Staatscourant van het Koninkrijk der Nederlanden
| Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
|---|---|---|---|
| Ministerie van Justitie en Veiligheid | Staatscourant 2019, 1992 | Adviezen Raad van State |
Authentieke versie (PDF)
Informatie
Gerelateerd
Printen
Delen
Advies Raad van State inzake het ontwerp van een algemene maatregel van bestuur, houdende regels ter uitvoering van de Wet beveiliging netwerk- en informatiesystemen (Besluit beveiliging netwerk- en informatiesystemen)
Nader Rapport
24 oktober 2018
Nr. 2346717
Directie Wetgeving en Juridische Zaken
Ministerie van Justitie en Veiligheid
Aan de Koning
Nader rapport inzake het ontwerp van een algemene maatregel van bestuur, houdende regels ter uitvoering van de Wet beveiliging netwerk- en informatiesystemen (Besluit beveiliging netwerk- en informatiesystemen)
Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State van 25 juli 2018 en het nader rapport van 24 oktober 2018, aangeboden aan de Koning door de Minister van Justitie en Veiligheid. Het advies van de Afdeling advisering van de Raad van State is cursief afgedrukt.
Bij Kabinetsmissive van 9 juli 2018, no.2018001236, heeft Uwe Majesteit, op voordracht van de Minister van Justitie en Veiligheid, in overeenstemming met de Minister van Defensie, de Minister van Economische Zaken en Klimaat, de Minister van Financiën en de Minister van Infrastructuur en Waterstaat, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het ontwerpbesluit houdende regels ter uitvoering van de Wet beveiliging netwerk- en informatiesystemen (Besluit beveiliging netwerk- en informatiesystemen), met nota van toelichting.
Blijkens de mededeling van de Directeur van Uw kabinet van 9 juli 2018, nr. 2018001236, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde ontwerp van een algemene maatregel van bestuur rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 25 juli 2018, nr. W16.18.0203/II, bied ik U hierbij aan.
Het ontwerpbesluit geeft de Afdeling advisering van de Raad van State geen aanleiding tot het maken van inhoudelijke opmerkingen. De Afdeling geeft U in overweging dienovereenkomstig te besluiten.
Het voorstel heeft de Afdeling advisering van de Raad van State geen aanleiding gegeven tot het maken van opmerkingen.
Van de gelegenheid is gebruikgemaakt om het conceptbesluit en de nota van toelichting op enkele punten te corrigeren en aan te vullen:
-
– In de aanhef is een verwijzing toegevoegd naar de Europese richtlijn (NIB-richtlijn) en de uitvoeringsverordening ter uitvoering waarvan het besluit strekt.
-
– Artikel 5 (nieuw) stelt buiten twijfel dat de artikelen 7, tweede lid, en 13, tweede lid, van de Wet beveiliging netwerk- en informatiesystemen (Wbni) gelezen moeten worden met inachtneming van de hierboven bedoelde uitvoeringsverordening. Vanwege de toevoeging van artikel 5 is in de aanhef een verwijzing toegevoegd naar artikel 9 van de Wet beveiliging netwerk- en informatiesystemen (Wbni), dat de grondslag biedt voor het stellen van nadere regels over de maatregelen van artikel 7 Wbni. Omdat de uitvoeringsverordening ook nadere regels stelt over de vraag wanneer een incident ‘aanzienlijke gevolgen’ heeft in de zin van artikel 16, vierde lid, van de NIB-richtlijn, is in de aanhef bij de verwijzing naar artikel 15 Wbni, de beperking tot onderdeel b geschrapt.
-
– Aan de tabel van artikel 2 (aanwijzing van aanbieders van een essentiële dienst) is in de sector digitale infrastructuur de aanwijzing toegevoegd van de aanbieder van bepaalde DNS-diensten in de zin van artikel 4, onder 14 en 15, van de NIB-richtlijn.
-
– De toelichting bij de artikelen 7 (intrekking Besluit meldplicht cybersecurity) en 8 (inwerkingtreding) is geactualiseerd.
Gelet op artikel 26, zesde lid jo vijfde lid, van de Wet op de Raad van State, is de Afdeling van oordeel dat openbaarmaking van dit advies achterwege kan blijven.
De vice-president van de Raad van State,
Ik moge U hierbij, in overeenstemming met mijn ambtgenoten van Defensie, Economische Zaken en Klimaat, Financiën en Infrastructuur en Waterstaat, het gewijzigde ontwerpbesluit en de gewijzigde nota van toelichting doen toekomen en U verzoeken overeenkomstig dit ontwerp te besluiten.
De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus.
Advies Raad van State
No. W16.18.0203/II
’s-Gravenhage, 25 juli 2018
Aan de Koning
Bij Kabinetsmissive van 9 juli 2018, no.2018001236, heeft Uwe Majesteit, op voordracht van de Minister van Justitie en Veiligheid, in overeenstemming met de Minister van Defensie, de Minister van Economische Zaken en Klimaat, de Minister van Financiën en de Minister van Infrastructuur en Waterstaat, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het ontwerpbesluit houdende regels ter uitvoering van de Wet beveiliging netwerk- en informatiesystemen (Besluit beveiliging netwerk- en informatiesystemen), met nota van toelichting.
Het ontwerpbesluit geeft de Afdeling advisering van de Raad van State geen aanleiding tot het maken van inhoudelijke opmerkingen. De Afdeling geeft U in overweging dienovereenkomstig te besluiten.
Gelet op artikel 26, zesde lid jo vijfde lid, van de Wet op de Raad van State, is de Afdeling van oordeel dat openbaarmaking van dit advies achterwege kan blijven.
De vice-president van de Raad van State, J.P.H. Donner.
Tekst zoals aangeboden aan de Raad van State: Besluit van ....... houdende regels ter uitvoering van de Wet beveiliging netwerk- en informatiesystemen (Besluit beveiliging netwerk- en informatiesystemen)
Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau enz, enz, enz.
Op de voordracht van de Minister van Justitie en Veiligheid van ..., Directie Wetgeving en Juridische Zaken, nr. ...;
gedaan in overeenstemming met Onze Ministers van Defensie, Economische Zaken en Klimaat, Financiën en Infrastructuur en Waterstaat;
Gelet op de artikelen 5, eerste lid, 6, 15, onder b, en 34 van de Wet beveiliging netwerk- en informatiesystemen;
De Afdeling advisering van de Raad van State gehoord (advies van ..., nummer W...);
Gezien het nader rapport van Onze Minister van Justitie en Veiligheid van ..., nr. ..., uitgebracht in overeenstemming met Onze Ministers van Defensie, Economische Zaken en Klimaat, Financiën en Infrastructuur en Waterstaat;
Hebben goedgevonden en verstaan:
Artikel 1 (begripsbepalingen)
In dit besluit en de daarop berustende bepalingen wordt onder wet verstaan: Wet beveiliging netwerk- en informatiesystemen.
