﻿<?xml version="1.0" encoding="utf-8"?>
<officiele-publicatie xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://technische-documentatie.oep.overheid.nl/repository/schemas/op-consolidated/op-consolidated_2014-05-15/xsd/op-xsd-2014-05-15.xsd">
  <metadata>
    <meta name="OVERHEIDop.externMetadataRecord" scheme="" content="https://zoek.officielebekendmakingen.nl/stcrt-2026-24023/metadata.xml" />
  </metadata>
  <kop>
    <titel>STAATSCOURANT</titel>
    <subtitel>Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.</subtitel>
  </kop>
  <staatscourant>
    <intitule>Advies Raad van State inzake het ontwerp van een Besluit houdende regels ter uitvoering
      van de Cyberbeveiligingswet (Cyberbeveiligingsbesluit)</intitule>
    <adviesRvS>
      <nader-rapport>
        <kop>
          <titel>Nader Rapport</titel>
        </kop>
        <context>
          <context.al type="datum">29 juni 2026,</context.al>
          <context.al type="kenmerk">Nr. 7726213,</context.al>
          <context.al type="origine">Directie Wetgeving en Juridische Zaken,</context.al>
          <context.al type="origine">Ministerie van Justitie en Veiligheid.</context.al>
        </context>
        <vrije-tekst>
          <tekst status="goed">
            <al>Aan de Koning</al>
            <al>
              <nadruk type="vet">Nader rapport inzake het ontwerp van een Besluit houdende regels
                  ter uitvoering van de Cyberbeveiligingswet
               (Cyberbeveiligingsbesluit)</nadruk>
            </al>
            <al>Blijkens de mededeling van de Directeur van Uw Kabinet van 22 mei 2026,
               nr. 2026001155, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State
               haar advies inzake het bovenvermelde ontwerp van een algemene maatregel van bestuur
               rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 27 mei 2026,
               nr. W16.26.00143/II, bied ik U hierbij aan.</al>
            <al>De tekst van het advies treft U hieronder cursief aan, voorzien van mijn
               reactie.</al>
            <al>
              <nadruk type="cur">Bij Kabinetsmissive van 22 mei 2026, no.2026001155, heeft Uwe
                  Majesteit, op voordracht van de Minister van Justitie en Veiligheid, bij de
                  Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het
                  ontwerpbesluit houdende regels ter uitvoering van de Cyberbeveiligingswet
                  (Cyberbeveiligingsbesluit), met nota van toelichting.</nadruk>
            </al>
          </tekst>
          <divisie opmaak="default">
            <kop>
              <titel>Samenvatting</titel>
            </kop>
            <al-groep>
              <al>
                <nadruk type="cur">Het ontwerp-Cyberbeveiligingsbesluit (hierna: het
                     ontwerpbesluit) geeft uitvoering aan de nieuwe Cyberbeveiligingswet (hierna:
                     Cbw), die op haar beurt uitvoering geeft aan een Europese richtlijn ter
                     verhoging van de digitale veiligheid van zogeheten ‘essentiële entiteiten’ en
                     ‘belangrijke entiteiten’.<noot id="n36" type="voet"><noot.nr>1</noot.nr><noot.al><nadruk type="cur">Richtlijn (EU) 2022/2555 van het Europees Parlement en de
                              Raad van 14 december 2022 betreffende maatregelen voor een hoog
                              gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van
                              Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot
                              intrekking van Richtlijn (EU) 2016/1148 (PbEU 2022,
                           L 333).</nadruk></noot.al></noot> Dit zijn overheidsorganisaties en (ICT-)ondernemingen die van cruciaal
                     belang zijn voor kritieke maatschappelijke functies, economische activiteiten,
                     de volksgezondheid of openbare veiligheid. Het ontwerpbesluit verplicht deze
                     essentiële en belangrijke entiteiten om:</nadruk>
              </al>
              <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                <li>
                  <li.nr>–</li.nr>
                  <al>
                    <nadruk type="cur">maatregelen te treffen om incidenten te
                           voorkomen,</nadruk>
                  </al>
                </li>
                <li>
                  <li.nr>–</li.nr>
                  <al>
                    <nadruk type="cur">zich voor te bereiden op incidenten, en</nadruk>
                  </al>
                </li>
                <li>
                  <li.nr>–</li.nr>
                  <al>
                    <nadruk type="cur">incidenten te melden bij de verantwoordelijke
                           minister.</nadruk>
                  </al>
                </li>
              </lijst>
            </al-groep>
            <al>
              <nadruk type="cur">Het ontwerpbesluit loopt gelijk op met het Ontwerpbesluit
                  weerbaarheid kritieke entiteiten, dat een vergelijkbare regeling bevat voor het
                  versterken van de fysieke weerbaarheid van kritieke entiteiten.<noot id="n37" type="voet"><noot.nr>2</noot.nr><noot.al><nadruk type="cur">Zaak W16.26.00142.</nadruk></noot.al></noot> De Afdeling brengt over beide ontwerpbesluiten gelijktijdig advies
                  uit.</nadruk>
            </al>
            <al>
              <nadruk type="cur">In het ontwerpbesluit is bepaald dat één categorie
                  persoonsgegevens (gegevens die worden verwerkt door de verantwoordelijke
                  ministers) tien jaar lang bewaard blijft. De Afdeling merkt op dat het niet
                  gewenst is om alle persoonsgegevens zo’n lange tijd te bewaren. Die lange termijn
                  is alleen nodig voor gegevens die noodzakelijk zijn voor het voeren van
                  toezichttrajecten en bestuursrechtelijke procedures. Bij een andere categorie
                  persoonsgegevens (gegevens in het nationale register van essentiële entiteiten,
                  belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen)
                  geldt dat de vernietigingstermijn van vijf jaar telkens uitgesteld kan worden. De
                  Afdeling adviseert een objectieve bewaartermijn vast te stellen.</nadruk>
            </al>
            <al>
              <nadruk type="cur">Verder wordt in het ontwerpbesluit voorgesteld dat de vakminister
                  kan voorschrijven in welke gevallen een essentiële of belangrijke entiteit een
                  significant incident moet melden. Volgens de toelichting hoeven die regels niet
                  openbaar te worden gemaakt. De Afdeling begrijpt het belang hiervan met het oog op
                  de veiligheid. De vraag is echter hoe verzekerd kan worden dat de regels
                  vertrouwelijk worden behandeld binnen de essentiële of belangrijke
                  entiteit.</nadruk>
            </al>
            <al>
              <nadruk type="cur">Het ontwerpbesluit voorziet erin dat de vakminister voor
                  specifieke sectoren een apart Computer security incident response team (hierna:
                  CSIRT) aanwijst. CSIRT’s spelen een belangrijke rol bij het ondersteunen van
                  essentiële en belangrijke entiteiten. De Afdeling stelt de vraag of het aanwijzen
                  van zo’n CSIRT niet zou moeten plaatsvinden bij algemene maatregel van bestuur of
                  in overeenstemming met de minister van Justitie.</nadruk>
            </al>
            <al>
              <nadruk type="cur">Tot slot adviseert de Afdeling in de toelichting aandacht te
                  besteden aan de nafase nadat een significant incident heeft plaatsgevonden bij een
                  belangrijke of essentiële entiteit.</nadruk>
            </al>
            <al>
              <nadruk type="cur">In verband met deze opmerkingen is aanpassing wenselijk van het
                  ontwerpbesluit en de toelichting.</nadruk>
            </al>
          </divisie>
          <divisie opmaak="default">
            <kop>
              <nr status="officieel">1.</nr>
              <titel>De termijn voor het bewaren van persoonsgegevens</titel>
            </kop>
            <divisie opmaak="default">
              <kop>
                <nr status="officieel">a.</nr>
                <titel>Noodzaak van een bewaartermijn van tien jaar</titel>
              </kop>
              <al>
                <nadruk type="cur">In het ontwerpbesluit worden verschillende onderdelen uit de
                     Cbw nader ingevuld. Zo worden onder meer eisen gesteld waaraan CSIRT’s moeten
                     voldoen. Ook wordt voorgeschreven welke maatregelen de essentiële of
                     belangrijke entiteit ten minste moet nemen om aan de zorgplicht te voldoen.
                     Daarnaast worden termijnen gesteld voor het bewaren van
                     persoonsgegevens.</nadruk>
              </al>
              <al>
                <nadruk type="cur">Persoonsgegevens die door de verantwoordelijke ministers
                     worden verwerkt, hebben volgens het ontwerpbesluit een uiterste bewaartermijn
                     van 120 maanden.<noot id="n38" type="voet"><noot.nr>3</noot.nr><noot.al><nadruk type="cur">Artikel 29, derde lid, Cbb.</nadruk></noot.al></noot> De Autoriteit persoonsgegevens heeft opgemerkt dat de noodzaak van deze
                     termijn onvoldoende is gemotiveerd.<noot id="n39" type="voet"><noot.nr>4</noot.nr><noot.al><nadruk type="cur">Advies van 10 april 2025, kenmerk gelakt, blz.
                           3.</nadruk></noot.al></noot> In de artikelsgewijze toelichting schrijft de regering dat deze termijn
                     noodzakelijk is vanwege langlopende toezichtstrajecten en bijhorende
                     bestuursrechtelijke procedures, waarvan niet uitgesloten is dat deze een
                     kortere bewaartermijn zullen overschrijden.<noot id="n40" type="voet"><noot.nr>5</noot.nr><noot.al><nadruk type="cur">Toelichting op artikel 29, zesde
                           tekstblok.</nadruk></noot.al></noot></nadruk>
              </al>
              <al>
                <nadruk type="cur">De Afdeling merkt op dat niet aannemelijk is gemaakt dat het
                     nodig is om alle gegevens tien jaar te bewaren, alleen omdat een klein deel van
                     de gegevens noodzakelijk is voor langlopende toezichtstrajecten en
                     bestuursrechtelijke procedures (beginsel van minimale gegevensverwerking). De
                     meeste gegevens die bewaard moet worden zijn geen historische gegevens, maar
                     actuele gegevens waarmee de betrokkenen elkaar moeten kunnen bereiken, zoals
                     e-mailadressen en telefoonnummers.<noot id="n41" type="voet"><noot.nr>6</noot.nr><noot.al><nadruk type="cur">Toelichting op artikel 29, vierde
                           tekstblok.</nadruk></noot.al></noot> De bewaartermijn van tien jaar kan dan ook worden beperkt tot de kleine
                     categorie van gegevens die noodzakelijk is voor toezichts- en
                     bestuursrechtelijke procedures.<noot id="n42" type="voet"><noot.nr>7</noot.nr><noot.al><nadruk type="cur">Zo’n uitzondering komt vaker voor in wetgeving,
                              bijvoorbeeld artikel 1.8, zevende lid, van de Wet gegevensverwerking
                              door samenwerkingsverbanden.</nadruk></noot.al></noot></nadruk>
              </al>
              <al>
                <nadruk type="cur">De Afdeling adviseert om voor gegevens die niet noodzakelijk
                     zijn voor toezicht en bestuursrechtelijke procedures een kortere bewaartermijn
                     vast te stellen.</nadruk>
              </al>
              <al>Naar aanleiding van dit advies van de Afdeling is in artikel 29, derde lid, van
                  het ontwerp van het Cyberbeveiligingsbesluit (hierna: Cbb) de daarin genoemde
                  termijn van 120 maanden veranderd naar 60 maanden en is vervolgens een nieuw lid
                  (vierde lid) toegevoegd. In artikel 29, vierde lid, Cbb is geregeld dat voor de
                  persoonsgegevens die de bevoegde autoriteit bij of krachtens de
                  Cyberbeveiligingswet (hierna: Cbw) verwerkt met het oog op toezichtstrajecten en
                  daarmee samenhangende bestuursrechtelijke procedures een maximale bewaartermijn
                  geldt van 120 maanden. In de nota van toelichting op het ontwerpbesluit is de
                  artikelsgewijze toelichting op artikel 29 Cbb aangepast in lijn met de hiervoor
                  genoemde aanpassingen.</al>
            </divisie>
            <divisie opmaak="default">
              <kop>
                <nr status="officieel">b.</nr>
                <titel>Criterium bij de bewaartermijn</titel>
              </kop>
              <al>
                <nadruk type="cur">Het concept van het besluit zoals voorgelegd aan de Autoriteit
                     Persoonsgegevens bepaalde dat persoonsgegevens in het nationale register van
                     essentiële entiteiten, belangrijke entiteiten en entiteiten die
                     domeinnaamregistratiediensten verlenen maximaal 60 maanden na de laatste
                     wijziging worden bewaard. De AP merkte over het criterium ‘na de laatste
                     wijziging’ op dat deze gegevens naar verwachting steeds aangepast of gewijzigd
                     moeten worden, zodat deze gegevens in de praktijk oneindig bewaard kunnen
                        worden.<noot id="n43" type="voet"><noot.nr>8</noot.nr><noot.al><nadruk type="cur">Advies AP van 20 februari 2025, kenmerk
                           005745.</nadruk></noot.al></noot> Om aan deze opmerking tegemoet te komen is de bewaartermijn gewijzigd
                     in 60 maanden na de laatste bevestiging van de juistheid van de betreffende
                        persoonsgegevens.<noot id="n44" type="voet"><noot.nr>9</noot.nr><noot.al><nadruk type="cur">Artikel 29, tweede lid; paragraaf 4.2 (Advies AP) van de
                              toelichting.</nadruk></noot.al></noot></nadruk>
              </al>
              <al>
                <nadruk type="cur">De vraag rijst of dit criterium wel voldoende waarborgen
                     biedt. Met de gekozen constructie lijkt de peildatum van de bewaartermijn
                     immers steeds opnieuw aan te kunnen vangen na een nieuwe bevestiging van de
                     juistheid van de betreffende persoonsgegevens. De Afdeling merkt op dat dit het
                     risico met zich brengt dat gegevens aanmerkelijk langer kunnen worden bewaard
                     dan de beoogde maximale termijn van 60 maanden. Mede met het oog op de
                     rechtszekerheid van alle betrokkenen dient een objectief vast te stellen
                     bewaartermijn te worden geregeld.<noot id="n45" type="voet"><noot.nr>10</noot.nr><noot.al><nadruk type="cur">Zie in dit verband ook het advies van 10 december 2025,
                              W16.25.00308, over het Besluit bestuursrechtelijke aanpak online
                              kinderpornografisch materiaal, punt 2, en het advies van 4 januari
                              2024, W16.23.00391, over de Wet gemeentelijk toezicht seksbedrijven,
                              nog geen nader rapport.</nadruk></noot.al></noot></nadruk>
              </al>
              <al>
                <nadruk type="cur">De Afdeling adviseert de regeling van de bewaartermijn in het
                     licht van het voorgaande aan te passen.</nadruk>
              </al>
              <al>Voor de persoonsgegevens die zijn opgenomen in het nationale register van
                  entiteiten, bedoeld in artikel 43 Cbw, geldt op grond van artikel 29, tweede lid,
                  Cbb primair dat deze niet langer worden bewaard dan noodzakelijk is voor de
                  uitvoering van de taken van de Minister van Justitie en Veiligheid op grond van
                  artikel 43 Cbw. Daarin verschilt het bepaalde in artikel 29, tweede lid, Cbb dus
                  niet van bijvoorbeeld de regeling van het bewaren van persoonsgegevens in het
                  kader van de taken van een Computer security incident response team (hierna:
                  CSIRT). Specifiek voor gegevens die zijn opgenomen in het nationale register geldt
                  echter dat alle essentiële entiteiten en belangrijke entiteiten op grond van
                  artikel 44 Cbw (dat strekt tot uitwerking van artikel 3, derde en vierde lid,
                  NIS2-richtlijn) verplicht zijn onder meer hun actuele contactgegevens aan de
                  Minister van Justitie en Veiligheid te verstrekken ten behoeve van het register.
