Besluit van 8 juli 2026, houdende regels ter uitvoering van de Cyberbeveiligingswet en tot vaststelling van het tijdstip van inwerkingtreding van de Cyberbeveiligingswet (Cyberbeveiligingsbesluit)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Justitie en Veiligheid van 22 mei 2026, directie Wetgeving en Juridische Zaken, nr. 7530368;

Gelet op de artikelen 3, 16, eerste en zevende lid, 17, eerste lid, 21, vijfde lid, 24, zesde lid, 25, derde en vierde lid, 35, 44, eerste lid, onderdeel f, 51, tweede lid, onderdeel i, 65, eerste lid, en 107 van de Cyberbeveiligingswet, de artikelen 14, zesde lid, en 15, vijfde lid, van de Wet weerbaarheid kritieke entiteiten, de artikelen 1:3a, vierde lid, 1:24, derde lid, en 1:25, derde lid, onderdeel b, van de Wet op het financieel toezicht, artikel 54a van de Drinkwaterwet en de artikelen 11a.1, tweede en vierde lid, en 11a.3, zesde lid, van de Telecommunicatiewet;

De Afdeling advisering van de Raad van State gehoord (advies van 27 mei 2026, nr. W16.26.00143/II);

Gezien het nader rapport van Onze Minister van Justitie en Veiligheid van 29 juni 2026, directie Wetgeving en Juridische Zaken, nr. 7726213;

Hebben goedgevonden en verstaan:

HOOFDSTUK 1. BEGRIPSBEPALING

Artikel 1 (begripsbepaling)

In dit besluit en de daarop berustende bepalingen wordt verstaan onder:

Uitvoeringsverordening (EU) 2024/2690:

Uitvoeringsverordening (EU) 2024/2690 van de Commissie van 17 oktober 2024 tot vaststelling van regels voor de toepassing van Richtlijn (EU) 2022/2555 wat betreft de technische en methodologische vereisten van de maatregelen voor het beheer van cyberbeveiligingsrisico’s en nadere specificatie van de gevallen waarin een incident als significant wordt beschouwd met betrekking tot DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten (PbEU L 2024/2690);

wet:

Cyberbeveiligingswet.

HOOFDSTUK 2. AANWIJZING CSIRT EN COÖRDINATOR BEKENDMAKING KWETSBAARHEDEN EN EISEN AAN CSIRT’S

Artikel 2 (aanwijzing CSIRT en coördinator bekendmaking kwetsbaarheden)

  • 1. Onze Minister wordt voor essentiële entiteiten en belangrijke entiteiten aangewezen als het CSIRT, bedoeld in artikel 16, eerste lid, van de wet.

  • 2. Bij regeling van Onze Minister die het aangaat, in overeenstemming met Onze Minister, kan in afwijking van het eerste lid voor essentiële entiteiten en belangrijke entiteiten uit specifieke sectoren en subsectoren, voor specifieke soorten entiteiten en voor specifieke entiteiten een ander dan Onze Minister worden aangewezen als het CSIRT, bedoeld in artikel 16, eerste lid, van de wet.

  • 3. Onze Minister is de coördinator met het oog op een gecoördineerde bekendmaking van kwetsbaarheden, bedoeld in artikel 17 van de wet.

Artikel 3 (eisen aan CSIRT’s)

  • 1. De CSIRT’s, bedoeld in artikel 2, eerste en tweede lid, voldoen aan de volgende eisen:

    • a. de CSIRT’s garanderen een hoge mate van beschikbaarheid van hun communicatiekanalen door zwakke punten te voorkomen, beschikken over middelen waarlangs te allen tijde contact met hen en met anderen kan worden opgenomen, specificeren hun communicatiekanalen duidelijk en delen deze mee aan de entiteiten, instanties en partijen, bedoeld in artikel 16, tweede lid, onderdeel b, van de wet, en de andere instanties waarmee zij samenwerken;

    • b. de lokalen en werkruimten van de CSIRT’s en de ondersteunende informatiesystemen bevinden zich op beveiligde locaties;

    • c. de CSIRT’s zijn, met het oog op doeltreffende en efficiënte overdrachten, uitgerust met een adequaat systeem voor het beheren en routeren van verzoeken;

    • d. de CSIRT’s waarborgen de vertrouwelijkheid en betrouwbaarheid van hun activiteiten;

    • e. de CSIRT’s beschikken over voldoende personeel om te allen tijde de beschikbaarheid van hun diensten te garanderen en zorgen ervoor dat hun personeel naar behoren wordt opgeleid; en

    • f. de CSIRT’s zijn uitgerust met redundante systemen en reservewerkruimten om de continuïteit van hun diensten te waarborgen.

  • 2. Bij regeling van Onze Minister, in overeenstemming met Onze Ministers die het aangaan, kunnen nadere regels worden gesteld over de functionele, technische en organisatorische vereisten ten aanzien van de in artikel 2, eerste en tweede lid, bedoelde CSIRT’s.

  • 3. Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister, kunnen daarnaast nadere regels worden gesteld over de functionele, financiële, technische en organisatorische vereisten ten aanzien van een organisatie die op grond van artikel 2, tweede lid, is aangewezen als CSIRT.

HOOFDSTUK 3. TOEPASSINGSBEREIK

Artikel 4 (verhouding tot Uitvoeringsverordening (EU) 2024/2690)

Gelet op artikel 1 van de Uitvoeringsverordening (EU) 2024/2690 zijn de artikelen 6 tot en met 18 niet van toepassing op de volgende essentiële entiteiten en belangrijke entiteiten:

  • a. DNS-dienstverleners;

  • b. registers voor topleveldomeinnamen;

  • c. aanbieders van cloudcomputingdiensten;

  • d. aanbieders van datacentrumdiensten;

  • e. aanbieders van netwerken voor de levering van inhoud;

  • f. aanbieders van beheerde diensten;

  • g. aanbieders van beheerde beveiligingsdiensten;

  • h. aanbieders van onlinemarktplaatsen;

  • i. aanbieders van onlinezoekmachines;

  • j. aanbieders van platforms voor socialenetwerkdiensten; en

  • k. verleners van vertrouwensdiensten.

HOOFDSTUK 4. ZORGPLICHT

Artikel 5 (uitvoering van artikel 21 van de wet)

Ter uitvoering van artikel 21 van de wet neemt de essentiële entiteit of belangrijke entiteit ten minste de maatregelen, bedoeld in de artikelen 6 tot en met 18.

Artikel 6 (beleid over beveiliging van netwerk- en informatiesystemen)

  • 1. De essentiële entiteit of belangrijke entiteit heeft vastgesteld beleid over de beveiliging van haar netwerk- en informatiesystemen. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

  • 2. De essentiële entiteit of belangrijke entiteit stelt in het kader van de toepassing van het beleid, bedoeld in het eerste lid, de rollen, verantwoordelijkheden en bevoegdheden in relatie tot de beveiliging van haar netwerk- en informatiesystemen vast. De entiteit zorgt er zoveel mogelijk voor dat conflicterende rollen, verantwoordelijkheden en bevoegdheden gescheiden worden.

  • 3. De essentiële entiteit of belangrijke entiteit verlangt van haar personeel en andere binnen de entiteit werkzame personen dat zij de beveiliging van haar netwerk- en informatiesystemen toepassen overeenkomstig het beleid, bedoeld in het eerste lid.

  • 4. De essentiële entiteit of belangrijke entiteit hanteert een managementsystematiek voor de beveiliging van haar netwerk- en informatiesystemen om aantoonbaar te kunnen voldoen aan het bepaalde bij of krachtens artikel 21 van de wet.

Artikel 7 (beleid over risicomanagement)

  • 1. De essentiële entiteit of belangrijke entiteit heeft vastgesteld beleid over risicomanagement voor de beveiliging van haar netwerk- en informatiesystemen. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

  • 2. Het beleid, bedoeld in het eerste lid, omvat ten minste:

    • a. een risicomanagementmethodiek; en

    • b. criteria voor risicoacceptatie.

  • 3. De essentiële entiteit of belangrijke entiteit stelt in het kader van de toepassing van het beleid, bedoeld in het eerste lid, processen en procedures vast voor risicoanalyse, risicobeoordeling en risicobehandeling. De entiteit past deze processen en procedures aantoonbaar toe.

  • 4. De essentiële entiteit of belangrijke entiteit maakt op basis van de uitgevoerde risicoanalyse een overzicht van de risico’s met betrekking tot de beveiliging van haar netwerk- en informatiesystemen.

  • 5. De essentiële entiteit of belangrijke entiteit stelt op basis van het overzicht van de risico’s, bedoeld in het vierde lid, eisen met betrekking tot de beveiliging van haar netwerk- en informatiesystemen. Indien de risicoanalyse hiertoe aanleiding geeft, neemt de entiteit maatregelen om de beveiliging van haar netwerk- en informatiesystemen op structurele en aantoonbare wijze te borgen.

Artikel 8 (incidentenbehandeling)

  • 1. De essentiële entiteit of belangrijke entiteit heeft vastgesteld beleid over incidentenbehandeling. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

  • 2. De essentiële entiteit of belangrijke entiteit stelt in het kader van de toepassing van het beleid, bedoeld in het eerste lid, de rollen, verantwoordelijkheden en bevoegdheden vast voor:

    • a. het tijdig detecteren van incidenten;

    • b. het analyseren en beoordelen van incidenten;

    • c. het reageren op, beperken van de gevolgen van, wegnemen van de oorzaak van en herstellen van incidenten;

    • d. het documenteren van incidenten;

    • e. het rapporteren van incidenten; en

    • f. het leren van incidenten.

  • 3. De essentiële entiteit of belangrijke entiteit stelt in het kader van de toepassing van het beleid, bedoeld in het eerste lid, processen en procedures vast om relevante gebeurtenissen in haar netwerk- en informatiesystemen te monitoren teneinde incidenten te detecteren, analyseren en classificeren. De entiteit past deze processen en procedures aantoonbaar toe.

  • 4. De essentiële entiteit of belangrijke entiteit stelt in het kader van de toepassing van het beleid, bedoeld in het eerste lid, processen en procedures vast voor:

    • a. het tijdig detecteren van incidenten;

    • b. het analyseren en beoordelen van incidenten;

    • c. het reageren op, beperken van de gevolgen van, wegnemen van de oorzaak van en herstellen van incidenten;

    • d. het documenteren van incidenten;

    • e. het rapporteren van incidenten; en

    • f. het leren van incidenten.

  • 5. De essentiële entiteit of belangrijke entiteit past de processen en procedures, bedoeld in het vierde lid, aantoonbaar toe.

  • 6. De essentiële entiteit of belangrijke entiteit logt de voor de beveiliging van haar netwerk- en informatiesystemen relevante gebeurtenissen in haar netwerk- en informatiesystemen. De entiteit houdt gedurende een vooraf bepaalde periode deze logbestanden bij en beschermt deze tegen ongeautoriseerde wijzigingen.

Artikel 9 (bedrijfscontinuïteit en crisisbeheer)

  • 1. De essentiële entiteit of belangrijke entiteit heeft vastgesteld bedrijfscontinuïteitsbeleid met betrekking tot haar netwerk- en informatiesystemen. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

  • 2. De essentiële entiteit of belangrijke entiteit stelt in het kader van de toepassing van het beleid, bedoeld in het eerste lid, processen en procedures vast voor het borgen van haar bedrijfscontinuïteit, waaronder in ieder geval processen en procedures voor het herstellen van haar netwerk- en informatiesystemen en voor het maken en periodiek verifiëren van de betrouwbaarheid van back-ups van software en gegevens. De entiteit past deze processen en procedures aantoonbaar toe en test deze periodiek.

  • 3. De essentiële entiteit of belangrijke entiteit heeft een vastgesteld bedrijfscontinuïteitsplan met betrekking tot haar netwerk- en informatiesystemen. De entiteit legt dat plan schriftelijk vast, past dat plan toe in geval van een incident dat de bedrijfscontinuïteit in gevaar brengt, en test dit plan periodiek.

  • 4. De essentiële entiteit of belangrijke entiteit heeft een herstelplan. De entiteit legt dat plan schriftelijk vast, past dat plan toe in geval van een incident en test dit plan periodiek.

  • 5. De essentiële entiteit of belangrijke entiteit heeft een plan voor crisisbeheer, legt dit plan schriftelijk vast, past dat plan toe in geval van een crisis en test en beoefent dit plan periodiek. Het plan bevat ten minste:

    • a. de taken, verantwoordelijkheden en bevoegdheden ten tijde van crisis voor het personeel en andere binnen de entiteit werkzame personen;

    • b. een beschrijving van de communicatiemiddelen ten tijde van crisis; en

    • c. wanneer passend, een beschrijving van de beschikbare noodvoorzieningen, waaronder het gebruik van beveiligde noodcommunicatiesystemen ten tijde van crisis.

Artikel 10 (beveiliging van de toeleveringsketen)

  • 1. De essentiële entiteit of belangrijke entiteit heeft vastgesteld beleid over de beveiliging van de toeleveringsketen. De entiteit bepaalt in dat beleid haar omgang met afhankelijkheden van de producten en diensten van haar leveranciers en dienstverleners die invloed kunnen hebben op de beveiliging van haar netwerk- en informatiesystemen. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

  • 2. De essentiële entiteit of belangrijke entiteit toetst of haar rechtstreekse leveranciers en rechtstreekse dienstverleners, bedoeld in het eerste lid, voldoen aan de beveiligingseisen, bedoeld in artikel 7, vijfde lid. De entiteit controleert dit periodiek.

Artikel 11 (beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen)

  • 1. De essentiële entiteit of belangrijke entiteit heeft op basis van de beveiligingseisen, bedoeld in artikel 7, vijfde lid, vastgesteld beleid voor het mitigeren en beheersen van risico’s die voortvloeien uit het verwerven van software, hardware of diensten die betrekking hebben op haar netwerk- en informatiesystemen. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

  • 2. Indien van toepassing stelt de essentiële entiteit of belangrijke entiteit processen en procedures vast voor de veilige ontwikkeling van haar netwerk- en informatiesystemen. De entiteit past deze processen en procedures aantoonbaar toe. Deze processen en procedures hebben betrekking op alle ontwikkelingsfasen van de netwerk- en informatiesystemen van de entiteit.

  • 3. De essentiële entiteit of belangrijke entiteit stelt processen en procedures vast voor het onderhoud en beheer van haar netwerk- en informatiesystemen. De entiteit past deze processen en procedures aantoonbaar toe. Deze processen en procedures hebben ten minste betrekking op het configuratiebeheer en het wijzigingsbeheer van de netwerk- en informatiesystemen van de entiteit.

Artikel 12 (basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging)

  • 1. De essentiële entiteit of belangrijke entiteit zorgt ervoor dat haar personeel en andere binnen de entiteit werkzame personen, voor zover relevant voor hun functie:

    • a. bewust zijn van de risico’s met betrekking tot de netwerk- en informatiesystemen van de entiteit; en

    • b. praktijken op het gebied van cyberhygiëne toepassen.

  • 2. De essentiële entiteit of belangrijke entiteit wijst het personeel en andere binnen de entiteit werkzame personen aan waarvan de rollen, verantwoordelijkheden en bevoegdheden vaardigheden en deskundigheid vereisen op het gebied van de beveiliging van netwerk- en informatiesystemen en zorgt ervoor dat zij regelmatig opleiding krijgen over de beveiliging van netwerk- en informatiesystemen.

Artikel 13 (beleid over het gebruik van cryptografie)

  • 1. De essentiële entiteit of belangrijke entiteit heeft vastgesteld beleid over het gebruik van cryptografie. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

  • 2. De essentiële entiteit of belangrijke entiteit stelt in het kader van de toepassing van het beleid, bedoeld in het eerste lid, processen en procedures vast over het gebruik van cryptografie. De entiteit past deze processen en procedures aantoonbaar toe.

  • 3. In het beleid en de processen en procedures, bedoeld in het eerste en tweede lid, worden in ieder geval uitgewerkt:

    • a. in welke gevallen cryptografie ingezet wordt;

    • b. in voorkomende gevallen, welke typen encryptie worden gebruikt en de wijze waarop deze worden toegepast;

    • c. wie binnen de entiteit verantwoordelijk zijn voor de implementatie van cryptografie; en

    • d. wie binnen de entiteit verantwoordelijk zijn voor het sleutelbeheer.

Artikel 14 (beveiligingsaspecten ten aanzien van personeel)

  • 1. De essentiële entiteit of belangrijke entiteit wijst het personeel en andere binnen de entiteit werkzame personen aan die worden belast met rollen, verantwoordelijkheden en bevoegdheden met betrekking tot de beveiliging van haar netwerk- en informatiesystemen.

  • 2. De essentiële entiteit of belangrijke entiteit evalueert periodiek de aanwijzing, bedoeld in het eerste lid, en werkt deze aanwijzing indien nodig bij.

  • 3. De essentiële entiteit of belangrijke entiteit stelt betrouwbaarheidseisen op waaraan haar personeel en andere binnen de entiteit werkzame personen moeten voldoen, voor zover deze passend en noodzakelijk zijn voor hun taakuitoefening met betrekking tot de beveiliging van de netwerk- en informatiesystemen van de entiteit.

Artikel 15 (beveiligingsaspecten ten aanzien van toegangsbeleid)

  • 1. De essentiële entiteit of belangrijke entiteit heeft vastgesteld beleid over de logische en fysieke toegang tot haar netwerk- en informatiesystemen. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

  • 2. Het beleid, bedoeld in het eerste lid, omvat in ieder geval het uitgeven, monitoren, gebruiken, wijzigen en intrekken van identiteiten en autorisaties, en het beheer van identiteiten en autorisaties.

  • 3. De essentiële entiteit of belangrijke entiteit controleert identiteiten, authenticatiemiddelen en autorisaties periodiek op de noodzakelijkheid, juistheid en actualiteit en voert indien nodig wijzigingen door in de identiteiten, authenticatiemiddelen en autorisaties.

Artikel 16 (beveiligingsaspecten ten aanzien van beheer van assets)

  • 1. De essentiële entiteit of belangrijke entiteit heeft vastgesteld beleid voor het beheer van haar assets die zij voor haar werkzaamheden of voor het verlenen van haar diensten gebruikt. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

  • 2. Het beleid, bedoeld in het eerste lid, omvat in ieder geval:

    • a. een systeem om assets op verschillende niveaus te kunnen classificeren, indien van toepassing op basis van de eisen voor vertrouwelijkheid, integriteit en beschikbaarheid; en

    • b. regels voor het aanvaardbaar gebruik van haar assets.

  • 3. De essentiële entiteit of belangrijke entiteit stelt in het kader van de toepassing van het beleid, bedoeld in het eerste lid, processen en procedures vast voor het beheer van haar assets. De entiteit past deze processen en procedures aantoonbaar toe.

  • 4. De essentiële entiteit of belangrijke entiteit heeft een volledige en actuele inventaris van haar assets, en houdt deze bij.

Artikel 17 (attenderingen, beveiligingsadviezen en dreigingsinformatie)

  • 1. Indien de essentiële entiteit of belangrijke entiteit gericht wordt geattendeerd op voor de beveiliging van haar netwerk- en informatiesystemen relevante kwetsbaarheden of cyberdreigingen, beoordeelt zij of op basis daarvan aanpassingen of aanvullingen nodig zijn van de maatregelen ter uitvoering van artikel 21 van de wet. De entiteit legt de uitkomsten van die beoordeling schriftelijk vast.

  • 2. Het eerste lid is van overeenkomstige toepassing op gerichte beveiligingsadviezen en dreigingsinformatie, die relevant zijn voor de beveiliging van de netwerk- en informatiesystemen van de essentiële entiteit of belangrijke entiteit, en zijn ontvangen van relevante organisaties, waaronder CSIRT’s, bevoegde autoriteiten, andere betrokken overheidsinstanties, rechtstreekse leveranciers en rechtstreekse dienstverleners.

Artikel 18 (evaluatie)

De essentiële entiteit of belangrijke entiteit evalueert periodiek de doeltreffendheid van de maatregelen die zij heeft genomen op grond van artikel 21, eerste lid, van de wet en de effecten ervan in de praktijk, en legt het resultaat daarvan schriftelijk vast. De entiteit past naar aanleiding van de uitkomst van die evaluaties de maatregelen waar nodig aan.

Artikel 19 (nadere regels)

Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister, kunnen nadere regels worden gesteld over de maatregelen, bedoeld in artikel 21, eerste lid, van de wet, waarbij onderscheid kan worden gemaakt tussen sectoren, subsectoren, soorten entiteiten en entiteiten.

HOOFDSTUK 5. TRAINING

Artikel 20 (doel van de training)

De training, bedoeld in artikel 24, vijfde lid, van de wet, stelt het lid van het bestuur van de essentiële entiteit of belangrijke entiteit in staat om risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen identificeren en de gevolgen daarvan voor de diensten die door de entiteit worden verleend te kunnen beoordelen. Ook stelt de training het lid van het bestuur van de entiteit in staat om risicobeheersmaatregelen op het gebied van cyberbeveiliging en de gevolgen daarvan voor de diensten die door de entiteit worden verleend te kunnen beoordelen.

Artikel 21 (eisen aan de training)

  • 1. Ten behoeve van het verkrijgen van kennis en vaardigheden om risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen identificeren als bedoeld in artikel 24, tweede lid, onderdeel a, van de wet en de gevolgen van deze risico’s te kunnen beoordelen, bedoeld in artikel 24, tweede lid, onderdeel c, van de wet, behandelt de training, bedoeld in artikel 24, vijfde lid, van de wet, daartoe in ieder geval de volgende onderwerpen:

    • a. de soorten risico’s voor netwerk- en informatiesystemen;

    • b. risicomanagementprocessen; en

    • c. risicobeoordelingsmethodiek.

  • 2. Ten behoeve van het verkrijgen van kennis en vaardigheden om risicobeheersmaatregelen op het gebied van cyberbeveiliging als bedoeld in artikel 24, tweede lid, onderdeel b, van de wet en de gevolgen van risicobeheersmaatregelen te kunnen beoordelen, bedoeld in artikel 24, tweede lid, onderdeel c, van de wet, behandelt de training, bedoeld in artikel 24, vijfde lid, van de wet, in ieder geval de onderwerpen, genoemd in artikel 21, derde lid, onderdelen a tot en met j, van de wet.

Artikel 22 (eisen aan het certificaat)

  • 1. Het certificaat van de training, bedoeld in artikel 24, vijfde lid, van de wet, bevat in ieder geval:

    • a. de naam van het lid van het bestuur van de essentiële entiteit of belangrijke entiteit;

    • b. de datum of data waarop de training is gevolgd;

    • c. de behandelde onderwerpen in de training; en

    • d. de naam van de aanbieder van de training.

  • 2. Het certificaat van de training, bedoeld in artikel 24, vijfde lid, van de wet, is opgesteld in de Nederlandse taal of de Engelse taal.

HOOFDSTUK 6. MELDINGEN VAN SIGNIFICANTE INCIDENTEN, INCIDENTEN, BIJNA-INCIDENTEN, SIGNIFICANTE CYBERDREIGINGEN, CYBERDREIGINGEN EN KWETSBAARHEDEN

Artikel 23 (significante incidenten)

  • 1. Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister, kunnen de criteria worden vastgesteld op basis waarvan wordt bepaald of sprake is van een significant incident als bedoeld in artikel 25, tweede lid, van de wet, waarbij onderscheid kan worden gemaakt tussen sectoren, subsectoren, soorten entiteiten en entiteiten. In plaats van de vaststelling van die criteria bij regeling kan Onze Minister die het aangaat, na overleg met Onze Minister, die criteria ten aanzien van specifieke entiteiten vaststellen bij besluit.

  • 2. Ten aanzien van de entiteiten waarvoor in uitvoeringshandelingen op grond van artikel 23, elfde lid, van de NIS2-richtlijn nader is gespecificeerd in welke gevallen een incident bij die entiteiten als significant wordt beschouwd, kunnen bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister, naast de hiervoor bedoelde specificaties in uitvoeringshandelingen, aanvullende criteria worden vastgesteld op basis waarvan wordt bepaald of sprake is van een significant incident als bedoeld in artikel 25, tweede lid, van de wet, waarbij onderscheid kan worden gemaakt tussen sectoren, subsectoren, soorten entiteiten en entiteiten. In plaats van de vaststelling van die aanvullende criteria bij regeling kan Onze Minister die het aangaat, na overleg met Onze Minister, die aanvullende criteria ten aanzien van specifieke entiteiten vaststellen bij besluit.

  • 3. Onze Minister die het aangaat evalueert ten minste elke vier jaar de doeltreffendheid van de criteria, bedoeld in het eerste en tweede lid, en de effecten daarvan in de praktijk. Indien nodig past hij de criteria, na overleg met Onze Minister, aan.

  • 4. Indien een besluit als bedoeld in het eerste en tweede lid is vastgesteld, dragen de specifieke entiteiten waarop dat besluit betrekking heeft, zorg voor de vertrouwelijke behandeling van dat besluit binnen hun organisatie.

