Staatsblad van het Koninkrijk der Nederlanden
| Datum publicatie | Organisatie | Jaargang en nummer | Rubriek | Datum ondertekening |
|---|---|---|---|---|
| Ministerie van Economische Zaken en Klimaat | Staatsblad 2023, 467 | AMvB |
Authentieke versie (PDF)
Informatie
Gerelateerd
Printen
Delen
Besluit van 28 november 2023, houdende regels ter uitvoering van Verordening (EU) nr. 2019/881 (Uitvoeringsbesluit cyberbeveiligingsverordening)
Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.
Op de voordracht van Onze Minister van Economische Zaken en Klimaat van 13 juli 2023, nr. WJZ/27023717;
Gelet op de artikelen 3, tweede lid, 4, vijfde lid, en 5, zesde lid, van de Uitvoeringswet cyberbeveiligingsverordening;
De Afdeling advisering van de Raad van State gehoord (advies van 26 juli 2023 nr. W18.23.00197/IV);
Gezien het nader rapport van Onze Minister van Economische Zaken en Klimaat van 24 november 2023, nr. WJZ / 35028639;
Hebben goedgevonden en verstaan:
Artikel 1
In dit besluit en de daarop berustende bepalingen wordt onder wet verstaan: Uitvoeringswet cyberbeveiligingsverordening.
Artikel 2
-
1. Een melding als bedoeld in artikel 3, eerste lid, van de wet wordt elektronisch gedaan met gebruikmaking van een door Onze Minister beschikbaar gesteld middel, tenzij technische belemmeringen aan de zijde van Onze Minister dit tijdelijk onmogelijk maken.
-
2. Bij ministeriële regeling kunnen regels worden gesteld over de gegevens die worden verstrekt bij de melding, bedoeld in het eerste lid.
Artikel 3
-
1. Een aanvraag tot goedkeuring als bedoeld in de artikelen 4, derde lid, en 5, vierde lid, van de wet wordt elektronisch gedaan met gebruikmaking van een door Onze Minister beschikbaar gesteld middel, tenzij technische belemmeringen aan de zijde van Onze Minister dit tijdelijk onmogelijk maken.
-
2. Bij ministeriële regeling kunnen regels worden gesteld over de gegevens die worden verstrekt bij de aanvraag tot goedkeuring, bedoeld in het eerste lid.
Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.
’s-Gravenhage, 28 november 2023
Willem-Alexander
De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens
Uitgegeven de vijftiende december 2023
De Minister van Justitie en Veiligheid, D. Yeşilgöz-Zegerius
NOTA VAN TOELICHTING
1. Doel en aanleiding
Op 9 april 2022 is de Uitvoeringswet cyberbeveiligingsverordening in werking getreden en is de Minister van Economische Zaken en Klimaat (hierna: Minister van EZK) als de nationale cyberbeveiligingscertificeringsautoriteit verantwoordelijk geworden voor de goedkeuring van Europese cyberbeveiligingscertificaten voor zekerheidsniveau hoog in Nederland. In dit kader is het van belang dat de melding van het opstarten van een certificeringsprocedure voor zekerheidsniveau hoog en aanvragen tot goedkeuring van het onderzoeksplan en het onderzoeksrapport, alsmede het bijbehorende certificaat, elektronisch worden ingediend. Daarmee wordt een meer uniform proces beoogd. Het waarborgen ervan kan alleen door de elektronische indiening wettelijk voor te schrijven.
De grondslag voor dit besluit is gelegen in de artikelen 3, tweede lid, 4, vijfde lid, en 5, zesde lid, van de Uitvoeringswet cyberbeveiligingsverordening (hierna: uitvoeringswet). Hierin is geregeld dat bij algemene maatregel van bestuur nadere regels kunnen worden gesteld ter uitvoering van de goedkeuringsprocedure.
2. Inhoud
2.1 Goedkeuringsprocedure bij Europese cyberbeveiligingscertificaten zekerheidsniveau hoog
De cyberbeveiligingsverordening1 is een Europese verordening, die een Europees kader introduceert op het gebied van cyberbeveiligingscertificering. Europese cyberbeveiligingscertificeringsregelingen vormen de basis van de uitgifte van de cyberbeveiligingscertificaten. Deze cyberbeveiligingscertificaten worden nationaal uitgegeven.
De cyberbeveiligingsverordening geeft verschillende opties voor de nationale uitgifte van cyberbeveiligingscertificaten met zekerheidsniveau hoog. In de uitvoeringswet is in Nederland gekozen voor een model waarin het Europees cyberbeveiligingscertificaat wordt afgegeven door een conformiteitsbeoordelingsinstantie, nadat de nationale cyberbeveiligingscertificeringsautoriteit elk door de conformiteitsbeoordelingsinstantie af te geven individueel Europees cyberbeveiligingscertificaat heeft goedgekeurd. De goedkeuring wordt gegeven, indien de conformiteitsbeoordeling en het cyberbeveiligingscertificaat voldoen aan de betreffende cyberbeveiligingscertificeringsregeling. Deze systematiek van voorafgaande goedkeuring door de nationale autoriteit wordt ook wel het goedkeuringsmodel genoemd.
Het goedkeuringsmodel geldt uitsluitend voor de certificering voor zekerheidsniveau hoog en is nader uitgewerkt in de uitvoeringswet, waarbij is gekozen voor het opzetten van een systeem van stapsgewijze goedkeuring door de nationale autoriteit. In de uitvoeringswet is de Minister van EZK aangewezen als de nationale autoriteit. In de praktijk worden deze taken uitgevoerd door de Rijksinspectie Digitale Infrastructuur (hierna: RDI). Eerst doet de conformiteitsbeoordelingsinstantie een melding van het starten van een certificeringstraject bij de nationale autoriteit, vervolgens legt de conformiteitsbeoordelingsinstantie het onderzoeksplan ter goedkeuring voor aan de nationale autoriteit en als laatste legt de conformiteitsbeoordelingsinstantie het onderzoeksrapport en het bijhorende Europese cyberbeveiligingscertificaat dat zij voornemens is af te geven ter goedkeuring voor aan de nationale autoriteit. Na goedkeuring door de nationale autoriteit, kan de conformiteitsbeoordelingsinstantie het Europese cyberbeveiligingscertificaat afgeven.