                  Ook moeten zij telkens onverwijld wijzigingen in die gegevens melden aan de
                  Minister van Justitie en Veiligheid. Wanneer er bijvoorbeeld een melding wordt
                  gemaakt van een wijziging van contactgegevens van de entiteit, zullen de
                  verouderde (persoons)gegevens op een zo kort mogelijke termijn worden vernietigd.
                  De noodzaak voor het verwerken van die (persoons)gegevens is dan immers komen te
                  vervallen.</al>
              <al>Het kan voorkomen dat van een essentiële entiteit of belangrijke entiteit binnen
                  een periode van vijf jaar geen wijziging van bijvoorbeeld contactgegevens wordt
                  ontvangen. In die gevallen zal, met het oog op het bepalen van de noodzakelijkheid
                  van het blijven verwerken van die gegevens, aan die entiteit proactief binnen vijf
                  jaar worden gevraagd of de gegevens nog steeds juist en actueel zijn. Bij een
                  bevestiging daarvan geldt dat het bewaren hiervan nog steeds noodzakelijk is voor
                  de uitvoering van de taken van de Minister van Justitie en Veiligheid met
                  betrekking tot het register. Deze gegevens zullen dan ook bewaard blijven worden
                  tot het moment dat de noodzakelijkheid hiervan vanwege een wettelijke verplichte
                  melding door de entiteit van een wijziging van gegevens komt te ontvallen. Bij het
                  uitblijven van een dergelijke bevestiging zullen de gegevens uiteraard worden
                  verwijderd, vanwege het verstrijken van de in artikel 29, tweede lid, Cbb
                  opgenomen termijn van vijf jaar na de bevestiging van de juistheid van die
                  gegevens. Daarbij geldt nadrukkelijk dat na de eerste bevestiging van de juistheid
                  van gegevens, binnen vijf jaar opnieuw door de Minister van Justitie en Veiligheid
                  wordt gecontroleerd of gegevens nog juist en actueel zijn en dat bij het
                  uitblijven van een bevestiging daarvan die gegevens ook dan zullen worden
                  verwijderd. Dit betekent in de praktijk dat de controle van de gegevens tijdig zal
                  moeten worden gedaan zodat entiteiten voldoende reactietijd hebben. Daarmee wordt
                  in voldoende mate recht gedaan aan de rechtszekerheid van betrokkenen.</al>
              <al>Het kan voorkomen dat een contactpersoon meer dan vijf jaar als zodanig fungeert
                  en diens gegevens, na controle en de bevestiging van de juistheid daarvan, voor
                  een langere periode dan vijf jaar worden bewaard, maar ook dan wordt met de
                  regeling in artikel 29, tweede lid, Cbb zo veel mogelijk geborgd dat het bewaren
                  van die gegevens niet langer dan noodzakelijk plaatsvindt.</al>
              <al>Gelet op het voorgaande wordt geen aanleiding gezien voor een aanpassing van
                  artikel 29, tweede lid, Cbb.</al>
            </divisie>
          </divisie>
          <divisie opmaak="default">
            <kop>
              <nr status="officieel">2.</nr>
              <titel>Bindende criteria die niet openbaar worden gemaakt</titel>
            </kop>
            <al>
              <nadruk type="cur">In de Cbw is een ‘significant incident’ een centraal begrip. Een
                  essentiële of belangrijke entiteit moet incidenten die de dienstverlening ernstig
                  verstoren of financiële verliezen voor de entiteit veroorzaken, melden bij de
                  verantwoordelijke minister.<noot id="n46" type="voet"><noot.nr>11</noot.nr><noot.al><nadruk type="cur">Artikel 25, eerste tot en met tweede lid,
                        Cbw.</nadruk></noot.al></noot> Als het incident niet ‘significant’ is, hoeft dat niet. Bij of krachtens
                  algemene maatregel van bestuur worden de criteria vastgesteld om te bepalen of een
                  incident ‘significant’ is.<noot id="n47" type="voet"><noot.nr>12</noot.nr><noot.al><nadruk type="cur">Artikel 25, derde lid, Cbw.</nadruk></noot.al></noot></nadruk>
            </al>
            <al>
              <nadruk type="cur">Het ontwerpbesluit werkt deze criteria verder uit. De vakminister
                  kan (na overleg met de minister van J&amp;V) de criteria vaststellen bij
                  ministeriële regeling. Voor specifieke entiteiten kan hij die criteria daarnaast
                  vaststellen bij besluit.<noot id="n48" type="voet"><noot.nr>13</noot.nr><noot.al><nadruk type="cur">Artikel 23, eerste lid, Cbb.</nadruk></noot.al></noot> Dit laatste biedt de mogelijkheid om criteria vast te stellen die niet
                  geopenbaard hoeven te worden wanneer dit voor specifieke entiteiten en voor de
                  nationale veiligheid onaanvaardbare risico’s met zich kan meebrengen, zo stelt de
                     toelichting.<noot id="n49" type="voet"><noot.nr>14</noot.nr><noot.al><nadruk type="cur">Toelichting op artikel 23, tweede
                        tekstblok.</nadruk></noot.al></noot></nadruk>
            </al>
            <al>
              <nadruk type="cur">Deze keuze van de regering is begrijpelijk. Algemeen verbindende
                  voorschriften kunnen niet in werking treden als ze niet bekend, en daarmee
                  openbaar, zijn gemaakt.<noot id="n50" type="voet"><noot.nr>15</noot.nr><noot.al><nadruk type="cur">Artikelen 88 en 89 van de Grondwet; artikel 8 van de
                           Bekendmakingswet.</nadruk></noot.al></noot> Besluiten kunnen worden bekendgemaakt door toezending of uitreiking aan de
                     belanghebbenden.<noot id="n51" type="voet"><noot.nr>16</noot.nr><noot.al><nadruk type="cur">Artikel 3:41, eerste ld, van de Algemene wet
                           bestuursrecht.</nadruk></noot.al></noot> Verdere verspreiding van zulke besluiten is geen voorwaarde voor
                  inwerkingtreding. De entiteit kan de criteria, opgenomen in het besluit, dus
                  vertrouwelijk behandelen.</nadruk>
            </al>
            <al>
              <nadruk type="cur">Dit roept wel de vraag op hoe verzekerd is dat de entiteit en
                  haar medewerkers het besluit inderdaad vertrouwelijk behandelen. Sommige
                  entiteiten zijn bestuursorganen; voor hen geldt de algemene verplichting om
                  gegevens die een vertrouwelijk karakter hebben geheim te houden.<noot id="n52" type="voet"><noot.nr>17</noot.nr><noot.al><nadruk type="cur">Artikel 2:5 van de Algemene wet bestuursrecht. Tegen deze
                           verplichting kan overigens niet handhavend worden
                        opgetreden.</nadruk></noot.al></noot> Andere entiteiten vallen niet onder de overheid en dus ook niet onder de
                  algemene geheimhoudingsplicht.</nadruk>
            </al>
            <al>
              <nadruk type="cur">De Afdeling adviseert in de toelichting in te gaan op de vraag
                  hoe verzekerd is dat de hier bedoelde besluiten vertrouwelijk worden
                  behandeld.</nadruk>
            </al>
            <al>Artikel 23, eerste lid, Cbb bepaalt dat bij regeling van de vakminister de criteria
               kunnen worden vastgesteld op basis waarvan wordt bepaald of er sprake is van een
               significant incident dat op grond van artikel 25 Cbw moet worden gemeld. Deze
               criteria staan ook bekend als drempelwaarden. In plaats van het vaststellen van die
               drempelwaarden bij ministeriële regeling, kan de vakminister besluiten om de
               drempelwaarden ten aanzien van specifieke entiteiten bij besluit vast te stellen.
               Voor dat laatste is reden gezien, omdat openbaarmaking van drempelwaarden ten aanzien
               van specifieke entiteiten onaanvaardbare risico’s voor de betrokken entiteiten met
               zich kan meebrengen, en gelet daarop mogelijk ook voor de nationale veiligheid.</al>
            <al>De Afdeling vraagt er terecht aandacht voor dat, wanneer de drempelwaarden bij
               besluit worden vastgesteld, dat dan ook gewaarborgd moet zijn dat een dergelijk
               besluit door de betrokken entiteit en haar personeel vertrouwelijk zal worden
               behandeld. Naar aanleiding van bovenstaand advies van de Afdeling is aan artikel 23
               Cbb een nieuw (vierde) lid toegevoegd, waarin wordt geregeld dat entiteiten ervoor
               moeten zorgen dat een ten aanzien van hen genomen ministerieel besluit met
               drempelwaarden binnen hun organisatie vertrouwelijk wordt behandeld. Ook is de
               artikelsgewijze toelichting op artikel 23 Cbb op dit punt aangevuld.</al>
          </divisie>
          <divisie opmaak="default">
            <kop>
              <nr status="officieel">3.</nr>
              <titel>Niveau waarop CSIRT’s worden aangewezen</titel>
            </kop>
            <al-groep>
              <al>
                <nadruk type="cur">Het stelsel voor cyberbeveiliging kent een centrale rol toe
                     aan zogeheten Computer security incident response teams (hierna: CSIRT’s). Een
                     CSIRT heeft als taak om, kort gezegd,</nadruk>
              </al>
              <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                <li>
                  <li.nr>–</li.nr>
                  <al>
                    <nadruk type="cur">cyberdreigingen, kwetsbaarheden en incidenten te
                           monitoren,</nadruk>
                  </al>
                </li>
                <li>
                  <li.nr>–</li.nr>
                  <al>
                    <nadruk type="cur">de netwerk- en informatiesystemen van essentiële of
                           belangrijke entiteiten te monitoren,</nadruk>
                  </al>
                </li>
                <li>
                  <li.nr>–</li.nr>
                  <al>
                    <nadruk type="cur">de entiteiten bij te staan, ook bij incidenten,
                           en</nadruk>
                  </al>
                </li>
                <li>
                  <li.nr>–</li.nr>
                  <al>
                    <nadruk type="cur">het publiek te informeren over een significant
                              incident.<noot id="n53" type="voet"><noot.nr>18</noot.nr><noot.al><nadruk type="cur">Artikelen 16, tweede lid, 36 en 37
                                 Cbw.</nadruk></noot.al></noot></nadruk>
                  </al>
                </li>
              </lijst>
            </al-groep>
            <al>
              <nadruk type="cur">Bij of krachtens algemene maatregel van bestuur wordt voor elke
                  essentiële entiteit en elke belangrijke entiteit een CSIRT aangewezen.<noot id="n54" type="voet"><noot.nr>19</noot.nr><noot.al><nadruk type="cur">Artikel 16, eerste lid, Cbw.</nadruk></noot.al></noot></nadruk>
            </al>
            <al>
              <nadruk type="cur">In het ontwerpbesluit wordt alleen de minister van Justitie en
                  Veiligheid aangewezen als CSIRT. Die taak zal worden uitgeoefend door het
                  Nationaal Cyber Security Centrum, een onderdeel van het Ministerie.<noot id="n55" type="voet"><noot.nr>20</noot.nr><noot.al><nadruk type="cur">Toelichting op artikel 2, eerste lid. Artikelen 2, derde lid,
                           onderdeel a, onder 3, en 63h1 van het Organisatiebesluit Ministerie van
                           Justitie en Veiligheid.</nadruk></noot.al></noot> Wel kan ook een vakminister bij ministeriële regeling een andere
                  organisatie als CSIRT aanwijzen voor entiteiten die actief zijn op het terrein van
                  die minister. Hij doet dit na overleg met de minister van J&amp;V; formele
                  instemming van de minister van J&amp;V is dus niet vereist. Wanneer een
                  vakminister een organisatie aanwijst als CSIRT, beperkt dat het werkterrein van de
                  minister van J&amp;V als algemene CSIRT.</nadruk>
            </al>
            <al-groep>
              <al>
                <nadruk type="cur">Volgens de toelichting zullen langs deze route in ieder geval
                     drie bestaande organisaties als CSIRT worden aangewezen:<noot id="n56" type="voet"><noot.nr>21</noot.nr><noot.al><nadruk type="cur">Toelichting op artikel 2, tweede lid.</nadruk></noot.al></noot></nadruk>
              </al>
              <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                <li>
                  <li.nr>–</li.nr>
                  <al>voor de zorgsector: Z-CERT,</al>
                </li>
                <li>
                  <li.nr>–</li.nr>
                  <al>voor de gemeenten: de Informatiebeveiligingsdienst, onderdeel van VNG
                        Realisatie BV,</al>
                </li>
                <li>
                  <li.nr>–</li.nr>
                  <al>voor de waterschappen: het CERT Watermanagement, dat nu nog een onderdeel
                        is van de gemeenschappelijke regeling van waterschappen.</al>
                </li>
              </lijst>
            </al-groep>
            <al>
              <nadruk type="cur">Een CSIRT heeft geen dwingende overheidsbevoegdheden, maar speelt
                  wel een centrale rol bij het uitwisselen en openbaar maken van informatie rond
                  situaties waarin essentiële veiligheid in het geding is. De vraag kan gesteld
                  worden of de ministeriële regeling het meest passende instrument is om een CSIRT
                  aan te wijzen en daarmee de bevoegdheid van de minister van J&amp;V te beperken.