Artikel 24 (gegevens waar een vroegtijdige waarschuwing uit moet bestaan)

De vroegtijdige waarschuwing, bedoeld in artikel 26, eerste lid, van de wet, omvat naast de gegevens, genoemd in artikel 26, tweede lid, van de wet, tevens de volgende gegevens:

  • a. het vermoedelijke tijdstip van de aanvang van het significante incident;

  • b. zo mogelijk, een beschrijving van de aard en op dat moment merkbare gevolgen van het incident;

  • c. zo mogelijk, een prognose van de hersteltijd; en

  • d. zo mogelijk, de door de essentiële entiteit of belangrijke entiteit voorgenomen of genomen maatregelen om de gevolgen van het significante incident te beperken of herhaling hiervan te voorkomen.

Artikel 25 (wijze waarop een melding geschiedt)

De melding, bedoeld in artikel 25, eerste lid, van de wet, wordt gedaan bij een hiervoor door Onze Minister ingericht meldpunt.

Artikel 26 (nadere regels over meldingen)

Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister, kunnen regels worden gesteld ter uitwerking van de artikelen 26 tot en met 30, 33 en 34 van de wet.

HOOFDSTUK 7. INFORMATIEVERSTREKKING TEN BEHOEVE VAN NATIONAAL REGISTER

Artikel 27 (informatieverstrekking ten behoeve van nationaal register)

  • 1. Naast de informatie, genoemd in artikel 44, eerste lid, onderdelen a tot en met e, van de wet, verstrekt een essentiële entiteit, belangrijke entiteit en entiteit die domeinnaamregistratiediensten verleent tevens aan Onze Minister de volgende informatie ten behoeve van de registratie in het nationaal register, bedoeld in artikel 43 van de wet:

    • a. de vermelding of zij de registratie doet als essentiële entiteit, belangrijke entiteit of entiteit die domeinnaamregistratiediensten verleent; en

    • b. het nummer, bedoeld in artikel 9, onderdeel a, van de Handelsregisterwet 2007 of, indien zij niet in het handelsregister, bedoeld in artikel 2 van de Handelsregisterwet 2007, is ingeschreven, een daarmee vergelijkbaar registratienummer van het land waarin zij is gevestigd.

  • 2. In afwijking van het eerste lid, onderdeel b, verstrekt een overheidsinstantie, indien zij geregistreerd staat in het Register van Overheidsorganisaties, de identificatiecode waarmee zij geregistreerd staat in het Register van Overheidsorganisaties.

  • 3. In aanvulling op de informatie, genoemd in het eerste lid, en indien van toepassing, de informatie, genoemd in het tweede lid, verstrekt een essentiële entiteit of belangrijke entiteit tevens aan Onze Minister de volgende informatie ten behoeve van de registratie in het nationaal register, bedoeld in artikel 43 van de wet:

    • a. indien van toepassing, de soort entiteit, bedoeld in bijlage 1 of 2 van de wet, waartoe zij behoort; en

    • b. haar domeinnamen.

HOOFDSTUK 8. AANWIJZING AUTORITEITEN

Artikel 28 (aanwijzing autoriteiten)

Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister, kunnen de autoriteiten, bedoeld in artikel 51, tweede lid, onderdeel i, van de wet, worden aangewezen.

HOOFDSTUK 9. PERSOONSGEGEVENS

Artikel 29 (bewaring van persoonsgegevens)

  • 1. De persoonsgegevens, niet zijnde de persoonsgegevens, bedoeld in artikel 64, tweede lid, van de wet, die door het centrale contactpunt, het CSIRT en Onze Minister bij of krachtens de wet worden verwerkt, worden niet langer bewaard dan noodzakelijk is ter uitvoering van hun taken op grond van de wet, doch uiterlijk binnen 60 maanden na de eerste verwerking verwijderd.

  • 2. In afwijking van het eerste lid worden de persoonsgegevens die zijn opgenomen in het nationale register, bedoeld in artikel 43 van de wet, niet langer bewaard dan noodzakelijk is ter uitvoering van de taken van Onze Minister op grond van artikel 43 van de wet, doch uiterlijk binnen 60 maanden na de laatste bevestiging van de juistheid van de betreffende persoonsgegevens verwijderd.

  • 3. De persoonsgegevens, niet zijnde de persoonsgegevens, bedoeld in artikel 64, eerste lid, van de wet, die door de bevoegde autoriteit bij of krachtens de wet worden verwerkt, worden niet langer bewaard dan noodzakelijk is ter uitvoering van haar taken op grond van de wet, doch uiterlijk binnen 60 maanden na de eerste verwerking verwijderd.

  • 4. In afwijking van het derde lid worden de persoonsgegevens, niet zijnde de persoonsgegevens, bedoeld in artikel 64, eerste lid, van de wet, die door de bevoegde autoriteit bij of krachtens de wet worden verwerkt met het oog op toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures, niet langer bewaard dan daarvoor noodzakelijk is, doch uiterlijk binnen 120 maanden na de eerste verwerking verwijderd.

HOOFDSTUK 10. SLOTBEPALINGEN

Artikel 30 (wijziging Besluit EU-verordeningen Wft)

In bijlage 35 van het Besluit EU-verordeningen Wft wordt een onderdeel toegevoegd, luidende:

5. Lidstaatoptie artikel 19, eerste lid, zesde paragraaf, en tweede lid, derde paragraaf (meldplicht ICT-incidenten)

Banken, handelsplatformen, centrale effectenbewaarinstellingen en centrale tegenpartijen doen de melding, bedoeld in artikel 19, eerste lid, eerste paragraaf, van de verordening, en de vrijwillige melding, bedoeld in artikel 19, tweede lid, eerste paragraaf, van de verordening, tevens bij het bij of krachtens artikel 16, eerste lid, van de Cyberbeveiligingswet aangewezen CSIRT voor de sectoren bankwezen en infrastructuur voor de financiële markt.

Artikel 31 (wijziging Besluit beveiliging en continuïteit openbare elektronische communicatienetwerken en -diensten)

Het Besluit continuïteit openbare elektronische communicatienetwerken en -diensten wordt als volgt gewijzigd:

A

Artikel 1 komt te luiden:

Artikel 1

In dit besluit en de daarop berustende bepalingen wordt onder wet verstaan: Telecommunicatiewet.

B

Artikel 2 komt te luiden:

Artikel 2

Bij ministeriële regeling kunnen regels worden gesteld omtrent de maatregelen, bedoeld in artikel 11a.1, eerste en derde lid, van de wet.

C

De artikelen 2a tot en met 5 vervallen.

D

Artikel 5b wordt als volgt gewijzigd:

a. in het eerste lid, onderdeel a wordt «de artikelen 11a.1, eerste lid, en 11a.3, eerste lid, van de wet» vervangen door «artikel 11a.3, eerste lid, van de wet»;

b. in het eerste lid onderdeel b wordt «de artikelen 11a.1, eerste lid, en artikel 11a.3, eerste lid, van de wet,» vervangen door «artikel 11a.3, eerste lid, van de wet,»;

c. in het tweede lid wordt «in de artikelen 2a en 5a, tweede lid» vervangen door «in artikel 5a, tweede lid».

E

Paragraaf 3 vervalt.

F

Onder vernummering van de artikelen 10 en 11 tot de artikelen 7 en 8 wordt in hoofdstuk 4 een artikel ingevoegd luidende:

Artikel 6

Dit besluit berust op artikel 11a.3, zesde lid, van de Telecommunicatiewet.

G

In artikel 8 (nieuw) wordt «Besluit beveiliging en continuïteit openbare elektronische communicatienetwerken en -diensten» vervangen door «Besluit beveiliging openbare elektronische communicatienetwerken en- diensten en antenne-opstelpunten».

Artikel 32 (wijziging Besluit veiligheid en integriteit telecommunicatie)

In het Besluit veiligheid en integriteit telecommunicatie wordt na artikel 2 een artikel ingevoegd, luidende:

Artikel 2a

Dit besluit berust op artikel 11a.1, tweede lid, van de Telecommunicatiewet.

Artikel 33 (wijziging Drinkwaterbesluit)

Het Drinkwaterbesluit wordt als volgt gewijzigd:

A

Artikel 15 wordt als volgt gewijzigd:

1. Het opschrift komt te luiden:

Artikel 15. Toezicht door de eigenaar en risicobeoordeling en risicobeheer van het watervoorzieningssysteem

2. Het eerste lid wordt als volgt gewijzigd:

a. in onderdeel a wordt «verstoringen en andere risico’s» vervangen door «het risico op verstoringen en overige risico’s met betrekking tot het watervoorzieningssysteem»;

b. in onderdeel b wordt «Legionella:» vervangen door «het risico op Legionella:».

B

In het opschrift van artikel 46a wordt na «Risicobeoordeling» ingevoegd: «en risicobeheer».

C

Artikel 47 wordt als volgt gewijzigd:

1. Aan het slot van het opschrift wordt toegevoegd «en -beheer».

2. Het eerste lid komt te luiden:

  • 1. Een verstorings-risicoanalyse omvat het inventariseren en analyseren van de voor het leveringsgebied van een drinkwaterbedrijf bestaande en te verwachten dreigingen voor de openbare drinkwatervoorziening. Van de verstorings-risicoanalyse maken in elk geval deel uit:

    • a. de risicobeoordeling, bedoeld in artikel 14 van de Wet weerbaarheid kritieke entiteiten;

    • b. de benadering die alle gevaren omvat, bedoeld in artikel 21, derde lid, van de Cyberbeveiligingswet;

    • c. nationale dreigingen en scenario’s als bedoeld in het tweede lid.

    De verstorings-risicoanalyse wordt met het oog op goedkeuring van het leveringsplan, bedoeld in artikel 37, derde lid, van de wet, voorafgaand aan de indiening van het leveringsplan aan de inspecteur ter beoordeling voorgelegd.

3. In het vijfde lid vervalt de zinsnede «overeenkomstig de vereisten, opgenomen in bijlage B, onderdeel 3, behorende bij dit besluit,».

4. Er worden twee nieuwe leden toegevoegd, luidende:

  • 6. In de verstoringsparagraaf worden in elk geval opgenomen:

    • a. de maatregelen, bedoeld in artikel 15 van de Wet weerbaarheid kritieke entiteiten;

    • b. de maatregelen, bedoeld in artikel 21 van de Cyberbeveiligingswet;

    • c. maatregelen in verband met de dreigingen en scenario’s, bedoeld in het tweede lid.

  • 7. De vereisten, opgenomen in bijlage B, onderdeel 3, behorende bij dit besluit, zijn van toepassing op de verstoringsparagraaf.

D

Na artikel 47 wordt een artikel ingevoegd, luidende:

Artikel 47a. Geïntegreerde aanpak risicoanalyse en risicobeheer

Met het oog op een doelmatige uitvoering kunnen:

  • a. de risicobeoordeling van het watervoorzieningssysteem, bedoeld in artikel 46a, en de verstoringsrisicoanalyse, bedoeld in artikel 47, geïntegreerd worden voorbereid en uitgevoerd;

  • b. de paragraaf risicobeheer watervoorzieningssysteem, bedoeld in artikel 46a, en de verstoringsparagraaf, bedoeld in artikel 47, geïntegreerd worden voorbereid en opgenomen in het leveringsplan, bedoeld in artikel 53, en geïntegreerd worden uitgevoerd.

Artikel 34 (intrekking Besluit beveiliging netwerk- en informatiesystemen)

Het Besluit beveiliging netwerk- en informatiesystemen wordt ingetrokken.

Artikel 35 (inwerkingtreding)

De Cyberbeveiligingswet en dit besluit treden in werking met ingang van 15 augustus 2026.

Artikel 36 (citeertitel)

Dit besluit wordt aangehaald als: Cyberbeveiligingsbesluit.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.

’s-Gravenhage, 8 juli 2026

Willem-Alexander

De Minister van Justitie en Veiligheid, D.M. van Weel

Uitgegeven de tiende juli 2026

De Minister van Justitie en Veiligheid, D.M. van Weel

NOTA VAN TOELICHTING

Algemeen deel

1. Inleiding

Dit besluit, het Cyberbeveiligingsbesluit (hierna: Cbb), strekt ter uitwerking van de Cyberbeveiligingswet (hierna: Cbw). De Cbw strekt op haar beurt tot de uitvoering van de Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148.1 Die richtlijn wordt ook wel aangeduid als de NIS2-richtlijn.

2. De belangrijkste onderdelen van het Cbb

2.1 Inleiding

In dit hoofdstuk wordt ingegaan op de belangrijkste onderdelen van het Cbb. Voor een nadere en uitgebreide toelichting op alle artikelen uit het Cbb wordt verwezen naar de artikelsgewijze toelichting. Aan het eind van dit hoofdstuk wordt ook ingegaan op enkele overige zaken.

2.2 Zorgplicht

Voor essentiële entiteiten en belangrijke entiteiten geldt op grond van artikel 21 Cbw de verplichting om passende en evenredige technische, operationele en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen, die zij voor haar werkzaamheden of voor het verlenen van haar diensten gebruiken, te beheersen. Deze verplichting wordt de zorgplicht genoemd.

De maatregelen die essentiële entiteiten en belangrijke entiteiten moeten nemen in het kader van de zorgplicht, omvatten ingevolge artikel 21, derde lid, Cbw ten minste het volgende:

  • a. beleid over risicoanalyse en beveiliging van informatiesystemen;

  • b. incidentenbehandeling;

  • c. bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;

  • d. de beveiliging van de toeleveringsketen;

  • e. beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen;

  • f. beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;

  • g. basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;

  • h. beleid en procedures over het gebruik van cryptografie;

  • i. beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van assets; en

  • j. wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.

De maatregelen die essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht moeten nemen, zijn nader uitgewerkt in de artikelen 6 tot en met 18 Cbb. Voor een toelichting op deze artikelen wordt verwezen naar de artikelsgewijze toelichting. Daarbij geldt steeds als uitgangspunt dat de maatregelen in zijn geheel moeten voldoen aan de open geformuleerde zorgplicht uit artikel 21 Cbw en dat de artikelen 6 tot en met 18 Cbb dus steeds in dat licht moeten worden beoordeeld.

De artikelen 6 tot en met 18 Cbb zijn van toepassing op alle essentiële entiteiten en belangrijke entiteiten uit alle sectoren waar de Cbw op van toepassing is, uitgezonderd van de entiteiten die op grond van artikel 23 Cbw zijn ontheven van de zorgplicht en de entiteiten waarop de Uitvoeringsverordening (EU) 2024/26902 (hierna: de uitvoeringsverordening) van toepassing is. Voor een toelichting op dit laatste wordt verwezen naar de artikelsgewijze toelichting op artikel 4 Cbb. Het van toepassing zijn van de artikelen 6 tot en met 18 Cbb op een groot aantal entiteiten biedt een gemeenschappelijk basisniveau voor de digitale weerbaarheid van een groot aantal essentiële entiteiten en belangrijke entiteiten.

In diverse artikelen in het Cbb, zoals de artikelen 6 en 7, is bepaald dat essentiële entiteiten en belangrijke entiteiten beleid over de in die artikelen genoemde onderwerpen schriftelijk moeten hebben vastgesteld en aantoonbaar moeten toepassen. Het doel van deze voorschriften is dat entiteiten weloverwogen beleid formuleren op de genoemde onderwerpen, dat zij dit formeel vaststellen en dat zij dit beleid daadwerkelijk ten uitvoer brengen en dat hierop ook effectief toezicht mogelijk is. Het beleid kan in één of meerdere beleidsdocumenten worden uitgewerkt of bijvoorbeeld geïntegreerd worden in een managementsysteem voor informatiebeveiliging waarmee ook aan de aantoonbaarheid kan worden voldaan.

Artikel 19 Cbb biedt de mogelijkheid om de zorgplicht nader sectoraal in te vullen middels ministeriële regelingen van de vakministers voor de sectoren waar zij verantwoordelijk voor zijn. Dit biedt de mogelijkheid om ten aanzien van de zorgplicht onderscheid te maken tussen sectoren, subsectoren, soorten entiteiten en entiteiten, bijvoorbeeld vanwege de specifieke aard van een bepaalde sector, subsector, soort entiteit of entiteit.

2.3 Training

In artikel 24, eerste lid, Cbw is bepaald dat de maatregelen die essentiële entiteiten en belangrijke entiteiten moeten nemen in het kader van de zorgplicht, de goedkeuring behoeven van het bestuur van de essentiële entiteit en belangrijke entiteit. Artikel 24, tweede lid, Cbw verplicht ieder lid van het bestuur van een essentiële entiteit en belangrijke entiteit om te beschikken over kennis en vaardigheden om onder meer risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen identificeren en risicobeheersmaatregelen op het gebied van cyberbeveiliging te kunnen beoordelen. In artikel 24, vijfde lid, Cbw is bepaald dat die bestuursleden met het oog op het aantonen van de hiervoor bedoelde kennis en vaardigheden moeten beschikken over een certificaat, waaruit de deelname blijkt aan een training die de hiervoor bedoelde onderwerpen behandelt. In de artikelen 20 tot en met 22 Cbb worden regels gesteld over de hiervoor bedoelde training. Deze regels zien onder meer op de eisen aan de training en het certificaat. Voor een toelichting op deze regels wordt verwezen naar de artikelsgewijze toelichting op deze bepalingen.

2.4 Aanwijzing CSIRT en coördinator met het oog op een gecoördineerde bekendmaking van kwetsbaarheden

In artikel 16, eerste lid, Cbw is bepaald dat voor alle essentiële entiteiten en belangrijke entiteiten bij of krachtens algemene maatregel van bestuur (hierna: amvb) een Computer security incident response team (hierna: CSIRT) wordt aangewezen. Het CSIRT heeft op grond van artikel 16, derde lid, Cbw, onder meer tot taak om genoemde entiteiten in geval van dreigingen, kwetsbaarheden en incidenten vroegtijdig te waarschuwen en bijstand te verlenen. Het CSIRT zal bij het verlenen van bijstand niet de verantwoordelijkheid overnemen van de entiteit. De entiteit blijft zelfstandig verantwoordelijk voor het oplossen van een incident en haar cyberweerbaarheid. In artikel 2, eerste en tweede lid, Cbb wordt geregeld welke partij voor essentiële entiteiten en belangrijke entiteiten als CSIRT wordt of kan worden aangewezen.

Daarnaast is in artikel 17, eerste lid, Cbw bepaald dat één van de als CSIRT aangewezen partijen bij of krachtens amvb wordt aangewezen als coördinator met het oog op een gecoördineerde bekendmaking van kwetsbaarheden. Deze coördinator heeft op grond van artikel 17, tweede lid, Cbw, onder meer tot taak om als tussenpersoon op te treden tussen degene die een kwetsbaarheid (een zwakheid, vatbaarheid of gebrek van ICT-producten of -diensten die door een cyberdreiging kan worden uitgebuit) bij de coördinator meldt en de fabrikant of aanbieder van het ICT-product of de ICT-dienst waarop de melding betrekking heeft. In artikel 2, derde lid, Cbb wordt deze coördinator aangewezen. Voor een toelichting hierop wordt verwezen naar de artikelsgewijze toelichting op deze bepaling.

2.5 Overige zaken
2.5.1 Na overleg met of in overeenstemming met een minister

Waar er afstemming nodig is tussen de centraal verantwoordelijke minister, te weten de Minister van Justitie en Veiligheid, en de vakminister(s), heeft dit ertoe geleid dat in het Cbb per artikel is bepaald of dit geschiedt «na overleg met» of «in overeenstemming met» de Minister van Justitie en Veiligheid. Het verschil tussen «na overleg met» en «in overeenstemming met» is dat bij «na overleg met» eventueel verschil van inzicht kan worden opgelost via de gangbare afstemmings- en overlegstructuren, maar de vakminister uiteindelijk eigenstandig de eindbeslissing neemt. Bij «in overeenstemming met» dient de Minister van Justitie en Veiligheid bij eventueel uiteenlopende inzichten over een regeling van de vakminister alsnog mede te beslissen. Deze variant is gekozen bij de bepalingen waarbij de handelingen van de vakminister het integrale stelsel raken, en dus van invloed zijn op de stelselverantwoordelijkheid van de Minister van Justitie en Veiligheid, of de wettelijke taken van de Minister van Justitie en Veiligheid als CSIRT raken.

Bij de meeste bepalingen is geregeld dat de vakminister een regeling of besluit vaststelt nadat de Minister van Justitie en Veiligheid hierbij betrokken is, hetzij na overleg met die minister, hetzij in overeenstemming met die minister. In een enkel geval is andersom het geval. Dit doet zich voor in artikel 3, tweede lid, Cbb. In die bepaling is geregeld dat wanneer de Minister van Justitie en Veiligheid bij ministeriële regeling nadere regels stelt over de functionele, technische en organisatorische vereisten waar CSIRT’s aan moeten voldoen, hij dit in overeenstemming met de betrokken vakminister(s) doet. In artikel 3, tweede lid, Cbb is voorzien in de betrokkenheid van de vakminister(s), aangezien de regeling van de Minister van Justitie en Veiligheid betrekking zal hebben op eisen die ook worden gesteld aan door een vakminister aan te wijzen of aangewezen CSIRT.

2.5.2 Notificatie

Ter voldoening aan de zogeheten Notificatierichtlijn3 is beoordeeld of de maatregelen ter uitwerking van de zorgplicht als nationale technische eisen genotificeerd moeten worden bij de Europese Commissie. Artikel 7, eerste lid, onderdeel a, Notificatierichtlijn bepaalt dat er niet genotificeerd hoeft te worden indien de lidstaten zich voegen naar bindende handelingen van de Europese Unie die de aanneming van technische voorschriften of regels betreffende diensten tot gevolg hebben. In het geval van minimumharmonisatie, waarvan sprake is voor wat betreft de implementatie van de NIS2-richtlijn, geldt dat nationale verdergaande maatregelen wel onder de notificatieplicht vallen. Van dergelijke verdergaande maatregelen is in dit verband geen sprake.

3. Gevolgen

3.1 Inleiding

Het Ministerie van Justitie en Veiligheid heeft door een onafhankelijk onderzoeksbureau een regeldrukonderzoek laten uitvoeren. Het onderzoek naar de regeldruk van de Cbw en het Cbb is gecombineerd met het onderzoek naar de regeldruk van de Wet weerbaarheid kritieke entiteiten (hierna: Wwke) en het Besluit weerbaarheid kritieke entiteiten (hierna: Bwke). Aan de hand van interviews met het bedrijfsleven en een panelbijeenkomst met het mkb is een inschatting gemaakt van de regeldruk als gevolg van de Cbw en het Cbb (en de regeldruk als gevolg van de Wwke en het Bwke). Hieronder worden de belangrijkste uitkomsten daarvan ten aanzien van de Cbw en het Cbb beschreven.

De uitkomsten van het regeldrukonderzoek, in combinatie met de consultatiereacties op een concept van het Cbb en de panelbijeenkomst met het mkb, hebben geleid tot aanpassingen in het Cbb. Een deel van die aanpassingen komen aan de orde in hoofdstuk 4.

3.2 Werkwijze regeldrukonderzoek

Bij het in kaart brengen van de regeldrukeffecten is gebruik gemaakt van de landelijke methodiek die is vastgelegd in de meest recente versie van het Handboek Meting Regeldrukkosten 2023, versie 2.1 d.d. 29 november 2023. De hierin beschreven methodiek wordt ook voorgeschreven door het Adviescollege Toetsing Regeldruk (hierna: ATR).

Er zijn interviews gehouden met verschillende bedrijven die naar verwachting regeldrukgevolgen zullen ervaren als gevolg van de Cbw en het Cbb. Tijdens de selectie van deelnemende bedrijven is rekening gehouden met de diversiteit aan bedrijven die tot de doelgroep behoren van de Cbw en Wwke. Zo is gepoogd een gevarieerde selectie samen te stellen van bedrijven uit diverse sectoren, van verschillende omvang en vallend binnen uiteenlopende wetgevende kaders.

Alleen de verplichtingen uit de Cbw die nader zijn ingevuld in het Cbb en waarvoor om die reden geen regeldrukberekening is gedaan in de memorie van toelichting op de Cbw, vormen onderdeel van dit onderzoek. Meer concreet gaat het om de regels in het Cbb over de zorgplicht, de verplichting op het terrein van governance en de registratieplicht.

In het onderzoek is op twee vlakken onderscheid gemaakt, namelijk tussen de eenmalige en de structurele regeldrukeffecten en tussen bedrijfseigen en bedrijfsvreemde kosten. Onder eenmalige effecten vallen alle kosten die tijdelijk van aard zijn. Structurele kosten omvatten kosten die periodiek terugkeren, die kunnen bestaan uit aanschafkosten (out-of-pocketkosten) voor goederen of diensten, of uit tijdbesteding. Bedrijfseigen kosten die gekwantificeerd kunnen worden, tellen niet mee in de regeldrukberekening. Bedrijfsvreemde kosten zijn alle overige kosten die bedrijven niet uit eigen beweging zouden maken, voortkomend uit verplichtingen uit wet- en regelgeving. Bedrijfsvreemde regeldrukkosten worden meegenomen in de regeldrukberekening.