Om op de aanvragen te kunnen beslissen ontvangt de nationale autoriteit de nodige informatie van de conformiteitsbeoordelingsinstantie omtrent onderdelen van de conformiteitsbeoordeling. Hieronder volgt een toelichting op de verschillende stappen.
2.2 Elektronische melding en aanvraag goedkeuring
Op grond van dit besluit dienen de melding en aanvragen tot goedkeuring van het onderzoeksplan en het onderzoeksrapport elektronisch te worden ingediend middels een door de Minister van EZK vastgesteld formulier. Door dit elektronisch te laten doen wordt een efficiënt uniform proces beoogd, tenzij technische belemmeringen aan de zijde van de Minister van EZK dit tijdelijk onmogelijk maken. In dat geval kunnen op aangeven van RDI meldingen en aanvragen tot goedkeuring op een andere manier worden ingediend.
Hiermee wordt er ten behoeve van de conformiteitsbeoordelingsinstantie een eenduidig, voorspelbaar en efficiënt aanleveringsproces gecreëerd. Tevens kan de RDI op een meer efficiënte wijze haar taken uitoefenen, indien gegevens op een geüniformeerde wijze worden aangeleverd.
2.3 Gegevens die worden verstrekt in melding en aanvraag goedkeuring
In dit besluit is een grondslag opgenomen om bij ministeriële regeling regels te kunnen stellen over de gegevens die bij de melding of bij de aanvraag tot goedkeuring verstrekt moeten worden.
Te denken valt aan ten eerste verificatie-gegevens. Dit betreffen gegevens waarmee de conformiteitsbeoordelingsinstanties kunnen worden geverifieerd. Dergelijke gegevens zijn onder meer organisatiegegevens, accreditatienummer en KvK-registratienummer van de conformiteitsbeoordelingsinstanties. Verder kan worden gedacht aan gegevens die de RDI in staat stellen om het proces inzake het goedkeuringsbesluit in te richten naar aanleiding van een aanvraag. Hierbij gaat het onder meer om contactgegevens, de betreffende cyberbeveiligingscertificeringsregeling, gegevens inzake de kandidaat-certificaathouder, gegevens inzake het te certificeren product, dienst of proces, gegevens inzake betrokken derden (bijvoorbeeld testlaboratoria).
Ook voor de aanvraag tot goedkeuring van het onderzoeksrapport en het bijbehorende certificaat zullen gegevens nodig zijn inzake het onderzoeksrapport, het certificaat en het certificatierapport.
3. Effecten bedrijfsleven en overheid
Met betrekking tot de regeldrukberekening wordt gerefereerd naar blz. 21 van de memorie van toelichting bij de uitvoeringswet (Kamerstukken II, 2020/21, 35 838, nr. 3).
Het besluit zal leiden tot meer uniformiteit en daarmee zekerheid ten behoeve van het bedrijfsleven.
4. Uitvoerbaarheid en handhaafbaarheid
De RDI, de nationale cyberbeveiligingscertificeringsautoriteit, heeft het voorstel getoetst op uitvoerbaarheid en handhaafbaarheid. De RDI acht het voorstel uitvoerbaar en handhaafbaar.
5. Advies en consultatie
5.1 Internetconsultatie
Een eerdere versie van dit besluit is tussen 27 juni en 2 augustus 2022 opengesteld voor consultatie op www.internetconsultatie.nl en voor commentaar toegezonden aan
belanghebbende organisaties. De consultatie heeft geleid tot slechts een enkele reactie. In de reactie op de consultatievragen merkt de respondent op dat het besluit mogelijk tot meer zekerheid zal leiden ten behoeve van de markt, omdat de communicatie via elektronische wijze verplicht verstuurd moet worden. Ook geeft de respondent aan dat de markt behoefte heeft aan elektronische verzending van informatie rondom de goedkeuringsprocedure. Dit zou verplicht in een open standaard behoren te gebeuren. Met betrekking tot het al dan niet hanteren van open standaarden wordt het vaste Rijksbeleid voor digitalisering gevolgd. Conform dit Rijksbeleid is het uitgangspunt dat er open standaarden worden gehanteerd, tenzij dit niet mogelijk is.2
Deze reactie noopt er niet toe om het voorstel aan te passen, aangezien de betreffende reactie geen gevolgen ten aanzien van de inhoud van het voorstel bevat.
5.2. Adviescollege voor Toetsing en Regeldruk
ATR heeft het dossier niet geselecteerd voor een formeel advies, omdat het slechts verwaarloosbare gevolgen voor de regeldruk heeft.
6. Inwerkingtreding
Dit besluit treedt in werking met ingang van de dag na de datum van uitgifte van het Staatsblad waarin het wordt geplaatst. Daarmee wordt afgeweken van de systematiek van vaste verandermomenten voor regelgeving, die inhoudt dat algemene maatregelen van bestuur met ingang van 1 januari of 1 juli in werking treden en minimaal twee maanden voordien bekend worden gemaakt. Dat kan in dit geval worden gerechtvaardigd, omdat de doelgroep gebaat is bij spoedige inwerkingtreding.
De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens
X Noot
1Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PbEU 2019, L151)
Permanente link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/stb-2023-467.html