                  De ministeriële regeling is immers bedoeld voor administratieve voorschriften,
                  details of bepalingen die snel gewijzigd moeten kunnen worden,<noot id="n57" type="voet"><noot.nr>22</noot.nr><noot.al><nadruk type="cur">Aanwijzing 2.24 van de Aanwijzingen voor de
                           regelgeving.</nadruk></noot.al></noot> maar niet voor belangrijke beleidsbeslissingen.</nadruk>
            </al>
            <al>
              <nadruk type="cur">De Afdeling adviseert daarom alle CSIRT’s aan te wijzen bij
                  algemene maatregel van bestuur.</nadruk>
            </al>
            <al>In artikel 2, tweede lid, Cbb is geregeld dat voor essentiële entiteiten en
               belangrijke entiteiten uit specifieke (sub)sectoren en voor specifieke soorten
               entiteiten een ander CSIRT dan de Minister van Justitie en Veiligheid (in de
               praktijk: het Nationaal Cyber Security Centrum) kan worden aangewezen. Die aanwijzing
               geschiedt bij regeling van de vakminister. Het kunnen aanwijzen van een ander CSIRT
               dan de Minister van Justitie en Veiligheid bij ministeriële regeling, en niet bij
               algemene maatregel van bestuur, is van belang om snel en flexibel in te kunnen spelen
               op het dynamische cybersecuritylandschap. Binnen dit landschap geldt dat nieuwe
               organisaties zich voor specifieke sectoren, subsectoren of soorten entiteiten kunnen
               aandienen met specifieke kennis over die sectoren, subsectoren of soorten entiteiten.
               Zij zijn dan bij uitstek de geschikte organisatie om te fungeren als het CSIRT voor
               de entiteiten uit die (sub)sectoren of voor die bedoelde soorten entiteiten. Gelet op
               het dynamische cyberlandschap is het van belang om daar telkens zo snel en flexibel
               mogelijk op in te kunnen spelen.</al>
            <al>De Afdeling heeft in de samenvatting van haar advies de vraag gesteld of het door
               een vakminister aanwijzen van een andere organisatie als het CSIRT voor bijvoorbeeld
               entiteiten uit een specifieke sector, niet zou moeten plaatsvinden in overeenstemming
               met de Minister van Justitie en Veiligheid. Naar aanleiding hiervan is in artikel 2,
               tweede lid, Cbb ‘na overleg met’ vervangen door ‘in overeenstemming met’. In
               samenhang hiermee is ervoor gekozen om ook in artikel 3, tweede lid, Cbb, op basis
               waarvan de Minister van Justitie en Veiligheid bij ministeriële regeling nadere
               regels kan stellen over eisen waaraan CSIRT’s moeten voldoen, eveneens ‘na overleg
               met’ te vervangen door ‘in overeenstemming met’. Tevens is de nota van toelichting in
               lijn met deze aanpassingen gewijzigd.</al>
          </divisie>
          <divisie opmaak="default">
            <kop>
              <nr status="officieel">4.</nr>
              <titel>Fase na de aanzienlijke verstoring</titel>
            </kop>
            <al>
              <nadruk type="cur">In de wet en het ontwerpbesluit is geregeld dat de belangrijke of
                  essentiële entiteit maatregelen moet nemen om een significant incident te
                  voorkomen, zoals het opstellen van een plan hoe met een incident moet worden
                  omgegaan. De toelichting gaat echter niet in op wat verwacht wordt van een
                  belangrijke of essentiële entiteit in de fase na een significant incident heeft
                  plaatsgevonden. Hierbij kan gedacht worden aan het wettelijk verplichte evalueren
                  van de maatregelen die voortvloeien uit de zorgplicht.<noot id="n58" type="voet"><noot.nr>23</noot.nr><noot.al><nadruk type="cur">Artikel 18 Cbb.</nadruk></noot.al></noot> Maar ook aan niet-verplichte stappen die een belangrijke of essentiële
                  entiteit kan nemen in de fase nadat een significant incident is afgesloten, zoals
                  het bieden van nazorg aan personeel, klanten en aanvullende trainingen.<noot id="n59" type="voet"><noot.nr>24</noot.nr><noot.al><nadruk type="cur">Zie bijvoorbeeld ook de thema’s uit de Themalijst Nafase en
                           herstel uit het Nationaal Handboek Crisisbeheersing van het Ministerie
                           van Justitie en Veiligheid.</nadruk></noot.al></noot></nadruk>
            </al>
            <al>
              <nadruk type="cur">De Afdeling adviseert in de toelichting aandacht te besteden aan
                  de nafase nadat een significant incident heeft plaatsgevonden bij een belangrijke
                  of essentiële entiteit.</nadruk>
            </al>
            <al>De nazorg aan klanten van een essentiële entiteit of belangrijke entiteit in geval
               van een significant incident wordt voorzien in artikel 30, eerste lid, Cbw. Daarin is
               bepaald dat een essentiële entiteit of belangrijke entiteit de ontvangers van haar
               diensten in kennis moet stellen van significante incidenten die een nadelige invloed
               kunnen hebben op de verlening van die diensten. Daarnaast geldt overigens op grond
               van artikel 30, tweede lid, Cbw dat een essentiële entiteit of belangrijke entiteit
               de ontvangers van haar diensten, die mogelijk getroffen worden door een significante
               dreiging in relatie tot het ontvangen van die diensten, onverwijld mededeelt welke
               maatregelen die ontvangers kunnen nemen in reactie op die dreiging. Ook moet de
               entiteit indien nodig die ontvangers in kennis stellen van de desbetreffende
               significante cyberdreiging.</al>
            <al>Voor wat de nazorg binnen een essentiële entiteit en belangrijke entiteit betreft,
               wordt opgemerkt dat zij, in het kader van de voor hen geldende wettelijke zorgplicht,
               op grond van het bepaalde in hoofdstuk 4 Cbb gehouden zijn tot maatregelen in relatie
               tot (al dan niet significante) incidenten met betrekking tot hun netwerk- en
               informatiesystemen. Zo is in artikel 8 Cbb bepaald dat deze entiteiten beleid over
               incidentenbehandeling moeten vaststellen en toepassen, dat zij in het kader daarvan
               rollen en verantwoordelijkheden moeten vaststellen voor onder meer het leren van
               incidenten, en dat zij processen en procedures moeten vaststellen voor onder meer het
               leren van incidenten. Naar aanleiding van het advies van de Afdeling op dit punt is
               in de nota van toelichting in de artikelsgewijze toelichting op artikel 8 Cbb
               verduidelijkt dat deze voorgeschreven maatregelen nadrukkelijk ook betrekking zullen
               moeten hebben op de nazorg aan personeel na een significant incident.</al>
            <al>
              <nadruk type="cur">De Afdeling advisering van de Raad van State heeft een aantal
                  opmerkingen bij het ontwerpbesluit en adviseert daarmee rekening te houden voordat
                  een besluit wordt genomen.</nadruk>
            </al>
            <al>
              <nadruk type="cur">De vice-president van de Raad van State,</nadruk>
            </al>
            <al>Van de gelegenheid is gebruik gemaakt om in paragraaf 4.3, over het advies van het
               Adviescollege toetsing regeldruk (hierna: ATR), de eerste alinea aan te passen. De
               regering is namelijk tot het inzicht gekomen dat de daarin gegeven reactie op het
               advies van het ATR over het nut en de noodzaak van het wetsvoorstel Cbw, geen reactie
               is op het specifieke advies van het ATR om te verduidelijken op welke onderdelen de
               bestaande wetgeving tekort schiet. In de aangepaste alinea wordt aangegeven dat het
               nut en de noodzaak van het wetsvoorstel onder meer is gelegen in het gegeven dat de
               huidige Nederlandse wet- en regelgeving nog niet voorziet in alle onderwerpen die op
               grond van de NIS2-richtlijn geregeld moeten worden. Er is dus niet zozeer sprake van
               tekortkomingen in bestaande wet- en regelgeving, maar met name sprake van onderwerpen
               die op dit moment nog niet geregeld zijn.</al>
            <al>Van de gelegenheid is ook gebruik gemaakt om in het Cbb de inwerkingtredingsdatum
               daarvan te regelen, evenals de inwerkingtredingsdatum van de bovenliggende wet (de
               Cbw). Zowel de Cbw als het Cbb treden in werking met ingang van 15 augustus 2026.
               Hiertoe zijn artikel 35 Cbb en in de nota van toelichting hoofdstuk 5 en de
               artikelsgewijze toelichting op artikel 35 Cbb aangepast.</al>
          </divisie>
        </vrije-tekst>
        <tekst-sluiting>
          <slotformulering>
            <al>Ik moge U hierbij het gewijzigde ontwerpbesluit en de gewijzigde nota van
               toelichting doen toekomen en U verzoeken overeenkomstig dit ontwerp te
               besluiten.</al>
          </slotformulering>
          <ondertekening>
            <functie>De Minister van Justitie en
               Veiligheid,</functie>
            <naam>
              <voornaam>D.M. van</voornaam>
              <achternaam>Weel.</achternaam>
            </naam>
          </ondertekening>
        </tekst-sluiting>
      </nader-rapport>
      <advies>
        <kop>
          <titel>Advies Raad van State</titel>
        </kop>
        <context>
          <context.al type="kenmerk">No. W16.26.00143/II</context.al>
          <context.al type="datum">’s-Gravenhage, 27 mei 2026</context.al>
        </context>
        <vrije-tekst>
          <tekst status="goed">
            <al>Aan de Koning</al>
            <al>Bij Kabinetsmissive van 22 mei 2026, no.2026001155, heeft Uwe Majesteit, op
               voordracht van de Minister van Justitie en Veiligheid, bij de Afdeling advisering van
               de Raad van State ter overweging aanhangig gemaakt het ontwerpbesluit houdende regels
               ter uitvoering van de Cyberbeveiligingswet (Cyberbeveiligingsbesluit), met nota van
               toelichting.</al>
          </tekst>
          <divisie opmaak="default">
            <kop>
              <titel>Samenvatting</titel>
            </kop>
            <al-groep>
              <al>Het ontwerp-Cyberbeveiligingsbesluit (hierna: het ontwerpbesluit) geeft
                  uitvoering aan de nieuwe Cyberbeveiligingswet (hierna: Cbw), die op haar beurt
                  uitvoering geeft aan een Europese richtlijn ter verhoging van de digitale
                  veiligheid van zogeheten ‘essentiële entiteiten’ en ‘belangrijke entiteiten’.<noot id="n12" type="voet"><noot.nr>1</noot.nr><noot.al>Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van
                        14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau
                        van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU)
                        nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn
                        (EU) 2016/1148 (PbEU 2022, L 333).</noot.al></noot> Dit zijn overheidsorganisaties en (ICT-)ondernemingen die van cruciaal
                  belang zijn voor kritieke maatschappelijke functies, economische activiteiten, de
                  volksgezondheid of openbare veiligheid. Het ontwerpbesluit verplicht deze
                  essentiële en belangrijke entiteiten om:</al>
              <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                <li>
                  <li.nr>–</li.nr>
                  <al>maatregelen te treffen om incidenten te voorkomen,</al>
                </li>
                <li>
                  <li.nr>–</li.nr>
                  <al>zich voor te bereiden op incidenten, en</al>
                </li>
                <li>
                  <li.nr>–</li.nr>
                  <al>incidenten te melden bij de verantwoordelijke minister.</al>
                </li>
              </lijst>
            </al-groep>
            <al>Het ontwerpbesluit loopt gelijk op met het Ontwerpbesluit weerbaarheid kritieke
               entiteiten, dat een vergelijkbare regeling bevat voor het versterken van de fysieke
               weerbaarheid van kritieke entiteiten.<noot id="n13" type="voet"><noot.nr>2</noot.nr><noot.al>Zaak W16.26.00142.</noot.al></noot> De Afdeling brengt over beide ontwerpbesluiten gelijktijdig advies uit.</al>
            <al>In het ontwerpbesluit is bepaald dat één categorie persoonsgegevens (gegevens die
               worden verwerkt door de verantwoordelijke ministers) tien jaar lang bewaard blijft.