In het regeldrukonderzoek is voor de berekening, naast de uitkomsten van de interviews, gebruik gemaakt van standaardaantallen. Deze aantallen omvatten onder andere het totaal aantal bedrijven of ondernemingen dat naar verwachting onder de reikwijdte van de Cbw zal vallen. Zoals ook is aangegeven in de memorie van toelichting op de Cbw wordt het toepassingsbereik van de Cbw geschat op 7.550 ondernemingen.

Verder worden structurele tijdbestedingen geregeld uitgedrukt in fte’s in plaats van individuele uren. Omdat het aantal werkzame uren van een voltijds dienstverband significant kan verschillen tussen werkgevers en tussen cao’s, wordt gerekend met een standaardaantal uren. Gekozen is om het aantal van 1.720 werkzame uren op jaarbasis te hanteren. Dit aantal berust op een schatting van het Ministerie van Sociale Zaken en Werkgelegenheid.

Ook voor de uurtarieven van medewerkers van de bedrijven die activiteiten moeten verrichten om te voldoen aan wettelijke verplichtingen worden standaardaantallen gebruikt. Dit regeldrukonderzoek volgt hiervoor de methode uit het Handboek Meting Regeldrukkosten, versie 2.1 d.d. 29 november 2023. Onderdeel van deze methode is het aanhouden van standaard interne uurtarieven per type functie. Per activiteit die verricht wordt om te voldoen aan een verplichting is bepaald welk type functie de medewerkers die deze activiteit uitvoeren naar alle waarschijnlijkheid zullen hebben. Dit is afgestemd met de respondenten. Op basis hiervan is gerekend met het bijbehorende uurtarief. Sommige bedrijven hebben aangegeven dat zij voor het verrichten van dezelfde werkzaamheden in sommige gevallen een ander type medewerker inzetten.

3.3 Bevindingen regeldrukonderzoek

De geïnterviewde bedrijven geven aan dat zij al maatregelen nemen voor de beveiliging van hun netwerk- en informatiesystemen, met als basis de eisen uit de Wet beveiliging netwerk- en informatiesystemen (hierna: Wbni) of sectorspecifieke wetgeving. Veel bedrijven gaan echter verder dan wettelijk is vereist. Hun motieven zijn complex en niet eenduidig te herleiden tot bedrijfseigen of wettelijke redenen. ISO- en NEN-standaarden vormen het ijkpunt voor alle geïnterviewde bedrijven en worden voortdurend aangepast aan technologische en wettelijke ontwikkelingen. Om gecertificeerd te blijven, moeten bedrijven daarom blijvend investeren. Of deze investeringen voortkomen uit intrinsieke beweegredenen of wetgeving is niet altijd evident. De hier gerapporteerde regeldrukkosten zijn gebaseerd op een kwantitatieve inschatting van de meerkosten die bedrijven verwachten voor het voldoen aan de Cbw en het Cbb.

De bevindingen met betrekking tot de zorgplicht, de opleidingsverplichting voor bestuursleden en de verplichting tot het registreren worden hieronder toegelicht. De uiteenzetting van de verwachte regeldrukgevolgen wordt hierna uitgesplitst in eenmalige en structurele regeldrukkosten.

Artikel 21 Cbw en de artikelen 6 tot en met 18 Cbb (zorgplicht)

De eenmalige kosten die gemaakt moeten worden om te voldoen aan de zorgplicht zijn primair het gevolg van de voorbereidingen die bedrijven moeten treffen om de voorgeschreven maatregelen ten aanzien van de zorgplicht uit te voeren, en de eenmalige meerkosten bij de implementatie van deze maatregelen. Voor de meeste bedrijven vormt het uitvoeren van een gap assessment en het herzien van de overeenkomsten met ketenpartners het meest kostbare onderdeel van deze voorbereiding. Bedrijven verwachten hierbij zowel gebruik te zullen maken van hun eigen werknemers, alsook van de diensten van externe partijen. Sommige bedrijven geven aan te verwachten extra personeel in dienst te nemen voor de duur van de transitieperiode.

Bedrijven verwachten dat het inregelen en aanpassen aan de nieuwe wet- en regelgeving minstens enkele maanden, maar in sommige gevallen enkele jaren in beslag zal gaan nemen. Gemiddeld verwachten middelgrote ondernemingen 614 uur per onderneming aan eenmalige extra tijdbesteding nodig te hebben voor de voorbereiding en implementatie van de te nemen maatregelen ten aanzien van de zorgplicht. Voor grote ondernemingen ligt dit getal aanzienlijk hoger, namelijk op gemiddeld 6.708 uur per onderneming.

De betrokken medewerkers kunnen worden ingedeeld in verschillende functietypen variërend van «administratief medewerker» tot «leidinggevenden en managers». De meeste handelingen worden echter verricht door «hoogopgeleide medewerkers», zij worden hierna aangeduid als «theoretisch opgeleide medewerkers». De gemiddelde uurtarieven van de betrokken medewerkers bij middelgrote (€ 49,–) en grote ondernemingen (€ 54,–) wijken niet significant af van het standaard uurtarief voor theoretisch opgeleide medewerkers volgens het Handboek Meting Regeldrukkosten, versie 2.1 d.d. 29 november 2023.

Naast tijdbesteding zullen bedrijven ook out-of-pocket-investeringen moeten doen. Wederom verwachten middelgrote ondernemingen gemiddeld lagere kosten te moeten maken dan grote ondernemingen: € 25.000,– respectievelijk € 44.400,– per bedrijf.

Naast eenmalige kosten voor het voorbereiden en implementeren van maatregelen in het kader van de zorgplicht verwachten bedrijven ook structurele meerkosten te zullen maken. Bedrijven geven aan dat zij op veel thema’s die worden uitgewerkt in het Cbb al staand beleid hebben. De ISO 27001- en NEN7510-standaarden vereisen dit immers al. De structurele meerkosten voor bedrijven volgen dan ook primair uit verplichtingen die meer diepgang of een bredere scope van toepassing vereisen dan de maatregelen die bedrijven op dit moment al nemen. Veel genoemd zijn de voorschriften met betrekking tot de beveiliging van de toeleveringsketen. Bedrijven geven aan dat, hoewel zij vaak al maatregelen nemen op dit gebied, zij verwachten dat dit huidige beleid ontoereikend zal zijn om te voldoen aan de voorschriften op dit punt uit het Cbb. Bedrijven die veel op projectbasis werken met ketenpartners verwachten dat het sluiten van overeenkomsten met deze partijen structureel meer tijd zal kosten. Ook geven veel bedrijven aan meerkosten te verwachten ten aanzien van de voorschriften op het gebied van incidentenbehandeling. De structurele kosten van een licentie voor een Information Security Management System (ISMS), en de inhuur van externe monitoringsdiensten ter ondersteuning van het Security Operations Centre (SOC) worden hierbij meermaals genoemd. Andere structurele kostenposten zijn de inhuur van een Chief Information Security Officer (CISO), de kosten in verband met de voorschriften ten aanzien van logging, en het schriftelijk vastleggen en bijhouden van het beleid in algemene zin.

Op basis van de inschattingen van de geïnterviewde bedrijven zijn de gemiddelde en de totale structurele regeldrukgevolgen als gevolg van de zorgplicht berekend. Bedrijven verwachten zowel kosten te maken als gevolg van tijdbesteding om aan de zorgplicht te voldoen, alsook als gevolg van out-of-pocket-investeringen die gedaan zullen moeten worden. Gemiddeld verwachten middelgrote bedrijven structureel 1.246 uur per jaar kwijt te zijn aan tijdbesteding om te voldoen aan de zorgplicht. Bij grote ondernemingen ligt dit aantal aanmerkelijk hoger, namelijk op gemiddeld 3.465 uur per jaar per bedrijf. Ook het type medewerker dat deze handelingen zal verrichten verschilt tussen middelgrote en grote ondernemingen. Bij bedrijven in die eerste categorie is de verwachting dat leidinggevenden en/of managers in de meeste gevallen verantwoordelijk zullen zijn voor de structurele werkzaamheden ten gevolge van de zorgplicht. Het gemiddelde corresponderend uurtarief van deze medewerkers ligt op € 73,–. Bij grote ondernemingen zal dit werk meestal verricht worden door hoogopgeleide medewerkers van de IT-afdeling of administratief personeel. Het gemiddelde corresponderend uurtarief van deze medewerkers ligt op € 51,–. De structurele out-of-pocket-kosten van middelgrote en grote ondernemingen liggen niet ver uit elkaar, deze bedragen gemiddeld € 30.000,– respectievelijk € 32.800,–.

Artikel 24 Cbw en de artikelen 21 en 22 Cbb (governance)

De kosten die geïnterviewde bedrijven verwachten te maken om te voldoen aan de eisen op het gebied van governance bestaan uit tijdbesteding door leden van het bestuur enerzijds, en out-of-pocket-kosten als gevolg van de vergoeding die betaald moet worden aan de externe trainer anderzijds. De geïnterviewde bedrijven verwachten deze kosten eenmalig te moeten maken voor het voltallige bestuur, en vervolgens periodiek naarmate de samenstelling van het bestuur verandert en de stand van de techniek evolueert. Omdat geen inschatting gegeven kon worden van de gemiddelde turnover van de raad van bestuur, en omdat technische innovaties zich niet laten voorspellen, is de aanname gedaan dat de helft van het aantal bestuursleden gedurende een periode van 10 jaar wordt vervangen.

De regeldrukgevolgen van de governanceverplichtingen zijn afzonderlijk in kaart gebracht voor middelgrote en grote ondernemingen. Hieruit blijkt dat middelgrote bedrijven gemiddeld genomen lagere kosten per bedrijf voorzien dan grote bedrijven, zowel ten gevolge van de tijdbesteding van het bestuur4, alsook ten gevolge van de out-of-pocket-investeringen die gedaan zullen moeten worden. Middelgrote ondernemingen verwachten eenmalig € 1.954,– aan tijdbesteding kwijt te zijn voor de training van het bestuur en € 3.958,– aan out-of-pocket-investeringen te moeten doen. Voor grote ondernemingen zijn deze bedragen € 2.808,– respectievelijk € 11.071,– per bedrijf. Het verschil in de kosten van de tijdbesteding tussen middelgrote en grote bedrijven is te verklaren door de verwachting van grote bedrijven dat hun bestuurders meer tijd kwijt zullen zijn aan de te volgen training dan bestuurders van middelgrote bedrijven, namelijk bijna 9 uur per bestuurder van een grote onderneming tegenover bijna 5 uur per bestuurder van een middelgrote onderneming. De divergentie in de te maken out-of-pocket-kosten is minder eenduidig te verklaren. Wel geven respondenten namens middelgrote bedrijven vaker aan dat zij de verplichting tot het inhuren van een externe trainer bezwaarlijk vinden. Een mogelijke verklaring zou daarom kunnen zijn dat zij zullen proberen om de kosten van externe inhuur te verlagen, bijvoorbeeld door de voorbereiding op deze training zoveel mogelijk intern op te pakken. Grote bedrijven daarentegen hebben in sommige gevallen al ervaring met trainingen en/of cursussen van externe partijen. De verwachting van de respondenten namens grote bedrijven is veelal dat zij deze partijen simpelweg opnieuw zullen inschakelen en de bijkomende kosten accepteren.

De structurele kosten voor het voldoen aan de verplichtingen in het kader van de governance zijn naar verwachting beperkt.

Artikel 44 Cbw en artikel 27 Cbb (registratie in het nationaal register en informatieverstrekking ten behoeve van die registratie)

Sommige geïnterviewde bedrijven geven aan al geregistreerd te zijn naar aanleiding van het huidige wettelijke kader (de Wbni). Zij zijn echter niet geregistreerd bij het Nationaal Cyber Security Centrum (hierna: NCSC), maar bij de Rijksinspectie Digitale Infrastructuur (hierna: RDI), en zullen zich dus nog moeten registreren bij het NCSC. Meerdere bedrijven geven daarnaast aan op dit moment niet in te kunnen schatten wat de exacte implicaties van de registratieverplichting voor hun organisatie zullen zijn. Wat hierbij een rol speelt is dat sommige bedrijven uit vele tientallen, soms honderden juridische eenheden bestaan die actief zijn in meerdere lidstaten van de Europese Unie, ieder met een eigen registratieplicht die volgt uit de NIS2-richtlijn.

De meeste bedrijven geven aan enkel eenmalige kosten te verwachten ten gevolge van de registratieplicht, of de structurele kosten als verwaarloosbaar te beschouwen. Gemiddeld verwachten bedrijven dat één medewerker een dagdeel (circa 4 uur) kwijt zal zijn aan het registreren van het bedrijf bij het NCSC. De medewerker die deze werkzaamheden uit zal voeren is naar verwachting in de meeste gevallen een hoogopgeleide IT’er met een corresponderend uurtarief van € 54,–.

Toch voorzien enkele bedrijven ook significante structurele regeldrukgevolgen, bijvoorbeeld omdat de informatie in het register, waaronder informatie over de domeinnamen van de entiteit, continu bijgewerkt zal moeten worden. Deze opvatting wordt echter uitsluitend gedeeld door grote bedrijven. Daarom wordt in het kader van de berekening van de regeldrukkosten aangenomen dat, naast de incidentele kosten van het registreren van de onderneming bij het NCSC, alle 1.742 grote bedrijven die naar verwachting onder het toepassingsbereik van de Cbw vallen jaarlijks tijd kwijt zullen zijn om de geregistreerde informatie actueel te houden. Gemiddeld verwachten grote bedrijven dat enkele medewerkers hier gezamenlijk 10 uur per jaar aan zullen besteden, tegen een gemiddeld uurloon van € 52,–.

Tabel 1: eenmalige regeldrukgevolgen Cbw en Cbb1

Artikelen

Tijdbesteding in uren

Uurtarief (€)

Out-of-pocket-kosten (€)

Totale kosten per bedrijf (P)

Aantal (Q)

Kosten (P×Q)

Artikel 21 Cbw en de artikelen 6 tot en met 18 Cbb (zorgplicht)

2.020

€ 53,–

€ 29.476,–

€ 136.536,–

7.550

€ 1.030.847.000,–

Artikel 24 Cbw en de artikelen 21 en 22 Cbb (governance)

€ 2.151

€ 5.599,–

€ 7.750,–

7.550

€ 58.513.000,–

Artikel 44 Cbw en artikel 27 Cbb (registratie in het nationaal register en informatieverstrekking ten behoeve van die registratie)

4

€ 54,–

€ 216,–

7.550

€ 1.631.000,–

Totaal

€ 1.090.991.000,–

Gemiddeld per bedrijf

€ 145.000,–

X Noot
1

De resultaten zijn gewogen gemiddelden voor middelgrote- en grote ondernemingen.

Tabel 2: structurele regeldrukgevolgen Cbw en Cbb1

Artikelen

Tijdbesteding in uren

Uurtarief (€)

Out-of-pocket-kosten (€)

Totale kosten per bedrijf (P)

Aantal (Q)

Kosten (P×Q)

Artikel 21 Cbw en de artikelen 6 tot en met 18 Cbb (zorgplicht)

1.758

€ 63,–

€ 30.646,–

€ 141.400,–

7.550

€ 1.067.570.000,–

Artikel 24 Cbw en de artikelen 21 en 22 Cbb (governance)

€ 108,–

€ 280,–

€ 388,–

7.550

€ 2.926.000,–

Artikel 44 Cbw en artikel 27 Cbb (registratie in het nationaal register en informatieverstrekking ten behoeve van die registratie)

10

€ 52,–

€ 520,–

7.550

€ 906.000,–

Totaal

€ 1.071.402.000,–

Gemiddeld per bedrijf

€ 142.000,–

X Noot
1

De resultaten zijn gewogen gemiddelden voor middelgrote- en grote ondernemingen.

3.4 Panel mkb
Inleiding

Bij de voorbereiding van het onderhavige besluit is tevens een panel van mkb-ondernemers gevraagd mee te denken over deze regelgeving. Deze ondernemers hebben op basis van hun praktijkervaring aangegeven of de plannen werkbaar zijn, waar eventuele knelpunten zitten en hoe regeldruk voor het mkb zo veel mogelijk beperkt of voorkomen kan worden. Tijdens een bijeenkomst is gesproken over de deelthema’s waar de meeste regeldruk wordt voorzien, te weten: de zorgplicht, governanceverplichting en registratieplicht.

Ondersteuning

Met betrekking tot de zorgplicht gaven de panelleden aan dat het vereiste van het nemen van specifieke maatregelen voor de beveiliging van netwerk- en informatiesystemen niet onredelijk is, waarbij het mkb-panel zich wel afvroeg hoe haalbaar en betaalbaar dit voor het mkb is. Daarbij pleitten de deelnemers voor zo veel mogelijk duidelijkheid over het toepassingsbereik en over de betekenis van specifieke begrippen. Voor mkb’ers is het bijvoorbeeld lastig in te schatten wat de risico’s in hun netwerk- en informatiesystemen zijn. Daarom zouden mkb’ers graag zien dat de overheid hen ondersteuning biedt door bijvoorbeeld handreikingen, tools en sjablonen aan te bieden, zodat zij een beter idee krijgen wat er van hen wordt verwacht. In reactie hierop wordt erop gewezen dat organisaties bij het NCSC en het Digital Trust Center (hierna: DTC) terecht kunnen voor kennis, informatie en advies op thema’s rondom cyberweerbaarheid. Daarnaast bieden het NCSC en het DTC verschillende handreikingen en tools die organisaties kunnen gebruiken. Het DTC heeft op grond van de Wet bevordering digitale weerbaarheid bedrijven de wettelijke taak om (onder andere) het mkb hierin specifiek te voorzien. Met de komst van de Cbw worden deze vormen van ondersteuning verder uitgebreid.

Toezicht

De NIS2-richtlijn en de Cbw hanteren het principe van een risicogebaseerde benadering, waardoor organisaties discretionaire ruimte hebben voor de specifieke invulling van de eisen die de Cbw en het Cbb stellen. De panelleden pleitten ervoor dit principe van risicobeheersing ook te hanteren bij het toezicht en de handhaving van de Cbw en het Cbb.

Het toezicht onder de Cbw is risicogestuurd sectoraal en wordt gedaan door een onafhankelijke toezichthouder. Op welke wijze essentiële entiteiten en belangrijke entiteiten invulling moeten geven aan de maatregelen in het kader van de zorgplicht is afhankelijk van de risicoanalyse, waaruit voortvloeit welke invulling passend en evenredig is voor de betreffende entiteit. De toezichthouder zal per entiteit beoordelen of de specifieke invulling van de maatregelen voldoen aan de zorgplicht, bedoeld in artikel 21 Cbw. Toezichthoudende instanties werken op grond van artikel 55 Cbw zoveel mogelijk samen bij het (onderling gecoördineerd) toezicht houden op essentiële entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen, dit is ook gericht op het beperken van de regeldruk bij entiteiten. In het bijzonder in gevallen waarbij meerdere toezichthoudende instanties onder de Cbw toezicht houden op eenzelfde entiteit is het vanuit het belang van doeltreffend en doelmatig toezicht en het beperken van toezichtslasten gewezen om deze informatie uit te wisselen.

Focus op administratie

Verder geeft het mkb-panel aan dat voorkomen dient te worden dat de focus van de verplichtingen op de administratie komt te liggen. Dit gaat ten koste van de inspanning en de middelen die ondernemers kunnen aanwenden voor het daadwerkelijk nemen van maatregelen. Mkb’ers zouden graag zien dat hen minder gedetailleerd wordt opgelegd hóe zij bepaalde doelen moeten behalen, en dat in plaats daarvan een algemene inspanningsverplichting geldt. Het is van belang dat de eisen die de Cbw en het Cbb stellen duidelijk, evenredig en proportioneel zijn. De eisen voor bedrijfscontinuïteit en crisisbeheer zijn nu nog (te) breed geformuleerd, aldus het mkb-panel. Gepleit wordt voor het werken met doelvoorschriften, waarbij precieze invulling aan de ondernemers wordt gelaten. Zij roepen op om maatwerk te faciliteren. Daarnaast wordt de suggestie gedaan om de ISO 27001-standaard als kapstok te hanteren, omdat veel mkb’ers al bekend zijn met dit normenkader.

De reactie op het voorgaande is als volgt. Zowel voor de Cbw als voor de uitwerking van de zorgplicht in het Cbb zijn bestaande normenkaders gehanteerd als uitgangspunt, zoals de ISO 27001 en NEN7510. In de memorie van toelichting op de Cbw en nota van toelichting op het Cbb wordt, waar van toepassing, naar bestaande normenkaders verwezen. Ook staat het doel van specifieke eisen in deze nota van toelichting verder uitgewerkt. De Cbw en het Cbb gaan uit van een risicogebaseerde aanpak en schrijven niet voor hoe invulling gegeven moet worden aan de maatregelen.

Effecten op de markt

Tevens signaleren mkb’ers het risico dat bepaalde partijen onevenredig kunnen profiteren van deze nieuwe wetgeving, omdat zij als enigen bepaalde diensten aanbieden die ondernemers nodig hebben om de verplichtingen van de Cbw te kunnen voldoen.

De reactie hierop is als volgt. De Cbw en onderliggende regelgeving beoogt geen invloed uit te oefenen op (al bestaande) marktwerkingen. Waar mogelijk bieden overheidsorganisaties zoals het NCSC en het DTC ondersteuning, zoals eerder omschreven. Een organisatie blijft echter zelf verantwoordelijk voor de beveiliging van haar netwerk- en informatiesystemen en voor het besluit of gebruik wordt gemaakt van externe partijen in het implementeren van de Cbw en het Cbb.

Ingroeiperiode

Met betrekking tot de inwerkingtreding van de Cbw en onderliggende regelgeving wordt de suggestie gedaan een ingroeiperiode te hanteren, zodat mkb-ondernemers zich adequaat kunnen voorbereiden. Dit heeft ook te maken met onzekerheid over de datum van inwerkingtreding en onduidelijkheid over de vraag welke mkb-ondernemers nu precies onder de reikwijdte van de Cbw zullen vallen.

De reactie op het voorgaande is als volgt. Over de inwerkingtreding van de Cbw en onderliggende regelgeving zal tijdig worden gecommuniceerd. Hierbij wordt opgemerkt dat organisaties al meermaals via verschillende kanalen zijn opgeroepen om de inwerkingtreding van de Cbw en onderliggende regelgeving niet af te wachten, maar om alvast aan de slag te gaan ter voorbereiding op de komst van die wet- en regelgeving. Daarbij kan gebruik worden gemaakt van de eerder omschreven ondersteuning die al wordt geboden. Voor de reikwijdte van de Cbw kunnen organisaties terecht op verschillende websites van de rijksoverheid, waar onder andere een zelfevaluatietool beschikbaar is. Deze tool kan helpen bij het bepalen of een organisatie onder de Cbw valt. Iedere organisatie is hier zelf verantwoordelijk voor.

Toeleveranciers

De panelleden signaleren dat de kleinere toeleveranciers van hun ondernemingen moeilijk aan de eisen met betrekking tot de beveiliging van de toeleveringsketen zullen kunnen voldoen. Grotere bedrijven hebben wellicht de mogelijkheid om hun toeleveranciers te helpen, maar voor het mkb is dat niet altijd haalbaar. Ook hier wordt gepleit voor een risicogebaseerde benadering, zodat mkb’ers zelf kunnen inschatten welke van hun toeleveranciers een mogelijk risico voor de beveiliging van hun netwerk- en informatiesystemen vormen. Daarnaast voorzien panelleden een risico in de slagkracht die zij hebben tegenover grote(re) bedrijven in hun toeleveringsketen.

De reactie op het voorgaande is als volgt. De artikelen uit de Cbw en het Cbb die zien op de toeleveringsketen zijn alleen van toepassing op de leveranciers die van invloed zijn op de netwerk- en informatiesystemen van een organisatie. Uit de risicoanalyse van de organisatie vloeit voort welke maatregelen voor de toeleveringsketen genomen moeten worden.

Governance

De gestelde eisen op het gebied van governance van de Cbw en het Cbb zijn behoorlijk uitgebreid, zo merken de deelnemers van het mkb-panel op. De eis dat een trainer een onafhankelijke partij, dat wil zeggen een externe partij, moet zijn wordt voor het mkb als belastend ervaren. De deelnemers aan het mkb-panel begrijpen dat het bestuur een zeker begrip van cyberbeveiliging moet hebben, maar geven aan dat ervoor gewaakt moet worden dat het middel het doel voorbijschiet. De training is bedoeld dat bestuurders adequate beslissingen kunnen nemen met betrekking tot de beveiliging van de netwerk- en informatiesystemen van hun organisatie, niet dat zij tot in detail kunnen uitleggen hoe bijvoorbeeld een DDoS-aanval werkt. Ook in dit geval pleiten zij voor proportionele en evenredige eisen.

Ten aanzien van het voorgaande is de reactie als volgt. De eis van een onafhankelijke trainer is na de internetconsultatie geschrapt. De verplichting van een training voor het bestuur is een (dwingend) vereiste uit de NIS2-richtlijn en kan om die reden niet gewijzigd worden.

Registratie

De panelleden gaven tot slot aan behoefte te hebben aan meer en betere voorlichting over de registratieplicht. Zo waren niet alle deelnemers op de hoogte van het feit dat entiteiten die onder de reikwijdte van de Cbw vallen, zich dienen te registreren bij het NCSC die namens de Minister van Justitie en Veiligheid het nationale register zal beheren. Met betrekking tot de registratieplicht ziet het mkb-panel voorts graag harmonisatie en afstemming tussen lidstaten. Het is niet werkbaar wanneer sommige mkb’ers zich mogelijk 27 keer moeten registreren.

