Staatscourant van het Koninkrijk der Nederlanden
| Datum publicatie | Organisatie | Jaargang en nummer | Rubriek | Datum ondertekening |
|---|---|---|---|---|
| Ministerie van Infrastructuur en Waterstaat | Staatscourant 2022, 27687 | ander besluit van algemene strekking |
Authentieke versie (PDF)
Informatie
Printen
Delen
Regeling van de Minister van Infrastructuur en Waterstaat, van 18 oktober 2022, nr. IENW/BSK-2022/141192, tot wijziging van de Regeling beveiliging netwerk- en informatiesystemen IenW in verband met het stellen van nadere regels voor de beveiliging van netwerk- en informatiesystemen van aanbieders van essentiële diensten in de sector vervoer, onderdelen spoorvervoer en wegvervoer
De Minister van Infrastructuur en Waterstaat,
Handelende na overleg met de Minister van Justitie en Veiligheid;
Gelet op artikel 3a, tweede lid, van het Besluit beveiliging netwerk- en informatiesystemen;
BESLUIT:
ARTIKEL I
In artikel 2, eerste lid, van de Regeling beveiliging netwerk- en informatiesystemen IenW vervalt ', onderdelen luchtvervoer en vervoer over water'.
Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.
De Minister van Infrastructuur en Waterstaat, M.G.J. Harbers
TOELICHTING
1. Inleiding
Op 1 juli 2021 is de Regeling beveiliging netwerk- en informatiesystemen IenW (Rbni IenW) in werking getreden. Deze regeling benoemt de aspecten waarover aanbieders van een essentiële dienst (AED’s) binnen het IenW-domein beleid, processen en procedures moeten ontwikkelen. De Rbni IenW bevat de uitwerking van de zorgplicht die is vastgelegd in de Wet beveiliging netwerk- en informatiesystemen (Wbni) en uitgewerkt in het Besluit beveiliging netwerk- en informatiesystemen (Bbni) in handhaafbare en uitvoerbare bepalingen. Deze regeling was voorheen alleen van toepassing op de sectoren drinkwater en vervoer, onderdelen luchtvervoer en vervoer over water. De onderdelen spoorvervoer en wegvervoer vielen daardoor buiten het toepassingsbereik van de Rbni IenW.
De Minister van Infrastructuur en Waterstaat heeft bij brief van 10 maart 2020 ('Vitaal beoordeling wegen en spoor')1 aan de Tweede Kamer de sectoronderdelen vervoer over het (hoofd)wegennet en vervoer over de (hoofd)spoorweginfrastructuur als vitaal aangemerkt. De minister heeft dit gedaan op basis van een onderzoek waarin de vitale status van spoorvervoer en wegvervoer is beoordeeld. Binnen deze onderdelen zijn recentelijk vitale aanbieders aangemerkt en enkele van die aanbieders zijn tevens aangewezen als AED’s.
In het verlengde hiervan is door de onderhavige regeling de passage ', onderdelen luchtvervoer en vervoer over water' in artikel 2, eerste lid, van de Rbni IenW vervallen. Met deze wijziging van de Rbni IenW is bewerkstelligd dat de gehele sector vervoer onder het toepassingsbereik van de Rbni IenW valt, met inbegrip van de onderdelen spoorvervoer en wegvervoer. Door middel van deze wijziging wordt ook voor het spoor- en wegvervoer beter aangesloten op best practice binnen de sector door het voorschrijven van een risico-gestuurd cybersecurity-managementsysteem.
2. Verhouding van Rbni IenW tot Wbni en Bbni
Met ingang van 9 november 2018 geldt de Wbni. Deze wet vormt met name de omzetting van richtlijn 2016/1148/EU, houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L194) (hierna de NIB-richtlijn). Samen met de Wbni is op 9 november 2018 ook het Bbni in werking getreden. In het Bbni worden onder meer de aanbieders van essentiële diensten aangewezen die onder de reikwijdte vallen van de verplichtingen van de Wbni. Tot die groep horen ook verschillende aanbieders in de sector vervoer die bij besluit van de Minister van Infrastructuur en Waterstaat als zodanig worden aangewezen. Voor spoorvervoer gaat het hierbij om infrastructuurbeheerders en spoorwegondernemingen zoals bedoeld in artikel 3 van richtlijn 2012/34/EU.2
Voor wegvervoer gaat het om wegenautoriteiten zoals bedoeld in artikel 2 van verordening (EU) 2015/9623 en exploitanten van intelligente vervoerssystemen zoals bedoeld in artikel 4 van richtlijn 2010/40/EU.4
De Rbni IenW biedt op basis van artikel 3a, tweede lid, van het Bbni de nadere regels over de maatregelen die AED’s ter beveiliging van hun netwerk- en informatiesystemen moeten nemen op grond van de artikelen 7 en 8 van de Wbni en die zijn geconcretiseerd in de bijlage bij artikel 3a, eerste lid, van het Bbni.
De wijzigingsregeling draagt ertoe bij dat de cyberweerbaarheid van AED’s in de sectoronderdelen vervoer over het spoor en vervoer over de weg aandacht krijgt. Aldus draagt de wijzigingsregeling bij aan verdere versterking van die weerbaarheid.