               De Afdeling merkt op dat het niet gewenst is om alle persoonsgegevens zo’n lange tijd
               te bewaren. Die lange termijn is alleen nodig voor gegevens die noodzakelijk zijn
               voor het voeren van toezichttrajecten en bestuursrechtelijke procedures. Bij een
               andere categorie persoonsgegevens (gegevens in het nationale register van essentiële
               entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten
               verlenen) geldt dat de vernietigingstermijn van vijf jaar telkens uitgesteld kan
               worden. De Afdeling adviseert een objectieve bewaartermijn vast te stellen.</al>
            <al>Verder wordt in het ontwerpbesluit voorgesteld dat de vakminister kan voorschrijven
               in welke gevallen een essentiële of belangrijke entiteit een significant incident
               moet melden. Volgens de toelichting hoeven die regels niet openbaar te worden
               gemaakt. De Afdeling begrijpt het belang hiervan met het oog op de veiligheid. De
               vraag is echter hoe verzekerd kan worden dat de regels vertrouwelijk worden behandeld
               binnen de essentiële of belangrijke entiteit.</al>
            <al>Het ontwerpbesluit voorziet erin dat de vakminister voor specifieke sectoren een
               apart Computer security incident response team (hierna: CSIRT) aanwijst. CSIRT’s
               spelen een belangrijke rol bij het ondersteunen van essentiële en belangrijke
               entiteiten. De Afdeling stelt de vraag of het aanwijzen van zo’n CSIRT niet zou
               moeten plaatsvinden bij algemene maatregel van bestuur of in overeenstemming met de
               minister van Justitie.</al>
            <al>Tot slot adviseert de Afdeling in de toelichting aandacht te besteden aan de nafase
               nadat een significant incident heeft plaatsgevonden bij een belangrijke of essentiële
               entiteit.</al>
            <al>In verband met deze opmerkingen is aanpassing wenselijk van het ontwerpbesluit en de
               toelichting.</al>
          </divisie>
          <divisie opmaak="default">
            <kop>
              <nr status="officieel">1.</nr>
              <titel>De termijn voor het bewaren van persoonsgegevens</titel>
            </kop>
            <divisie opmaak="default">
              <kop>
                <nr status="officieel">a.</nr>
                <titel>Noodzaak van een bewaartermijn van tien jaar</titel>
              </kop>
              <al>In het ontwerpbesluit worden verschillende onderdelen uit de Cbw nader ingevuld.
                  Zo worden onder meer eisen gesteld waaraan CSIRT’s moeten voldoen. Ook wordt
                  voorgeschreven welke maatregelen de essentiële of belangrijke entiteit ten minste
                  moet nemen om aan de zorgplicht te voldoen. Daarnaast worden termijnen gesteld
                  voor het bewaren van persoonsgegevens.</al>
              <al>Persoonsgegevens die door de verantwoordelijke ministers worden verwerkt, hebben
                  volgens het ontwerpbesluit een uiterste bewaartermijn van 120 maanden.<noot id="n14" type="voet"><noot.nr>3</noot.nr><noot.al>Artikel 29, derde lid, Cbb.</noot.al></noot> De Autoriteit persoonsgegevens heeft opgemerkt dat de noodzaak van deze
                  termijn onvoldoende is gemotiveerd.<noot id="n15" type="voet"><noot.nr>4</noot.nr><noot.al>Advies van 10 april 2025, kenmerk gelakt, blz. 3.</noot.al></noot> In de artikelsgewijze toelichting schrijft de regering dat deze termijn
                  noodzakelijk is vanwege langlopende toezichtstrajecten en bijhorende
                  bestuursrechtelijke procedures, waarvan niet uitgesloten is dat deze een kortere
                  bewaartermijn zullen overschrijden.<noot id="n16" type="voet"><noot.nr>5</noot.nr><noot.al>Toelichting op artikel 29, zesde tekstblok.</noot.al></noot></al>
              <al>De Afdeling merkt op dat niet aannemelijk is gemaakt dat het nodig is om alle
                  gegevens tien jaar te bewaren, alleen omdat een klein deel van de gegevens
                  noodzakelijk is voor langlopende toezichtstrajecten en bestuursrechtelijke
                  procedures (beginsel van minimale gegevensverwerking). De meeste gegevens die
                  bewaard moet worden zijn geen historische gegevens, maar actuele gegevens waarmee
                  de betrokkenen elkaar moeten kunnen bereiken, zoals e-mailadressen en
                     telefoonnummers.<noot id="n17" type="voet"><noot.nr>6</noot.nr><noot.al>Toelichting op artikel 29, vierde tekstblok.</noot.al></noot> De bewaartermijn van tien jaar kan dan ook worden beperkt tot de kleine
                  categorie van gegevens die noodzakelijk is voor toezichts- en bestuursrechtelijke
                     procedures.<noot id="n18" type="voet"><noot.nr>7</noot.nr><noot.al>Zo’n uitzondering komt vaker voor in wetgeving, bijvoorbeeld artikel
                        1.8, zevende lid, van de Wet gegevensverwerking door
                        samenwerkingsverbanden.</noot.al></noot></al>
              <al>De Afdeling adviseert om voor gegevens die niet noodzakelijk zijn voor toezicht
                  en bestuursrechtelijke procedures een kortere bewaartermijn vast te stellen.</al>
            </divisie>
            <divisie opmaak="default">
              <kop>
                <nr status="officieel">b.</nr>
                <titel>Criterium bij de bewaartermijn</titel>
              </kop>
              <al>Het concept van het besluit zoals voorgelegd aan de Autoriteit Persoonsgegevens
                  bepaalde dat persoonsgegevens in het nationale register van essentiële entiteiten,
                  belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen
                  maximaal 60 maanden na de laatste wijziging worden bewaard. De AP merkte over het
                  criterium ‘na de laatste wijziging’ op dat deze gegevens naar verwachting steeds
                  aangepast of gewijzigd moeten worden, zodat deze gegevens in de praktijk oneindig
                  bewaard kunnen worden.<noot id="n19" type="voet"><noot.nr>8</noot.nr><noot.al>Advies AP van 20 februari 2025, kenmerk 005745.</noot.al></noot> Om aan deze opmerking tegemoet te komen is de bewaartermijn gewijzigd in
                  60 maanden na de laatste bevestiging van de juistheid van de betreffende
                     persoonsgegevens.<noot id="n20" type="voet"><noot.nr>9</noot.nr><noot.al>Artikel 29, tweede lid; paragraaf 4.2 (Advies AP) van de
                        toelichting.</noot.al></noot></al>
              <al>De vraag rijst of dit criterium wel voldoende waarborgen biedt. Met de gekozen
                  constructie lijkt de peildatum van de bewaartermijn immers steeds opnieuw aan te
                  kunnen vangen na een nieuwe bevestiging van de juistheid van de betreffende
                  persoonsgegevens. De Afdeling merkt op dat dit het risico met zich brengt dat
                  gegevens aanmerkelijk langer kunnen worden bewaard dan de beoogde maximale termijn
                  van 60 maanden. Mede met het oog op de rechtszekerheid van alle betrokkenen dient
                  een objectief vast te stellen bewaartermijn te worden geregeld.<noot id="n21" type="voet"><noot.nr>10</noot.nr><noot.al>Zie in dit verband ook het advies van 10 december 2025, W16.25.00308,
                        over het Besluit bestuursrechtelijke aanpak online kinderpornografisch
                        materiaal, punt 2, en het advies van 4 januari 2024, W16.23.00391, over de
                        Wet gemeentelijk toezicht seksbedrijven, nog geen nader rapport.</noot.al></noot></al>
              <al>De Afdeling adviseert de regeling van de bewaartermijn in het licht van het
                  voorgaande aan te passen.</al>
            </divisie>
          </divisie>
          <divisie opmaak="default">
            <kop>
              <nr status="officieel">2.</nr>
              <titel>Bindende criteria die niet openbaar worden gemaakt</titel>
            </kop>
            <al>In de Cbw is een ‘significant incident’ een centraal begrip. Een essentiële of
               belangrijke entiteit moet incidenten die de dienstverlening ernstig verstoren of
               financiële verliezen voor de entiteit veroorzaken, melden bij de verantwoordelijke
                  minister.<noot id="n22" type="voet"><noot.nr>11</noot.nr><noot.al>Artikel 25, eerste tot en met tweede lid, Cbw.</noot.al></noot> Als het incident niet ‘significant’ is, hoeft dat niet. Bij of krachtens
               algemene maatregel van bestuur worden de criteria vastgesteld om te bepalen of een
               incident ‘significant’ is.<noot id="n23" type="voet"><noot.nr>12</noot.nr><noot.al>Artikel 25, derde lid, Cbw.</noot.al></noot></al>
            <al>Het ontwerpbesluit werkt deze criteria verder uit. De vakminister kan (na overleg
               met de minister van J&amp;V) de criteria vaststellen bij ministeriële regeling. Voor
               specifieke entiteiten kan hij die criteria daarnaast vaststellen bij besluit.<noot id="n24" type="voet"><noot.nr>13</noot.nr><noot.al>Artikel 23, eerste lid, Cbb.</noot.al></noot> Dit laatste biedt de mogelijkheid om criteria vast te stellen die niet
               geopenbaard hoeven te worden wanneer dit voor specifieke entiteiten en voor de
               nationale veiligheid onaanvaardbare risico’s met zich kan meebrengen, zo stelt de
                  toelichting.<noot id="n25" type="voet"><noot.nr>14</noot.nr><noot.al>Toelichting op artikel 23, tweede tekstblok.</noot.al></noot></al>
            <al>Deze keuze van de regering is begrijpelijk. Algemeen verbindende voorschriften
               kunnen niet in werking treden als ze niet bekend, en daarmee openbaar, zijn
                  gemaakt.<noot id="n26" type="voet"><noot.nr>15</noot.nr><noot.al>Artikelen 88 en 89 van de Grondwet; artikel 8 van de
                     Bekendmakingswet.</noot.al></noot> Besluiten kunnen worden bekendgemaakt door toezending of uitreiking aan de
                  belanghebbenden.<noot id="n27" type="voet"><noot.nr>16</noot.nr><noot.al>Artikel 3:41, eerste ld, van de Algemene wet bestuursrecht.</noot.al></noot> Verdere verspreiding van zulke besluiten is geen voorwaarde voor
               inwerkingtreding. De entiteit kan de criteria, opgenomen in het besluit, dus
               vertrouwelijk behandelen.</al>
            <al>Dit roept wel de vraag op hoe verzekerd is dat de entiteit en haar medewerkers het
               besluit inderdaad vertrouwelijk behandelen. Sommige entiteiten zijn bestuursorganen;
               voor hen geldt de algemene verplichting om gegevens die een vertrouwelijk karakter
               hebben geheim te houden.<noot id="n28" type="voet"><noot.nr>17</noot.nr><noot.al>Artikel 2:5 van de Algemene wet bestuursrecht. Tegen deze verplichting
                     kan overigens niet handhavend worden opgetreden.</noot.al></noot> Andere entiteiten vallen niet onder de overheid en dus ook niet onder de
               algemene geheimhoudingsplicht.</al>
            <al>De Afdeling adviseert in de toelichting in te gaan op de vraag hoe verzekerd is dat
               de hier bedoelde besluiten vertrouwelijk worden behandeld.</al>
          </divisie>
          <divisie opmaak="default">
            <kop>
              <nr status="officieel">3.</nr>
              <titel>Niveau waarop CSIRT’s worden aangewezen</titel>
            </kop>
            <al-groep>
              <al>Het stelsel voor cyberbeveiliging kent een centrale rol toe aan zogeheten
                  Computer security incident response teams (hierna: CSIRT’s). Een CSIRT heeft als
                  taak om, kort gezegd,</al>
              <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                <li>
                  <li.nr>–</li.nr>
                  <al>cyberdreigingen, kwetsbaarheden en incidenten te monitoren,</al>
                </li>
                <li>
                  <li.nr>–</li.nr>
                  <al>de netwerk- en informatiesystemen van essentiële of belangrijke entiteiten
                        te monitoren,</al>
                </li>
                <li>
                  <li.nr>–</li.nr>
                  <al>de entiteiten bij te staan, ook bij incidenten, en</al>
                </li>
                <li>
                  <li.nr>–</li.nr>
                  <al>het publiek te informeren over een significant incident.<noot id="n29" type="voet"><noot.nr>18</noot.nr><noot.al>Artikelen 16, tweede lid, 36 en 37 Cbw.</noot.al></noot></al>
                </li>
              </lijst>
            </al-groep>
            <al>Bij of krachtens algemene maatregel van bestuur wordt voor elke essentiële entiteit
               en elke belangrijke entiteit een CSIRT aangewezen.<noot id="n30" type="voet"><noot.nr>19</noot.nr><noot.al>Artikel 16, eerste lid, Cbw.</noot.al></noot></al>
            <al>In het ontwerpbesluit wordt alleen de minister van Justitie en Veiligheid aangewezen
               als CSIRT. Die taak zal worden uitgeoefend door het Nationaal Cyber Security Centrum,
               een onderdeel van het Ministerie.<noot id="n31" type="voet"><noot.nr>20</noot.nr><noot.al>Toelichting op artikel 2, eerste lid. Artikelen 2, derde lid, onderdeel
                     a, onder 3, en 63h1 van het Organisatiebesluit Ministerie van Justitie en
                     Veiligheid.</noot.al></noot> Wel kan ook een vakminister bij ministeriële regeling een andere organisatie
               als CSIRT aanwijzen voor entiteiten die actief zijn op het terrein van die minister.