De reactie op het voorgaande is als volgt. Er wordt actief ingezet op communicatiemiddelen die onder andere de boodschap om te registreren met zich meedragen. Er zal in aanloop naar de inwerkingtreding van de Cbw grootschaliger campagne worden gevoerd met communicatiemiddelen die wederom deze boodschap met zich mee zullen dragen. Voor wat betreft het punt over de harmonisatie en afstemming tussen lidstaten wordt erop gewezen dat de NIS2-richtlijn van elk lidstaat van de Europese Unie vereist te voorzien in de registratieplicht.

4. Adviezen, consultatie en uitvoerings- en handhaafbaarheidstoetsen

4.1 Inleiding

Een eerdere versie van dit besluit is voor advies voorgelegd aan de Autoriteit persoonsgegevens (hierna: AP) en het ATR, opengesteld voor consultatie op www.internetconsultatie.nl en voor commentaar toegezonden aan belangenorganisaties en entiteiten. Hieronder volgt een globale bespreking van de adviezen en reacties.

4.2 Advies AP

De AP geeft in haar advies aan dat onvoldoende duidelijk is welke persoonsgegevens in het kader van de Cbw verwerkt mogen worden. De AP concludeert dat de te verwerken persoonsgegevens waar mogelijk in de wettekst gespecificeerd dienen te worden, of dat verduidelijking en onderbouwing in de toelichting nodig is. De reactie op dit punt is als volgt. De gevraagde specificering is niet mogelijk. Voor een CSIRT is het bijvoorbeeld niet mogelijk om van tevoren te zien welke persoonsgegevens zich bevinden in dreigings- en incidentinformatie. Daardoor is het niet mogelijk dit vooraf te identificeren. Door dit wel te specificeren kan dit een belemmering vormen voor de wettelijke taakuitvoering van een CSIRT.

Voorts wijst de AP in haar advies op artikel 29, tweede lid, Cbb (30, tweede lid, oud) en hetgeen daarover in de nota van toelichting is aangegeven. Volgens de AP wordt in de nota van toelichting aangegeven dat de verwachting is dat het nationaal register steeds aangepast of bijgewerkt wordt zodat deze gegevens in de praktijk oneindig bewaard worden. De maximale bewaartermijn van 60 maanden begint voor veel van deze persoonsgegevens steeds opnieuw te lopen, waardoor de termijn geen effectieve waarborg meer is, aldus de AP. Naar aanleiding van dit advies is in artikel 29, tweede lid, Cbb «na de laatste wijziging van de betreffende persoonsgegevens» vervangen door «na de laatste bevestiging van de juistheid van de betreffende persoonsgegevens». Hierop is ook de artikelsgewijze toelichting bij de bepaling aangepast.

4.3 Advies ATR
Nut en noodzaak

Het ATR adviseert om het nut en de noodzaak van het wetsvoorstel Cbw in de memorie van toelichting beter te onderbouwen, door te verduidelijken op welke onderdelen de bestaande wetgeving tekortschiet. Omdat het wetsvoorstel al is ingediend bij de Tweede Kamer (inmiddels ook aangenomen door de Tweede Kamer), kan de bijbehorende memorie van toelichting niet meer worden aangepast. Daarom wordt in deze nota van toelichting een reactie gegeven op dit advies van het ATR, waarbij ervan uit wordt gegaan dat het advies van het ATR ziet op tekortkomingen in de bestaande Nederlandse wetgeving. De reactie op dit advies is als volgt. Het nut en de noodzaak van het wetsvoorstel Cbw is onder meer gelegen in het gegeven dat de huidige Nederlandse wet- en regelgeving nog niet voorziet in alle onderwerpen die op grond van de NIS2-richtlijn geregeld moeten worden, ten aanzien van alle entiteiten uit de sectoren waarop de Cbw van toepassing is. Een voorbeeld hiervan is de registratieverplichting. Er is dus niet zozeer sprake van tekortkomingen in bestaande wet- en regelgeving, maar met name sprake van onderwerpen die op dit moment nog niet geregeld zijn geregeld in wet- en regelgeving.

Minder belastende alternatieven

Het ATR stelt dat zoveel mogelijk gekozen moet worden voor de minst belastende invulling van verplichtingen uit de NIS2-richtlijn (en van de implementatiewetgeving als gevolg daarvan). Daarbij geeft het ATR aan dat toegelicht moet worden welke alternatieven voor nationale koppen zijn bezien en toe te lichten waarom niet is gekozen voor die (minder belastende) alternatieven.

De reactie hierop is als volgt. In het Cbb zijn er geen nationale koppen. Wel is in het Cbb de zorgplicht uit de Cbw nader ingevuld. Ten aanzien van het punt over minder belastende alternatieven wordt opgemerkt dat bij de invulling van de zorgplicht uit de Cbw in het Cbb telkens is gekozen voor de invulling die entiteiten duidelijkheid geeft en daarmee dus ook bijdraagt aan de rechtszekerheid voor entiteiten. De gekozen invulling zorgt in zekere zin voor een regeldrukbeperking voor de entiteit.

Daarnaast adviseert het ATR om aan te sluiten bij bestaande kaders. Daarbij refereert het ATR aan een onderdeel van de regeldrukparagraaf waarin mkb’ers bestaande normenkaders hebben aangehaald voor minder belastende regeldruk. De reactie hierop is als volgt. Zowel voor de Cbw als voor de uitwerking van de zorgplicht in het Cbb zijn bestaande normenkaders gehanteerd als uitgangspunt, zoals de ISO 27001 en NEN7510. Hierbij is gecontroleerd of de Cbw en het Cbb deze normenkaders niet doorkruist. In de memorie van toelichting op de Cbw en de nota van toelichting op het Cbb wordt, waar van toepassing, naar bestaande normenkaders verwezen. Eén verplicht normenkader, zoals het ATR adviseert, levert niet noodzakelijkerwijs lastenvermindering op. Entiteiten houden met de Cbw en het Cbb de ruimte om hun bestaande normenkader te blijven hanteren, waarbij ze wel moeten zorgen dat de maatregelen uit het Cbb geborgd zijn.

Mkb

Het ATR heeft bij het wetsvoorstel Cbw geadviseerd om een mkb-toets uit te laten voeren voor de lagere regelgeving waarmee de verplichtingen uit de Cbw nader worden uitgewerkt. Aansluitend adviseert het ATR om de werkbaarheid van het Cbb te onderzoeken en consequent toe te lichten hoe met de zorgen en kritiek van de relevante entiteiten is omgegaan. Conform het advies van het ATR is een mkb-toets uitgevoerd op het Cbb. Hiervoor wordt verwezen naar hoofdstuk 3, waarin de belangrijkste uitkomsten worden omschreven, evenals hoe is omgegaan met de door entiteiten aangehaalde aandachtspunten.

Het ATR vraagt of aan mkb’ers dezelfde eisen moeten worden gesteld als aan grotere entiteiten. De reactie hierop is als volgt. Voor differentiatie tussen de verplichtingen die gelden voor essentiële entiteiten en die gelden voor belangrijke entiteiten biedt de NIS2-richtlijn geen ruimte, anders dan de reeds opgenomen differentiatie in het toezichtregime.

Ten aanzien van het mkb wordt tot slot opgemerkt dat in het kader van de Cbw en het Cbb gericht aanvullende hulpmiddelen worden geboden aan het mkb, om de werkbaarheid voor het mkb te vergroten. Er zullen onder meer handreikingen worden gepubliceerd die als hulpmiddel kunnen worden gebruikt voor het implementeren van de verschillende vereisten die de Cbw en het Cbb bevatten. Ook wordt in deze handreiking handelingsperspectief geboden aan entiteiten die onder meerdere sectoren vallen.

Regeldruk

Het ATR heeft bij het wetsvoorstel Cbw geadviseerd om meer inzicht te geven in de regeldrukgevolgen van het Cbb. Omdat het Cbb met name regels bevat ter uitwerking van de zorgplicht, de nadruk van deze regeldrukgevolgen voornamelijk op het voldoen aan de zorgplicht. Conform het advies van het ATR is een regeldrukonderzoek uitgevoerd met betrekking tot het Cbb door een onafhankelijk onderzoeksbureau. Hiervoor wordt verwezen naar hoofdstuk 3, waarin de belangrijkste uitkomsten worden omschreven en hoe hiermee om is en wordt gegaan. De berekening van de regeldrukgevolgen is conform de Rijksbrede methodiek uitgevoerd.

Het ATR stelt dat een onderbouwing ontbreekt van de berekening van sommige onderdelen van de regeldrukkosten. Naar aanleiding van deze observatie van het ATR zijn waar nodig de bevindingen in hoofdstuk 3 aangevuld, mede op basis van een uitbreiding van de mkb-toets.

Het ATR signaleert dat de gevolgen voor de toeleveringsketen niet in de regeldruktoets zijn meegenomen. In reactie daarop is het van belang om hierbij te benadrukken dat het wat de Cbw en het Cbb betreft gaat om leveranciers die relevant zijn voor de beveiliging van de netwerk- en informatiesystemen van essentiële entiteiten en belangrijke entiteiten en waarvoor maatregelen moeten worden genomen vanuit de risicoanalyse van de entiteit zelf. Daardoor is de inschatting dat op dit punt de Cbw en het Cbb geen hogere regeldruk veroorzaken.

4.4 Toepassingsbereik

In meerdere (internet)consultatiereacties zijn vragen gesteld over het toepassingsbereik van het Cbb, geregeld in artikel 4 Cbb, met name als het gaat om entiteiten die zowel onder het Cbb als de uitvoeringsverordening vallen. De artikelsgewijze toelichting op artikel 4 Cbb is in verband hiermee verduidelijkt.

4.5 CSIRT

In meerdere (internet)consultatiereacties is gevraagd naar de samenhang van de Cbw, het Cbb en het rapport over het herinrichten van het CSIRT-stelsel.5 Dit zal verder worden uitgewerkt in beleid. Hierbij is ook aandacht voor de informatie vanuit het CSIRT-stelsel ten behoeve van het Cyberweerbaarheidsnetwerk zoals toegelicht in de Toekomstvisie van 23 mei 2024. Ook zal nader worden ingegaan op de invulling van taken door CSIRT’s, zoals bij het leveren van bijstand.

Een aantal partijen, waaronder het Verbond van Nederlandse Ondernemingen - Nederlands Christelijk Werkgeversverbond (hierna: VNO-NCW) en Cyberveilig Nederland, vragen in de consultatie naar de bijstand die een entiteit van het CSIRT kan verwachten. De toelichting hierop is als volgt. Het CSIRT zal geen taken en verantwoordelijkheden van essentiële entiteiten en belangrijke entiteiten overnemen. De bijstand door een CSIRT laat dus de eigen verantwoordelijkheid voor het naleven van de verplichtingen die voortvloeien uit de Cbw en het Cbb onverlet. De door het CSIRT geleverde bijstand zal worden uitgewerkt in beleid.

4.6 Zorgplicht

In een aantal consultatiereacties, waaronder die van FME, VNO-NCW, Pasquil, Energie Nederland en de Nederlandse Vereniging van Ziekenhuizen (hierna: NVZ), wordt opgemerkt dat duidelijker naar voren moet komen dat in het kader van de Cbw en het Cbb er sprake is van een risk-based aanpak in plaats van een rule-based aanpak. Naar aanleiding van deze reacties is deze nota van toelichting op meerdere plekken aangepast om duidelijk te maken dat de invulling van de te nemen maatregelen afhankelijk is van de uitkomsten van de risicoanalyse. In diverse artikelen in het Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten bepaald beleid moeten hebben vastgesteld. Hiermee kunnen entiteiten aantonen dat zij hebben nagedacht over de mogelijke risico’s. Er wordt niet voorgeschreven wat de exacte omvang en inhoud van dit beleid moet zijn.

Omni-U Services B.V. en Netbeheer Nederland hebben in hun consultatiereacties aangegeven dat processen en procedures geen onderdeel zijn van het beleid, maar aparte documenten die uitvoering geven aan het beleid. Hierop is het Cbb en de nota van toelichting op verschillende punten aangepast.

In een aantal consultatiereacties, waaronder die van FERM en de koninklijke Vereniging van de Nederlandse Chemische Industrie (hierna: VNCI), is aangegeven dat het scheiden van conflicterende rollen voor het mkb niet altijd mogelijk is en risicogebaseerd moet zijn. Naar aanleiding van dit commentaar is artikel 6, tweede lid, Cbb aangepast.

Meerdere partijen vragen in de consultatie wat er met termen als «periodiek» en «tijdig» wordt bedoeld. De reactie hierop is als volgt. Afhankelijk van de geïdentificeerde risico’s zal een entiteit zelf moeten bepalen en onderbouwen welke periode passend is en wat tijdig is in de context van die entiteit.

Meerdere partijen hebben in de consultatie commentaar gegeven op artikel 9 Cbb. Zo hebben Omni-U Services B.V. en MSP ISAC aangegeven dat niet voor ieder incident een bedrijfscontinuïteitsplan nodig is. Daarnaast wordt aangegeven dat een noodvoorzieningenplan een heel ander plan is. Sunbites Cybersecurity geeft aan dat er geen apart plan hoeft te zijn voor de Cbw, maar dat dit geïntegreerd kan worden in bestaande plannen. Daarnaast geeft VNO-NCW aan dat ook hier een risicogebaseerde aanpak nodig is. Een aantal andere partijen vragen aandacht voor de OT-omgeving in verband met back-ups. Verder vraag Brainport om verduidelijking over hoe er gecommuniceerd kan worden met het CSIRT. In reactie hierop wordt toegelicht dat dit zal gaan via het meld- en registratieportaal waar entiteiten zich kunnen registreren en incidenten en de voortgang daarvan kunnen melden. Op basis van deze commentaren is artikel 9 Cbb aangepast, evenals de artikelsgewijze toelichting op dat artikel.

In een aantal consultatiereacties, waaronder die van VNO-NCW, Energie Nederland en Cyberveilig Nederland, wordt gevraagd wat bedoeld wordt met de term «waar mogelijk» in artikel 10, eerste lid, Cbb. Naar aanleiding hiervan is artikel 10 Cbb aangepast. Ook is de passage in dit artikel over het beëindigen van overeenkomsten aangepast.

In de consultatie geven VNO-NCW en FERM aan dat zij een toelichting wensen over de relatie tussen het Cbb en de zogeheten Verordening cyberweerbaarheid6 (Cyber Resilience Act). Naar aanleiding van deze vraag wordt het volgende toegelicht. De Cyber Resilience Act is toekomstige wet- en regelgeving die de cyberbeveiliging van producten met een digitaal component verbetert. Dit ontslaat entiteiten er niet van zelf vast te stellen of het gebruik van dergelijke producten en diensten de beveiliging van hun netwerk- en informatiesystemen verhoogt of verlaagt.

Diverse partijen, waaronder VNO-NCW en Energie Nederland, geven aan dat de term «opleiding» in artikel 12, tweede lid, Cbb te ver gaat en hier de term «training» moet worden gehanteerd. De reactie hierop is als volgt. De term «opleiding» komt uit de NIS2-richtlijn en is ter implementatie daarvan ook in de Cbw gehanteerd.

Door verschillende partijen is in de consultatie aangegeven dat artikel 15 Cbb niet juist is vanwege de term «authenticaties». Naar aanleiding van deze commentaren is artikel 15 Cbb aangepast.

Diverse partijen, waaronder Nederlandse Federatie van Universitair Medische Centra (NFU), VNCI, NVZ en Brainport, hebben vragen gesteld over de uitleg van artikel 17 Cbb en dan met name over op welke attenderingen entiteiten nu wel en niet moet reageren. Hierop is de artikelsgewijze toelichting op artikel 17 Cbb verduidelijkt.

4.7 Training

Uit de consultatie volgt dat meerdere partijen, waaronder de G4, kritisch zijn over artikel 22 Cbb, over de eisen die worden gesteld aan de trainer. Er wordt met name aangegeven dat deze bepaling verder gaat dan de NIS2-richtlijn, onder meer ten aanzien van de onafhankelijkheid van de trainer. Dit artikel is mede vanwege deze commentaren heroverwogen en geschrapt.

Ook waren er kritische reacties op de eisen aan het certificaat, met name ten aanzien van het vereiste over het aantal uren dat de training is gevolgd. Hierover is onder meer aangegeven dat het aantal uur niets zegt over de kwaliteit van de training. Naar aanleiding van deze reacties is in artikel 22, eerste lid, Cbb (23, eerste lid, oud) het vereiste over het aantal uren geschrapt.

Enkele consultatiereacties gingen ook in op het stellen van een opleidingsvereiste aan de bestuurder van een entiteit. De toelichting hierop is als volgt. Dit is een vereiste uit de NIS2-richtlijn. In dit verband wordt overigens benadrukt dat het uitdrukkelijk geen opleiding betreft waarin van de bestuurder wordt verwacht technische kennis te verkrijgen en netwerk- en informatiesystemen te kunnen uitleggen. Wel wordt van de bestuurder op strategisch niveau kennis verwacht op de genoemde onderwerpen, zodat de bestuurder in staat is de maatregelen die de entiteit moet nemen in het kader van de zorgplicht te beoordelen en de risico’s te (laten) beheersen. Hiervoor is een bepaalde basiskennis vereist.

4.8 Meldplicht

In enkele consultatiereacties, waaronder die van NLdigital, Energie Nederland, de N.V. Nederlandse Spoorwegen en Cyberveilig Nederland, wordt aandacht gevraagd voor de meld- en registratieplicht van groepen van entiteiten. De reactie hierop is als volgt. Op dit moment wordt gewerkt aan een functionaliteit in het meld- en registratieportaal waarmee groepen van entiteiten meerdere entiteiten die tot een groep behoren, gebundeld kunnen registreren en meldingen kunnen doen. Entiteiten die zowel een essentiële entiteit als belangrijke entiteit zijn onder verschillende sectoren, moeten zich registreren als essentiële entiteit.

In de consultatie is door een aantal partijen, waaronder Brainport, gevraagd wat wordt bedoeld met soort entiteit. De toelichting hierop is als volgt. De Cbw kent een onderscheid tussen sectoren en indien van toepassing subsectoren en soorten entiteiten. Dit onderscheid is te vinden in bijlage 1 en 2 van de Cbw.

Door de Vereniging van Nederlandse Gemeenten (VNG) en het Interprovinciaal Overleg (IPO) is gevraagd om twee jaar na de invoering van de Cbw de inhoud van de meldplicht te evalueren. De reactie hierop is als volgt. De termijn van vier jaar voor het evalueren van de drempelwaarden in het kader van de meldplicht betreft een uiterlijke termijn; een eerdere evaluatie is ook mogelijk. Het is de verwachting dat de vakministers (ruim) voor die uiterlijke termijn zullen overgaan op het evalueren van de drempelwaarden. Het moment waarop zij de drempelwaarden zullen evalueren wordt uitgewerkt in beleid en zal vanwege de in artikel 23, derde lid, Cbb opgenomen termijn in ieder geval binnen vier jaar na de vaststelling van de drempelwaarden zijn.

4.9 Overige opmerkingen

Een aantal partijen, waaronder Energie Nederland, Forum Standaardisatie en Netbeheer Nederland, vragen wat er onder domeinnamen wordt verstaan. Onder domeinnamen wordt verstaan: de publiek beschikbare domeinen die de entiteit in eigendom heeft en niet de interne domeinen of de domeinnamen die zij namens derden beheert. De data vanuit Stichting Internet Domeinregistratie Nederland (SIDN) evenals de gegevens uit het Register Internetdomeinen Overheid zijn een goed startpunt, maar niet volledig. De artikelsgewijze toelichting op artikel 27 Cbb (28 oud) is hierop aangepast.

De G4 geeft aan dat een bewaartermijn van 60 maanden, zeker voor loggegevens, lang is en de nodige kosten met zich meebrengt. De reactie hierop is als volgt. De in artikel 29, eerste, tweede en derde lid, Cbb (30, eerste en tweede lid, oud) opgenomen maximale bewaartermijn van 60 maanden geldt voor de persoonsgegevens die door het CSIRT, de bevoegde autoriteit, het centrale contactpunt en de Minister van Justitie en Veiligheid bij of krachtens de Cbw worden verwerkt.

In enkele consultatiereacties is gewezen op fouten in het conceptbesluit op het gebied van de interpunctie, spelling, grammatica en opmaak en verwijzingsfouten. Deze fouten zijn hersteld.

4.10 Uitvoerings- en handhaafbaarheidstoetsen

De betrokken vakdepartementen hebben uitvoerings- en handhaafbaarheidstoetsen laten uitvoeren op een concept van het Cbb en hebben deze als volgt beoordeeld.

4.10.1 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Op verzoek van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft de RDI een uitvoerings- en handhavingstoets (UHT) uitgevoerd op het concept van het Cbb en de bijbehorende nota van toelichting. De RDI acht het concept van het Cbb uitvoerbaar, handhaafbaar en fraudebestendig, mits verschillende aandachtspunten nader worden verduidelijkt dan wel aangepast in het concept. Deze aandachtspunten betreffen niet specifiek de sector overheid, maar zijn algemeen van aard.

In het kader van artikel 2 Financiële-verhoudingswet is in de memorie van toelichting op de Cbw aangegeven dat de gevolgen van de Cbw voornamelijk voort zullen vloeien uit de lagere regelgeving. Voor de overheid gelden reeds sinds 1 december 2008 de ISO 27001- en ISO 27002-standaarden, aangezien zij toen zijn opgenomen in de pas-toe-of-leg-uit-lijst van het Bureau Forum Standaardisatie. Voorts vormen deze standaarden de basis voor de bij de centrale en decentrale overheden verplichte normatiek van de Baseline Informatiebeveiliging Overheid (BIO).

De verplichtingen ten aanzien van de zorgplicht in het Cbb gaan in grote lijnen niet verder dan reeds bestaande verplichtingen van genoemde ISO-standaarden en de BIO. Verder bevat het Cbb enkele eisen ten aanzien van de opleiding van de bestuurder. De inschatting is dat deze opleiding geen merkbaar effect zal hebben op de begroting van de overheidsentiteiten en zal opgaan in reguliere scholings- en opleidingsinspanningen.

In de ministeriële regeling onder de Cbw voor de sector overheid zullen de specifieke bepalingen uit de BIO worden opgenomen. De impact van de Cbw op overheidsorganisaties zal met name voortvloeien uit deze ministeriële regeling.

4.10.2 Ministerie van Economische Zaken en Ministerie van Klimaat en Groene Groei

De RDI acht het concept-Cbb en de bijbehorende ministeriële regeling uitvoerbaar, handhaafbaar en fraudebestendig, mits op enkele onderdelen aanvullende toelichting wordt gegeven. Het gaat daarbij onder meer om de verhouding tussen de open norm van de zorgplicht in de Cbw en de in het Cbb uitgewerkte maatregelen. In de toelichting is verduidelijkt dat deze maatregelen het minimumniveau vormen en passend en evenredig toegepast moeten worden, afhankelijk van de risicoanalyse van de betreffende entiteit. Hiermee is geborgd dat de open norm uit de Cbw leidend blijft, met ruimte voor sectorspecifieke toepassing.

Daarnaast is in de toelichting per maatregel het doel en beoogde resultaat toegelicht, zodat voor entiteiten en toezichthouders duidelijk is wat een adequate invulling inhoudt. Ook zijn begrippen als «crisis» en «cryptografie» nader toegelicht, net als het gebruik van termen als «waar passend» en «waar mogelijk», om interpretatieverschillen bij de uitvoering te voorkomen. Verder is op verzoek van de RDI de samenhang tussen de verschillende beleidsdocumenten binnen hoofdstuk 4 van het Cbb verduidelijkt, zoals tussen het incidentenplan en het bedrijfscontinuïteitsplan, zodat deze in de praktijk integraal kunnen worden toegepast. Waar signalen van overlap zijn benoemd, zoals bij artikelen over de toeleveringsketen, is de reikwijdte nader afgebakend in de artikelsgewijze toelichting.

Ook wijst de RDI op het belang van integraliteit tussen de Cbw, het Cbb en andere relevante wet- en regelgeving, zowel nationaal als Europees. Dit punt wordt herkend. Daarbij wordt rekening gehouden met de uitvoerbaarheid voor entiteiten en uitvoeringsorganisaties. Waar volledige afstemming niet mogelijk is - bijvoorbeeld als gevolg van vastgestelde Europese verplichtingen - wordt bij de inrichting van processen gezocht naar zoveel mogelijk coördinatie en centralisatie, met als doel de uitvoeringslasten en regeldruk voor betrokken partijen te beperken.

Tot slot zijn naar aanleiding van de uitvoerings- en handhavingstoets van de RDI nog technische aanpassingen in de telecommunicatiewetgeving (het Besluit beveiliging en continuïteit openbare elektronische communicatienetwerken en -diensten en het Besluit veiligheid en integriteit telecommunicatie) doorgevoerd.