Artikel 2 (aanwijzing aanbieders van een essentiële dienst)
Als aanbieders van een essentiële dienst of categorieën van zodanige aanbieders worden aangewezen:
|
Sector |
Aanbieder |
Essentiële dienst |
|---|---|---|
|
Energie: elektriciteit |
• De netbeheerder van het landelijk hoogspanningsnet, aangewezen op grond van artikel 10, tweede lid, of 14 van de Elektriciteitswet 1998 • De regionale netbeheerders, aangewezen op grond van artikel 10, negende lid, 13, eerste lid, of 14 van de Elektriciteitswet 1998 |
Transmissie en distributie van elektriciteit |
|
Energie: gas |
• De netbeheerder van het landelijk gastransportnet, aangewezen op grond van artikel 2, eerste lid, of artikel 5 van de Gaswet • De regionale netbeheerders, aangewezen krachtens artikel 2, achtste lid, of artikel 5 van de Gaswet |
Transmissie en distributie van gas |
|
De Nederlandse Aardolie Maatschappij B.V. |
Het opsporen en winnen van gas op basis van de concessie voor de aardgaswinning uit het Groningenveld op grond van het koninklijk besluit van 30 mei 1963, nr. 39 (Stcrt. 1963, 126) |
|
|
Energie: aardolie |
Stichting Centraal Orgaan Voorraadvorming Aardolieproducten |
Het beheren van strategische olievoorraden |
|
Vervoer |
De Divisie Havenmeester van het Havenbedrijf Rotterdam N.V. |
Het afwikkelen van scheepvaartverkeer |
|
• Royal Schiphol Group N.V. • Luchtverkeersleiding Nederland • Maastricht Upper Area Control Centre (MUAC) • Aircraft Fuel Supply B.V. • Koninklijke marechaussee • elke luchtvaartmaatschappij met minimaal 25% van het totaal aantal vliegbewegingen op Schiphol in een kalenderjaar |
Een veilige en vlotte vlucht- en vliegtuigafhandeling voor wat betreft de luchthaven Schiphol |
|
|
Bankwezen |
De bij besluit van De Nederlandsche Bank N.V. aangewezen kredietinstellingen als bedoeld in artikel 4, punt 1, van Verordening (EU) nr. 575/2013 |
Het aanbieden en afwikkelen van betalings- en effectenverkeer |
|
Infrastructuur voor de financiële markt |
De bij besluit van De Nederlandsche Bank N.V. aangewezen: • exploitanten van handelsplatformen als bedoeld in artikel 4, punt 24, van Richtlijn 2014/65/EU; • centrale tegenpartijen als bedoeld in artikel 2, punt 1, van Verordening (EU) nr. 648/2012 |
Het aanbieden en afwikkelen van effectenverkeer |
|
Drinkwater |
Drinkwaterbedrijf als bedoeld in artikel 1, eerste lid, van de Drinkwaterwet |
Het leveren van deugdelijk drinkwater door middel van een openbare drinkwatervoorziening |
|
Digitale infrastructuur |
Een aanbieder van een internetknooppunt als bedoeld in artikel 4, onder 13, van Richtlijn (EU) 2016/1148 waarop meer dan 300 autonome systemen zijn aangesloten |
Het faciliteren van het internet- en dataverkeer |
|
Een beheerder van een register voor topleveldomeinnamen die bij de Internet Assigned Number Authority (IANA) is geregistreerd en die meer dan 1.000.000 geregistreerde domeinnamen in beheer heeft |
Het beheren en registreren van domeinnamen onder een topleveldomein |
Artikel 3 (aanwijzing andere vitale aanbieders)
Als andere vitale aanbieders of categorieën van zodanige aanbieders als bedoeld in artikel 5, eerste lid, onder b, van de wet worden aangewezen:
|
Sector |
Andere vitale aanbieder |
Dienst |
|---|---|---|
|
Nucleair |
Houder van een vergunning als bedoeld in artikel 15, onderdeel b, van de Kernenergiewet |
De bescherming van inrichtingen, waarin kernenergie kan worden vrijgemaakt, splijtstoffen kunnen worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen worden opgeslagen of inrichtingen, waarin kernenergie kon worden vrijgemaakt, splijtstoffen konden worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen werden opgeslagen |
|
Bedrijf vallend onder het Geheimhoudingsbesluit Kernenergiewet, Bedrijf vallend onder het Toepassingsbesluit 24 september 1971/nr.671/524 |
• De bescherming van inrichtingen, waarin kernenergie kan worden vrijgemaakt, splijtstoffen kunnen worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen worden opgeslagen of inrichtingen, waarin kernenergie kon worden vrijgemaakt, splijtstoffen konden worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen werden opgeslagen • Het waarborgen van de beveiliging en geheimhouding van gegevens, welke noodzakelijk zijn voor het scheiden van verschillende in splijtstof voorkomende uraniumisotopen met gebruikmaking van gasultracentrifuges en het produceren van hulpmiddelen en materialen, welke zijn benodigd voor het scheiden van verschillende in splijtstof voorkomende uraniumisotopen met gebruikmaking van gasultracentrifuges |
|
|
Keren en Beheren |
Onze Minister van Infrastructuur en Waterstaat |
De bij besluit van Onze Minister van Infrastructuur en Waterstaat aangewezen waterkeringen of onderdelen daarvan |
|
Financieel |
De bij besluit van De Nederlandsche Bank N.V. aangewezen: |
|
|
• afwikkelondernemingen, bedoeld in artikel 1:1 van de Wet op het financieel toezicht |
• het verlenen van afwikkeldiensten als bedoeld in artikel 1:1 van de Wet op het financieel toezicht |
|
|
• centrale effectenbewaarinstelling, bedoeld in artikel 2, eerste lid, van Verordening (EU) nr. 909/2014 |
• het exploiteren van een effectenafwikkelingssysteem |
|
|
Elektronische communicatienetwerken en -diensten/ICT |
Een aanbieder van een elektronisch communicatienetwerk of -dienst die een netwerk of infrastructuur beheert dat of die direct of indirect wordt gebruikt ten behoeve van het verlenen van een telefoon-, sms- of internettoegangsdienst aan minimaal 1.000.000 eindgebruikers |
Het verlenen van een telefoon-, sms- of internettoegangsdienst |
Artikel 4 (uitzondering beveiligingseisen financiële instellingen)
De artikelen 7, 8, 9, 26 en 27 van de wet zijn niet van toepassing op de bij besluit van De Nederlandsche Bank N.V. krachtens artikel 2 aangewezen kredietinstellingen, centrale tegenpartijen en exploitanten van handelsplatformen.
Artikel 5 (wijze waarop een incident wordt gemeld)
-
1. Een melding bij Onze Minister als bedoeld in artikel 10, eerste of derde lid, van de wet wordt gedaan op een door Onze Minister aangegeven wijze.