               Hij doet dit na overleg met de minister van J&amp;V; formele instemming van de
               minister van J&amp;V is dus niet vereist. Wanneer een vakminister een organisatie
               aanwijst als CSIRT, beperkt dat het werkterrein van de minister van J&amp;V als
               algemene CSIRT.</al>
            <al-groep>
              <al>Volgens de toelichting zullen langs deze route in ieder geval drie bestaande
                  organisaties als CSIRT worden aangewezen:<noot id="n32" type="voet"><noot.nr>21</noot.nr><noot.al>Toelichting op artikel 2, tweede lid.</noot.al></noot></al>
              <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                <li>
                  <li.nr>–</li.nr>
                  <al>voor de zorgsector: Z-CERT,</al>
                </li>
                <li>
                  <li.nr>–</li.nr>
                  <al>voor de gemeenten: de Informatiebeveiligingsdienst, onderdeel van VNG
                        Realisatie BV,</al>
                </li>
                <li>
                  <li.nr>–</li.nr>
                  <al>voor de waterschappen: het CERT Watermanagement, dat nu nog een onderdeel
                        is van de gemeenschappelijke regeling van waterschappen.</al>
                </li>
              </lijst>
            </al-groep>
            <al>Een CSIRT heeft geen dwingende overheidsbevoegdheden, maar speelt wel een centrale
               rol bij het uitwisselen en openbaar maken van informatie rond situaties waarin
               essentiële veiligheid in het geding is. De vraag kan gesteld worden of de
               ministeriële regeling het meest passende instrument is om een CSIRT aan te wijzen en
               daarmee de bevoegdheid van de minister van J&amp;V te beperken. De ministeriële
               regeling is immers bedoeld voor administratieve voorschriften, details of bepalingen
               die snel gewijzigd moeten kunnen worden,<noot id="n33" type="voet"><noot.nr>22</noot.nr><noot.al>Aanwijzing 2.24 van de Aanwijzingen voor de regelgeving.</noot.al></noot> maar niet voor belangrijke beleidsbeslissingen.</al>
            <al>De Afdeling adviseert daarom alle CSIRT’s aan te wijzen bij algemene maatregel van
               bestuur.</al>
          </divisie>
          <divisie opmaak="default">
            <kop>
              <nr status="officieel">4.</nr>
              <titel>Fase na de aanzienlijke verstoring</titel>
            </kop>
            <al>In de wet en het ontwerpbesluit is geregeld dat de belangrijke of essentiële
               entiteit maatregelen moet nemen om een significant incident te voorkomen, zoals het
               opstellen van een plan hoe met een incident moet worden omgegaan. De toelichting gaat
               echter niet in op wat verwacht wordt van een belangrijke of essentiële entiteit in de
               fase na een significant incident heeft plaatsgevonden. Hierbij kan gedacht worden aan
               het wettelijk verplichte evalueren van de maatregelen die voortvloeien uit de
                  zorgplicht.<noot id="n34" type="voet"><noot.nr>23</noot.nr><noot.al>Artikel 18 Cbb.</noot.al></noot> Maar ook aan niet-verplichte stappen die een belangrijke of essentiële
               entiteit kan nemen in de fase nadat een significant incident is afgesloten, zoals het
               bieden van nazorg aan personeel, klanten en aanvullende trainingen.<noot id="n35" type="voet"><noot.nr>24</noot.nr><noot.al>Zie bijvoorbeeld ook de thema’s uit de Themalijst Nafase en herstel uit
                     het Nationaal Handboek Crisisbeheersing van het Ministerie van Justitie en
                     Veiligheid.</noot.al></noot></al>
            <al>De Afdeling adviseert in de toelichting aandacht te besteden aan de nafase nadat een
               significant incident heeft plaatsgevonden bij een belangrijke of essentiële
               entiteit.</al>
          </divisie>
        </vrije-tekst>
        <tekst-sluiting>
          <slotformulering>
            <al>De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het
               ontwerpbesluit en adviseert daarmee rekening te houden voordat een besluit wordt
               genomen.</al>
          </slotformulering>
          <ondertekening>
            <functie>De vice-president van de Raad van State,</functie>
            <naam>
              <voornaam>Th.C. de</voornaam>
              <achternaam>Graaf.</achternaam>
            </naam>
          </ondertekening>
        </tekst-sluiting>
      </advies>
      <object_van_advies>
        <kop>
          <titel>Tekst zoals aangeboden aan de Raad van State: Besluit houdende regels ter uitvoering
            van de Cyberbeveiligingswet (Cyberbeveiligingsbesluit) [KetenID WGK027199]</titel>
        </kop>
        <wet-besluit>
          <aanhef>
            <wij>Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van
               Oranje-Nassau, enz. enz. enz.</wij>
            <considerans>
              <considerans.al bevat="voordracht">Op de voordracht van Onze Minister van Justitie en
                  Veiligheid van 22 mei 2026, directie Wetgeving en Juridische Zaken
                  nr. 7530368;</considerans.al>
              <considerans.al bevat="grondslag">Gelet op de artikelen 3, 16, eerste en zevende lid,
                  17, eerste lid, 21, vijfde lid, 24, zesde lid, 25, derde en vierde lid, 35, 44,
                  eerste lid, onderdeel f, 51, tweede lid, onderdeel i, en 65, eerste lid, van de
                  Cyberbeveiligingswet, de artikelen 14, zesde lid, en 15, vijfde lid, van de Wet
                  weerbaarheid kritieke entiteiten, de artikelen 1:3a, vierde lid, 1:24, derde lid,
                  en 1:25, derde lid, onderdeel b, van de Wet op het financieel toezicht, artikel
                  54a van de Drinkwaterwet en de artikelen 11a.1, tweede en vierde lid, en 11a.3,
                  zesde lid, van de Telecommunicatiewet;</considerans.al>
              <considerans.al bevat="gehoord">De Afdeling advisering van de Raad van State gehoord
                  (advies van [datum], nr. [PM]);</considerans.al>
              <considerans.al bevat="gezien">Gezien het nader rapport van Onze Minister van
                  Justitie en Veiligheid van [datum], directie Wetgeving en Juridische Zaken,
                  nr. [nummer];</considerans.al>
            </considerans>
            <afkondiging>
              <al>Hebben goedgevonden en verstaan:</al>
            </afkondiging>
          </aanhef>
          <wettekst>
            <hoofdstuk>
              <kop>
                <label>HOOFDSTUK</label>
                <nr status="officieel">1.</nr>
                <titel>BEGRIPSBEPALING</titel>
              </kop>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">1</nr>
                  <titel>(begripsbepaling)</titel>
                </kop>
                <al>In dit besluit en de daarop berustende bepalingen wordt verstaan onder:</al>
                <definitielijst nr-sluiting="." plaatsing="inline" type="expliciet">
                  <definitie-item>
                    <li.nr>–</li.nr>
                    <term>Uitvoeringsverordening (EU) 2024/2690:</term>
                    <definitie>
                      <al>Uitvoeringsverordening (EU) 2024/2690 van de Commissie van 17 oktober
                              2024 tot vaststelling van regels voor de toepassing van Richtlijn (EU)
                              2022/2555 wat betreft de technische en methodologische vereisten van
                              de maatregelen voor het beheer van cyberbeveiligingsrisico’s en nadere
                              specificatie van de gevallen waarin een incident als significant wordt
                              beschouwd met betrekking tot DNS-dienstverleners, registers voor
                              topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders
                              van datacentrumdiensten, aanbieders van netwerken voor de levering van
                              inhoud, aanbieders van beheerde diensten, aanbieders van beheerde
                              beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van
                              onlinezoekmachines en van platforms voor socialenetwerkdiensten, en
                              verleners van vertrouwensdiensten (PbEU L 2024/2690);</al>
                    </definitie>
                  </definitie-item>
                  <definitie-item>
                    <li.nr>–</li.nr>
                    <term>wet:</term>
                    <definitie>
                      <al>Cyberbeveiligingswet.</al>
                    </definitie>
                  </definitie-item>
                </definitielijst>
              </artikel>
            </hoofdstuk>
            <hoofdstuk>
              <kop>
                <label>HOOFDSTUK</label>
                <nr status="officieel">2.</nr>
                <titel>AANWIJZING CSIRT EN COÖRDINATOR BEKENDMAKING KWETSBAARHEDEN EN EISEN AAN
                     CSIRT’S</titel>
              </kop>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">2</nr>
                  <titel>(aanwijzing CSIRT en coördinator bekendmaking kwetsbaarheden)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>Onze Minister wordt voor essentiële entiteiten en belangrijke entiteiten
                        aangewezen als het CSIRT, bedoeld in artikel 16, eerste lid, van de
                        wet.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>Bij regeling van Onze Minister die het aangaat, na overleg met Onze
                        Minister, kan in afwijking van het eerste lid voor essentiële entiteiten en
                        belangrijke entiteiten uit specifieke sectoren en subsectoren, voor
                        specifieke soorten entiteiten en voor specifieke entiteiten een ander dan
                        Onze Minister worden aangewezen als het CSIRT, bedoeld in artikel 16, eerste
                        lid, van de wet.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">3.</lidnr>
                  <al>Onze Minister is de coördinator met het oog op een gecoördineerde
                        bekendmaking van kwetsbaarheden, bedoeld in artikel 17 van de wet.</al>
                </lid>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">3</nr>
                  <titel>(eisen aan CSIRT’s)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>De CSIRT’s, bedoeld in artikel 2, eerste en tweede lid, voldoen aan de
                        volgende eisen:</al>
                  <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                    <li>
                      <li.nr>a.</li.nr>
                      <al>de CSIRT’s garanderen een hoge mate van beschikbaarheid van hun
                              communicatiekanalen door zwakke punten te voorkomen, beschikken over
                              middelen waarlangs te allen tijde contact met hen en met anderen kan
                              worden opgenomen, specificeren hun communicatiekanalen duidelijk en
                              delen deze mee aan de entiteiten, instanties en partijen, bedoeld in
                              artikel 16, tweede lid, onderdeel b, van de wet, en de andere
                              instanties waarmee zij samenwerken;</al>
                    </li>
                    <li>
                      <li.nr>b.</li.nr>
                      <al>de lokalen en werkruimten van de CSIRT’s en de ondersteunende
                              informatiesystemen bevinden zich op beveiligde locaties;</al>
                    </li>
                    <li>
                      <li.nr>c.</li.nr>
                      <al>de CSIRT’s zijn, met het oog op doeltreffende en efficiënte
                              overdrachten, uitgerust met een adequaat systeem voor het beheren en
                              routeren van verzoeken;</al>
                    </li>
                    <li>
                      <li.nr>d.</li.nr>
                      <al>de CSIRT’s waarborgen de vertrouwelijkheid en betrouwbaarheid van hun
                              activiteiten;</al>
                    </li>
                    <li>
                      <li.nr>e.</li.nr>
                      <al>de CSIRT’s beschikken over voldoende personeel om te allen tijde de
                              beschikbaarheid van hun diensten te garanderen en zorgen ervoor dat
                              hun personeel naar behoren wordt opgeleid; en</al>
                    </li>
                    <li>
                      <li.nr>f.</li.nr>
                      <al>de CSIRT’s zijn uitgerust met redundante systemen en
                              reservewerkruimten om de continuïteit van hun diensten te
                              waarborgen.</al>
                    </li>
                  </lijst>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>Bij regeling van Onze Minister, na overleg met Onze Ministers die het
                        aangaan, kunnen nadere regels worden gesteld over de functionele, technische
                        en organisatorische vereisten ten aanzien van de in artikel 2, eerste en
                        tweede lid, bedoelde CSIRT’s.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">3.</lidnr>
                  <al>Bij regeling van Onze Minister die het aangaat, na overleg met Onze
                        Minister, kunnen daarnaast nadere regels worden gesteld over de functionele,
                        financiële, technische en organisatorische vereisten ten aanzien van een
                        organisatie die op grond van artikel 2, tweede lid, is aangewezen als
                        CSIRT.</al>
                </lid>
              </artikel>
            </hoofdstuk>
            <hoofdstuk>
              <kop>
                <label>HOOFDSTUK</label>
                <nr status="officieel">3.</nr>
                <titel>TOEPASSINGSBEREIK</titel>
              </kop>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">4</nr>
                  <titel>(verhouding tot Uitvoeringsverordening (EU) 2024/2690)</titel>
                </kop>
                <al>Gelet op artikel 1 van de Uitvoeringsverordening (EU) 2024/2690 zijn de
                     artikelen 6 tot en met 18 niet van toepassing op de volgende essentiële
                     entiteiten en belangrijke entiteiten:</al>
                <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                  <li>
                    <li.nr>a.</li.nr>
                    <al>DNS-dienstverleners;</al>
                  </li>
                  <li>
                    <li.nr>b.</li.nr>
                    <al>registers voor topleveldomeinnamen;</al>
                  </li>
                  <li>
                    <li.nr>c.</li.nr>
                    <al>aanbieders van cloudcomputingdiensten;</al>
                  </li>
                  <li>
                    <li.nr>d.</li.nr>
                    <al>aanbieders van datacentrumdiensten;</al>
                  </li>
                  <li>
                    <li.nr>e.</li.nr>
                    <al>aanbieders van netwerken voor de levering van inhoud;</al>
                  </li>
                  <li>
                    <li.nr>f.</li.nr>
                    <al>aanbieders van beheerde diensten;</al>
                  </li>
                  <li>
                    <li.nr>g.</li.nr>
                    <al>aanbieders van beheerde beveiligingsdiensten;</al>
                  </li>
                  <li>
                    <li.nr>h.</li.nr>
                    <al>aanbieders van onlinemarktplaatsen;</al>
                  </li>
                  <li>
                    <li.nr>i.</li.nr>
                    <al>aanbieders van onlinezoekmachines;</al>
                  </li>
                  <li>
                    <li.nr>j.</li.nr>
                    <al>aanbieders van platforms voor socialenetwerkdiensten; en</al>
                  </li>
                  <li>
                    <li.nr>k.</li.nr>
                    <al>verleners van vertrouwensdiensten.</al>
                  </li>
                </lijst>
              </artikel>
            </hoofdstuk>
            <hoofdstuk>
              <kop>
                <label>HOOFDSTUK</label>
                <nr status="officieel">4.</nr>
                <titel>ZORGPLICHT</titel>
              </kop>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">5</nr>
                  <titel>(uitvoering van artikel 21 van de wet)</titel>
                </kop>
                <al>Ter uitvoering van artikel 21 van de wet neemt de essentiële entiteit of
                     belangrijke entiteit ten minste de maatregelen, bedoeld in de artikelen 6 tot
                     en met 18.</al>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">6</nr>
                  <titel>(beleid over beveiliging van netwerk- en informatiesystemen)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit heeft vastgesteld beleid
                        over de beveiliging van haar netwerk- en informatiesystemen. De entiteit
                        legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit stelt in het kader van de
                        toepassing van het beleid, bedoeld in het eerste lid, de rollen,
                        verantwoordelijkheden en bevoegdheden in relatie tot de beveiliging van haar
                        netwerk- en informatiesystemen vast. De entiteit zorgt er zoveel mogelijk
                        voor dat conflicterende rollen, verantwoordelijkheden en bevoegdheden
                        gescheiden worden.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">3.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit verlangt van haar personeel
                        en andere binnen de entiteit werkzame personen dat zij de beveiliging van
                        haar netwerk- en informatiesystemen toepassen overeenkomstig het beleid,
                        bedoeld in het eerste lid.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">4.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit hanteert een