4.10.3 Ministerie van Financiën

Gelijktijdig met de NIS2-richtlijn is de zogeheten Digital Operational Resilience Act (hierna: DORA) vastgesteld.7 Deze verordening is van toepassing op de financiële sector. De Nederlandsche Bank (DNB) en Autoriteit Financiële Markten (AFM) zijn verantwoordelijk voor het toezicht uit hoofde van DORA.

De bepalingen van de DORA over risicobeheer op het gebied van informatie- en communicatietechnologie (ICT), het beheer van ICT-gerelateerde incidenten en met name de rapportage van grote ICT-gerelateerde incidenten, alsmede die over digitale operationele weerbaarheidstests, informatie-uitwisselingsregelingen en risico van derden op het gebied van ICT, zijn van toepassing op een groot gedeelte van de financiële sector in plaats van de bepalingen uit de NIS2-richtlijn. In artikel 1, tweede lid, DORA is namelijk expliciet bepaald dat de verordening voor de toepassing van artikel 4 NIS2-richtlijn moet worden beschouwd als een sectorspecifieke rechtshandeling. Dit betekent dat de bepalingen uit de Cbw over de zorgplicht, governance en de meldplicht niet van toepassing zijn op financiële entiteiten die onder de verordening vallen, voor zover zij niet tevens kwalificeren als ander soort entiteit onder de Cbw. Dit geldt vanzelfsprekend ook voor de uitwerking van de hiervoor genoemde verplichtingen in het Cbb. Wel regelt het Cbb de dubbele meldplicht voor banken, handelsplatformen, centrale effectenbewaarinstellingen en centrale tegenpartijen. Deze instellingen melden bij zowel de toezichthouder als het CSIRT. Ook hierop houdt de relevante toezichthouder toezicht.

De verplichting uit artikel 44 Cbw (over het verstrekken van informatie ten behoeve van het nationale register) is wel van toepassing, voor zover deze entiteiten onder het toepassingsbereik van de Cbw vallen. De verplichtingen uit de artikelen 42 (over de aanwijzing van een vertegenwoordiger), 47 (over het verstrekken van informatie ten behoeve van het Enisa-register) en 49 (over een database met domeinnaamregistratiegegevens) Cbw zijn alleen van toepassing voor zover de betrokken financiële entiteit kwalificeert als één van de in die artikelen genoemde entiteiten en onder het toepassingsbereik van de Cbw valt.

Onder de Cbw is de Minister van Financiën aangewezen als bevoegde autoriteit voor entiteiten in de sectoren bankwezen en infrastructuur voor de financiële markt. Het Ministerie van Financiën acht het Cbb, waar het de taak als bevoegde autoriteit ten aanzien van financiële instellingen betreft, uitvoerbaar en handhaafbaar.

4.10.4 Ministerie van Infrastructuur en Waterstaat

Door de Inspectie voor Leefomgeving en Transport (hierna: ILT) en de Autoriteit Nucleaire Veiligheid en Stralingsbescherming (hierna: ANVS) is het Cbb beoordeeld op handhaafbaarheid, uitvoerbaarheid en fraudebestendigheid.

De ILT oordeelt dat het Cbb op hoofdlijnen handhaafbaar, uitvoerbaar en fraudebestendig is. Daarbij wordt wel aandacht gevraagd voor de consequentie van de overlap tussen sectoren. Daarnaast geeft de ILT aan dat de uitvoerbaarheid samenhangt met de krapte op de arbeidsmarkt voor gekwalificeerde inspecteurs.

De ANVS merkt op dat nog enkele relevante aspecten onduidelijk zijn, zoals de wijze waarop de (nucleaire) sector zal worden aangewezen. De ANVS geeft aan nog niet te beschikken over bestuurlijke boetes als handhavingsinstrument. Daarnaast vraagt de ANVS aandacht voor het belang dat haar huidige onafhankelijkheid in stand blijft, ook als zij er op grond van de Wwke toezichthoudende taken zou bij krijgen. Het Ministerie van Infrastructuur en Waterstaat houdt bij de verdere uitwerking van de ministeriële regeling nadrukkelijk rekening met deze punten.

4.10.5 Ministerie van Landbouw, Visserij, Voedselzekerheid en Natuur

Een concept van het Cbb is voorgelegd aan de Nederlandse Voedsel- en Warenautoriteit (hierna: NVWA). Volgens de NVWA is het Cbb in potentie handhaafbaar, uitvoerbaar en fraudebestendig mits normen duidelijker zijn beschreven en de NVWA de juiste technische expertise in huis kan halen. Daarnaast moet vooraf duidelijk zijn welke bedrijven in Nederland onder het Cbb zullen vallen en zullen deze bedrijven geïnformeerd moeten worden over het Cbb. Ook zal samenwerking en informatie-uitwisseling tussen verschillende toezichthouders en de opdrachtgevers van de NVWA ingericht moeten zijn.

4.10.6 Ministerie van Volksgezondheid, Welzijn en Sport

Een concept van het Cbb is voorgelegd aan de Inspectie Gezondheidszorg en Jeugd (hierna: IGJ). De IGJ stelt dat het Cbb op enkele punten aanscherping behoeft. Zo ziet de IGJ dat enkele artikelen van het Cbb bepalingen bevatten die (tekstueel en inhoudelijk) afwijken van de normen voor informatiebeveiliging in de zorgsector. Dit zal tot verwarring leiden bij zorgaanbieders die op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) al wettelijk verplicht zijn te voldoen aan de NEN7510. Er ontstaan daarnaast nieuwe Nederlandse regels die afwijken van gangbare internationale normen, voor entiteiten die internationaal werken (zoals fabrikanten van medische hulpmiddelen). Volgens de IGJ leidt dit tot extra regeldruk. Het Ministerie van Volksgezondheid, Welzijn en Sport zal bij de sectorale invulling van de zorgplicht rekening houden met de door de IGJ genoemde aandachtspunten en waar mogelijk tegemoet komen aan de gangbare normen binnen de zorgsector.

Daarnaast verzoekt de IGJ om artikel 24 Cbb (25 oud) uit te breiden door entiteiten te vragen om extra informatie aan te leveren, zodat de significantie van incidenten beter beoordeeld kan worden. Naar aanleiding hiervan is artikel 24 Cbb (25 oud) uitgebreid.

5. Overgangsrecht en inwerkingtreding

Het Cbb voorziet niet in overgangsrecht.

In artikel 35 Cbb is bepaald dat zowel de Cbw als het Cbb in werking treden met ingang van 15 augustus 2026. Hierbij wordt afgeweken van de vaste verandermomenten en de minimuminvoeringstermijn, omdat de Cbw en het Cbb strekken tot de implementatie van een bindende EU-rechtshandeling, te weten de NIS2-richtlijn.

Artikelsgewijze toelichting

Artikel 1 (begripsbepaling)

Artikel 1 Cbb bevat de definitie van enkele begrippen uit het Cbb. Zo wordt, daar waar in het Cbb «de wet» wordt genoemd, daaronder verstaan: de Cbw.

Het Cbb bevat ook andere begrippen, zoals «risico» en «incident», die ook voorkomen in de Cbw en al in artikel 1 Cbw zijn gedefinieerd. De in artikel 1 Cbw opgenomen definitie van die begrippen geldt ook als de definitie van diezelfde begrippen in het Cbb. In artikel 1 Cbw is namelijk bepaald dat de daarin opgenomen definities gelden voor de begrippen in de Cbw én in de daarop berustende bepalingen. Bij het Cbb is sprake van dat laatste; de bepalingen uit het Cbb berusten immers op de Cbw.

Artikel 2 (aanwijzing CSIRT en coördinator bekendmaking kwetsbaarheden)

Eerste lid

In artikel 2, eerste lid, Cbb wordt de Minister van Justitie en Veiligheid voor essentiële entiteiten en belangrijke entiteiten aangewezen als het CSIRT. In afwijking daarvan kan op grond van artikel 2, tweede lid, Cbb voor essentiële entiteiten en belangrijke entiteiten uit specifieke sectoren en subsectoren, voor specifieke soorten entiteiten en voor specifieke entiteiten een andere instantie als CSIRT worden aangewezen.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, de Minister van Economische Zaken, de Minister van Financiën, de Minister van Infrastructuur en Waterstaat, de Minister van Klimaat en Groene Groei en de Minister van Landbouw, Visserij, Voedselzekerheid en Natuur hebben in samenspraak met de Minister van Justitie en Veiligheid besloten de CSIRT-taak te beleggen bij de Minister van Justitie en Veiligheid voor de sectoren waar zij politiek verantwoordelijk voor zijn. De taken die de Minister van Justitie en Veiligheid als CSIRT op grond van de Cbw moet verrichten zullen in de praktijk worden uitgevoerd door het NCSC. Voor de aanwijzing van de Minister van Justitie en Veiligheid is, in samenspraak met de andere betrokken departementen, reden gezien vanwege diens coördinerende verantwoordelijkheid voor cybersecurity.

Tweede lid

Op grond van artikel 2, tweede lid, Cbb kan bij regeling van de betrokken vakminister, in overeenstemming met de Minister van Justitie en Veiligheid, voor entiteiten uit specifieke sectoren en subsectoren, voor specifieke soorten entiteiten en voor specifieke entiteiten een andere instantie dan de Minister van Justitie en Veiligheid als CSIRT worden aangewezen. De reden daarvoor kan bijvoorbeeld zijn dat een dergelijke andere instantie beschikt over specifieke kennis met betrekking tot de beveiliging van netwerk- en informatiesystemen in een bepaalde sector en daarom meer aangewezen is om de rol van CSIRT ten aanzien van bepaalde essentiële entiteiten of belangrijke entiteiten in die sector te vervullen.

Inmiddels heeft de Minister van Volksgezondheid, Welzijn en Sport het voornemen om voor entiteiten in de sector gezondheidszorg bij ministeriële regeling de Stichting Z-CERT aan te wijzen als het CSIRT. Stichting Z-CERT fungeert momenteel ook al als computercrisisteam voor deze sector. Ook heeft de Minister van Binnenlandse Zaken en Koninkrijksrelaties het voornemen om voor gemeenten bij ministeriële regeling de Informatiebeveiligingsdienst, onderdeel van VNG Realisatie B.V., aan te wijzen als het CSIRT. De Informatiebeveiligingsdienst fungeert momenteel ook al computercrisisteam voor die entiteiten. Voor beide instanties geldt dat hiertoe, naast bijvoorbeeld hun specifieke deskundigheid van cybersecurity in die sectoren, ook is besloten op basis van de vaststelling dat zij voldoen aan de eisen die artikel 11, eerste lid, NIS2-richtlijn aan een CSIRT stelt. Bovendien hebben zij een voldoende mate van volwassenheid. Voorts heeft de Minister van Infrastructuur en Waterstaat het voornemen om voor de waterschappen het CERT Watermanagement (CERT-WM) aan te wijzen als het CSIRT, dat een onderdeel is van de gemeenschappelijke regeling van waterschappen (Het Waterschapshuis). Daarnaast is de Minister van Onderwijs, Cultuur en Wetenschap voornemens om voor hogeronderwijsinstellingen SURFcert aan te wijzen als het CSIRT. Tussen de hiervoor genoemde ministers en de Minister van Justitie en Veiligheid is over de hiervoor genoemde aanwijzingen overeenstemming bereikt.

Met het oog op het voorgaande wordt momenteel interdepartementaal beleid ontwikkeld ten behoeve van onder meer de onderlinge samenwerking tussen CSIRT’s en het bevorderen van uniformiteit in hun taakuitoefening. Tevens zullen het proces en de beoordelingscriteria worden uitgewerkt hoe deze in het kader van de medebetrokkenheid («in overeenstemming met») van de Minister van Justitie en Veiligheid in de praktijk worden ingevuld.

Derde lid

In artikel 2, derde lid, Cbb wordt de Minister van Justitie en Veiligheid aangewezen als de coördinator met het oog op een gecoördineerde bekendmaking van kwetsbaarheden, bedoeld in artikel 17 Cbw. Die rol van coördinator zal in de praktijk worden uitgevoerd door het NCSC. Voor deze aanwijzing is gekozen, niet alleen omdat de Minister van Justitie en Veiligheid zoals hierboven toegelicht onder artikel 2, eerste lid, Cbb voor de meeste essentiële entiteiten en belangrijke entiteiten als CSIRT wordt aangewezen, maar ook omdat het NCSC momenteel in de praktijk namens de Minister van Justitie en Veiligheid reeds een met de aanwijzing in dit artikel vergelijkbare rol vervult.

Artikel 3 (eisen aan CSIRT’s)

Eerste lid

Artikel 3, eerste lid, Cbb behelst de codificatie van artikel 11, eerste lid, NIS2-richtlijn en bevat enkele kleine aanpassingen ten opzichte van de laatstgenoemde bepaling. Die aanpassingen zijn uitsluitend wetgevingstechnisch van aard.

Tweede lid

Artikel 3, tweede lid, Cbb voorziet in de mogelijkheid van de Minister van Justitie en Veiligheid om in overeenstemming met de betrokken vakministers nadere eisen te stellen die gelden voor alle CSIRT’s. Er kan ten behoeve van het hele CSIRT-stelsel behoefte zijn om met nadere eisen te komen, bijvoorbeeld ten aanzien van het volwassenheidsniveau, de vertrouwelijkheid van communicatie met andere partijen, de beveiliging van netwerk- en informatiesystemen die voor het uitvoeren van de taken worden gebruikt en het eventuele gebruik van vertrouwensfuncties.

Derde lid

Artikel 3, derde lid, Cbb voorziet daarnaast in de mogelijkheid van de betrokken vakminister om na overleg met de Minister van Justitie en Veiligheid nadere eisen te stellen aan het CSIRT dat hij zelf op grond van artikel 2, tweede lid, Cbb heeft aangewezen. De reden om zulke nadere eisen ten aanzien van een specifiek CSIRT te stellen kan bijvoorbeeld zijn dat een CSIRT geen overheidsorganisatie is en daardoor niet onder bestaande regelgeving valt dat zorgt voor een adequaat instrumentarium om sturing te geven aan het CSIRT. Denk hierbij aan de Comptabiliteitswet ten aanzien van begroting en verantwoording. Ook kan worden gedacht aan eisen over de wijze van het informeren van de vakminister bij incidenten of calamiteiten. Er kan ook worden gedacht aan het ten behoeve van het door die minister vaststellen of het aangewezen CSIRT voldoet aan de gestelde eisen.

Artikel 4 (verhouding tot Uitvoeringsverordening (EU) 2024/2690)

In artikel 21, vijfde lid, NIS2-richtlijn is bepaald dat de Europese Commissie uiterlijk op 17 oktober 2024 uitvoeringshandelingen vaststelt met betrekking tot de technische en methodologische vereisten van de maatregelen die een aantal specifiek genoemde entiteiten in het kader van de zorgplicht ten minste moeten nemen. Die vereisten gelden onder meer voor DNS-dienstverleners, aanbieders van cloudcomputingdiensten en aanbieders van vertrouwensdiensten.

In artikel 23, elfde lid, NIS2-richtlijn is bepaald dat de Europese Commissie uiterlijk op 17 oktober 2024 uitvoeringshandelingen vaststelt waarin nader wordt gespecificeerd in welke gevallen een incident als significant wordt beschouwd als bedoeld in artikel 23, derde lid, NIS2-richtlijn. Deze regels gelden voor dezelfde entiteiten als de hiervoor genoemde uitvoeringshandelingen over de zorgplicht (waaronder DNS-dienstverleners, aanbieders van cloudcomputingdiensten en aanbieders van vertrouwensdiensten).

Ter uitvoering van de artikelen 21, vijfde lid, en 23, elfde lid, NIS2-richtlijn heeft de Europese Commissie de Uitvoeringsverordening (EU) 2024/26908 (hierna: de uitvoeringsverordening) vastgesteld. De uitvoeringsverordening is op grond van artikel 16 van de uitvoeringsverordening rechtstreeks van toepassing; implementatie in nationale wet- en regelgeving hoeft niet plaats te vinden. Met de uitvoeringsverordening wordt voor de entiteiten waarop deze van toepassing is (waaronder DNS-dienstverleners, aanbieders van cloudcomputingdiensten en aanbieders van vertrouwensdiensten) in direct op hen van toepassing zijnde regelgeving uitwerking gegeven aan de maatregelen die zij in het kader van de zorgplicht moeten nemen en wordt nader gespecificeerd in welke gevallen voor hen een incident als significant wordt beschouwd. Gelet hierop kunnen de bepalingen in dit besluit, waarin dezelfde onderwerpen worden geregeld, niet van toepassing zijn op de entiteiten waarop de uitvoeringsverordening van toepassing is. In artikel 4 Cbb is daarom uitdrukkelijk geregeld dat voor de hierin genoemde essentiële entiteiten en belangrijke entiteiten de artikelen 6 tot en met 18 Cbb buiten toepassing blijven. Deze artikelen blijven alleen buiten toepassing wanneer een entiteit uitsluitend van een soort is die onder de reikwijdte van de uitvoeringsverordening valt, als bedoeld in artikel 1 uitvoeringsverordening. Dan gelden de technische en methodologische vereisten van de maatregelen die zij in het kader van de zorgplicht ten minste moeten nemen en de nadere criteria voor het bepalen of er sprake is van een significant incident uit de uitvoeringsverordening. Op basis van de uitvoeringsverordening kunnen meerdere criteria voor het bepalen van een significant incident gelden als een entiteit van meerdere soorten is die binnen de reikwijdte van de uitvoeringsverordening vallen, bijvoorbeeld als aanbieder van een datacentrumdienst en aanbieder van cloudcomputingdiensten. Echter, indien een entiteit zowel van een soort als bedoeld in artikel 1 uitvoeringsverordening als een ander soort als bedoeld in bijlage 1 en 2 van de Cbw is, dan zijn zowel de zorgplicht- en meldplichtverplichtingen uit de uitvoeringsverordening als die bij of krachtens het Cbb van toepassing. Een voorbeeld hiervan is een entiteit die zowel een aanbieder van cloudcomputingdiensten als een aanbieder van internetknooppunten is. Deze entiteit heeft zowel nadere zorg- en meldplichtverplichtingen op grond van de uitvoeringsverordening, namelijk in haar hoedanigheid als aanbieder van cloudcomputerdiensten, als op grond van het Cbb in haar hoedanigheid van internetknooppunt. Belangrijk is om op te merken dat een entiteit in verschillende sectoren kan vallen en daardoor voor wat betreft de zorgplicht en de meldplicht zowel onder de uitvoeringsverordening, als onder het Cbb kan vallen in welk geval de entiteit aan beide dient te voldoen.

Artikel 5 (uitvoering van artikel 21 van de wet)

In artikel 5 Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten in elk geval de maatregelen, bedoeld in de artikelen 6 tot en met 18 Cbb, moeten nemen, waarmee zij uitvoering geven aan de zorgplicht uit artikel 21 Cbw.

In de genoemde artikelen wordt gesproken over het vaststellen van beleid, processen, procedures en plannen. Processen en procedures werken het beleid uit, dat geldt ook voor plannen. Dit zijn losse maar nauw met elkaar verbonden elementen. Ten aanzien van het vaststellen van beleid wordt het volgende opgemerkt. Door beleid vast te stellen en beleid schriftelijk vast te leggen, kan de entiteit aantonen dat zij over de invulling van de te nemen maatregelen heeft nagedacht en welke invulling van de maatregelen passend en evenredig is. Dit kan in theorie betekenen dat er gezien de risico’s op beperkte wijze invulling wordt gegeven aan de betreffende maatregel. Desalniettemin betekent dit wel dat er, wanneer dit in het Cbb vereist wordt, er altijd beleid dient te zijn.

De vraag op welke wijze invulling moet worden gegeven aan de maatregelen is afhankelijk van de risicoanalyse, bedoeld in artikel 7 Cbb, waaruit voortvloeit welke invulling van de maatregelen passend en evenredig is voor de betreffende entiteit. De uitkomsten van de risicoanalyse en daarmee de invulling van de genomen maatregelen zullen daarom per entiteit verschillen vanwege de specifieke en unieke kenmerken van iedere entiteit.

Artikel 6 (beleid over beveiliging van netwerk- en informatiesystemen)

In artikel 21, derde lid, onderdeel a, Cbw is bepaald dat essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht beleid moeten hebben over de beveiliging van de netwerk- en informatiesystemen, die zij voor hun werkzaamheden of voor het verlenen van hun diensten gebruiken.

Eerste lid

In artikel 6, eerste lid, Cbb is opgenomen dat het hiervoor bedoelde beleid schriftelijk moet zijn vastgelegd en aantoonbaar moet worden toegepast. Het beleid formuleert de doelstellingen van de entiteit voor de beveiliging van de netwerk- en informatiesystemen, evenals de aanpak ervan en de organisatie-inrichting met bijhorende rollen, verantwoordelijkheden en bevoegdheden.

Tweede lid

In artikel 6, tweede lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten in het kader van de toepassing van dat beleid de rollen, verantwoordelijkheden en bevoegdheden in relatie tot de beveiliging van hun netwerk- en informatiesystemen vaststellen. Hiermee bewerkstelligt de entiteit dat alle rollen, verantwoordelijkheden en bevoegdheden met betrekking tot de beveiliging van haar netwerk- en informatiesystemen kenbaar zijn. Daarnaast worden conflicterende rollen zoveel als mogelijk gescheiden. Hiermee wordt bedoeld dat hierbij het principe van pas toe of leg uit geldt, waarbij de entiteit dient te kunnen onderbouwen waarom een conflicterende rol in een gegeven geval niet gescheiden kon worden en welke compenserende maatregelen getroffen zijn om bijkomende risico’s te beheersen, zoals logging van handelingen en managementgoedkeuring.

Derde lid

In artikel 6, derde lid, Cbb is geregeld dat essentiële entiteiten en belangrijke entiteiten van hun personeel en andere binnen de entiteit werkzame personen moeten verlangen dat zij de beveiliging van hun netwerk- en informatiesystemen toepassen overeenkomstig het hiervoor bedoelde beleid. Het is aan de entiteit om bij haar personeel en andere binnen de entiteit werkzame personen af te dwingen dat het beleid in de praktijk ook daadwerkelijk wordt toegepast en om daarop toe te zien.

Vierde lid

In artikel 6, vierde lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten voor de beveiliging van hun netwerk- en informatiesystemen een managementsystematiek hanteren. Het is aan de entiteit zelf om te bepalen welke managementsystematiek voor hen passend is. Deze systematiek zorgt ervoor dat informatie over onder andere de beveiliging van netwerk- en informatiesystemen op basis van een Plan-Do-Check-Act-cyclus (PDCA) wordt vastgelegd en inzichtelijk, begrijpelijk en toegankelijk is. Daarmee kunnen afgewogen besluiten worden genomen over de beveiliging van de netwerk- en informatiesystemen en is het aantoonbaar welke maatregelen er zijn genomen of welk beleid is vastgesteld. Voorbeelden hiervan zijn een managementsysteem voor informatiebeveiliging (Information Security Management System, ISMS) zoals de ISO 27000-reeks of het Cyber Security Management System (CSMS) op basis van IEC62443.

Artikel 7 (beleid over risicomanagement)

In artikel 21, derde lid, onderdeel a, Cbw is bepaald dat essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht beleid moeten hebben over risicoanalyse. In artikel 7 Cbb wordt deze verplichting verder uitgewerkt.

Eerste lid

In artikel 7, eerste lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten voor de beveiliging van hun netwerk- en informatiesystemen vastgesteld beleid hebben over risicomanagement. De entiteit moet het hiervoor bedoelde beleid schriftelijk vastleggen en aantoonbaar toepassen.

Er is ervoor gekozen om risicomanagement als terminologie te hanteren in plaats van het begrip risicoanalyse, zoals dat in de Cbw staat opgenomen, omdat dit een meer gangbare term is en het gehele proces van risicobeheersing, inclusief risicoanalyse, omvat. Het doel van risicomanagement is om risico’s voor de entiteit in kaart te brengen en deze vervolgens te beheersen. Onder risicomanagement wordt het geheel aan processen en procedures voor de beheersing van risico’s van de entiteit verstaan. De entiteit houdt bij het in kaart brengen van de risico’s rekening met de dreigingen, kwetsbaarheden en afhankelijkheden ten aanzien van de te beschermen belangen van de entiteit.

Tweede lid

Artikel 7, tweede lid, Cbb vereist onder meer dat het beleid, bedoeld in het eerste lid, een risicomanagementmethodiek omvat. Het doel van een risicomanagementmethodiek is om op gestructureerde wijze risico’s te identificeren en te beheersen. Deze bepaling vereist eveneens criteria voor risicoacceptatie.

Derde lid

Artikel 7, derde lid, Cbb bepaalt dat essentiële entiteiten en belangrijke entiteiten in het kader van de toepassing van het beleid, bedoeld in het eerste lid, processen en procedures vaststelt voor risicoanalyse, risicobeoordeling en risicobehandeling. Ook dient de entiteit deze processen en procedures aantoonbaar toe te passen.