-
2. Een melding bij de bevoegde autoriteit als bedoeld in artikel 10, tweede of derde lid, of 13, eerste lid, onder b, van de wet wordt gedaan op een door de bevoegde autoriteit aangegeven wijze.
-
3. Een melding bij het CSIRT voor digitale diensten als bedoeld in artikel 13, eerste lid, onder a, van de wet wordt gedaan op een door het CSIRT voor digitale diensten aangegeven wijze.
Artikel 6 (intrekking Besluit meldplicht cybersecurity)
Het Besluit meldplicht cybersecurity wordt ingetrokken.
Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.
De Minister van Justitie en Veiligheid,
NOTA VAN TOELICHTING
1. Algemeen
Dit besluit, het Besluit beveiliging netwerk- en informatiesystemen (Bbni), strekt ter uitvoering van de zogenoemde NIB-richtlijn van de Europese Unie.1 Voor aanbieders van een essentiële dienst (AED’s) eindigt de implementatietermijn van die richtlijn materieel op 9 november 2018, de datum waarop zij door de lidstaten uiterlijk aangewezen moeten zijn. De transponeringstabel is opgenomen aan het eind van het algemeen deel van deze nota van toelichting.
Het Bbni wijst de AED’s en andere vitale aanbieders aan die onder de reikwijdte vallen van de verplichtingen van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Verder regelt dit besluit dat de beveiligingseisen van de Wbni niet gelden voor AED’s in de sectoren bankwezen en infrastructuur van de financiële markt. Ook regelt het Bbni dat ernstige incidenten gemeld moeten worden op de wijze die wordt aangegeven door de betrokken instantie. Deze laatste bepaling is ook relevant voor digitaledienstverleners (DSP’s, zie artikel 4, tweede en derde lid, Bbni).
Vanwege de inhoudelijke samenhang en overlap met de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) is de Wgmc geïncorporeerd in de Wbni. Dat is beleidsneutraal gedaan, zonder materiële wijzigingen. Hetzelfde geldt voor het Besluit meldplicht cybersecurity (Bmc): het Bmc wordt zonder materiële wijzigingen geïncorporeerd in het Bbni, en ingetrokken in artikel 6.
De aanwijzing van vitale aanbieders bestaat uit twee tabellen. De eerste (artikel 2) wijst AED’s aan, de tweede (artikel 3) andere vitale aanbieders. De AED-tabel strekt ter implementatie van de NIB-richtlijn. Voor AED’s gaan de bepalingen gelden die voor die aanbieders in de Wbni zijn opgenomen ter implementatie van de NIB-richtlijn, met name:
-
a. de beveiligingseisen van de artikelen 7 en 8 Wbni (niet voor financiële instellingen, zie artikel 4 Bbni);
-
b. de verplichting om ernstige ICT-incidenten te melden bij het Nationaal Cyber Security Centrum (NCSC), een onderdeel van het Ministerie van Justitie en Veiligheid, en bij de sectorale toezichthouder (de bevoegde autoriteit, aangewezen in artikel 4, eerste lid, Wbni), zie artikel 10, tweede en derde lid, Wbni;
-
c. de mogelijkheid dat de sectorale toezichthouder het publiek informeert over een gemeld incident of vordert dat de aanbieder dat doet (artikel 23, onder a, Wbni);
-
d. toezicht en sancties (artikelen 24–29 Wbni).
De meeste AED’s waren in het Bmc al aangewezen als vitale aanbieders. Voor hen gold dus al de verplichting om ernstige ICT-incidenten te melden bij het NCSC. De vakdepartementen hebben voor hun eigen sectoren beoordeeld of de NIB-richtlijn aanleiding geeft tot wijziging van de lijst met vitale processen2 en de daarbij behorende vitale aanbieders. Van die vitale aanbieders zijn AED’s een subgroep. Artikel 2 Bbni wijst AED’s aan in de sectoren die worden genoemd in bijlage II van de NIB-richtlijn.
Nieuwe AED’s ten opzichte van de in het Bmc al aangewezen vitale aanbieders zijn alleen de Stichting Centraal Orgaan Voorraadvorming Aardolieproducten, het Maastricht Upper Area Control Centre en beheerders van registers voor topleveldomeinnamen. Aanbieders van internetknooppunten waren in het Bmc aangewezen als vitale aanbieder en worden in artikel 2 Bbni aangewezen als AED, maar met een andere omschrijving. De hier genoemde wijzigingen worden nader toegelicht bij artikel 2.
Omdat dit besluit geen andere regels bevat dan noodzakelijk zijn voor de implementatie van de NIB-richtlijn, is afgezien van een formele consultatieronde. Wel is er in alle sectoren contact geweest tussen de vakdepartementen en (vertegenwoordigers van) de betrokken aanbieders om hen voor te bereiden op de nieuwe wetgeving.
De in artikel 3 aangewezen andere vitale aanbieders vallen niet onder de reikwijdte van de NIB-richtlijn, maar waren in het Bmc al aangewezen als vitale aanbieders die ernstige incidenten moeten melden bij het NCSC. Voor hen heeft de aanwijzing in het Bbni geen andere gevolgen dan die krachtens het Bmc: zij blijven vallen onder de verplichting om ernstige incidenten te melden bij het NCSC.
2. Regeldruk
Dit besluit veroorzaakt geen nieuwe regeldruk ten opzichte van de Wgmc, het Bmc en de Wbni. De aanwijzing van vitale aanbieders in dit besluit bepaalt voor welke aanbieders de verplichtingen van de Wbni gelden. De regeldruk voor AED’s en DSP’s is verantwoord in de memorie van toelichting bij het wetsvoorstel voor de Wbni (toen nog Cybersecuritywet geheten).3 De regeldruk voor andere vitale aanbieders blijft gelijk aan de regeldruk veroorzaakt door de Wgmc en het Bmc.
3. Financiële consequenties
Het in ontvangst nemen van meldingen en de afhandeling daarvan is reeds verantwoord in de memorie van toelichting bij het wetsvoorstel voor de Wbni.4 Dit besluit zorgt niet voor extra financiële consequenties.
4. Evaluatie
Het Bbni zal periodiek worden geëvalueerd en waar nodig worden aangepast of aangevuld. Voor AED’s schrijft artikel 5, vijfde lid, van de NIB-richtlijn dat ook expliciet voor (‘op regelmatige basis’, ‘on a regular basis’).