3. Toezicht en Handhaving
De Inspectie Leefomgeving en Transport is belast met het toezicht op de naleving van de Wbni. De Inspectie heeft een handhaafbaarheids-, uitvoerbaarheids- en fraudebestendigheidstoets (hierna: HUF-toets) op een concept van deze wijzigingsregeling uitgevoerd. Als gevolg van deze toets heeft de Inspectie gevraagd om te verduidelijken welke onderdelen van de aanbieder onder het toezicht vallen. Daarnaast vraagt de Inspectie om de drempelwaarde voor de meldplicht vast te stellen. Beide opmerkingen zijn opgepakt en leiden niet tot wijzigingen in de regeling. Met inachtneming van die opmerkingen oordeelt de Inspectie dat de regeling uitvoerbaar en handhaafbaar is.
4. Consultaties
Deze wijzigingsregeling is afgestemd met de Minister van Justitie en Veiligheid. De AED’s in het sectoronderdeel spoorvervoer zijn over deze regeling geïnformeerd in een informatiesessie op 11 mei 2022. De AED in het sectoronderdeel wegvervoer is reeds betrokken geweest bij het opstellen van de huidige Rbni IenW.
De internetconsultatie voor deze regeling heeft plaatsgevonden van 8 augustus tot 24 september 2022. De internetconsultatie heeft twee reacties opgeleverd, waaronder een die zag op de aankomende herziening van de NIB-richtlijn. Ten aanzien van de aankomende richtlijn is er voor gekozen om deze herziening niet af te wachten. De andere reactie had betrekking op de becijfering van de uitvoeringslasten en stelde dat deze te laag waren ingeschat. De uitvoeringslasten zijn een generalisatie, die gestoeld is op de aanname dat de aanbieder van een essentiële dienst reeds de verplichting had om passende maatregelen te nemen, op grond van de artikelen 7 en 8 van de Wbni en dat deze maatregelen ook al genomen zijn. De uitvoeringslasten op grond van deze regeling nemen dat als uitgangspunt en beogen te becijferen welke toename uit deze regeling voortvloeit. De reacties hebben niet geleid tot wijzigingen in de regeling.
5. Regeldruk
Deze regeling leidt tot een beperkte toename in de nalevingskosten voor de betrokken AED’s, omdat de bijlage van het Bbni aansluit op de maatregelen die men vaak al heeft genomen. De maatregelen in de Rbni IenW zijn een concretisering van de maatregelen die zij in de afgelopen periode al hebben genomen om te voldoen aan de zorgplicht in de Wbni en meer in het bijzonder moeten nemen om te kunnen voldoen aan de daaraan gestelde eisen in de bijlage bij artikel 3a van het Bbni. Voor de maatregelen in de Rbni IenW geldt namelijk dat ze meer in detail uitgewerkt zijn ten opzichte van de bijlage bij artikel 3a van het Bbni. Een aantal maatregelen is aanvullend op deze bijlage omdat zij een grotere mate van detail kennen. Voor de meeste maatregelen betreft de wijziging een meer geconcretiseerde vastlegging van bijvoorbeeld processen, procedures, beleid en uitkomsten.
Er is een differentiatie aan te brengen in de gevolgen voor verschillende groepen AED’s. Er zijn AED’s die een sectoraal normenkader hebben waar ze al aan moeten voldoen en AED’s die dit niet hebben; voor de laatste groep zijn de kosten hoger. Het normenkader dat deze AED’s gebruiken is ISO 27001/2 of vergelijkbaar. Voor AED’s die geen sectorspecifiek normenkader hebben, geldt dat er incidentele nalevingskosten zijn die samenhangen met het gestructureerd vastleggen van de maatregelen in een ISMS (Information Security Management System) en het afstemmen erover met het management.
Daarnaast is er een structurele toename in kosten. Voor AED’s die reeds een sectoraal normenkader hebben en toepassen is er alleen een structurele toename in kosten.
De totale incidentele toename van de regeldruk is becijferd op € 18.096 en de jaarlijkse structurele toename is becijferd op € 31.200.
Een concept van deze regeling is voorgelegd aan het Adviescollege toetsing regeldruk (ATR). Het ATR heeft het dossier niet geselecteerd voor een formeel advies, omdat het geen omvangrijke gevolgen voor de regeldruk heeft.
6. Inwerkingtreding
Deze regeling treedt in werking met ingang van 1 januari 2023. Dit is in overeenstemming met het beleid inzake vaste verandermomenten en invoeringstermijnen, zoals opgenomen in aanwijzing 4.17 van de Aanwijzingen voor de regelgeving.
De Minister van Infrastructuur en Waterstaat, M.G.J. Harbers
X Noot
2Richtlijn 2012/34/EU van het Europees Parlement en de Raad van 21 november 2012 tot instelling van één Europese spoorwegruimte (PbEU 2012, L 343/32).
X Noot
3Verordening (EU) 2015/962 van de commissie van 18 december 2014 ter aanvulling van Richtlijn 2010/40/EU van het Europees Parlement en de Raad wat de verlening van EU-wijde realtimeverkeersinformatiediensten betreft (PbEU 2015, L 157/21).
X Noot
4Richtlijn 2010/40/EU van het Europees Parlement en de Raad van 7 juli 2010 betreffende het kader voor het invoeren van intelligente vervoerssystemen op het gebied van wegvervoer en voor interfaces met andere vervoerswijzen (PbEU 2010, L 207/1).
Permanente link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/stcrt-2022-27687.html