Bij de risicoanalyse wordt een all hazard-benadering gebruikt waarbij de te beschermen belangen met betrekking tot de beveiliging van de netwerk- en informatiesystemen in kaart worden gebracht. Een te beschermen belang is datgene wat belangrijk is voor de netwerk- en informatiesystemen van de entiteit om goed te kunnen functioneren en om de continuïteit van haar dienstverlening te borgen. Denk hierbij aan personen, informatie, informatiesystemen, materieel, goederen, imago en objecten, waarbij in geval van compromittering of uitval van voorgenoemde, of de mogelijkheid van compromittering of uitval ervan, nadelige gevolgen kunnen hebben op het functioneren van de netwerk- en informatiesystemen van de entiteit en daarmee haar dienstverlening.

In de risicoanalyse kunnen de risico’s tegen elkaar afgewogen worden. Zo kan verdere digitalisering van de entiteit bekende risico’s doen afnemen ten koste van nieuwe risico’s. Dit kan worden afgewogen in de bredere context van de entiteit zoals: organisatiedoelen, operationele activiteiten, technische- of financiële beperkingen of relaties met leveranciers of dienstverleners. Risico’s met betrekking tot de beveiliging van de netwerk- en informatiesystemen kunnen daarnaast niet los gezien worden van alle andere risico’s waar de entiteit aan bloot gesteld wordt. Daarom behoort het beheersen van de risico’s met betrekking tot de beveiliging van de netwerk- en informatiesystemen een onderdeel van het bredere risicobeheerproces van de entiteit te zijn.

De risicoanalyse die op basis van de Cbw moeten worden gedaan kan een onderdeel zijn van een grotere of gecombineerde risicoanalyse. Dit betekent concreet dat er een integrale risicoanalyse plaats kan vinden voor bijvoorbeeld de Wwke en de Cbw, mits alle relevante elementen van de betreffende regelgeving worden meegenomen in de risicoanalyse.

Vierde lid

Artikel 7, vierde lid, Cbb schrijft voor dat essentiële entiteiten en belangrijke entiteiten op basis van de uitgevoerde risicoanalyse een overzicht moeten vaststellen van de risico’s met betrekking tot de beveiliging van hun netwerk- en informatiesystemen. Het doel van dit overzicht is om een goede afweging te kunnen maken voor de beheersing van de risico’s.

Vijfde lid

Artikel 7, vijfde lid, Cbb vereist dat essentiële entiteiten en belangrijke entiteiten op basis van het overzicht van de risico’s, bedoeld in het derde lid, eisen met betrekking tot de beveiliging van hun netwerk- en informatiesystemen formuleren. Deze beveiligingseisen moet de entiteit, waar mogelijk, gebruiken bij het uitvoering geven aan de in de artikelen 10, tweede lid, en 11, eerste lid, Cbb voorgeschreven maatregelen.

Artikel 8 (incidentenbehandeling)

In artikel 21, derde lid, onderdeel b, Cbw is bepaald dat de maatregelen die essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht moeten nemen in elk geval incidentenbehandeling moeten omvatten. In artikel 8 Cbb wordt deze verplichting verder uitgewerkt.

Eerste lid

In artikel 8, eerste lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten vastgesteld beleid moeten hebben over incidentenbehandeling. Dat beleid moet schriftelijk zijn vastgelegd en aantoonbaar worden toegepast.

Tweede lid

Artikel 8, tweede lid, Cbb bepaalt dat essentiële entiteiten en belangrijke entiteiten, in het kader van de toepassing van het beleid, bedoeld in het eerste lid, de rollen, verantwoordelijkheden, bevoegdheden vaststellen voor het tijdig detecteren van, analyseren en beoordelen van, reageren op, beperken van de gevolgen van, wegnemen van de oorzaak van, herstellen van, documenteren van, rapporteren van en leren van incidenten. Het doel van deze bepaling is dat het gehele proces en uitvoering van processen en procedures van incidentbehandeling, zoals beschreven in artikel 8, vierde lid, Cbb helder is belegd binnen de organisatie, zodat daar in de praktijk goede uitvoering aan gegeven kan worden.

Derde lid

Artikel 8, derde lid, Cbb schrijft voor dat essentiële entiteiten en belangrijke entiteiten, in het kader van de toepassing van het beleid, processen en procedures moeten vaststellen om relevante gebeurtenissen in hun netwerk- en informatiesystemen te monitoren en te registreren. Ook dient de entiteit deze processen en procedures aantoonbaar toe te passen. Die processen en procedures zijn bedoeld om incidenten te detecteren, analyseren en classificeren. Met relevante gebeurtenissen wordt in elk geval gedoeld op alle gebeurtenissen die de beveiliging van de netwerk- en informatiesystemen van de entiteit in gevaar brengen of kunnen brengen. Hierbij wordt opgemerkt dat de monitoring extern kan worden uitbesteed. Het is ook mogelijk dat de monitoring plaatsvindt door een andere vestiging van de entiteit die zich in het buitenland bevindt.

Vierde en vijfde lid

Artikel 8, vierde lid, Cbb schrijft voor dat essentiële entiteiten en belangrijke entiteiten in het kader van de toepassing van het beleid, bedoeld in het eerste lid, processen en procedures vast moeten stellen voor het tijdig detecteren van, analyseren en beoordelen van, reageren op, beperken van de gevolgen van, wegnemen van de oorzaak van, herstellen van, documenteren van, rapporteren van en leren van een incident. Deze processen en procedures hebben het doel om snel te kunnen handelen wanneer een incident zich voordoet, zodat de impact zoveel mogelijk beperkt kan worden. Het leren van incidenten heeft nadrukkelijk ook betrekking op de nazorg aan het personeel na een significant incident. Artikel 8, vijfde lid, Cbb schrijft voor dat de hiervoor bedoelde processen en procedures aantoonbaar moeten worden toegepast.

Zesde lid

Artikel 8, zesde lid, Cbb ziet op het loggen van relevante gebeurtenissen in de netwerk- en informatiesystemen die relevant zijn voor de beveiliging van de netwerk- en informatiesystemen, voor zover logging mogelijk is. Hierbij wordt opgemerkt dat de logging extern kan worden uitbesteed. Logging is belangrijk, omdat het onder meer monitoring en detectie mogelijk maakt, waarmee essentiële entiteiten en belangrijke entiteiten opvolging kunnen geven aan de bevindingen die hieruit voortkomen. De entiteit kan onder meer op basis van geïdentificeerde risico’s, bedoeld in artikel 7 Cbb, bepalen welke gegevens worden gelogd, hoelang deze moeten worden bijgehouden en welke loggegevens moeten worden beschermd tegen ongeautoriseerde toegang of wijzigingen. De periode voor het bijhouden van logbestanden dient in verhouding te staan tot de aard van de risico’s waaraan de entiteit is blootgesteld, alsmede tot de tijd die doorgaans verstrijkt tussen het plaatsvinden van een incident en de ontdekking ervan.

Artikel 9 (bedrijfscontinuïteit en crisisbeheer)

In artikel 21, derde lid, onderdeel c, Cbw is bepaald dat de maatregelen die essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht moeten nemen in elk geval bedrijfscontinuïteit en crisisbeheer moet omvatten. In artikel 9 Cbb wordt deze verplichting verder uitgewerkt.

Eerste lid

Artikel 9, eerste lid, Cbb bepaalt dat essentiële entiteiten en belangrijke entiteiten bedrijfscontinuïteitsbeleid moeten hebben vastgesteld. Dat beleid moet schriftelijk zijn vastgelegd en aantoonbaar worden toegepast.

Tweede lid

In artikel 9, tweede lid, Cbb is opgenomen dat essentiële entiteiten en belangrijke entiteiten in het kader van de toepassing van het beleid, bedoeld in het eerste lid, processen en procedures moeten vaststellen voor het borgen van hun bedrijfscontinuïteit, waaronder in ieder geval processen en procedures voor het herstellen van hun netwerk- en informatiesystemen en voor het maken en periodiek verifiëren van de betrouwbaarheid van back-ups van software en gegevens. Dit moeten zij doen om een passend niveau van vertrouwelijkheid, beschikbaarheid en integriteit van hun netwerk- en informatiesystemen te borgen. Hierbij is het in het bijzonder van belang dat de entiteit processen en procedures vaststelt voor incidenten als gevolg waarvan back-ups, al dan niet door acties van kwaadwillende, onbruikbaar worden. Ook de betrouwbaarheid van back-ups dient gewaarborgd te worden, om zo ongeautoriseerde wijziging van gegevens te voorkomen. Een voorbeeld hiervan is een ransomware-aanval. De hiervoor bedoelde processen en procedures moeten aantoonbaar worden toegepast en periodiek worden getest.

Derde lid

Artikel 9, derde lid, Cbb schrijft voor dat essentiële entiteiten en belangrijke entiteiten een vastgesteld bedrijfscontinuïteitsplan met betrekking tot haar netwerk- en informatiesystemen moeten hebben. Dit plan moet schriftelijk zijn vastgesteld, aantoonbaar worden toegepast en periodiek worden getest. Op deze wijze kunnen zij controleren of het plan nog steeds werkt en actueel is. De entiteit bepaalt zelf de vorm van het testen. Te denken valt bijvoorbeeld aan een tabletop exercise. De periode hangt af van de uitkomsten van de risicoanalyse. Het bedrijfscontinuïteitsplan kan ook paragrafen bevatten die voortvloeien uit eisen die andere wet- en regelgeving naast de Cbw stellen aan bedrijfscontinuïteit.

Indien een incident zich voordoet die de bedrijfscontinuïteit in gevaar kan brengen moet het bedrijfscontinuïteitsplan door de entiteit worden toegepast. Dit plan richt zich op het minimaliseren van de impact van een incident op de dienstverlening en het zo spoedig mogelijk herstellen en hervatten van de dienstverlening. Bij het opstellen van het plan houdt de entiteit rekening met de geïdentificeerde risico’s, bedoeld in artikel 7 Cbb.

Het is aan de entiteit zelf om een afweging te maken welke processen en procedures moeten worden beschreven in het bedrijfscontinuïteitsplan. Dit hangt af van meerdere factoren. Het is bijvoorbeeld denkbaar dat bij kleinere entiteiten een bellijst volstaat met IT-leveranciers en een overzicht van de met hen gemaakte afspraken over het herstellen van de netwerk- en informatiesystemen in geval van een incident. Bij grotere entiteiten of entiteiten met een complexe IT is een uitgebreider plan vereist, waarin een verdeling van rollen, verantwoordelijkheden en bevoegdheden van betrokkenen binnen en buiten de entiteit is opgenomen. Hierbij dient aansluiting gezocht te worden bij de specifieke inrichting van de netwerk- en informatiesystemen van de betreffende entiteit en de daaruit voorvloeiende risico’s op het gebied van bedrijfscontinuïteit.

Vierde lid

In artikel 9, vierde lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten een herstelplan moeten hebben. Herstelplannen staan ook wel bekend als een «Disaster Recovery Plan» en maken in de regel onderdeel uit van een bedrijfscontinuïteitsplan. In het herstelplan is vastgelegd in welke gevallen dit plan moet worden toegepast. De entiteit legt dat plan schriftelijk vast, past dat plan toe in geval van een incident en test dit plan periodiek. Het doel van het herstelplan is dat de entiteit voorbereid is om specifieke netwerk- en informatiesystemen te kunnen herstellen na een incident en daarvoor alle benodigdheden in kaart heeft gebracht, evenals de stappen die doorlopen dienen te worden. In de praktijk kan de entiteit meerdere herstelplannen hebben en kunnen deze ook de vorm van een uitwijk- en herstelplan hebben, waarbij van een uitwijklocatie gebruik wordt gemaakt om de impact van een incident te beperken.

Vijfde lid

In artikel 9, vijfde lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten een plan voor crisisbeheer moeten hebben. Een crisis is een buitengewone situatie die de voortzetting van de dienstverlening of werkzaamheden van een entiteit bedreigt dat niet kan worden opgelost binnen de bestaande structuren van een entiteit. Hierbij kan gedacht worden aan een plan dat voldoet aan de ISO 22361. Daarin moeten in elk geval de rollen, verantwoordelijkheden en bevoegdheden ten tijde van een crisis voor het personeel en andere in de entiteit werkzame personen worden beschreven. Dit maakt de tijdige en adequate inzet in crisissituaties mogelijk. Het plan moet ook de communicatiemiddelen ten tijde van een crisis beschrijven. Wanneer passend moet het plan ook de beschikbare noodvoorzieningen beschrijven, waaronder het gebruik van beveiligde noodcommunicatiesystemen. Dit is bijvoorbeeld het geval wanneer een entiteit voor een goede crisisbeheersing ook bij uitval van algemene telecommunicatienetwerken moet kunnen communiceren met medewerkers op verschillende locaties. Noodvoorzieningen zijn voorzieningen die permanent aanwezig of beschikbaar zijn, maar slechts in noodsituaties gebruikt zal worden. Bij noodvoorzieningen kan gedacht worden aan uitwijklocaties, noodstroomvoorzieningen en dergelijke. Van belang is dat de entiteit het plan voor crisisbeheer periodiek test en beoefent, zodat ten tijde van een crisis alle betrokkenen bekend zijn met hun rollen, verantwoordelijkheden en bevoegdheden.

Hierbij wordt opgemerkt dat het kan gaan om één gecombineerd plan met paragrafen over bedrijfscontinuïteit en noodvoorzieningen, maar dat het ook kan gaan om losstaande plannen. Het is van belang dat wanneer sprake is van verschillende plannen deze integraal op elkaar zijn afgestemd om tegenstrijdige procedures bij incidenten te voorkomen en als samenhangend worden toepast binnen het bedrijfscontinuïteitsmanagementsysteem. Het bedrijfscontinuïteitsplan beschrijft hoe de entiteit haar dienstverlening zo snel mogelijk kan hervatten bij verstoringen en de impact kan beperken. Het herstelplan bevat concrete maatregelen voor het herstel van systemen en gegevens. Het crisisplan regelt de inzet en coördinatie in geval van een crisis, waaronder de verantwoordelijkheden, communicatie en inzet van noodvoorzieningen.

Artikel 10 (beveiliging van de toeleveringsketen)

In artikel 21, derde lid, onderdeel d, Cbw is bepaald dat de maatregelen die essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht moeten nemen in elk geval de beveiliging van de toeleveringsketen moeten omvatten. In artikel 10 Cbb wordt deze verplichting verder uitgewerkt. Hierbij wordt opgemerkt dat de genoemde verplichtingen in artikel 10 Cbb uitsluitend zien op aspecten van de toeleveringsketen die relevant zijn voor de beveiliging van de netwerk- en informatiesystemen die de entiteit gebruikt voor haar werkzaamheden of die zij voor het verlenen van haar diensten gebruikt. De relatie met een leverancier van potloden zal bijvoorbeeld buiten de reikwijdte van de verplichtingen vallen, omdat het leveren van potloden geen verband houdt met de beveiliging van de eerdergenoemde netwerk- en informatiesystemen die de entiteit gebruikt voor haar werkzaamheden of het verlenen van haar diensten. De relatie met bijvoorbeeld een softwareleverancier of leverancier van hardware-onderdelen die relevant zijn voor het goed functioneren van de netwerk- en informatiesystemen, valt wel binnen de reikwijdte.

In artikel 10, eerste lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten vastgesteld beleid moeten hebben over de beveiliging van de toeleveringsketen. De entiteit moet in dat beleid haar omgang bepalen met afhankelijkheden van de producten en diensten van haar leveranciers en dienstverleners die invloed kunnen hebben op de beveiliging van haar netwerk- en informatiesystemen. Het beleid moet schriftelijk worden vastgelegd en aantoonbaar worden toegepast.

In artikel 10, tweede lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten toetsen of hun rechtstreekse leveranciers en rechtstreekse dienstverleners, bedoeld in artikel 10, eerste lid, Cbb voldoen aan hun beveiligingseisen, bedoeld in artikel 7, vijfde lid, Cbb. De entiteit kan dit bijvoorbeeld beoordelen door certificering van de toeleveranciers of clausules in leveringsovereenkomsten. De entiteit zal op basis van haar cyberbeveiligingseisen periodiek moeten beoordelen of haar rechtstreekse leverancier of haar rechtstreekse dienstverlener nog steeds voldoet aan de beveiligingseisen. Wanneer dit niet het geval is moet de entiteit beoordelen of er aanvullende maatregelen getroffen kunnen worden om de risico’s te mitigeren. Gedacht kan worden aan het heronderhandelen van contracten, het afsluiten van een aanvullend contract of het overstappen naar een andere leverancier of dienstverlener.

Artikel 11 (beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen)

In artikel 21, derde lid, onderdeel e, Cbw is bepaald dat de maatregelen die essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht moeten nemen in elk geval de beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen moeten omvatten. In artikel 11 Cbb wordt deze verplichting verder uitgewerkt.

In artikel 11, eerste lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten op basis van de beveiligingseisen, bedoeld in artikel 7, vijfde lid, Cbb vastgesteld beleid moeten hebben voor het mitigeren en beheersen van risico’s die voortvloeien uit het verwerven van software, hardware of diensten die betrekking hebben op hun netwerk- en informatiesystemen. Deze eisen gelden ook wanneer de entiteit de netwerk- en informatiesystemen zelf ontwikkelt. Het beleid moet schriftelijk worden vastgelegd en aantoonbaar worden toegepast.

In artikel 11, tweede lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten, indien van toepassing, processen en procedures moeten vaststellen voor de veilige ontwikkeling van hun netwerk- en informatiesystemen. Deze bepaling is van toepassing indien de betreffende entiteit zelf netwerk- en informatiesystemen ontwikkelt of deze laat ontwikkelen. Deze processen en procedures moeten aantoonbaar worden toegepast. Deze processen en procedures hebben betrekking op alle ontwikkelingsfasen van de netwerk- en informatiesystemen. Die fasen betreffen in ieder geval specificatie, ontwerp, implementatie, en doorontwikkeling en testen. Het uitgangspunt is dat de entiteit de security by design- of security by default-principes hanteert bij de ontwikkeling en implementatie van software, hardware en diensten, zodat al tijdens deze fases rekening wordt gehouden met beveiligingsmaatregelen. Hierbij wordt tevens opgemerkt dat deze activiteiten extern kunnen worden uitbesteed. Hierbij gaat het om activiteiten die direct impact hebben op de netwerk- en informatiesystemen.

In artikel 11, derde lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten processen en procedures moeten vaststellen voor het onderhoud en beheer van hun netwerk- en informatiesystemen. Het onderhoud en beheer kan worden uitbesteed. De hiervoor bedoelde processen en procedures moeten ten minste betrekking hebben op het configuratiebeheer. Configuratiebeheer is het beheer van de inrichting van software en hardware en hun onderlinge verbindingen. Daaronder valt in elk geval een veilige configuratie van software, hardware en diensten. De hiervoor bedoelde processen en procedures moeten ook ten minste betrekking hebben op het wijzigingsbeheer van de netwerk- en informatiesystemen, zodat de entiteit op gecontroleerde wijze wijzigingen in haar netwerk- en informatiesystemen doorvoert. Ook ten aanzien van deze processen en procedures geldt dat deze aantoonbaar moeten worden toegepast.

Artikel 12 (basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging)

In artikel 21, derde lid, onderdeel g, Cbw is bepaald dat de maatregelen die essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht moeten nemen in elk geval basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging moeten omvatten. In artikel 12 Cbb wordt deze verplichting verder uitgewerkt. Hierbij gaat het om al het personeel dus ook die worden ingehuurd.

In artikel 12, eerste lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten ervoor moeten zorgen dat hun personeel en andere binnen de entiteit werkzame personen, voor zover relevant voor hun functie, bewust zijn van risico’s met betrekking tot de netwerk- en informatiesystemen van de entiteit, op de hoogte zijn van het belang van cyberbeveiliging en praktijken op het gebied van cyberhygiëne toepassen. Cyberhygiëne omvat een gemeenschappelijke basisreeks van praktijken, met inbegrip van software- en hardware-updates, het wijzigen van wachtwoorden, het beheer van nieuwe installaties, de beperking van toegangsaccounts op beheersniveau en het maken van back-ups van gegevens. Hierdoor is een proactief kader mogelijk met betrekking tot paraatheid, algemene veiligheid en beveiliging in geval van incidenten of cyberdreigingen. Om de cyberhygiëne bij haar personeel en andere binnen de entiteit werkzame personen te borgen kan de entiteit bijvoorbeeld denken aan het verzorgen van bewustwordings- en trainingsactiviteiten, voor zover relevant voor de functie.

In artikel 12, tweede lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten het personeel en andere binnen de entiteit werkzame personen waarvan de rollen, verantwoordelijkheden en bevoegdheden vaardigheden en deskundigheid vereisen op het gebied van de beveiliging van netwerk- en informatiesystemen, moeten aanwijzen. Zij dienen regelmatig opleiding te krijgen over de beveiliging van netwerk- en informatiesystemen, passend bij hun functie. Deze opleidingen kunnen bijvoorbeeld betrekking hebben op de werking en beveiliging van netwerk- en informatiesystemen, bekende dreigingen of werkwijzen van kwaadwillende en incidentbehandeling. Met die opleidingen wordt voor het betreffende personeel de benodigde kennis en kunde over de beveiliging van netwerk- en informatiesystemen ook steeds actueel gehouden. Afhankelijk van de functie zal er een zwaardere of minder zwaardere opleiding gevolgd moeten worden. Hierbij wordt opgemerkt dat met de term opleiding ook een training of cursus wordt bedoeld.

Artikel 13 (beleid over het gebruik van cryptografie)

In artikel 21, derde lid, onderdeel h, Cbw is bepaald dat essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht beleid en procedures moeten hebben over het gebruik van cryptografie. In artikel 13 Cbb wordt deze verplichting verder uitgewerkt.

In artikel 13, eerste lid, Cbb wordt bepaald dat essentiële entiteiten en belangrijke entiteiten vastgesteld beleid hebben over het gebruik van cryptografie. Dat beleid moet schriftelijk worden vastgelegd en aantoonbaar worden toegepast. Cryptografie is het geheel van methoden voor het versleutelen en beveiligen van gegevens. Het doel van cryptografie en bijbehorend beleid is om te voorkomen dat ongeautoriseerde gebruikers toegang hebben tot de data van de entiteit of dat de integriteit van de data wordt aangetast. Door middel van cryptografie kan de data voor ongeautoriseerde gebruikers onleesbaar gemaakt worden en kunnen ongeautoriseerde wijzigingen worden vastgesteld. De cryptografie kan door bijvoorbeeld zwaktes in algoritmes, implementatiefouten of de komst van quantumcomputers toch doorbroken worden. Daarom moeten cryptografische middelen met minimale inspanning gewijzigd kunnen worden (cryptografische behendigheid). De vereiste mate van cryptografische behendigheid is afhankelijk van de geïdentificeerde risico’s, bedoeld in artikel 7 Cbb.

Artikel 13, tweede lid, Cbb schrijft voor dat essentiële entiteiten en belangrijke entiteiten in het kader van de toepassing van het beleid, bedoeld in artikel 13, eerste lid, Cbb processen en procedures vaststellen over het gebruik van cryptografie. De entiteit past deze processen en procedures aantoonbaar toe.

In artikel 13, derde lid, Cbb is bepaald dat in het hiervoor bedoelde beleid en processen en procedures in ieder geval is uitgewerkt in welke gevallen cryptografie wordt ingezet en welke type encryptie in voorkomende gevallen worden gebruikt. Daarbij kan onderscheid per toepassingsgebied worden gemaakt, bijvoorbeeld voor opgeslagen gegevens en gegevens die worden verzonden, evenals per categorie van gegevens. Ook moet in het beleid inzichtelijk worden gemaakt wie verantwoordelijk is voor de implementatie van cryptografie en wie binnen de entiteit verantwoordelijk is voor het sleutelbeheer. Door deze rollen, verantwoordelijkheden en bevoegdheden inzichtelijk te maken bewerkstelligt de entiteit dat iedereen in de organisatie op de hoogte is van zijn of haar specifieke rollen, verantwoordelijkheden en bevoegdheden met betrekking tot encryptie. Hierdoor wordt de kans op misverstanden, misbruik en nalatigheid verminderd.

Artikel 14 (beveiligingsaspecten ten aanzien van personeel)

In artikel 21, derde lid, onderdeel i, Cbw is bepaald dat de maatregelen die essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht moeten nemen in elk geval beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van assets moeten omvatten. In artikel 14 Cbb wordt deze verplichting verder uitgewerkt, specifiek over de beveiligingsaspecten ten aanzien van het personeel. Het gaat daarbij om personeel dat daadwerkelijk in verband met haar functie de beveiliging van de netwerk- en informatiesystemen kan beïnvloeden.

In artikel 14, eerste lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten het personeel en andere binnen de entiteit werkzame personen aanwijzen dat wordt belast met rollen, verantwoordelijkheden en bevoegdheden met betrekking tot de beveiliging van hun netwerk- en informatiesystemen. Dit artikel houdt verband met artikel 6, tweede lid, Cbb, waarin is bepaald dat de entiteit de rollen, verantwoordelijkheden en bevoegdheden in relatie tot de beveiliging van haar netwerk- en informatiesystemen heeft vastgelegd. Doordat de entiteit in artikel 14, eerste lid, Cbb bepaalt en vastlegt wie binnen de entiteit in relatie tot de beveiliging van de netwerk- en informatiesystemen verantwoordelijk is, is er altijd een eigenaar van het systeem en wordt voorkomen dat de netwerk- en informatiesystemen onvoldoende beveiligd worden.

