Besluit van 30 oktober 2018 tot aanwijzing van het CSIRT voor digitale diensten en tot vaststelling van het tijdstip van inwerkingtreding van de Wet en het Besluit beveiliging netwerk- en informatiesystemen

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Justitie en Veiligheid van 24 oktober 2018, nr. 2392132, directie wetgeving en juridische zaken, gedaan in overeenstemming met Onze Minister van Economische Zaken en Klimaat;

Gelet op richtlijn (EU) 2016/1148, uitvoeringsverordening (EU) 2018/151, de artikelen 4, tweede lid, onderdeel b, en 35 van de Wet beveiliging netwerk- en informatiesystemen en artikel 8 van het Besluit beveiliging netwerk- en informatiesystemen;

Hebben goedgevonden en verstaan:

Artikel 1

Onze Minister van Economische Zaken en Klimaat is het CSIRT voor digitale diensten, bedoeld in artikel 4, tweede lid, onderdeel b, van de Wet beveiliging netwerk- en informatiesystemen.

Artikel 2

  • 1. Met ingang van 9 november 2018 treden in werking:

    • a. de Wet beveiliging netwerk- en informatiesystemen, met uitzondering van de artikelen 4, tweede lid, onderdeel b, en vierde lid, 13, eerste lid, onderdeel a, 14, 17, derde lid, 19, eerste en vierde lid, en vijfde lid, onderdeel b, voor zover dat onderdeel betrekking heeft op het CSIRT voor digitale diensten, en 21;

    • b. het Besluit beveiliging netwerk- en informatiesystemen, met uitzondering van artikel 6, derde lid.

  • 2. Met ingang van 1 januari 2019 treden in werking:

    • a. artikel 1;

    • b. de artikelen 4, tweede lid, onderdeel b, en vierde lid, 13, eerste lid, onderdeel a, 14, 17, derde lid, 19, eerste en vierde lid, en vijfde lid, onderdeel b, voor zover dat onderdeel betrekking heeft op het CSIRT voor digitale diensten, en 21 van de Wet beveiliging netwerk- en informatiesystemen;

    • c. artikel 6, derde lid, van het Besluit beveiliging netwerk- en informatiesystemen.

Onze Minister van Justitie en Veiligheid is belast met de uitvoering van dit besluit, dat met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.

Wassenaar, 30 oktober 2018

Willem-Alexander

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus

Uitgegeven de achtste november 2018

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus

NOTA VAN TOELICHTING

Dit besluit wijst de Minister van Economische Zaken en Klimaat (EZK) aan als het CSIRT (computer security incident response team) voor de digitale diensten, bedoeld in bijlage III bij de zogenoemde NIB-richtlijn1 (onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten). Deze aanwijzing is gebaseerd op artikel 4, tweede lid, onderdeel b, van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Ook regelt dit besluit de inwerkingtreding van die aanwijzing en van de Wbni en het Besluit beveiliging netwerk- en informatiesystemen (Bbni).

Het grootste deel van de Wbni en het Bbni treedt in werking op 9 november 2018, de datum waarop de termijn verloopt voor het aanwijzen, door de lidstaten van de Europese Unie, van aanbieders van een essentiële dienst als bedoeld in de NIB-richtlijn (zie artikel 5, eerste lid, van die richtlijn). Met ingang van diezelfde datum worden de Wet gegevensverwerking en meldplicht cybersecurity en het Besluit meldplicht cybersecurity ingetrokken (zie artikel 34 Wbni en artikel 7 Bbni).

De CSIRT-taken voor digitaledienstverleners (DSP’s) zullen worden uitgevoerd door een onderdeel van het Ministerie van EZK. Dat onderdeel zal vanaf 1 januari 2019 operationeel zijn. Met het oog daarop bepaalt artikel 2 van dit besluit dat de aanwijzing in artikel 1 van de Minister van EZK als het CSIRT voor digitale diensten en de bepalingen van de Wbni en het Bbni die betrekking hebben op de taken van dat CSIRT, in werking treden op 1 januari 2019. Die datum geldt dus onder meer voor de uitoefening van de taak van dat CSIRT om DSP’s advies en bijstand te geven en voor de verplichting voor DSP’s om ernstige ICT-incidenten onverwijld te melden bij dat CSIRT (artikel 13, eerste lid, onderdeel a, Wbni). Daarentegen treden voor DSP’s de beveiligingseisen van de artikelen 7 en 8 Wbni en de verplichting om ernstige ICT-incidenten onverwijld te melden bij de bevoegde autoriteit (artikel 13, eerste lid, onderdeel b, Wbni) in werking op 9 november 2018.

Nu de meldplicht voor DSP’s, voor zover het gaat om melden bij het CSIRT, in werking treedt op 1 januari 2019, kan de bevoegde autoriteit uiteraard ook pas vanaf die datum sancties opleggen voor overtreding van die meldplicht.

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus


X Noot
1

Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194).

Naar boven