5. Transponeringstabel
|
Sector, genoemd in bijlage II bij de NIB-richtlijn1 |
Deelsector, genoemd in bijlage II bij de NIB-richtlijn |
AED’s aangewezen bij of krachtens art. 2 Bbni? Toelichting indien niet geïmplementeerd of naar zijn aard geen implementatie nodig |
|---|---|---|
|
1. Energie |
a) Elektriciteit |
Ja |
|
b) Aardolie |
Ja |
|
|
c) Gas |
Ja |
|
|
2. Vervoer |
a) Luchtvervoer |
Ja |
|
b) Spoorvervoer |
Nee, vooralsnog geen AED’s aangewezen, met name omdat uitval van het spoorsysteem niet leidt tot economische of maatschappelijke ontwrichting op nationale schaal: bij uitval van (delen van) het spoorsysteem kan worden teruggevallen op andere transportvormen of omreismogelijkheden. Vanwege toegenomen dreigingen in het digitale domein, en het bij tunnels en bruggen in belangrijke mate sprake zijn van gedigitaliseerde systemen, zal voor spoorvervoer echter een nieuwe vitaliteitsbeoordeling worden uitgevoerd aan de hand van een actueel cyberscenario. |
|
|
c) Vervoer over water |
Ja |
|
|
d) Vervoer over de weg |
Nee, geen AED’s aangewezen, omdat het wegverkeer dusdanig breed is vertakt dat er geen maatschappelijke ontwrichting is bij uitval: bij uitval kan wegverkeer uit veel alternatieve routes kiezen. Vanwege toegenomen dreigingen in het digitale domein, en het bij tunnels en bruggen in belangrijke mate sprake zijn van gedigitaliseerde systemen, zal voor spoorvervoer echter een nieuwe vitaliteitsbeoordeling worden uitgevoerd aan de hand van een actueel cyberscenario. |
|
|
3. Bankwezen |
Ja |
|
|
4. Infrastructuur voor de financiële markt |
Ja |
|
|
5. Gezondheidszorg |
Zorginstellingen |
Nee, geen AED’s aangewezen, met name omdat uitval van een deel van de zorg niet automatisch leidt tot grote maatschappelijke schade. In veel gevallen kan zorg namelijk overgenomen worden door een andere zorgaanbieder. |
|
6. Levering en distributie van drinkwater |
Ja |
|
|
7. Digitale infrastructuur |
Ja |
X Noot
1Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194).
Artikelsgewijze toelichting
Artikel 2 (aanwijzing van aanbieders van een essentiële dienst)
In dit artikel of (zie hieronder, bij Financiën) op grond van dit artikel worden AED’s aangewezen in de sectoren die worden genoemd in bijlage II van de NIB-richtlijn. AED’s zijn een subgroep van de categorie ‘vitale aanbieders’ in de zin van artikel 1 Wbni (laatste streepje).
Energie
De meeste als AED aangewezen aanbieders in deze sector waren in het Bmc al aangewezen als vitale aanbieders. Nieuw is alleen de aanwijzing van de Stichting Centraal Orgaan Voorraadvorming Aardolieproducten.
Bij de transmissie en distributie van elektriciteit en gas zijn verschillende partijen betrokken, waaronder producenten, programmaverantwoordelijken, leveranciers, meetbedrijven en netbeheerders. Niet alle partijen die betrokken zijn bij het proces van energielevering worden als AED aangewezen. Bepaalde partijen zijn verantwoordelijk voor specifieke processtappen, waarvan redelijkerwijs kan worden aangenomen dat deze niet kritiek zijn voor een betrouwbare levering van de kerndienst. Deze partijen zijn dan ook niet essentieel en vallen daarmee niet onder de reikwijdte van de Wbni. Dit komt onder meer doordat voor landelijke en regionale netbeheerders geldt dat eerder sprake zal zijn van een ‘single point of failure’. Daarnaast bestaat er een grotere mate van afhankelijkheid tussen de verschillende partijen dan bijvoorbeeld bij partijen die verantwoordelijk zijn voor de productie van elektriciteit. Uitval van dienstverlening bij deze netbeheerders zou eerder kunnen leiden tot ernstige maatschappelijke gevolgen, en wordt om die reden als essentieel gezien. Daarnaast heeft de beheerder van het landelijk gastransportnet een ‘peakshaver’. Deze bestaat uit grote gasopslagtanks die worden ingezet op het moment dat de levering van gas in gevaar dreigt te komen als gevolg van extra vraag bij extreem lage temperaturen. In de winter van 2009–2010 is de peakshaver voor het eerst in lange tijd weer ingezet. Vanwege het single-point-of-failure-karakter van deze peakshaver wordt deze als essentieel gezien.
De Nederlandse Aardolie Maatschappij B.V. (NAM) beschikt over een concessie voor de aardgaswinning uit het Groningenveld op grond van koninklijk besluit van 30 mei 1963, nr. 39 (Stcrt. 1963, 126). Laagcalorisch gas is van groot belang voor de Nederlandse energievoorziening. NAM is de voornaamste producent van laagcalorisch gas en kwalificeert daarmee als AED.
De Stichting Centraal Orgaan Voorraadvorming Aardolieproducten (COVA) is in de Wet vooraadvorming aardolieproducten 2012 aangewezen als centrale entiteit voor het beheer van de aardolievoorraden die Nederland op grond van zijn internationale verplichtingen aanhoudt. Gegeven de wettelijke taak van de Stichting en het belang van de stabiliteit van de olievoorziening van de Nederlandse samenleving, kwalificeert de Stichting als AED.
Vervoer over water: Mainport Rotterdam
De als AED aangewezen aanbieder in deze sector was in het Bmc al aangewezen als vitale aanbieder.
Aangewezen aanbieder
De Divisie Havenmeester, onderdeel van het Havenbedrijf Rotterdam, neemt een centrale functie in binnen Mainport Rotterdam. Het Havenbedrijf Rotterdam zorgt voor de ontwikkeling, aanleg, beheer en exploitatie van het Rotterdamse havengebied. De Divisie Havenmeester is vanuit haar publieke taak verantwoordelijk voor een veilige, vlotte, duurzame en beveiligde afwikkeling van het scheepvaartverkeer in de Rotterdamse haven en het aanloopgebied voor de kust en heeft een eigenstandige verantwoordingsplicht naar de gemeente Rotterdam en het Rijk. Vanuit deze verantwoordelijkheid werkt de havenmeester samen met verschillende andere partijen.
Er zijn diverse partijen die de havenmeester (als de eindaanbieder) ondersteunen in de uitvoering van zijn processen, zoals Rijkswaterstaat, Portbase en verschillende IT-dienstenleveranciers. Deze partijen zijn niet als AED aangewezen omdat zij geen dienst aanbieden aan een eindgebruiker, maar aan de havenmeester.
Indien door de havenmeester wordt ingeschat dat een ICT-incident bij dergelijke dienstverleners kan leiden tot een voor hem meldplichtig incident, dient hij de nodige afspraken met dergelijke dienstverleners te maken (bijvoorbeeld met betrekking tot het melden van incidenten).
Aangewezen essentiële dienst
De toegankelijkheid van een haven staat of valt bij een vlot en veilig scheepvaartverkeer en een adequate afhandeling van lading. Binnen de Mainport Rotterdam werkt een groot aantal dienstverleners samen om deze mainportfunctie waar te kunnen maken. Hierbij valt te denken aan de havenmeester, loodsen, sleepdiensten, roeiers, douane, terminals, inspectiediensten et cetera. Bij de afwikkeling van het scheepvaartverkeer speelt de havenmeester een centrale rol in het samenbrengen van de dienstverleners en het verschaffen van de voor deze dienstverleners essentiële informatie. Deze spilfunctie is onmisbaar voor het operationeel houden van alle activiteiten die de Mainport Rotterdam tot mainport maakt.