De hiervoor bedoelde aanwijzing moet op grond van artikel 14, tweede lid, Cbb periodiek worden geëvalueerd en indien nodig bijgewerkt. Het doel van de evaluatie is om na te gaan of de aanwijzing nog passend is en in lijn is met de rollen, verantwoordelijkheden en bevoegdheden in de praktijk.

In artikel 14, derde lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten indien dit blijkt uit de risicoanalyse, bedoeld in artikel 7 Cbb, betrouwbaarheidseisen moeten opstellen waaraan hun personeel en andere binnen of namens de entiteit werkzame personen moeten voldoen, voor zover deze passend en noodzakelijk zijn voor hun taakuitoefening met betrekking tot de beveiliging van de netwerk- en informatiesystemen van de entiteit. Voor bepaalde functionarissen kan dit betekenen dat er een screening plaatsvindt. Hierbij valt onder meer te denken aan functionarissen met hoge rechten in kritieke omgevingen van de netwerk- en informatiesystemen van de entiteit.

Artikel 15 (beveiligingsaspecten ten aanzien van toegangsbeleid)

In artikel 21, derde lid, onderdeel i, Cbw is bepaald dat de maatregelen die essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht moeten nemen in elk geval beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van assets moeten omvatten. In artikel 15 Cbb wordt deze verplichting verder uitgewerkt, specifiek over de beveiligingsaspecten ten aanzien van toegangsbeleid.

In artikel 15, eerste lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten vastgesteld beleid moeten hebben over de logische en fysieke toegang (access management) tot hun netwerk- en informatiesystemen. Dat beleid moet schriftelijk worden vastgelegd en aantoonbaar worden toegepast. Logische toegang houdt het beheersen van de toegang tot de netwerk- en informatiesystemen in en vereist de authenticatie van de identiteit van een individu via een mechanisme, zoals een toegangspas, token of cijfercode. Met fysieke toegang wordt bedoeld: de directe fysieke toegang tot de netwerk- en informatiesystemen. Het doel van het genoemde beleid is om ongeautoriseerde logische en fysieke toegang tot de netwerk- en informatiesystemen van de entiteit te voorkomen. Het uitgangspunt is dat de entiteit daarbij de need-to-know- en least-privilege-principes hanteert. Dit betekent dat alleen toegang wordt verkregen tot informatie en ruimtes die passen bij de functie, ongeacht beveiligingsmachtiging of andere goedkeuringen.

Op grond van artikel 15, tweede lid, Cbb moet het beleid in elk geval omvatten: het uitgeven, monitoren, gebruiken, wijzigen en intrekken van identiteiten en autorisaties, en het beheer van identiteiten en autorisaties. Deze aspecten worden voorgeschreven, zodat ongeautoriseerde toegang tot en wijzigingen in de netwerk- en informatiesystemen kunnen worden gedetecteerd en waar mogelijk worden voorkomen. Hierbij wordt opgemerkt dat de toegang ook extern kan worden uitbesteed. Het is ook mogelijk dat de monitoring plaatsvindt door een andere vestiging van de entiteit die zich in het buitenland bevindt.

In artikel 15, derde lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten identiteiten, authenticatiemiddelen en autorisaties periodiek moeten controleren op de noodzakelijkheid, juistheid en actualiteit. Indien nodig voert de entiteit wijzigingen door in die identiteiten, authenticatiemiddelen en autorisaties. Door deze periodieke toets kan de toekenning van een identiteit of autorisatie tijdig worden aangepast, bijvoorbeeld als deze niet langer noodzakelijk is of (gewijzigde) risico’s voor de beveiliging van de netwerk- en informatiesystemen hiertoe aanleiding geeft.

Artikel 16 (beveiligingsaspecten ten aanzien van beheer van assets)

In artikel 21, derde lid, onderdeel i, Cbw is bepaald dat de maatregelen die essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht moeten nemen in elk geval beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van assets moeten omvatten. In artikel 16 Cbb wordt deze verplichting verder uitgewerkt, specifiek over de beveiligingsaspecten ten aanzien van het beheer van assets die de entiteit in haar netwerk- en informatiesystemen voor haar werkzaamheden of voor het verlenen van haar diensten gebruikt.

In artikel 16, eerste lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten vastgesteld beleid moeten hebben voor het beheer van hun assets die zij voor hun werkzaamheden of voor het verlenen van hun diensten gebruiken. Dat beleid moet schriftelijk worden vastgelegd en aantoonbaar worden toegepast. Het is van belang dat zij een dergelijk beleid hebben, omdat zij door een goed inzicht in hun assets hun risico’s beter kunnen inschatten en gerichter informatie over kwetsbaarheden kunnen vinden.

In artikel 16, tweede lid, Cbb is bepaald dat het hiervoor bedoelde beleid in elk geval een systeem moet omvatten om assets op verschillende niveaus te kunnen classificeren op basis van, indien van toepassing, de eisen voor vertrouwelijkheid, integriteit en beschikbaarheid. Het beleid moet ook regels omvatten die aangeven wat er wel en niet mag met de assets (aanvaardbaar gebruik) Door assets te classificeren kunnen essentiële entiteiten en belangrijke entiteiten vaststellen welk beveiligingsniveau ten aanzien van hun netwerk- en informatiesystemen passend is. Dit is mede relevant in de context van de bedrijfscontinuïteit, bedoeld in artikel 9 Cbb, het toetsen of rechtstreekse leveranciers en rechtstreekse dienstverleners voldoen aan de beveiligingseisen, bedoeld in artikel 10 Cbb, en de beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, bedoeld in artikel 11 Cbb. Onder assets kan ook cryptografie worden verstaan. Denk hierbij aan cryptografische sleutels.

Artikel 16, derde lid, Cbb schrijft voor dat essentiële entiteiten en belangrijke entiteiten in het kader van de toepassing van het beleid, bedoeld in artikel 16, eerste lid, Cbb, processen en procedures vaststellen voor het beheer van hun assets. De entiteit past deze processen en procedures aantoonbaar toe.

In artikel 16, vierde lid, Cbb is bepaald dat essentiële entiteiten en belangrijke entiteiten een volledige en actuele inventaris van hun assets moeten hebben en deze inventaris moeten bijhouden. Deze inventaris dient voor de beveiliging van de netwerk- en informatiesystemen relevante registraties te bevatten, zoals de assets waar de entiteit over beschikt, inclusief digitale gegevens en software, evenals de locatie hiervan. Het abstractieniveau en de mate van gedetailleerdheid dient passend te zijn om de risico’s voor de beveiliging van de netwerk- en informatiesystemen te kunnen beheersen.

Artikel 17 (attenderingen, beveiligingsadviezen en dreigingsinformatie)

Artikel 17 Cbb gaat over attenderingen, beveiligingsadviezen en dreigingsinformatie die relevant zijn voor de beveiliging van de netwerk- en informatiesystemen van essentiële entiteiten en belangrijke entiteiten. Wanneer deze entiteiten zulke attenderingen, beveiligingsadviezen en informatie gericht ontvangen, moeten zij beoordelen of op basis daarvan aanpassingen of aanvullingen nodig zijn van de maatregelen die genomen moeten worden in het kader van de zorgplicht. Zij moeten de uitkomsten van die beoordeling ook schriftelijk vastleggen.

Het artikel betreft allereerst gerichte attenderingen over voor de beveiliging van de netwerk- en informatiesystemen van de betrokken entiteit relevante kwetsbaarheden of cyberdreigingen. Deze informatie kan onder andere afkomstig zijn van CSIRT’s, toezichthouders of andere betrokken overheidsinstanties, maar kan eveneens afkomstig zijn van het eigen personeel, klanten en ethische hackers. Het zal hierbij in de praktijk veelal gaan om attenderingen gericht aan de ICT-contactpersoon van de entiteit. Een voorbeeld van deze attenderingen zijn high-high-attenderingen van een CSIRT.

Het artikel ziet daarnaast op beveiligingsadviezen en dreigingsinformatie die afkomstig zijn van relevante organisaties. Het gaat hierbij om gerichte adviezen en informatie. Dit houdt in dat bijvoorbeeld reclame-uitingen hier niet onder vallen. Tot relevante organisaties behoren onder meer CSIRT’s, bevoegde autoriteiten, rechtstreekse leveranciers en rechtstreekse dienstverleners.

Artikel 18 (evaluatie)

In artikel 18 Cbb is geregeld dat essentiële entiteiten en belangrijke entiteiten de maatregelen die zij hebben genomen in het kader van de zorgplicht periodiek moeten evalueren op de doeltreffendheid en de effecten daarvan in de praktijk, en de resultaten van deze evaluatie schriftelijk moeten vastleggen. Deze evaluaties hebben tot doel om op basis daarvan te beoordelen of de maatregelen aangepast moeten worden.

Het is aan entiteiten zelf om in te schatten welke periode tussen de evaluaties passend is. Wanneer het weer tijd is voor een entiteit om te evalueren kan afhankelijk zijn van bijvoorbeeld technologische ontwikkelingen, veranderingen in de sector of binnen de entiteit, of veranderingen in risico’s en dreigingen waarmee de entiteit geconfronteerd wordt en die invloed hebben op de beveiliging van de netwerk- en informatiesystemen van de entiteit.

In het kader van de door artikel 18 Cbb voorgeschreven evaluaties wordt opgemerkt dat deze evaluaties ook onderdeel kunnen zijn van andere periodieke evaluaties, zoals evaluaties van de leveringsplannen.

Artikel 19 (nadere regels)

In artikel 19 Cbb is een grondslag opgenomen om bij ministeriële regelingen van de vakministers, na overleg met de Minister van Justitie en Veiligheid, nadere regels te stellen over de maatregelen die essentiële entiteiten en belangrijke entiteiten moeten nemen in het kader van de zorgplicht. Hierbij kan onderscheid worden gemaakt tussen sectoren, subsectoren, soorten entiteiten en entiteiten. Het maken van onderscheid kan in sommige gevallen nodig zijn, bijvoorbeeld vanwege de (afwijkende) aard van een bepaalde sector ten opzichte van andere sectoren.

De grondslag in artikel 19 Cbb is niet enkel beperkt tot de maatregelen die worden genoemd in artikel 21, derde lid, Cbw en die zijn uitgewerkt in het Cbb. De grondslag biedt de mogelijkheid om regels te stellen over de maatregelen, bedoeld in artikel 21, eerste lid, Cbw.

Artikel 20 (doel van de training)

Artikel 24, tweede lid, Cbw bepaalt dat ieder lid van het bestuur van essentiële entiteiten en belangrijke entiteiten moet beschikken over kennis en vaardigheden om risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen identificeren, risicobeheersmaatregelen op het gebied van cyberbeveiliging te kunnen beoordelen en de gevolgen van de risico’s en risicobeheersmaatregelen voor de diensten die door de entiteit worden verleend, te kunnen beoordelen. Artikel 24, vijfde lid, Cbw bepaalt dat al die bestuursleden over een certificaat moeten beschikken waaruit de deelname blijkt aan een training die de onderwerpen, bedoeld in artikel 24, tweede lid, Cbw, behandelt. In artikel 20 Cbb wordt het doel van de training bepaald. De training moet bestuursleden in staat stellen om het proces voor het identificeren van risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen begrijpen en de maatregelen inclusief gevolgen te beoordelen, om zo tot een goede afweging en afgewogen besluitvorming rondom de beveiliging van netwerk- en informatiesystemen te komen.

Artikel 21 (eisen aan de training)

In artikel 21 Cbb wordt geregeld waar de training (te volgen door ieder lid van het bestuur van essentiële entiteiten en belangrijke entiteiten), bedoeld in artikel 24, vijfde lid, Cbw, inhoudelijk aan moet voldoen. Hierbij wordt aangesloten bij de kennis- en vaardighedenvereisten uit artikel 24, tweede lid, Cbw. Hierbij wordt opgemerkt dat het uitdrukkelijk geen opleiding betreft waarin van de bestuurder wordt verwacht technische kennis te bezitten en de werking van netwerk- en informatiesystemen te kunnen uitleggen. Wel wordt van de bestuurder op strategisch niveau kennis verwacht op de genoemde onderwerpen, zodat de bestuurder in staat is de maatregelen te beoordelen en de risico’s te (laten) beheersen. Hiervoor is een bepaalde basiskennis vereist.

Artikel 21, eerste lid, Cbb ziet op de kennis en vaardigheden om risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen identificeren en de gevolgen van deze risico’s te kunnen beoordelen. Voor een goede identificatie van risico’s is kennis over de verschillende soorten risico’s nodig die spelen bij netwerk- en informatiesystemen, zoals de dreiging van malware, insider threats en DDoS-aanvallen die een risico vormen voor de integriteit en beschikbaarheid. Daarnaast is inzicht in hoe het risicomanagementproces in elkaar zit en de risicomanagementmethodiek relevant om te weten op welke wijze risico’s systematisch geïdentificeerd, beoordeeld en behandeld kunnen worden.

Artikel 21, tweede lid, Cbb ziet op de kennis en vaardigheden om risicobeheersmaatregelen op het gebied van cyberbeveiliging en de gevolgen van die maatregelen te kunnen beoordelen. In deze bepaling is geregeld dat de training in elk geval moet zien op de onderwerpen die in artikel 21, derde lid, onderdelen a tot en met j, Cbw worden genoemd. Dit artikel ziet op de maatregelen die in elk geval moeten worden genomen in het kader van de zorgplicht. Globale kennis van dergelijke maatregelen is van belang voor een goede beoordeling van de maatregelen.

Artikel 22 (eisen aan het certificaat)

In artikel 22 Cbb worden eisen gesteld aan de inhoud van het certificaat van de training, bedoeld in artikel 24, vijfde lid, Cbw.

In artikel 22, eerste lid, Cbb is bepaald welke informatie het certificaat ten minste moet bevatten. Die eisen, waaronder de eis dat uit het certificaat moet blijken welke onderwerpen zijn behandeld, zijn nodig om na te kunnen gaan of de training voldoet aan de eisen die aan de training worden gesteld in de Cbw en het Cbb. Hierbij dient te worden opgemerkt dat dit certificaat uitsluitend verplicht is in het kader van de verplichte training van artikel 24, vijfde lid, Cbw. Een certificaat met de in het Cbb opgenomen vereisten is niet verplicht voor het aantoonbaar actueel houden van de kennis en vaardigheden als bedoeld in artikel 24, vierde lid, Cbw. Leden van bestuur kunnen dat ook op andere wijze aantonen.

Artikel 22, tweede lid, Cbb bevat het vereiste dat het certificaat is opgesteld in de Nederlandse of Engelse taal. Dit vereiste is noodzakelijk voor efficiënt en effectief toezicht op de verplichting voor bestuursleden om de training te volgen. Dit vereiste geldt alleen voor het certificaat en niet voor de taal van de training. De training mag in iedere taal worden gegeven.

Artikel 23 (significante incidenten)

Essentiële entiteiten en belangrijke entiteiten moeten op grond van artikel 25, eerste lid, Cbw ieder significant incident melden. In artikel 25, tweede lid, Cbw is bepaald dat een incident een significant incident is als het een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken, of andere entiteiten heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken. Artikel 25, derde lid, Cbw regelt dat bij of krachtens amvb de criteria kunnen worden vastgesteld op basis waarvan wordt bepaald of sprake is van een significant incident als bedoeld in artikel 25, tweede lid, Cbw. Daarbij kan onderscheid worden gemaakt tussen sectoren, subsectoren, soorten entiteiten en entiteiten.

De hiervoor bedoelde criteria worden ook wel drempelwaarden genoemd en geven concrete invulling aan de hiervoor bedoelde parameters. In artikel 23, eerste lid, Cbb is geregeld dat de vakministers de hiervoor bedoelde criteria (drempelwaarden) bij regeling kunnen vaststellen. De in ministeriële regelingen opgenomen criteria (drempelwaarden) zijn openbaar, aangezien ministeriële regelingen moeten worden gepubliceerd. Artikel 23, eerste lid, Cbb voorziet in de mogelijkheid om de criteria (drempelwaarden) - in plaats van het vaststellen hiervan bij ministeriële regeling - vast te stellen bij besluit. De vakminister kan hiertoe overgaan als de openbaarmaking van de criteria (drempelwaarden) ten aanzien van specifieke entiteiten onaanvaardbare risico’s met zich mee kan brengen voor de desbetreffende entiteit en gelet daarop mogelijk ook voor de nationale veiligheid.

Er is gekozen voor subdelegatie, omdat het vanwege de verschillen tussen sectoren en subsectoren en in sommige gevallen zelfs tussen soorten entiteiten binnen die (sub)sectoren of entiteiten onderling het niet mogelijk is om de bedoelde criteria (drempelwaarden) vast te stellen die sectorbreed en dus op alle entiteiten uit alle sectoren van toepassing kunnen zijn. Door subdelegatie kunnen de vakministers bij ministeriële regelingen voor de sectoren waar zij beleidsverantwoordelijk voor zijn, criteria (drempelwaarden) vaststellen, aan de hand van de kennis die zij hebben over de sectoren en met consultatie van de betrokkenen binnen die sectoren. Door het overleg met de betrokken sector kan zoveel mogelijk maatwerk worden geleverd per sector, subsector, soort entiteit of entiteit. Indien relevant kan zodoende ook rekening worden gehouden met andere sectorale meldplichten en de daarvoor geldende criteria (drempelwaarden).

Artikel 23, tweede lid, Cbb ziet specifiek op het geval dat in een uitvoeringshandeling op grond van artikel 23, elfde lid, NIS2-richtlijn al nader is gespecificeerd in welke gevallen incidenten bij specifieke entiteiten als significant wordt beschouwd. Artikel 23, tweede lid, Cbb regelt dat de vakminister naast de hiervoor bedoelde specificaties in uitvoeringshandelingen, aanvullende criteria (drempelwaarden) kan vaststellen. Dat kan bij besluit ten aanzien van specifieke entiteiten, of bij regeling.

Artikel 23, derde lid, Cbb bepaalt dat de doeltreffendheid van de criteria (drempelwaarden) en de effecten daarvan ten minste elke vier jaar moeten worden geëvalueerd door de betrokken vakminister. Hierbij wordt ook de effectiviteit van de meldingen in ogenschouw genomen en zal worden bezien of voldoende relevante meldingen worden gedaan en of irrelevante meldingen beperkt blijven. Met het evalueren kan worden bewerkstelligd dat de criteria (drempelwaarden) actueel blijven en aansluiten op de gevaren en dreigingen die voor een sector relevant zijn. Denk daarbij bijvoorbeeld aan zeer snelle technologische ontwikkelingen. Indien nodig past de vakminister, na overleg met de Minister van Justitie en Veiligheid, de criteria (drempelwaarden) aan.

Artikel 23, vierde lid, Cbb bepaalt dat wanneer een vakminister een hiervoor bedoeld besluit heeft vastgesteld ten aanzien van een specifieke entiteit, die entiteit ervoor zorgt dat het besluit binnen de eigen organisatie vertrouwelijk wordt behandeld. Het besluit kan immers criteria (drempelwaarden) bevatten waarvan de openbaarmaking onaanvaardbare risico’s met zich mee kan brengen voor de desbetreffende entiteit en gelet daarop mogelijk ook voor de nationale veiligheid.

Artikel 24 (gegevens waar een vroegtijdige waarschuwing uit moet bestaan)

Artikel 35 Cbw biedt de grondslag om bij of krachtens amvb regels te stellen over onder meer de gegevens waar de vroegtijdige waarschuwing, bedoeld in artikel 26, eerste lid, Cbw, uit moet bestaan. Op grond van artikel 35 Cbw is in artikel 24 Cbb bepaald dat de vroegtijdige waarschuwing ook moet bestaan uit het vermoedelijke tijdstip van aanvang van het significante incident, een beschrijving van de aard en gevolgen van het incident, (zo mogelijk) een prognose van de hersteltijd en (zo mogelijk) de door essentiële entiteiten en belangrijke entiteiten genomen of voorgenomen maatregelen om de gevolgen van het significante incident te beperken of herhaling hiervan te voorkomen. Met deze informatie kan door het CSIRT en de bevoegde autoriteit beter worden ingeschat of zij willen reageren en hoe respons mogelijk is. Daarnaast kan door deze informatie beter worden ingeschat wat mogelijke cascade-effecten zijn op bijvoorbeeld andere entiteiten.

Artikel 25 (wijze waarop een melding geschiedt)

Artikel 25 Cbb verplicht essentiële entiteiten en belangrijke entiteiten om meldingen van significante incidenten te doen bij een hiervoor door de Minister van Justitie en Veiligheid ingericht meldpunt.

Artikel 26 (nadere regels over meldingen)

Artikel 26 Cbb biedt de betrokken vakminister, na overleg met de Minister van Justitie en Veiligheid, de grondslag om bij ministeriële regeling regels te stellen ter uitwerking van de artikelen 26 tot en met 30, 33 en 34 Cbw. Deze grondslag biedt de mogelijkheid om met regels te komen die zijn toegespitst op een specifieke sector, subsector of soort entiteit.

Artikel 27 (informatieverstrekking ten behoeve van nationaal register)

In artikel 44, eerste lid, Cbw is geregeld dat essentiële entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen bepaalde informatie moeten verstrekken aan de Minister van Justitie en Veiligheid voor de registratie in het nationaal register, bedoeld in artikel 43 Cbw. Op grond van artikel 44, eerste lid, onderdeel f, Cbw kan aanvullende informatie worden verlangd voor de registratie in het nationaal register. In artikel 27 Cbb is gebruik gemaakt van deze mogelijkheid.

Artikel 27, eerste lid, Cbb is van toepassing op essentiële entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen. Zij moeten op grond van artikel 27, eerste lid, onderdeel a, Cbb voor hun registratie in het nationaal register aangeven of zij dit doen als essentiële entiteit, belangrijke entiteit of entiteit die domeinnaamregistratiediensten verleent. Aan de hand van die opgegeven informatie kan de bevoegde autoriteit bepalen onder welk toezichts- en handhavingsregime de entiteit valt. Daarnaast wordt deze informatie door het CSIRT gebruikt voor de triage in geval van incidenten.

Op grond van artikel 27, eerste lid, onderdeel b, Cbb moeten zij ook het nummer verstrekken waarmee zij in het handelsregister, bedoeld in artikel 2 Handelsregisterwet 2007, staan ingeschreven. Dit nummer staat ook bekend als het Kamer van Koophandel-nummer. Op deze wijze wordt met de registratie aangesloten bij het Nederlandse beleid en stelsel van basisregistraties, inclusief bijhorende unieke identificatie van entiteiten. Het stelt bovendien de bevoegde autoriteiten en CSIRT’s in staat om op uitvoerbare wijze relaties tussen verschillende entiteiten in kaart te brengen, zoals moeder-dochter-relaties.

In artikel 27, tweede lid, Cbb is geregeld dat overheidsinstanties de identificatiecode moeten verstrekken waarmee zij geregistreerd staan in het Register van Overheidsorganisaties.

Niet alle overheidsinstanties beschikken over een Kamer van Koophandel-nummer, terwijl zij over het algemeen wel geregistreerd staan in het Register van Overheidsorganisaties. Het Register van Overheidsorganisaties is daarom een betere basis voor het identificeren van overheidsinstanties. Mocht de onvoorziene situatie zich voordoen dat een overheidsinstantie niet ingeschreven staat in het Register van Overheidsorganisaties, dan geeft deze bepaling de mogelijkheid om ook het Kamer van Koophandel-nummer te overleggen. Daarnaast kan de betreffende overheidsinstantie zich ook registreren in het Register van Overheidsorganisaties.

Artikel 27, derde lid, Cbb is van toepassing op essentiële entiteiten en belangrijke entiteiten. In artikel 27, derde lid, onderdeel a, Cbb is bepaald dat zij voor hun registratie in het nationaal register moeten aangeven van welk soort zij zijn. Aan de hand van die opgegeven informatie hebben de bevoegde autoriteit en de CSIRT een beter inzicht in de bedrijfsactiviteiten van de betreffende entiteit, wat door de bevoegde autoriteit gebruikt kan worden voor meer gericht toezicht en door het CSIRT voor beter gerichte ondersteuning aan de betreffende entiteit. Dit sluit ook aan bij de systematiek die geldt voor de soorten entiteiten die zich dienen te registreren in het Enisa-register op basis van artikel 47 Cbw, waarbij eveneens de soort geregistreerd dient te worden. Ook sluit het aan bij de huidige praktijk onder de Wbni, waarbij van entiteiten duidelijk is van welk soort zij zijn.

In artikel 27, derde lid, onderdeel b, Cbb is bepaald dat zij ook hun domeinnamen moeten aanleveren. Het gaat daarbij om de publieke domeinnamen die eigendom zijn van de entiteit. Deze informatie is noodzakelijk voor CSIRT’s om hun wettelijke taken richting deze entiteiten, bevoegde autoriteiten en andere relevante partijen effectief uit te kunnen voeren. In sommige gevallen beschikt een CSIRT alleen over domeinnamen van een potentieel doelwit of slachtoffer (zoals bij gelekte inloggegevens), en niet over een IP-adres. Om in die gevallen de entiteit te kunnen informeren over een dreiging of kwetsbaarheid, is het van belang dat het CSIRT ook beschikt over de domeinnamen van de entiteit.