                        managementsystematiek voor de beveiliging van haar netwerk- en
                        informatiesystemen om aantoonbaar te kunnen voldoen aan het bepaalde bij of
                        krachtens artikel 21 van de wet.</al>
                </lid>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">7</nr>
                  <titel>(beleid over risicomanagement)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit heeft vastgesteld beleid
                        over risicomanagement voor de beveiliging van haar netwerk- en
                        informatiesystemen. De entiteit legt dat beleid schriftelijk vast en past
                        dat beleid aantoonbaar toe.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>Het beleid, bedoeld in het eerste lid, omvat ten minste:</al>
                  <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                    <li>
                      <li.nr>a.</li.nr>
                      <al>een risicomanagementmethodiek; en</al>
                    </li>
                    <li>
                      <li.nr>b.</li.nr>
                      <al>criteria voor risicoacceptatie.</al>
                    </li>
                  </lijst>
                </lid>
                <lid>
                  <lidnr status="officieel">3.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit stelt in het kader van de
                        toepassing van het beleid, bedoeld in het eerste lid, processen en
                        procedures vast voor risicoanalyse, risicobeoordeling en risicobehandeling.
                        De entiteit past deze processen en procedures aantoonbaar toe.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">4.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit maakt op basis van de
                        uitgevoerde risicoanalyse een overzicht van de risico’s met betrekking tot
                        de beveiliging van haar netwerk- en informatiesystemen.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">5.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit stelt op basis van het
                        overzicht van de risico’s, bedoeld in het vierde lid, eisen met betrekking
                        tot de beveiliging van haar netwerk- en informatiesystemen. Indien de
                        risicoanalyse hiertoe aanleiding geeft, neemt de entiteit maatregelen om de
                        beveiliging van haar netwerk- en informatiesystemen op structurele en
                        aantoonbare wijze te borgen.</al>
                </lid>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">8</nr>
                  <titel>(incidentenbehandeling)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit heeft vastgesteld beleid
                        over incidentenbehandeling. De entiteit legt dat beleid schriftelijk vast en
                        past dat beleid aantoonbaar toe.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit stelt in het kader van de
                        toepassing van het beleid, bedoeld in het eerste lid, de rollen,
                        verantwoordelijkheden en bevoegdheden vast voor:</al>
                  <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                    <li>
                      <li.nr>a.</li.nr>
                      <al>het tijdig detecteren van incidenten;</al>
                    </li>
                    <li>
                      <li.nr>b.</li.nr>
                      <al>het analyseren en beoordelen van incidenten;</al>
                    </li>
                    <li>
                      <li.nr>c.</li.nr>
                      <al>het reageren op, beperken van de gevolgen van, wegnemen van de
                              oorzaak van en herstellen van incidenten;</al>
                    </li>
                    <li>
                      <li.nr>d.</li.nr>
                      <al>het documenteren van incidenten;</al>
                    </li>
                    <li>
                      <li.nr>e.</li.nr>
                      <al>het rapporteren van incidenten; en</al>
                    </li>
                    <li>
                      <li.nr>f.</li.nr>
                      <al>het leren van incidenten.</al>
                    </li>
                  </lijst>
                </lid>
                <lid>
                  <lidnr status="officieel">3.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit stelt in het kader van de
                        toepassing van het beleid, bedoeld in het eerste lid, processen en
                        procedures vast om relevante gebeurtenissen in haar netwerk- en
                        informatiesystemen te monitoren teneinde incidenten te detecteren,
                        analyseren en classificeren. De entiteit past deze processen en procedures
                        aantoonbaar toe.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">4.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit stelt in het kader van de
                        toepassing van het beleid, bedoeld in het eerste lid, processen en
                        procedures vast voor:</al>
                  <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                    <li>
                      <li.nr>a.</li.nr>
                      <al>het tijdig detecteren van incidenten;</al>
                    </li>
                    <li>
                      <li.nr>b.</li.nr>
                      <al>het analyseren en beoordelen van incidenten;</al>
                    </li>
                    <li>
                      <li.nr>c.</li.nr>
                      <al>het reageren op, beperken van de gevolgen van, wegnemen van de
                              oorzaak van en herstellen van incidenten;</al>
                    </li>
                    <li>
                      <li.nr>d.</li.nr>
                      <al>het documenteren van incidenten;</al>
                    </li>
                    <li>
                      <li.nr>e.</li.nr>
                      <al>het rapporteren van incidenten; en</al>
                    </li>
                    <li>
                      <li.nr>f.</li.nr>
                      <al>het leren van incidenten.</al>
                    </li>
                  </lijst>
                </lid>
                <lid>
                  <lidnr status="officieel">5.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit past de processen en
                        procedures, bedoeld in het vierde lid, aantoonbaar toe.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">6.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit logt de voor de beveiliging
                        van haar netwerk- en informatiesystemen relevante gebeurtenissen in haar
                        netwerk- en informatiesystemen. De entiteit houdt gedurende een vooraf
                        bepaalde periode deze logbestanden bij en beschermt deze tegen
                        ongeautoriseerde wijzigingen.</al>
                </lid>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">9</nr>
                  <titel>(bedrijfscontinuïteit en crisisbeheer)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit heeft vastgesteld
                        bedrijfscontinuïteitsbeleid met betrekking tot haar netwerk- en
                        informatiesystemen. De entiteit legt dat beleid schriftelijk vast en past
                        dat beleid aantoonbaar toe.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit stelt in het kader van de
                        toepassing van het beleid, bedoeld in het eerste lid, processen en
                        procedures vast voor het borgen van haar bedrijfscontinuïteit, waaronder in
                        ieder geval processen en procedures voor het herstellen van haar netwerk- en
                        informatiesystemen en voor het maken en periodiek verifiëren van de
                        betrouwbaarheid van back-ups van software en gegevens. De entiteit past deze
                        processen en procedures aantoonbaar toe en test deze periodiek.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">3.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit heeft een vastgesteld
                        bedrijfscontinuïteitsplan met betrekking tot haar netwerk- en
                        informatiesystemen. De entiteit legt dat plan schriftelijk vast, past dat
                        plan toe in geval van een incident die de bedrijfscontinuïteit in gevaar
                        brengt, en test dit plan periodiek.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">4.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit heeft een herstelplan. De
                        entiteit legt dat plan schriftelijk vast, past dat plan toe in geval van een
                        incident en test dit plan periodiek.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">5.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit heeft een plan voor
                        crisisbeheer, legt dit plan schriftelijk vast, past dat plan toe in geval
                        van een crisis en test en beoefent dit plan periodiek. Het plan bevat ten
                        minste:</al>
                  <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                    <li>
                      <li.nr>a.</li.nr>
                      <al>de taken, verantwoordelijkheden en bevoegdheden ten tijde van crisis
                              voor het personeel en andere binnen de entiteit werkzame
                              personen;</al>
                    </li>
                    <li>
                      <li.nr>b.</li.nr>
                      <al>een beschrijving van de communicatiemiddelen ten tijde van crisis;
                              en</al>
                    </li>
                    <li>
                      <li.nr>c.</li.nr>
                      <al>wanneer passend, een beschrijving van de beschikbare
                              noodvoorzieningen, waaronder het gebruik van beveiligde
                              noodcommunicatiesystemen ten tijde van crisis.</al>
                    </li>
                  </lijst>
                </lid>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">10</nr>
                  <titel>(beveiliging van de toeleveringsketen)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit heeft vastgesteld beleid
                        over de beveiliging van de toeleveringsketen. De entiteit bepaalt in dat
                        beleid haar omgang met afhankelijkheden van de producten en diensten van
                        haar leveranciers en dienstverleners die invloed kunnen hebben op de
                        beveiliging van haar netwerk- en informatiesystemen. De entiteit legt dat
                        beleid schriftelijk vast en past dat beleid aantoonbaar toe.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit toetst of haar rechtstreekse
                        leveranciers en rechtstreekse dienstverleners, bedoeld in het eerste lid,
                        voldoen aan de beveiligingseisen, bedoeld in artikel 7, vijfde lid. De
                        entiteit controleert dit periodiek.</al>
                </lid>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">11</nr>
                  <titel>(beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk-
                        en informatiesystemen)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit heeft op basis van de
                        beveiligingseisen, bedoeld in artikel 7, vijfde lid, vastgesteld beleid voor
                        het mitigeren en beheersen van risico’s die voortvloeien uit het verwerven
                        van software, hardware of diensten die betrekking hebben op haar netwerk- en
                        informatiesystemen. De entiteit legt dat beleid schriftelijk vast en past
                        dat beleid aantoonbaar toe.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>Indien van toepassing stelt de essentiële entiteit of belangrijke entiteit
                        processen en procedures vast voor de veilige ontwikkeling van haar netwerk-
                        en informatiesystemen. De entiteit past deze processen en procedures
                        aantoonbaar toe. Deze processen en procedures hebben betrekking op alle
                        ontwikkelingsfasen van de netwerk- en informatiesystemen van de
                        entiteit.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">3.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit stelt processen en
                        procedures vast voor het onderhoud en beheer van haar netwerk- en
                        informatiesystemen. De entiteit past deze processen en procedures
                        aantoonbaar toe. Deze processen en procedures hebben ten minste betrekking
                        op het configuratiebeheer en het wijzigingsbeheer van de netwerk- en
                        informatiesystemen van de entiteit.</al>
                </lid>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">12</nr>
                  <titel>(basispraktijken op het gebied van cyberhygiëne en opleiding op het
                        gebied van cyberbeveiliging)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit zorgt ervoor dat haar
                        personeel en andere binnen de entiteit werkzame personen, voor zover
                        relevant voor hun functie:</al>
                  <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                    <li>
                      <li.nr>a.</li.nr>
                      <al>bewust zijn van de risico’s met betrekking tot de netwerk- en
                              informatiesystemen van de entiteit; en</al>
                    </li>
                    <li>
                      <li.nr>b.</li.nr>
                      <al>praktijken op het gebied van cyberhygiëne toepassen.</al>
                    </li>
                  </lijst>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit wijst het personeel en
                        andere binnen de entiteit werkzame personen aan waarvan de rollen,
                        verantwoordelijkheden en bevoegdheden vaardigheden en deskundigheid vereisen
                        op het gebied van de beveiliging van netwerk- en informatiesystemen en zorgt
                        ervoor dat zij regelmatig opleiding krijgen over de beveiliging van netwerk-
                        en informatiesystemen.</al>
                </lid>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">13</nr>
                  <titel>(beleid over het gebruik van cryptografie)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit heeft vastgesteld beleid
                        over het gebruik van cryptografie. De entiteit legt dat beleid schriftelijk
                        vast en past dat beleid aantoonbaar toe.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit stelt in het kader van de
                        toepassing van het beleid, bedoeld in het eerste lid, processen en
                        procedures vast over het gebruik van cryptografie. De entiteit past deze
                        processen en procedures aantoonbaar toe.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">3.</lidnr>
                  <al>In het beleid en de processen en procedures, bedoeld in het eerste en
                        tweede lid, worden in ieder geval uitgewerkt:</al>
                  <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                    <li>
                      <li.nr>a.</li.nr>
                      <al>in welke gevallen cryptografie ingezet wordt;</al>
                    </li>
                    <li>
                      <li.nr>b.</li.nr>
                      <al>in voorkomende gevallen, welke typen encryptie worden gebruikt en de
                              wijze waarop deze worden toegepast;</al>
                    </li>
                    <li>
                      <li.nr>c.</li.nr>
                      <al>wie binnen de entiteit verantwoordelijk zijn voor de implementatie
                              van cryptografie; en</al>
                    </li>
                    <li>
                      <li.nr>d.</li.nr>
                      <al>wie binnen de entiteit verantwoordelijk zijn voor het
                              sleutelbeheer.</al>
                    </li>
                  </lijst>
                </lid>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">14</nr>
                  <titel>(beveiligingsaspecten ten aanzien van personeel)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit wijst het personeel en
                        andere binnen de entiteit werkzame personen aan die worden belast met
                        rollen, verantwoordelijkheden en bevoegdheden met betrekking tot de
                        beveiliging van haar netwerk- en informatiesystemen.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit evalueert periodiek de
                        aanwijzing, bedoeld in het eerste lid, en werkt deze aanwijzing indien nodig
                        bij.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">3.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit stelt betrouwbaarheidseisen
                        op waaraan haar personeel en andere binnen de entiteit werkzame personen
                        moeten voldoen, voor zover deze passend en noodzakelijk zijn voor hun
                        taakuitoefening met betrekking tot de beveiliging van de netwerk- en
                        informatiesystemen van de entiteit.</al>
                </lid>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">15</nr>
                  <titel>(beveiligingsaspecten ten aanzien van toegangsbeleid)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit heeft vastgesteld beleid
                        over de logische en fysieke toegang tot haar netwerk- en informatiesystemen.