Luchtvervoer: Mainport Schiphol
De meeste als AED aangewezen aanbieders in deze sector waren in het Bmc al aangewezen als vitale aanbieders. Nieuw is alleen de aanwijzing van Maastricht Upper Area Control Centre (MUAC).
Aangewezen aanbieders
De vlucht- en vliegafhandeling is primair een taak van de Luchtverkeersleiding Nederland (LVNL). De luchtverkeersleiding in het hogere luchtruim wordt uitgevoerd door MUAC. Door uitval van MUAC kan LVNL een groot deel van de luchtverkeer op Schiphol niet meer afhandelen.
Het faciliteren en regisseren van passagiersafhandeling met bagageafhandeling en vrachtafhandeling is primair een taak van de Royal Schiphol Group N.V. Zij is een internationale luchthavenonderneming met als belangrijkste activiteit de exploitatie van de luchthaven Schiphol. Ze stelt faciliteiten en noodzakelijke nutsvoorzieningen ter beschikking aan o.a. afhandelaren en luchtvaartmaatschappijen. De passagiersafhandeling met bagageafhandeling en vrachtafhandeling worden door haar ook getypeerd als kritische processen binnen de eigen activiteiten. Het crisismanagement vormt een belangrijk proces binnen het proces passagiersafhandeling met bagageafhandeling.
Vanwege hun grote belang voor een veilige en vlotte vlucht- en vliegtuigafhandeling worden ook Aircraft Fuel Supply B.V., de Koninklijke Marechaussee (KMar) en de luchtvaartmaatschappijen aangewezen als AED. De aanwijzing van de KMar is noodzakelijk omdat de Kmar het grenstoezicht uitvoert op de luchthaven Schiphol. Een verstoring van het grenstoezicht kan leiden tot passagiersopstoppingen en vervolgens mogelijk tot verstoring of uitval van het vliegverkeer van en naar Schiphol. De aanwijzing van luchtvaartmaatschappijen is beperkt tot de bedrijven die minimaal 25% van het totaal aantal vliegbewegingen op Schiphol voor hun rekening nemen. Uitval of verstoring van de dienstverlening van kleinere luchtvaartmaatschappijen zal niet leiden tot maatschappelijke ontwrichting.
Aangewezen essentiële dienst
De aangewezen dienst ‘een veilige en vlotte vlucht- en vliegtuigafhandeling’ is de kerndienst van Mainport Schiphol aan zijn klanten. De dienst omvat het laten landen en stijgen van vliegtuigen op en van Schiphol, dat betrekking heeft op de luchtzijde van Mainport Schiphol waar vliegtuigen landen, taxiën, parkeren en opstijgen, het laten doorstromen van passagiers op Schiphol, dat betrekking heeft op het aankomen, inchecken, grenscontrole, veiligheidscontrole, boarden en goederencontrole in het passagiersverkeer, en het afhandelen van bagage van passagiers op Schiphol, dat betrekking heeft op het afgeven en claimen van bagage door passagiers, het screenen, laden, transporteren en uitladen van bagage door verschillende partijen op Schiphol, en het controleren van bagage door de douane.
Financiën
Op grond van het Bbni wijst De Nederlandsche Bank (DNB) de financiële instellingen aan die onder de meldplicht vallen (artikelen 10–12 Wbni; zie voor de beveiligingseisen van de Wbni artikel 4 Bbni), dat zijn zowel AED’s als andere vitale aanbieders. Gezamenlijk maken zij deel uit van de zogeheten financiële kerninfrastructuur (FKI). De instellingen van de FKI zijn instellingen die verantwoordelijk zijn voor de belangrijkste transactiestromen in de aangewezen vitale financiële diensten. Dit zijn kredietinstellingen, handelsplatformen, centrale tegenpartijen, afwikkelondernemingen, centrale bewaarinstellingen en overige financiële instellingen die een belangrijke rol spelen in de transactieketens van deze aangewezen diensten. DNB bepaalt jaarlijks op grond van kwantitatieve criteria welke instellingen deel uitmaken van de FKI. Die criteria zijn op hoofdlijnen gebaseerd op de regel dat de instellingen toegevoegd worden aan de FKI als zij deel uitmaken van de lijst van instellingen die in afnemende omvang van aandeel, cumulatief 80% verwerken van het totale transactievolume of de totale transactiewaarde. Deze regel geldt voor elk soort instellingen afzonderlijk. Daarnaast kunnen instellingen die een heel specifieke positie of rol hebben die van essentieel belang is voor aangewezen diensten eveneens toegevoegd worden aan de FKI.
Voor het bepalen van de diensten waarvoor de meldplicht komt te gelden, wordt zo veel mogelijk aangesloten bij analyses in het kader van de bescherming van vitale processen in Nederland. De financiële sector vernieuwt en verandert voortdurend. Daarnaast is ook de strategie voor de bescherming van vitale processen niet statisch. Dit betekent dat de lijst met diensten regelmatig getoetst wordt op actualiteit. DNB voert periodiek in samenwerking met het Ministerie van Financiën en de Autoriteit Financiële Markten een dergelijke evaluatie uit.
Diensten die in elk geval tot de vitale processen in Nederland behoren, zijn het aanbieden en afwikkelen van betalings- en effectenverkeer. Daaronder vallen wat betalingsverkeer betreft onder andere chartale betalingen (betalingen met bankbiljetten en munten), elektronische betalingen met debitcard en creditcard, betalingen via internetbankieren, acceptgiro’s, incasso’s en periodieke betalingen. Deze soorten betalingen worden soms samengevat als toonbankbetalingsverkeer en massaal giraal betalingsverkeer. Ook het betalingsverkeer tussen banken en andere kapitaal- en geldmarktbetalingen (waaronder treasury-verkeer van grote bedrijven) en de afwikkeling van valutatransacties vallen onder deze diensten (samen ook wel hoogwaardig betalingsverkeer). Voor het effectenverkeer vallen de gereguleerde handel, de vereffening (clearing) en de afwikkeling (settlement) van effecten- en derivatentransacties in deze categorie.
Aangewezen essentiële diensten
Als AED’s wijst DNB op grond van artikel 2 Bbni jaarlijks de instellingen aan die deel uitmaken van de FKI én genoemd worden in bijlage II van de NIB-richtlijn, namelijk kredietinstellingen, exploitanten van handelsplatformen en centrale tegenpartijen. Het enige wat er concreet verandert voor de FKI-instellingen die door DNB op grond van het Bmc waren aangewezen en op grond van artikel 2 Bbni als AED worden aangewezen, is dat zij ernstige ICT-incidenten niet alleen moeten melden bij het NCSC, maar ook bij DNB. De beveiligingseisen van de Wbni gelden voor hen immers niet (zie artikel 4).