Over het nationaal register, bedoeld in artikel 43 Cbw, wordt ten slotte nog het volgende toegelicht. De bevoegde autoriteiten en CSIRT’s maken gebruik van de registratie-informatie voor het uitoefenen van hun taken op grond van de Cbw. In het registratieproces worden daarom maatregelen ingebouwd die eraan bijdragen dat de opgegeven informatie juist en volledig is en de entiteiten niet te veel worden belast. Dit gebeurt doordat vanuit het authenticatiemiddel (zoals SSO-rijk of eHerkenning) dat bij registratie wordt gebruikt, automatisch onder meer het Kamer van Koophandel-nummer van een entiteit wordt verkregen. Hierdoor kan het nationaal register worden gekoppeld aan het handelsregister of andere registers, zoals het Register van Overheidsorganisaties, om bekende gegevens van de entiteit op te halen. Dit is informatie die bij registratie door de entiteit moet worden gecontroleerd. Dit betreffen gegevens die de entiteit ook verplicht is om aan te leveren op grond van artikel 44 Cbw, namelijk de naam en het adres van de entiteit. Daarnaast geldt dat deze werkwijze kan valideren dat een persoon gerechtigd is om namens een entiteit het registratieproces te doorlopen. Dit biedt extra zekerheid voor de juistheid van deze gegevens en hiermee worden dus de administratieve lasten verminderd voor entiteiten die onder het toepassingsbereik van de Cbw vallen.

Artikel 28 (aanwijzing autoriteiten)

Artikel 51, tweede lid, onderdeel i, Cbw biedt de betrokken vakminister, na overleg met de Minister van Justitie en Veiligheid, de mogelijkheid om bij of krachtens amvb autoriteiten aan te wijzen waar de bevoegde autoriteiten in de zin van de Cbw, de CSIRT’s en het centrale contactpunt mee samenwerken voor de doeltreffende en doelmatige uitvoering van hun taken uit hoofde van de Cbw en in het kader van die samenwerking alle daarvoor noodzakelijke gegevens uitwisselen.

In artikel 28 Cbb is een delegatiegrondslag opgenomen op grond waarvan de vakminister de hiervoor bedoelde autoriteiten bij regeling kan aanwijzen. De reden voor het doordelegeren is dat naar verwachting vooral autoriteiten zullen worden aangewezen die uit hoofde van sectorale regelgeving een rol hebben in het toezicht op entiteiten die ook onder toepassing van de Cbw vallen. Door dit bij regeling te regelen kan door de vakminister vanuit diens verantwoordelijkheid voor sectoren hier een passende invulling aan gegeven worden en waar nodig worden bijgesteld. De aanwijzing maakt het in het bijzonder voor autoriteiten mogelijk om in het geval van overlappend toezicht nauwer samen te werken, informatie uit te wisselen en op die wijze doelmatig en doeltreffend toezicht te bevorderen en daarmee ook onnodige toezichtslasten voor entiteiten te beperken.

Artikel 29 (bewaring van persoonsgegevens)

In artikel 29, eerste lid, Cbb is bepaald dat de persoonsgegevens die door het CSIRT, het centrale contactpunt en de Minister van Justitie en Veiligheid bij of krachtens de Cbw worden verwerkt, niet zijnde de persoonsgegevens, bedoeld in artikel 64, tweede lid, Cbw, maximaal 60 maanden, gerekend vanaf de eerste verwerking, worden bewaard.

Het CSIRT verwerkt in het kader van de uitoefening van haar taken allerlei soorten gegevens, waaronder persoonsgegevens. Het gedurende een periode bewaren van deze gegevens kan in het belang zijn de uitoefening van die taken. Zo kan het bewaren nodig zijn om te voorzien in de gevallen dat een bepaald IP-adres opnieuw geraakt wordt, als een digitale aanval steeds vanuit dezelfde hoek komt of wanneer een serie IP-adressen gebruikt is in bijvoorbeeld een botnet. Dit kan voor het CSIRT aanleiding zijn om onderzoek te doen naar de relevantie voor andere recent getroffen IP-adressen. Ook kan uit nader onderzoek van een afgehandeld incident blijken dat relevante informatie, zoals een kwetsbaarheid van bepaalde IP-adressen of bepaalde gebruikte aanvalstechnieken, door kwaadwillende actoren opnieuw worden gebruikt tegen andere partijen. Voor een gedegen onderzoek van afgehandelde incidenten is het noodzakelijk dat deze gegevens niet te snel worden vernietigd. Een maximale bewaartermijn van 60 maanden wordt passend geacht voor de taken van het CSIRT, zoals het monitoren en analyseren van cyberdreigingen waarbij onderzoek over een langere periode noodzakelijk is om goed te kunnen kijken naar trends.

Ook voor het centrale contactpunt is het wenselijk dat persoonsgegevens zoals e-mailadressen en contactgegevens langere tijd kunnen worden bewaard, om zo een goede samenwerking mogelijk te maken. Het is daarbij een te grote administratieve last om de contactgegevens en e-mailadressen telkens opnieuw te moeten verzamelen. Daarom is er ook ten aanzien van het centrale contactpunt gekozen voor een maximale bewaartermijn van 60 maanden.

Artikel 29, tweede lid, Cbb bevat een uitzondering op het bepaalde in artikel 29, eerste lid, Cbb voor de persoonsgegevens die worden verwerkt in het kader van het nationale register, bedoeld in artikel 43 Cbw. Voor deze persoonsgegevens geldt een maximale bewaartermijn van 60 maanden na de laatste bevestiging van de juistheid van de betreffende persoonsgegevens. Het regelen van deze uitzondering is nodig omdat het niet wenselijk is dat deze gegevens, die door entiteiten zijn aangeleverd, zonder meer na vijf jaar moeten worden verwijderd, terwijl deze gegevens nog steeds relevant zijn voor de wettelijke taken van de Minister van Justitie en Veiligheid. De verwachting is dat de bedoelde gegevens binnen die vijf jaar telkens zullen worden gewijzigd of geactualiseerd. Daarom wordt de maximale bewaartermijn van vijf jaar gekoppeld aan de laatste bevestiging van de juistheid van de gegevens. Indien de termijn van vijf jaar dreigt te verlopen kan de Minister van Justitie en Veiligheid de entiteit al dan niet geautomatiseerd vragen om de actualiteit en juistheid van de gegevens te bevestigen. Indien de entiteit deze actualiteit en juistheid bevestigt begint de termijn van vijf jaar opnieuw te lopen.

In artikel 29, derde lid, Cbb is geregeld dat de persoonsgegevens, niet zijnde de persoonsgegevens, bedoeld in artikel 64, eerste lid, Cbw, die door de bevoegde autoriteit bij of krachtens de Cbw worden verwerkt, niet langer bewaard worden dan noodzakelijk is ter uitvoering van haar taken op grond van de Cbw, doch uiterlijk binnen 60 maanden na de eerste verwerking verwijderd worden. De genoemde bewaartermijn van 60 maanden is daarmee een uiterlijke bewaartermijn die begint te lopen vanaf het moment van de eerste verwerking. Persoonsgegevens moeten eerder (dan pas na 60 maanden) verwijderd worden als deze met het oog op de taakuitoefening van de bevoegde autoriteit niet langer noodzakelijk zijn. Dit sluit aan bij het beginsel van gegevensminimalisatie uit de Algemene verordening gegevensbescherming. In de praktijk zal de bevoegde autoriteit derhalve voor persoonsgegevens een bewaartermijn hanteren die dit beginsel eerbiedigt doch die niet langer kan zijn dan 60 maanden, gerekend vanaf de eerste verwerking.

Artikel 29, vierde lid, Cbb bevat een uitzondering op het bepaalde in artikel 29, derde lid, Cbb voor persoonsgegevens die de bevoegde autoriteit verwerkt met het oog op toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures. Voor die persoonsgegevens geldt een bewaartermijn van 120 maanden. Deze langere bewaartermijn is noodzakelijk aangezien toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures een lange doorlooptijd kunnen hebben. De kortere bewaartermijn van 60 maanden levert het risico op dat persoonsgegevens vanwege de uiterlijke termijn gedurende een traject of procedure al verwijderd moeten worden, wat vanwege de daarmee gemoeide aantasting van bewijsmiddelen en processtukken ernstig afbreuk kan doen aan de doeltreffendheid van het toezicht. Voorbeelden hiervan zijn persoonsgegevens als onderdeel van besluiten, gespreksverslagen of opgevraagde documentatie. Het gaat daarbij met name om namen, e-mailadressen en telefoonnummers van werknemers van entiteiten en van betrokken ambtenaren die met het toezicht zijn belast. Van een toezichtstraject en bestuursrechtelijke procedure met lange doorlooptijd kan bijvoorbeeld sprake zijn als bij een essentiële entiteit of belangrijke entiteit tekortkomingen in de naleving van de zorgplicht worden geconstateerd. In dat geval is in het kader van toezicht daarover bewijs verzameld. In gevallen kan het zo zijn dat met het structureel oplossen van de tekortkomingen door de entiteit meerdere jaren gemoeid zijn waarover de voortgang en bijhorende gegevens zoals gespreksverslagen en documentatie worden bijgehouden. Als een dergelijk toezichtstraject vervolgens uitmondt in een bestuursrechtelijk sanctietraject kan in uitzonderlijke gevallen, wanneer er bezwaar, beroep en hoger beroep tegen het sanctiebesluit worden ingesteld, vele jaren verstrijken totdat het geschil finaal beslecht is. Een verplichting die in de praktijk ertoe leidt dat gedurende deze procedure de voor de procedure relevante persoonsgegevens dienen te worden verwijderd, zou een ernstige afbreuk doen aan de doeltreffendheid van het toezicht. Daarom is ervoor gekozen om een uiterlijke bewaartermijn voor persoonsgegevens van 120 maanden aan te houden voor zover het gaat om de persoonsgegevens die door de bevoegde autoriteit worden verwerkt met het oog op toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures. Dit zorgt voor een uitvoerbare toezichtspraktijk en zorgt tegelijkertijd voor rechtszekerheid dat die persoonsgegevens uiterlijk na 120 maanden verwijderd worden. Ten overvloede wordt opgemerkt dat deze termijn de uiterlijke termijn betreft en dat de bevoegde autoriteit op grond van het Cbb en de Algemene verordening gegevensbescherming eraan gehouden is om deze persoonsgegevens eerder te verwijderen indien deze niet langer noodzakelijk zijn voor een goede uitvoering van haar taken.

Artikel 30 (wijziging Besluit EU-verordeningen Wft)

Gelijktijdig met de NIS2-richtlijn is de DORA vastgesteld. Deze verordening is van toepassing op de financiële sector.

Banken, exploitanten van handelsplatformen en centrale tegenpartijen vallen zowel onder het toepassingsbereik van de DORA, als onder het toepassingsbereik van de NIS2-richtlijn. De bepalingen uit de verordening over het melden van grote ICT-gerelateerde incidenten zijn op hen van toepassing, in plaats van de bepalingen hierover uit de NIS2-richtlijn. Dit volgt uit artikel 1, tweede lid, DORA jo. artikel 4 NIS2-richtlijn. De bepalingen uit de Cbw over de meldplicht zijn dan ook niet op hen van toepassing, waaronder de verplichting om melding te doen bij het CSIRT.

De DORA biedt in artikel 19, eerste lid, zesde alinea, lidstaten de mogelijkheid om financiële entiteiten te verplichten om de melding, bedoeld in artikel 19, vierde lid, van de verordening ook te melden bij het CSIRT. Nederland maakt met artikel 30 Cbb gebruik van deze mogelijkheid. Hierdoor moeten banken, exploitanten van handelsplatformen, centrale tegenpartijen en centrale effectenbewaarinstellingen de melding zowel bij de financiële toezichthouder (de Autoriteit Financiële Markten, hierna: AFM, of De Nederlandsche Bank, hierna: DNB), als bij het CSIRT doen. Voor hen geldt dus een dubbele meldplicht. Het gebruiken van deze lidstaatoptie behelst voor hen geen nieuwe verplichting, maar een bestendiging van de meldplicht die thans voor hen geldt. Voor de hiervoor genoemde financiële entiteiten geldt immers op grond van artikel 10, eerste lid, Wbni al de verplichting om ernstige cyberincidenten te melden bij de Minister van Justitie en Veiligheid, die op grond van artikel 2 Wbni het CSIRT is voor deze aanbieders. De Wbni wordt met de komst van de NIS2-richtlijn ingetrokken.

Door het benutten van de in de DORA geboden lidstaatoptie hebben banken, exploitanten van handelsplatformen, centrale tegenpartijen en centrale effectenbewaarinstellingen een dubbele meldplicht. Het belang van deze dubbele meldplicht is dat het CSIRT een andere rol vervult en een ander doel heeft met het ontvangen van meldingen dan DNB of AFM. Het CSIRT is er om indien nodig bijstand te verlenen, overloopeffecten te identificeren, andere entiteiten te waarschuwen en trends te analyseren. DNB en AFM gebruiken de meldingen om de toezichtspraktijk te verbeteren en de financiële stabiliteit te waarborgen.

Artikel 19, tweede lid, DORA biedt lidstaten de mogelijkheid om te regelen dat financiële entiteiten significante cyberdreigingen op vrijwillige basis kunnen melden bij het CSIRT. Er wordt gebruik gemaakt van deze mogelijkheid, omdat het CSIRT naar aanleiding van vrijwillige meldingen kan overgaan op het identificeren van overloopeffecten, het waarschuwen van andere entiteiten en het analyseren van trends.

Artikel 31 (wijziging Besluit beveiliging en continuïteit openbare elektronische communicatienetwerken en -diensten)

De implementatie van de NIS2-richtlijn leidt tot wijzigingen van het Besluit beveiliging en continuïteit openbare elektronische communicatienetwerken en -diensten. De wijzigingen zijn van een technische aard en beogen geen beleidswijziging.

De zorgplicht met betrekking tot de beveiliging van openbare elektronische communicatienetwerken en -diensten wordt grotendeels in de Cbw geregeld. Met betrekking tot de beveiliging van diensten geldt dat alleen de beveiliging van de netwerk- en informatiesystemen die worden gebruikt voor het verlenen van diensten of verrichten van activiteiten onder de Cbw komen te vallen. Om er toch voor te zorgen dat beveiliging van diensten volledig onder de regelgeving blijft vallen, is bij de implementatie van de NIS2-richtlijn in artikel 11.a, eerste lid, Tw de zorgplicht voor de beveiliging van diensten gecontinueerd. In de memorie van toelichting bij artikel 98 Cbw is dit nader toegelicht.

De maatregelen in het Besluit beveiliging en continuïteit openbare elektronische communicatienetwerken en -diensten waarmee een nadere invulling werd gegeven aan de zorgplicht uit artikel 11.a1, eerste lid, Tw zijn geschrapt, omdat deze onder de Cbw verder zijn uitgewerkt. De delegatiegrondslag is behouden gebleven (onderdeel B). De meldplicht van incidenten voor de aanbieders van openbare elektronische communicatienetwerken en -diensten valt thans volledig onder de Cbw. De betreffende bepalingen inzake de meldplicht zijn derhalve uit het Besluit beveiliging en continuïteit openbare elektronische communicatienetwerken en -diensten geschrapt (onderdelen D en F).

De maatregelen die zien op de beveiliging van de antenne-opstelpunten met een hoofdzender voor het verspreiden van programma’s voor het omroepnet voor radio van regionale media-instellingen (zie artikel 3.7, onderdelen b en c, Tw) zijn een continuering van het nationaal beleid. Het gaat hierbij om het treffen van beveiligingsmaatregelen zodat de continuïteit van radio-uitzendingen die onder meer in het bijzonder van belang is bij radiokanalen met de functie van calamiteitenzender zo goed mogelijk wordt geborgd. Dit nationale beleid wordt voortgezet (onderdelen C en D).

Na artikel 5b Besluit beveiliging en continuïteit openbare elektronische communicatienetwerken en -diensten wordt een omhangbepaling ingevoegd, als gevolg van de wijziging van de grondslag in de Tw.

Artikel 32 (wijziging Besluit veiligheid en integriteit telecommunicatie)

Na artikel 2 Bvit wordt een omhangbepaling ingevoegd, als gevolg van de wijziging van de grondslag in de Tw (artikel 11.a1, tweede lid), ter uitvoering van de NIS2-richtlijn.

Artikel 33 (wijziging Drinkwaterbesluit)

De wijzigingen van het Drinkwaterbesluit (hierna: Dwb) beogen een samenhangende uitvoering te faciliteren van enerzijds de verplichtingen die voortvloeien uit de Cbw (en overigens ook van de Wwke) en anderzijds de bestaande verplichtingen inzake risicobeoordeling en risicobeheer in het Dwb, die onder meer voortvloeien uit de zogeheten Drinkwaterrichtlijn.9

Wijziging artikel 15 Dwb

De wijzigingen van artikel 15 Dwb zijn van redactionele aard; er is geen inhoudelijke wijziging van verplichtingen. De wijzigingen ondersteunen in samenhang met die van de artikelen 46a en 47 Dwb een samenhangende uitvoering van (reeds geïmplementeerde) verplichtingen op grond van de Drinkwaterrichtlijn en de verplichtingen op grond van de Cbw (en overigens ook van de Wwke).

Wijziging artikel 46a Dwb

De wijziging betreft een technische correctie. Het opschrift is gewijzigd in verband met de verplichting tot beheer, opgenomen in het vijfde lid van artikel 46a Dwb.

Wijziging artikel 47 Dwb

De uitvoering van de verplichte risicobeoordeling op grond van de Wwke wordt geïntegreerd in de bestaande systematiek van de verstoringsrisicoanalyse (VRA), bedoeld in artikel 47 Dwb, en de verstoringsparagraaf die op grond van artikel 47 Dwb onderdeel moet zijn van het leveringsplan, bedoeld in artikel 37 Drinkwaterwet. De VRA gaat dan omvatten:

  • a. de risicobeoordeling, bedoeld in artikel 14 Wwke;

  • b. de benadering, bedoeld in artikel 21, derde lid, Cbw (all hazard);

  • c. nationale dreigingen en scenario’s, zoals reeds opgenomen in het tweede lid van artikel 47 Dwb.

Omdat de VRA tevens onderdeel is van de risicobeoordeling van het watervoorzieningssysteem, bedoeld in artikel 46a Dwb, is daarmee ook integratie in het bredere systeem van risicobeoordeling ingevolge de Drinkwaterrichtlijn geborgd.

Het nieuwe zesde lid van artikel 47 Dwb regelt welke maatregelen op grond van het voorgaande moeten worden opgenomen in de verstoringsparagraaf van het leveringsplan. Omwille van de leesbaarheid wordt de bestaande bepaling dat de vereisten uit bijlage B, onderdeel 3, van het Dwb van toepassing zijn op de verstoringsparagraaf, in een separaat zevende lid opgenomen.

Nieuw artikel 47a Dwb

Het nieuwe artikel 47a Dwb maakt het, met het oog op een doelmatige uitvoering, expliciet mogelijk voor het drinkwaterbedrijf om de risicobeoordeling van het watervoorzieningssysteem en de VRA in samenhang voor te bereiden en uit te voeren, zodat een geïntegreerde risicobeoordeling en een geïntegreerd proces van totstandkoming en beoordeling door de ILT mogelijk wordt.

Artikel 34 (intrekking Besluit beveiliging netwerk- en informatiesystemen)

Artikel 103 Cbw regelt de intrekking van de Wbni. Het Besluit beveiliging netwerk- en informatiesystemen (hierna: Bbni) vindt zijn grondslag in de Wbni. Met de intrekking van de Wbni is er geen grond meer voor het Bbni en het Bbni moet dan ook worden ingetrokken. Dit wordt geregeld in artikel 34 Cbb.

Artikel 35 (inwerkingtreding)

Artikel 35 Cbb bepaalt dat de Cbw en het Cbb in werking treden op 15 augustus 2026. Hierbij wordt afgeweken van de vaste verandermomenten en de minimuminvoeringstermijn, omdat de Cbw en het Cbb strekken tot de implementatie van een bindende EU-rechtshandeling, te weten de NIS2-richtlijn.

Artikel 36 (citeertitel)

Artikel 36 Cbb bepaalt dat de citeertitel van dit besluit luidt: Cyberbeveiligingsbesluit.

De Minister van Justitie en Veiligheid, D.M. van Weel


X Noot
1

PbEU 2022, L 333.

X Noot
2

Uitvoeringsverordening (EU) 2024/2690 van de Commissie van 17 oktober 2024 tot vaststelling van regels voor de toepassing van Richtlijn (EU) 2022/2555 wat betreft de technische en methodologische vereisten van de maatregelen voor het beheer van cyberbeveiligingsrisico’s en nadere specificatie van de gevallen waarin een incident als significant wordt beschouwd met betrekking tot DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten (PbEU L 2024/2690).

X Noot
3

Richtlijn 2015/1535/EU van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (codificatie) (PbEU 2015, L 241).

X Noot
4

Hoewel middelgrote ondernemingen verwachten minder tijd per bestuurder kwijt te zijn aan de training dan grote ondernemingen (ca. 5 uur om ca. 9 uur), geven zij aan gemiddeld meer bestuurders de training te zullen laten volgen dan grote ondernemingen (5,6 personen om 4,4 personen).

X Noot
5

CSIRT-stelsel - Een beleidskader voor het herinrichten van het stelsel met een nationale en sectorale CSIRT's in Nederland, Petra Oldengarm, 2023.

X Noot
6

Verordening (EU) 2024/2847 van het Europees Parlement en de Raad van 23 oktober 2024 betreffende horizontale

cyberbeveiligingsvereisten voor producten met digitale elementen en tot wijziging van Verordeningen (EU) nr. 168/2013 en (EU) 2019/1020 en Richtlijn (EU) 2020/1828 (Verordening cyberweerbaarheid) (PbEU 2024/2847).

X Noot
7

Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (PbEU 2022, L 333).

X Noot
8

Uitvoeringsverordening (EU) 2024/2690 van de Commissie van 17 oktober 2024 tot vaststelling van regels voor de toepassing van Richtlijn (EU) 2022/2555 wat betreft de technische en methodologische vereisten van de maatregelen voor het beheer van cyberbeveiligingsrisico’s en nadere specificatie van de gevallen waarin een incident als significant wordt beschouwd met betrekking tot DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten (PbEU L 2024/2690).

X Noot
9

Richtlijn (EU) 2020/2184 van het Europees Parlement en de Raad van 16 december 2020 betreffende de kwaliteit van voor menselijke consumptie bestemd water (herschikking) (PbEU 2020, L 435).


X Noot
1

PbEU 2022, L 333.

X Noot
2

Uitvoeringsverordening (EU) 2024/2690 van de Commissie van 17 oktober 2024 tot vaststelling van regels voor de toepassing van Richtlijn (EU) 2022/2555 wat betreft de technische en methodologische vereisten van de maatregelen voor het beheer van cyberbeveiligingsrisico’s en nadere specificatie van de gevallen waarin een incident als significant wordt beschouwd met betrekking tot DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten (PbEU L 2024/2690).

X Noot
3

Richtlijn 2015/1535/EU van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (codificatie) (PbEU 2015, L 241).

X Noot
4

Hoewel middelgrote ondernemingen verwachten minder tijd per bestuurder kwijt te zijn aan de training dan grote ondernemingen (ca. 5 uur om ca. 9 uur), geven zij aan gemiddeld meer bestuurders de training te zullen laten volgen dan grote ondernemingen (5,6 personen om 4,4 personen).

X Noot
5

CSIRT-stelsel - Een beleidskader voor het herinrichten van het stelsel met een nationale en sectorale CSIRT's in Nederland, Petra Oldengarm, 2023.

X Noot
6

Verordening (EU) 2024/2847 van het Europees Parlement en de Raad van 23 oktober 2024 betreffende horizontale

cyberbeveiligingsvereisten voor producten met digitale elementen en tot wijziging van Verordeningen (EU) nr. 168/2013 en (EU) 2019/1020 en Richtlijn (EU) 2020/1828 (Verordening cyberweerbaarheid) (PbEU 2024/2847).

X Noot
7

Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (PbEU 2022, L 333).

X Noot
8

Uitvoeringsverordening (EU) 2024/2690 van de Commissie van 17 oktober 2024 tot vaststelling van regels voor de toepassing van Richtlijn (EU) 2022/2555 wat betreft de technische en methodologische vereisten van de maatregelen voor het beheer van cyberbeveiligingsrisico’s en nadere specificatie van de gevallen waarin een incident als significant wordt beschouwd met betrekking tot DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten (PbEU L 2024/2690).

X Noot
9

Richtlijn (EU) 2020/2184 van het Europees Parlement en de Raad van 16 december 2020 betreffende de kwaliteit van voor menselijke consumptie bestemd water (herschikking) (PbEU 2020, L 435).

Naar boven