamerstukken II 2015/16, 30 821, nr. 32, p. 5, en Kamerstukken II 2017/18, 29 517, nr. 136, p. 3.

X Noot
4

Kamerstukken II 2017/18, 34 883, nr. 3, p. 30–33.

X Noot
5

Kamerstukken II 2017/18, 34 883, nr. 3, p. 29–30.

X Noot
6

Zie aanwijzing 9.4 van de Aanwijzingen voor de regelgeving: «Bij implementatie worden in de implementatieregeling geen andere regels opgenomen dan voor de implementatie noodzakelijk zijn.»

X Noot
7

Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013 betreffende toegang tot het bedrijf van kredietinstellingen en het prudentieel toezicht op kredietinstellingen en beleggingsondernemingen, tot wijziging van Richtlijn 2002/87/EG en tot intrekking van de Richtlijnen 2006/48/EG en 2006/49/EG (PbEU 2013, L 176).

X Noot
8

Richtlijn (EU) nr. 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (PbEU 2015, L 337).

X Noot
9

Gedelegeerde verordening (EU) nr. 153/2013 van de Commissie van 19 december 2012 tot aanvulling van Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad met betrekking tot technische reguleringsnormen inzake vereisten voor centrale tegenpartijen (PbEU 2013, L 52).

X Noot
10

Gedelegeerde Verordening (EU) 2017/584 van de Commissie van 14 juli 2016 houdende aanvulling van Richtlijn 2014/65/EU van het Europees Parlement en de Raad met betrekking tot technische reguleringsnormen ter specificatie van de organisatorische vereisten voor handelsplatformen (PbEU 2017, L 87).

X Noot
11

Een CSIRT is een computer security incident response team als bedoeld in artikel 9 van de NIB-richtlijn, zie de begripsomschrijving in artikel 1 Wbni. Het NCSC is het CSIRT voor AED’s en andere vitale aanbieders. Het CSIRT voor digitale diensten is het CSIRT, aangewezen bij koninklijk besluit op grond van artikel 4, tweede lid, onder b, Wbni.

XHistnoot
histnoot

Het advies van de Afdeling advisering van de Raad van State wordt niet openbaar gemaakt op grond van artikel 26, zesde lid jo vijfde lid, van de Wet op de Raad van State, omdat het zonder meer instemmend luidt.

Naar boven