Drinkwater
De als AED aangewezen aanbieders in deze sector waren in het Bmc al aangewezen als vitale aanbieders.
Aangewezen aanbieders
In Nederland zijn er momenteel tien drinkwaterbedrijven als bedoeld in artikel 1, eerste lid, Drinkwaterwet.
De eigenaren van een collectieve watervoorziening en een collectief leidingnet in de zin van artikel 1, eerste lid, Drinkwaterwet vallen niet onder de aanwijzing, onder meer omdat het functioneren daarvan niet afhankelijk is van ICT. Daarnaast zijn collectieve watervoorzieningen en collectieve leidingnetten van beperkte schaal in vergelijking tot openbare drinkwatervoorzieningen en distributienetten, waardoor de effecten van een verstoring relatief klein zullen zijn. Drinkwaterbedrijven kunnen afnemers van collectieve watervoorzieningen ‘nooddiensten’ leveren, waarmee de gevolgen van een verstoring beperkt blijven.
Aangewezen essentiële dienst
Net als met het begrip ‘drinkwaterbedrijf’ wordt met de begrippen ‘drinkwater’ en ‘openbare drinkwatervoorziening’ gedoeld op de betekenis die artikel 1 Drinkwaterwet daaraan geeft.
De essentiële dienst waarvoor de aanwijzing geldt, is het leveren van deugdelijk drinkwater door middel van een openbare drinkwatervoorziening. Die omschrijving ziet zowel op de leveringszekerheid als op de kwaliteit van drinkwater. De omschrijving is ontleend aan de definitie van ‘verstoring’ in artikel 1 van de Drinkwaterwet: ‘uitval of aantasting van watervoorzieningswerken, waardoor de continuïteit van de levering van deugdelijk drinkwater wordt verbroken of in gevaar komt’.
Digitale infrastructuur
Aanbieders van internetknooppunten waren in het Bmc al aangewezen als vitale aanbieders, maar met een andere omschrijving. Nieuw ten opzichte van het Bmc is de aanwijzing van beheerders van registers voor topleveldomeinnamen.
Internetknooppunten – Het faciliteren van het internet- en dataverkeer
In de NIB-richtlijn is internetknooppunt als volgt gedefinieerd (artikel 4, onder 13): ‘een netwerkinfrastructuur die de onderlinge verbinding van meer dan twee onafhankelijke autonome systemen mogelijk maakt, voornamelijk met als doel de uitwisseling van internetverkeer te vergemakkelijken; een internetknooppunt zorgt voor onderlinge verbinding enkel voor autonome systemen; een internetknooppunt vereist niet dat het internetverkeer tussen twee deelnemende autonome systemen via een derde autonoom systeem verloopt noch dat het internetknooppunt dergelijk verkeer wijzigt of anderszins daartussen komt’. Het betreft hier bijvoorbeeld geen verschaffing van internettoegang of het verrichten van transitdiensten.
In het Bmc waren alleen aanbieders van een internetknooppunt aangewezen voor zover dat knooppunt een totale poortcapaciteit heeft van minimaal 8 terabits per seconde. Artikel 2 Bbni hanteert een ander criterium: als nieuw criterium wordt het aantal op een internetknooppunt aangesloten autonome systemen (autonomous systems) geïntroduceerd. Ieder netwerk (autonoom systeem) binnen het internet wordt uniek aangeduid met een ASN (autonomous system number) op basis waarvan routering tussen netwerken kan plaatsvinden.
De omvang van aangeboden poortcapaciteit kan in de tijd toenemen of afnemen afhankelijk van de vraag en andere marktfactoren. Daartegenover zal de omvang van het aantal aangesloten autonome systemen, ook een criterium dat correleert met de omvang van internetverkeer bij een internetknooppunt, naar verwachting minder sterk wisselen in de tijd en is daarom toekomstbestendiger. Het criterium van het aantal autonome systemen sluit bovendien goed aan bij de hierboven gegeven definitie uit de richtlijn en is als criterium eenvoudig verifieerbaar. Duitsland hanteert hetzelfde criterium met dezelfde drempelwaarde van 300 aangesloten autonome systemen. Het aangepaste criterium leidt op dit moment niet tot aanwijzing van andere aanbieders van internetknooppunten dan de in het Bmc aangewezen aanbieders.
Register voor topleveldomeinnamen
De NIB-richtlijn definieert een register voor topleveldomeinnamen als een ‘entiteit die de internetdomeinnamen van een specifiek topleveldomein registreert en beheert’ (artikel 4, onder 15). IANA (Internet Assigned Number Authority) is een onderdeel van ICANN (Internet Corporation for Assigned Names and Numbers) en houdt een lijst van topleveldomeinen bij: https://www.iana.org/domains/root/db.
De registratiefunctie van een topleveldomein (TLD) houdt in dat de TLD-beheerder (‘registry’) domeinnamen met de eigen domeinextensie toekent en registreert, denk bijvoorbeeld aan het .nl-domein of .com-domein, en de betreffende registratiedatabase beheert.
Naast de registratie van domeinnamen publiceert de TLD-beheerder de zonetabel van de eigen domeinextensie op het internet zodat deze vindbaar is in het domeinnaamsysteem (DNS). De gepubliceerde zonetabel is een essentieel en onmisbaar element voor de vertaalslag (‘resolving’) van de domeinnaam naar het juiste ip-adres, waarmee de locatie is vastgelegd van de website onder een domeinnaam op het internet. Zonetabellen worden frequent geactualiseerd en via internet beschikbaar gesteld ten behoeve van DNS-resolvers.
Om te bepalen in hoeverre er sprake is van een essentiële dienst wordt als criterium het aantal geregistreerde domeinnamen (bij de registry) onder een TLD toegepast; het aantal domeinnamen is een goede indicatie van de omvang van het gebruik van domeinnamen met een bepaalde extensie. Uitval of compromittering van een omvangrijke zonetabel kan in potentie veel partijen (domeinnaamhouders) raken. In artikel 2 Bbni worden als AED de TLD-beheerders aangewezen die een register beheren met meer dan 1.000.000 domeinnamen, wat overeenkomt met circa 10% van het aantal domeinnamen in Nederland.
De in Nederland gevestigde Stichting Internet Domein Registratie (SIDN) is de TLD-beheerder voor het .nl-domein en registreert alle domeinnamen die eindigen op .nl. In 2017 had het .nl-domein een marktaandeel van 63,6% en in april 2018 waren er 5,8 miljoen domeinnamen in Nederland geregistreerd met een .nl-extensie. Daaruit blijkt dat een groot deel van Nederlandse organisaties, publiek en privaat, gebruikmaken van het .nl-domein.