                        De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar
                        toe.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>Het beleid, bedoeld in het eerste lid, omvat in ieder geval het uitgeven,
                        monitoren, gebruiken, wijzigen en intrekken van identiteiten en
                        autorisaties, en het beheer van identiteiten en autorisaties.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">3.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit controleert identiteiten,
                        authenticatiemiddelen en autorisaties periodiek op de noodzakelijkheid,
                        juistheid en actualiteit en voert indien nodig wijzigingen door in de
                        identiteiten, authenticatiemiddelen en autorisaties.</al>
                </lid>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">16</nr>
                  <titel>(beveiligingsaspecten ten aanzien van beheer van assets)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit heeft vastgesteld beleid
                        voor het beheer van haar assets die zij voor haar werkzaamheden of voor het
                        verlenen van haar diensten gebruikt. De entiteit legt dat beleid
                        schriftelijk vast en past dat beleid aantoonbaar toe.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>Het beleid, bedoeld in het eerste lid, omvat in ieder geval:</al>
                  <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                    <li>
                      <li.nr>a.</li.nr>
                      <al>een systeem om assets op verschillende niveaus te kunnen
                              classificeren, indien van toepassing op basis van de eisen voor
                              vertrouwelijkheid, integriteit en beschikbaarheid; en</al>
                    </li>
                    <li>
                      <li.nr>b.</li.nr>
                      <al>regels voor het aanvaardbaar gebruik van haar assets.</al>
                    </li>
                  </lijst>
                </lid>
                <lid>
                  <lidnr status="officieel">3.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit stelt in het kader van de
                        toepassing van het beleid, bedoeld in het eerste lid, processen en
                        procedures vast voor het beheer van haar assets. De entiteit past deze
                        processen en procedures aantoonbaar toe.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">4.</lidnr>
                  <al>De essentiële entiteit of belangrijke entiteit heeft een volledige en
                        actuele inventaris van haar assets, en houdt deze bij.</al>
                </lid>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">17</nr>
                  <titel>(attenderingen, beveiligingsadviezen en dreigingsinformatie)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>Indien de essentiële entiteit of belangrijke entiteit gericht wordt
                        geattendeerd op voor de beveiliging van haar netwerk- en informatiesystemen
                        relevante kwetsbaarheden of cyberdreigingen, beoordeelt zij of op basis
                        daarvan aanpassingen of aanvullingen nodig zijn van de maatregelen ter
                        uitvoering van artikel 21 van de wet. De entiteit legt de uitkomsten van die
                        beoordeling schriftelijk vast.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>Het eerste lid is van overeenkomstige toepassing op gerichte
                        beveiligingsadviezen en dreigingsinformatie, die relevant zijn voor de
                        beveiliging van de netwerk- en informatiesystemen van de essentiële entiteit
                        of belangrijke entiteit, en zijn ontvangen van relevante organisaties,
                        waaronder CSIRT’s, bevoegde autoriteiten, andere betrokken
                        overheidsinstanties, rechtstreekse leveranciers en rechtstreekse
                        dienstverleners.</al>
                </lid>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">18</nr>
                  <titel>(evaluatie)</titel>
                </kop>
                <al>De essentiële entiteit of belangrijke entiteit evalueert periodiek de
                     doeltreffendheid van de maatregelen die zij heeft genomen op grond van artikel
                     21, eerste lid, van de wet en de effecten ervan in de praktijk, en legt het
                     resultaat daarvan schriftelijk vast. De entiteit past naar aanleiding van de
                     uitkomst van die evaluaties de maatregelen waar nodig aan.</al>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">19</nr>
                  <titel>(nadere regels)</titel>
                </kop>
                <al>Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister,
                     kunnen nadere regels worden gesteld over de maatregelen, bedoeld in artikel 21,
                     eerste lid, van de wet, waarbij onderscheid kan worden gemaakt tussen sectoren,
                     subsectoren, soorten entiteiten en entiteiten.</al>
              </artikel>
            </hoofdstuk>
            <hoofdstuk>
              <kop>
                <label>HOOFDSTUK</label>
                <nr status="officieel">5.</nr>
                <titel>TRAINING</titel>
              </kop>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">20</nr>
                  <titel>(doel van de training)</titel>
                </kop>
                <al>De training, bedoeld in artikel 24, vijfde lid, van de wet, stelt het lid van
                     het bestuur van de essentiële entiteit of belangrijke entiteit in staat om
                     risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen
                     identificeren en de gevolgen daarvan voor de diensten die door de entiteit
                     worden verleend te kunnen beoordelen. Ook stelt de training het lid van het
                     bestuur van de entiteit in staat om risicobeheersmaatregelen op het gebied van
                     cyberbeveiliging en de gevolgen daarvan voor de diensten die door de entiteit
                     worden verleend te kunnen beoordelen.</al>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">21</nr>
                  <titel>(eisen aan de training)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>Ten behoeve van het verkrijgen van kennis en vaardigheden om risico’s voor
                        de beveiliging van netwerk- en informatiesystemen te kunnen identificeren
                        als bedoeld in artikel 24, tweede lid, onderdeel a, van de wet en de
                        gevolgen van deze risico’s te kunnen beoordelen, bedoeld in artikel 24,
                        tweede lid, onderdeel c, van de wet, behandelt de training, bedoeld in
                        artikel 24, vijfde lid, van de wet, daartoe in ieder geval de volgende
                        onderwerpen:</al>
                  <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                    <li>
                      <li.nr>a.</li.nr>
                      <al>de soorten risico’s voor netwerk- en informatiesystemen;</al>
                    </li>
                    <li>
                      <li.nr>b.</li.nr>
                      <al>risicomanagementprocessen; en</al>
                    </li>
                    <li>
                      <li.nr>c.</li.nr>
                      <al>risicobeoordelingsmethodiek.</al>
                    </li>
                  </lijst>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>Ten behoeve van het verkrijgen van kennis en vaardigheden om
                        risicobeheersmaatregelen op het gebied van cyberbeveiliging als bedoeld in
                        artikel 24, tweede lid, onderdeel b, van de wet en de gevolgen van
                        risicobeheersmaatregelen te kunnen beoordelen, bedoeld in artikel 24, tweede
                        lid, onderdeel c, van de wet, behandelt de training, bedoeld in artikel 24,
                        vijfde lid, van de wet, in ieder geval de onderwerpen, genoemd in artikel
                        21, derde lid, onderdelen a tot en met j, van de wet.</al>
                </lid>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">22</nr>
                  <titel>(eisen aan het certificaat)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>Het certificaat van de training, bedoeld in artikel 24, vijfde lid, van de
                        wet, bevat in ieder geval:</al>
                  <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                    <li>
                      <li.nr>a.</li.nr>
                      <al>de naam van het lid van het bestuur van de essentiële entiteit of
                              belangrijke entiteit;</al>
                    </li>
                    <li>
                      <li.nr>b.</li.nr>
                      <al>de datum of data waarop de training is gevolgd;</al>
                    </li>
                    <li>
                      <li.nr>c.</li.nr>
                      <al>de behandelde onderwerpen in de training; en</al>
                    </li>
                    <li>
                      <li.nr>d.</li.nr>
                      <al>de naam van de aanbieder van de training.</al>
                    </li>
                  </lijst>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>Het certificaat van de training, bedoeld in artikel 24, vijfde lid, van de
                        wet, is opgesteld in de Nederlandse taal of de Engelse taal.</al>
                </lid>
              </artikel>
            </hoofdstuk>
            <hoofdstuk>
              <kop>
                <label>HOOFDSTUK</label>
                <nr status="officieel">6.</nr>
                <titel>MELDINGEN VAN SIGNIFICANTE INCIDENTEN, INCIDENTEN, BIJNA-INCIDENTEN,
                     SIGNIFICANTE CYBERDREIGINGEN, CYBERDREIGINGEN EN KWETSBAARHEDEN</titel>
              </kop>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">23</nr>
                  <titel>(significante incidenten)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>Bij regeling van Onze Minister die het aangaat, na overleg met Onze
                        Minister, kunnen de criteria worden vastgesteld op basis waarvan wordt
                        bepaald of sprake is van een significant incident als bedoeld in artikel 25,
                        tweede lid, van de wet, waarbij onderscheid kan worden gemaakt tussen
                        sectoren, subsectoren, soorten entiteiten en entiteiten. In plaats van de
                        vaststelling van die criteria bij regeling kan Onze Minister die het
                        aangaat, na overleg met Onze Minister, die criteria ten aanzien van
                        specifieke entiteiten vaststellen bij besluit.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>Ten aanzien van de entiteiten waarvoor in uitvoeringshandelingen op grond
                        van artikel 23, elfde lid, van de NIS2-richtlijn nader is gespecificeerd in
                        welke gevallen een incident bij die entiteiten als significant wordt
                        beschouwd, kunnen bij regeling van Onze Minister die het aangaat, na overleg
                        met Onze Minister, naast de hiervoor bedoelde specificaties in
                        uitvoeringshandelingen, aanvullende criteria worden vastgesteld op basis
                        waarvan wordt bepaald of sprake is van een significant incident als bedoeld
                        in artikel 25, tweede lid, van de wet, waarbij onderscheid kan worden
                        gemaakt tussen sectoren, subsectoren, soorten entiteiten en entiteiten. In
                        plaats van de vaststelling van die aanvullende criteria bij regeling kan
                        Onze Minister die het aangaat, na overleg met Onze Minister, die aanvullende
                        criteria ten aanzien van specifieke entiteiten vaststellen bij besluit.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">3.</lidnr>
                  <al>Onze Minister die het aangaat evalueert ten minste elke vier jaar de
                        doeltreffendheid van de criteria, bedoeld in het eerste en tweede lid, en de
                        effecten daarvan in de praktijk. Indien nodig past hij de criteria, na
                        overleg met Onze Minister, aan.</al>
                </lid>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">24</nr>
                  <titel>(gegevens waar een vroegtijdige waarschuwing uit moet bestaan)</titel>
                </kop>
                <al>De vroegtijdige waarschuwing, bedoeld in artikel 26, eerste lid, van de wet,
                     omvat naast de gegevens, genoemd in artikel 26, tweede lid, van de wet, tevens
                     de volgende gegevens:</al>
                <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                  <li>
                    <li.nr>a.</li.nr>
                    <al>het vermoedelijke tijdstip van de aanvang van het significante
                           incident;</al>
                  </li>
                  <li>
                    <li.nr>b.</li.nr>
                    <al>zo mogelijk, een beschrijving van de aard en op dat moment merkbare
                           gevolgen van het incident;</al>
                  </li>
                  <li>
                    <li.nr>c.</li.nr>
                    <al>zo mogelijk, een prognose van de hersteltijd; en</al>
                  </li>
                  <li>
                    <li.nr>d.</li.nr>
                    <al>zo mogelijk, de door de essentiële entiteit of belangrijke entiteit
                           voorgenomen of genomen maatregelen om de gevolgen van het significante
                           incident te beperken of herhaling hiervan te voorkomen.</al>
                  </li>
                </lijst>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">25</nr>
                  <titel>(wijze waarop een melding geschiedt)</titel>
                </kop>
                <al>De melding, bedoeld in artikel 25, eerste lid, van de wet, wordt gedaan bij
                     een hiervoor door Onze Minister ingericht meldpunt.</al>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">26</nr>
                  <titel>(nadere regels over meldingen)</titel>
                </kop>
                <al>Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister,