Naast .nl worden ook onder andere topleveldomeinen in Nederland gebruikt, overwegend .com en .eu. De beheerders van deze TLD’s zijn niet in Nederland gevestigd en kunnen niet door Nederland als AED worden aangewezen. Andere in Nederland gevestigde beheerders van TLD’s, zoals .amsterdam en .frl (Friesland) halen in 2018 de genoemde drempelwaarde niet.
Artikel 3 (aanwijzing andere vitale aanbieders)
In dit artikel of – in de sectoren Keren en beheren en Financieel – op grond van dit artikel worden de aanbieders met de bijbehorende diensten aangewezen die geen AED zijn maar wel vitaal. Voor deze ‘andere vitale aanbieders’ heeft deze aanwijzing geen andere gevolgen dan die krachtens het Bmc: zij blijven vallen onder de verplichting om ernstige incidenten te melden bij het NCSC (artikel 10, eerste lid, Wbni). In overeenstemming met vast kabinetsbeleid5 bevat dit besluit geen andere regels dan noodzakelijk zijn voor de implementatie van de NIB-richtlijn. Vitale aanbieders binnen de sector digitale overheid (aanbieders van datasystemen waarvan meerdere overheidsorganisaties afhankelijk zijn) zullen naar verwachting bij de eerstvolgende wijziging van het Bbni aan artikel 3 worden toegevoegd.
Nucleair
Aangewezen vitale aanbieders
In Nederland is een aantal bedrijven actief in de nucleaire sector die ieder hun eigen karakterisering hebben. Voor de definitie van aanbieders in de sector Nucleair wordt aangesloten bij artikel 15, onder b, van de Kernenergiewet (KEW) alsmede het Geheimhoudingsbesluit Kernenergiewet.
In artikel 15, onder b, KEW is bepaald dat nucleaire installaties voor hun activiteiten een vergunning nodig hebben. Nucleaire installaties zijn volgens de KEW inrichtingen ‘waarin kernenergie kan worden vrijgemaakt, splijtstoffen kunnen worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen worden opgeslagen’. In het Geheimhoudingsbesluit Kernenergiewet is vastgelegd dat, als gegevens zijn verkregen onder een verplichting tot geheimhouding, of door de in het besluit genoemde ministers zijn aangewezen, diegene die deze informatie heeft, maatregelen moet nemen om de geheimhouding daarvan te verzekeren. De houders van een KEW-vergunning vallen automatisch onder het Geheimhoudingsbesluit. Dat besluit verdient desondanks aparte vermelding in de Bbni-tabel aangezien ook andere bedrijven onder het Geheimhoudingsbesluit vallen.
Aangewezen producten en diensten
De vitaliteitsbeoordeling van de nucleaire sector wordt in sterke mate beïnvloed door het non-proliferatie-aspect gepaard gaande met (internationaal) politieke gevoeligheid, alsmede de potentiële financiële en sociaal-maatschappelijke gevolgen van een incident. Gezien de potentiële gevolgen en het unieke karakter van de sector zijn alle nucleaire objecten vallend onder de KEW dan wel het Geheimhoudingsbesluit Kernenergiewet als A-vitaal aangemerkt.
De vitale producten en diensten zijn gericht op de bescherming en beveiliging van inrichtingen als bedoeld in de KEW waarin kernenergie kan worden vrijgemaakt, splijtstoffen kunnen worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen worden opgeslagen of inrichtingen, waarin kernenergie kon worden vrijgemaakt, splijtstoffen konden worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen werden opgeslagen. Daarnaast worden bedrijven aangemerkt als vitale aanbieders als deze bedrijven de beschikking hebben over gegevens die noodzakelijk zijn voor het scheiden van verschillende in splijtstof voorkomende uraniumisotopen met gebruikmaking van gasultracentrifuges en het produceren van hulpmiddelen en materialen die nodig zijn voor het scheiden van verschillende in splijtstof voorkomende uraniumisotopen met gebruikmaking van gasultracentrifuges. Deze gegevens dienen op grond van het Geheimhoudingsbesluit Kernenergiewet uit overwegingen van non-proliferatie geheim te worden gehouden.
Keren en Beheren
De onder de meldplicht vallende vitale waterkeringen worden krachtens het Bbni aangewezen bij besluit van de Minister van Infrastructuur en Waterstaat. Als zodanig zullen slechts digitaal aangestuurde objecten worden aangewezen (waterkeringen of onderdelen daarvan).
Financieel
Zie de toelichting bij artikel 2 voor de jaarlijkse aanwijzing van de FKI-instellingen. De FKI-instellingen die geen AED zijn, worden door DNB op grond van artikel 3 Bbni aangewezen als andere vitale aanbieders. Hieronder vallen afwikkelondernemingen, die afwikkeldiensten verrichten in de betalings- en effectenverkeerprocessen, en centrale effectenbewaarinstellingen, die een rol spelen bij de afwikkeling van effectentransacties.
Elektronische communicatienetwerken of -diensten/ICT
Het verlenen van een telefoon-, sms- of internettoegangsdienst
Binnen de sector elektronische communicatienetwerken of -diensten worden in artikel 3 Bbni als andere vitale aanbieder aangewezen: aanbieders van elektronische communicatienetwerken of -diensten die een netwerk of infrastructuur beheren dat of die direct of indirect wordt gebruikt ten behoeve van het verlenen van een telefoon-, sms- of internettoegangsdienst aan minimaal 1.000.000 eindgebruikers.
Ten eerste gaat het om aanbieders die zelf rechtstreeks diensten leveren aan de eindgebruiker. Zo zijn er momenteel met betrekking tot mobiele communicatie vier landelijk dekkende mobiele netwerken (Vodafone, Tele2, KPN, T-Mobile) die zelf mobiele telefoniediensten aan eindgebruikers aanbieden; zij leveren direct aan eindgebruikers. Omdat bovendien meer dan 1 miljoen eindgebruikers thans van hun telefoondiensten gebruik maken, behoren zij tot de ‘andere vitale aanbieders’.
Ten tweede gaat het om aanbieders van netwerken en diensten die niet zelf een telefoondienst, sms-dienst of internettoegangsdienst rechtstreeks aanbieden aan eindgebruikers, maar wel essentieel zijn in de keten van het verlenen van telefoon-, sms- en internetdiensten aan eindgebruikers. Dat is bijvoorbeeld het geval als een aanbieder een netwerk aanbiedt aan een derde partij die het netwerk vervolgens gebruikt om zelf de bedoelde diensten aan te bieden. Hierdoor kan een partij (mede) door zijn activiteiten op de wholesalemarkt onder de reikwijdte van de meldplicht vallen.
De drempel van 1 miljoen eindgebruikers is gekozen omdat het bij 1 miljoen eindgebruikers of meer ondoenlijk is om binnen een redelijke termijn (enkele dagen) een alternatief voor die eindgebruikers te vinden.
Artikel 4 (uitzondering beveiligingseisen financiële instellingen)
In navolging van artikel 1, zevende lid, van de NIB-richtlijn maakt artikel 6 Wbni het mogelijk om bij of krachtens de Wbni gestelde voorschriften buiten toepassing te laten voor categorieën van AED’s of DSP’s. Die mogelijkheid is bedoeld om voorrang te kunnen geven aan sectorspecifieke EU-regels die ten minste feitelijk gelijkwaardig zijn aan de verplichtingen van de NIB-richtlijn. Artikel 4 Bbni maakt gebruik van die mogelijkheid door te bepalen dat de beveiligingseisen van de Wbni (de artikelen 7, 8 en 9) niet gelden voor de als AED krachtens artikel 2 Bbni aangewezen kredietinstellingen, centrale tegenpartijen en exploitanten van handelsplatformen. Voor die aanbieders gelden feitelijk gelijkwaardige beveiligingseisen in sectorspecifiek EU-recht:
-
• voor kredietinstellingen volgen deze beveiligingseisen uit artikel 85 van de CRDIV-richtlijn,6 en – voor wat betreft het betalingsverkeer – artikel 95 van de herziene richtlijn betaaldiensten;7
-
• voor centrale tegenpartijen volgt dit uit de artikelen 26 en 34 van de EMIR-verordening en de daarop gebaseerde gedelegeerde verordening (EU) nr. 153/2013;8
-
• voor exploitanten van handelsplatformen volgt dit uit artikel 48, eerste lid, van de MiFIDII-richtlijn en de daarop gebaseerde gedelegeerde verordening (EU) nr. 2017/584.9
De bevoegdheden van de artikelen 26 en 27 Wbni (beveiligingsaudit en bindende aanwijzing) kunnen alleen worden toegepast in relatie tot de beveiligingseisen van de artikelen 7, 8 en 9 Wbni. Omdat die beveiligingseisen niet gelden voor als AED aangewezen kredietinstellingen, centrale tegenpartijen en exploitanten van handelsplatformen, blijven ook de artikelen 26 en 27 voor deze aanbieders buiten toepassing. Uiteraard kunnen jegens hen ook de artikelen 28 en 29 Wbni (last onder bestuursdwang en bestuurlijke boete) niet worden toegepast ter handhaving van de beveiligingseisen. Die artikelen gelden echter ook voor de meldplicht (artikelen 10–12 Wbni) en zijn in zoverre wél op hen toepasbaar.
Artikel 5 (wijze waarop een incident wordt gemeld)
De melding moet worden gedaan op de wijze die wordt aangegeven door respectievelijk het NCSC, de bevoegde autoriteit en het CSIRT voor digitale diensten.10 Dit is bedoeld om het in behandeling nemen van de melding zo soepel mogelijk te laten verlopen. Denk bijvoorbeeld aan de situatie dat een bepaald telefoonnummer en een webformulier beschikbaar zijn gesteld voor meldingen. Er wordt overigens naar gestreefd om de meldplicht technisch zó in te richten dat het doen van de verschillende meldingen maar één handeling vergt, bijvoorbeeld door het aanvinken van meerdere instanties op een elektronisch formulier. Maar het artikel laat de mogelijkheid open voor het doen van afzonderlijke meldingen.
Het eerste lid gaat over het melden bij het NCSC door een AED of andere vitale aanbieder:
-
a. van een incident (artikel 10, eerste lid, onder a, Wbni) of bijna-ongeluk (een inbreuk die aanzienlijke gevolgen kán hebben, zie artikel 10, eerste lid, onder b, Wbni) bij die aanbieder;
-
b. van een incident bij een DSP met aanzienlijke gevolgen voor een AED (artikel 10, derde lid, Wbni).
Het tweede lid gaat over het melden bij de bevoegde autoriteit:
-
a. door een AED:
-
1°. van een incident bij die AED (artikel 10, tweede lid, Wbni) of
-
2°. van een incident bij een DSP met aanzienlijke gevolgen voor die AED (artikel 10, derde lid, Wbni);
-
-
b. door een DSP van een incident bij die DSP (artikel 13, eerste lid, onder b, Wbni).
Het derde lid gaat over het melden bij het CSIRT voor digitale diensten van een incident bij een DSP (artikel 13, eerste lid, onder a, Wbni).
Artikelen 6 en 7 (intrekking Bmc en inwerkingtreding Bbni)
Er wordt naar gestreefd om het Bbni in zijn geheel in werking te laten treden op 9 november 2018, de datum waarop AED’s door de lidstaten aangewezen moeten zijn (zie artikel 5, eerste lid, van de NIB-richtlijn). Tegelijk met de inwerkingtreding van het Bbni worden de Wgmc en het Bmc ingetrokken. Zekerheidshalve is in artikel 7 Bbni de mogelijkheid opengehouden van gefaseerde inwerkingtreding, overeenkomstig de formulering van artikel 35 Wbni.
De Minister van Justitie en Veiligheid,
X Noot
1Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194).
X Noot
2Processen die zo vitaal zijn voor de Nederlandse samenleving dat uitval of verstoring tot ernstige maatschappelijke ontwrichting leidt en een bedreiging vormt voor de nationale veiligheid, zie Kamerstukken II 2014/15, 30 821, nr. 23, Kamerstukken II 2015/16, 30 821, nr. 32, p. 5, en Kamerstukken II 2017/18, 29 517, nr. 136, p. 3.
X Noot
5Zie aanwijzing 9.4 van de Aanwijzingen voor de regelgeving: ‘Bij implementatie worden in de implementatieregeling geen andere regels opgenomen dan voor de implementatie noodzakelijk zijn.’
X Noot
6Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013 betreffende toegang tot het bedrijf van kredietinstellingen en het prudentieel toezicht op kredietinstellingen en beleggingsondernemingen, tot wijziging van Richtlijn 2002/87/EG en tot intrekking van de Richtlijnen 2006/48/EG en 2006/49/EG (PbEU 2013, L 176).
X Noot
7Richtlijn (EU) nr. 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (PbEU 2015, L 337).
X Noot
8Gedelegeerde verordening (EU) nr. 153/2013 van de Commissie van 19 december 2012 tot aanvulling van Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad met betrekking tot technische reguleringsnormen inzake vereisten voor centrale tegenpartijen (PbEU 2013, L 52).
X Noot
9Gedelegeerde Verordening (EU) 2017/584 van de Commissie van 14 juli 2016 houdende aanvulling van Richtlijn 2014/65/EU van het Europees Parlement en de Raad met betrekking tot technische reguleringsnormen ter specificatie van de organisatorische vereisten voor handelsplatformen (PbEU 2017, L 87).
X Noot
10Een CSIRT is een computer security incident response team als bedoeld in artikel 9 van de NIB-richtlijn, zie de begripsomschrijving in artikel 1 Wbni. Het NCSC is het CSIRT voor AED’s en andere vitale aanbieders. Het CSIRT voor digitale diensten is het CSIRT, aangewezen bij koninklijk besluit op grond van artikel 4, tweede lid, onder b, Wbni.
Permanente link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/stcrt-2019-1992.html