                     kunnen regels worden gesteld ter uitwerking van de artikelen 26 tot en met 30,
                     33 en 34 van de wet.</al>
              </artikel>
            </hoofdstuk>
            <hoofdstuk>
              <kop>
                <label>HOOFDSTUK</label>
                <nr status="officieel">7.</nr>
                <titel>INFORMATIEVERSTREKKING TEN BEHOEVE VAN NATIONAAL REGISTER</titel>
              </kop>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">27</nr>
                  <titel>(informatieverstrekking ten behoeve van nationaal register)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>Naast de informatie, genoemd in artikel 44, eerste lid, onderdelen a tot en
                        met e, van de wet, verstrekt een essentiële entiteit, belangrijke entiteit
                        en entiteit die domeinnaamregistratiediensten verleent tevens aan Onze
                        Minister de volgende informatie ten behoeve van de registratie in het
                        nationaal register, bedoeld in artikel 43 van de wet:</al>
                  <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                    <li>
                      <li.nr>a.</li.nr>
                      <al>de vermelding of zij de registratie doet als essentiële entiteit,
                              belangrijke entiteit of entiteit die domeinnaamregistratiediensten
                              verleent; en</al>
                    </li>
                    <li>
                      <li.nr>b.</li.nr>
                      <al>het nummer, bedoeld in artikel 9, onderdeel a, van de
                              Handelsregisterwet 2007 of, indien zij niet in het handelsregister,
                              bedoeld in artikel 2 van de Handelsregisterwet 2007, is ingeschreven,
                              een daarmee vergelijkbaar registratienummer van het land waarin zij is
                              gevestigd.</al>
                    </li>
                  </lijst>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>In afwijking van het eerste lid, onderdeel b, verstrekt een
                        overheidsinstantie, indien zij geregistreerd staat in het Register van
                        Overheidsorganisaties, de identificatiecode waarmee zij geregistreerd staat
                        in het Register van Overheidsorganisaties.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">3.</lidnr>
                  <al>In aanvulling op de informatie, genoemd in het eerste lid, en indien van
                        toepassing, de informatie, genoemd in het tweede lid, verstrekt een
                        essentiële entiteit of belangrijke entiteit tevens aan Onze Minister de
                        volgende informatie ten behoeve van de registratie in het nationaal
                        register, bedoeld in artikel 43 van de wet:</al>
                  <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                    <li>
                      <li.nr>a.</li.nr>
                      <al>indien van toepassing, de soort entiteit, bedoeld in bijlage 1 of 2
                              van de wet, waartoe zij behoort; en</al>
                    </li>
                    <li>
                      <li.nr>b.</li.nr>
                      <al>haar domeinnamen.</al>
                    </li>
                  </lijst>
                </lid>
              </artikel>
            </hoofdstuk>
            <hoofdstuk>
              <kop>
                <label>HOOFDSTUK</label>
                <nr status="officieel">8.</nr>
                <titel>AANWIJZING AUTORITEITEN</titel>
              </kop>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">28</nr>
                  <titel>(aanwijzing autoriteiten)</titel>
                </kop>
                <al>Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister,
                     kunnen de autoriteiten, bedoeld in artikel 51, tweede lid, onderdeel i, van de
                     wet, worden aangewezen.</al>
              </artikel>
            </hoofdstuk>
            <hoofdstuk>
              <kop>
                <label>HOOFDSTUK</label>
                <nr status="officieel">9.</nr>
                <titel>PERSOONSGEGEVENS</titel>
              </kop>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">29</nr>
                  <titel>(bewaring van persoonsgegevens)</titel>
                </kop>
                <lid>
                  <lidnr status="officieel">1.</lidnr>
                  <al>De persoonsgegevens, niet zijnde de persoonsgegevens, bedoeld in artikel
                        64, tweede lid, van de wet, die door het centrale contactpunt, het CSIRT en
                        Onze Minister bij of krachtens de wet worden verwerkt, worden niet langer
                        bewaard dan noodzakelijk is ter uitvoering van hun taken op grond van de
                        wet, doch uiterlijk binnen 60 maanden na de eerste verwerking
                        verwijderd.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">2.</lidnr>
                  <al>In afwijking van het eerste lid worden de persoonsgegevens die zijn
                        opgenomen in het nationale register, bedoeld in artikel 43 van de wet, niet
                        langer bewaard dan noodzakelijk is ter uitvoering van de taken van Onze
                        Minister op grond van artikel 43 van de wet, doch uiterlijk binnen 60
                        maanden na de laatste bevestiging van de juistheid van de betreffende
                        persoonsgegevens verwijderd.</al>
                </lid>
                <lid>
                  <lidnr status="officieel">3.</lidnr>
                  <al>De persoonsgegevens, niet zijnde de persoonsgegevens, bedoeld in artikel
                        64, eerste lid, van de wet, die door de bevoegde autoriteit bij of krachtens
                        de wet worden verwerkt, worden niet langer bewaard dan noodzakelijk is ter
                        uitvoering van haar taken op grond van de wet, doch uiterlijk binnen 120
                        maanden na de eerste verwerking verwijderd.</al>
                </lid>
              </artikel>
            </hoofdstuk>
            <hoofdstuk>
              <kop>
                <label>HOOFDSTUK</label>
                <nr status="officieel">10.</nr>
                <titel>SLOTBEPALINGEN</titel>
              </kop>
              <wijzig-artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">30</nr>
                  <titel>(wijziging Besluit EU-verordeningen Wft)</titel>
                </kop>
                <wat type="wijziging">In bijlage 35 van het Besluit EU-verordeningen Wft wordt een
                     onderdeel toegevoegd, luidende:</wat>
                <wijziging>
                  <wijzig-divisie opmaak="default" soort="onbekend">
                    <kop>
                      <nr status="officieel">5.</nr>
                      <titel>Lidstaatoptie artikel 19, eerste lid, zesde paragraaf, en tweede
                              lid, derde paragraaf (meldplicht ICT-incidenten)</titel>
                    </kop>
                    <al>Banken, handelsplatformen, centrale effectenbewaarinstellingen en
                           centrale tegenpartijen doen de melding, bedoeld in artikel 19, eerste
                           lid, eerste paragraaf, van de verordening, en de vrijwillige melding,
                           bedoeld in artikel 19, tweede lid, eerste paragraaf, van de verordening,
                           tevens bij het bij of krachtens artikel 16, eerste lid, van de
                           Cyberbeveiligingswet aangewezen CSIRT voor de sectoren bankwezen en
                           infrastructuur voor de financiële markt.</al>
                  </wijzig-divisie>
                </wijziging>
              </wijzig-artikel>
              <wijzig-artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">31</nr>
                  <titel>(wijziging Besluit beveiliging en continuïteit openbare elektronische
                        communicatienetwerken en -diensten)</titel>
                </kop>
                <wat type="wijziging">Het Besluit continuïteit openbare elektronische
                     communicatienetwerken en -diensten wordt als volgt gewijzigd:</wat>
                <wijzig-lid>
                  <lidnr status="officieel">A</lidnr>
                  <wat>Artikel 1 komt te luiden:</wat>
                  <wijziging>
                    <artikel status="goed">
                      <kop>
                        <label>Artikel</label>
                        <nr status="officieel">1</nr>
                      </kop>
                      <al>In dit besluit en de daarop berustende bepalingen wordt onder wet
                              verstaan: Telecommunicatiewet.</al>
                    </artikel>
                  </wijziging>
                </wijzig-lid>
                <wijzig-lid>
                  <lidnr status="officieel">B</lidnr>
                  <wat>Artikel 2 komt te luiden:</wat>
                  <wijziging>
                    <artikel status="goed">
                      <kop>
                        <label>Artikel</label>
                        <nr status="officieel">2</nr>
                      </kop>
                      <al>Bij ministeriële regeling kunnen regels worden gesteld omtrent de
                              maatregelen, bedoeld in artikel 11a.1, eerste en derde lid, van de
                              wet.</al>
                    </artikel>
                  </wijziging>
                </wijzig-lid>
                <wijzig-lid>
                  <lidnr status="officieel">C</lidnr>
                  <wat>De artikelen 2a tot en met 5 vervallen.</wat>
                </wijzig-lid>
                <wijzig-lid>
                  <lidnr status="officieel">D</lidnr>
                  <wat>Artikel 5b wordt als volgt gewijzigd:</wat>
                  <wijziging>
                    <nr status="officieel">a.</nr>
                    <wat>in het eerste lid, onderdeel a wordt ‘de artikelen 11a.1, eerste lid,
                           en 11a.3, eerste lid, van de wet’ vervangen door ‘artikel 11a.3, eerste
                           lid, van de wet’;</wat>
                  </wijziging>
                  <wijziging>
                    <nr status="officieel">b.</nr>
                    <wat>in het eerste lid onderdeel b wordt ‘de artikelen 11a.1, eerste lid, en
                           artikel 11a.3, eerste lid, van de wet,’ vervangen door ‘artikel 11a.3,
                           eerste lid, van de wet,’;</wat>
                  </wijziging>
                  <wijziging>
                    <nr status="officieel">c.</nr>
                    <wat>in het tweede lid wordt ‘in de artikelen 2a en 5a, tweede lid’
                           vervangen door ‘in artikel 5a, tweede lid’.</wat>
                  </wijziging>
                </wijzig-lid>
                <wijzig-lid>
                  <lidnr status="officieel">E</lidnr>
                  <wat>Paragraaf 3 vervalt.</wat>
                </wijzig-lid>
                <wijzig-lid>
                  <lidnr status="officieel">F</lidnr>
                  <wat>Onder vernummering van de artikelen 10 en 11 tot de artikelen 7 en 8 wordt
                        in hoofdstuk 4 een artikel ingevoegd luidende:</wat>
                  <wijziging>
                    <artikel status="goed">
                      <kop>
                        <label>Artikel</label>
                        <nr status="officieel">6</nr>
                      </kop>
                      <al>Dit besluit berust op artikel 11a.3, zesde lid, van de
                              Telecommunicatiewet.</al>
                    </artikel>
                  </wijziging>
                </wijzig-lid>
                <wijzig-lid>
                  <lidnr status="officieel">G</lidnr>
                  <wat>In artikel 8 (nieuw) wordt ‘Besluit beveiliging en continuïteit openbare
                        elektronische communicatienetwerken en -diensten’ vervangen door ‘Besluit
                        beveiliging openbare elektronische communicatienetwerken en- diensten en
                        antenne-opstelpunten’.</wat>
                </wijzig-lid>
              </wijzig-artikel>
              <wijzig-artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">32</nr>
                  <titel>(wijziging Besluit veiligheid en integriteit telecommunicatie)</titel>
                </kop>
                <wat type="wijziging">In het Besluit veiligheid en integriteit telecommunicatie
                     wordt na artikel 2 een artikel ingevoegd, luidende:</wat>
                <wijziging>
                  <artikel status="goed">
                    <kop>
                      <label>Artikel</label>
                      <nr status="officieel">2a</nr>
                    </kop>
                    <al>Dit besluit berust op artikel 11a.1, tweede lid, van de
                           Telecommunicatiewet.</al>
                  </artikel>
                </wijziging>
              </wijzig-artikel>
              <wijzig-artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">33</nr>
                  <titel>(wijziging Drinkwaterbesluit)</titel>
                </kop>
                <wat type="wijziging">Het Drinkwaterbesluit wordt als volgt gewijzigd:</wat>
                <wijzig-lid>
                  <lidnr status="officieel">A</lidnr>
                  <wat>Artikel 15 wordt als volgt gewijzigd:</wat>
                  <wijziging>
                    <nr status="officieel">1.</nr>
                    <wat>Het opschrift komt te luiden:</wat>
                    <artikelkop>
                      <label>Artikel</label>
                      <nr status="officieel">15.</nr>
                      <titel>Toezicht door de eigenaar en risicobeoordeling en risicobeheer van
                              het watervoorzieningssysteem</titel>
                    </artikelkop>
                  </wijziging>
                  <wijziging>
                    <nr status="officieel">2.</nr>
                    <wat>Het eerste lid wordt als volgt gewijzigd:</wat>
                  </wijziging>
                  <wijziging>
                    <nr status="officieel">a.</nr>
                    <wat>in onderdeel a wordt ‘verstoringen en andere risico’s’ vervangen door
                           ‘het risico op verstoringen en overige risico’s met betrekking tot het
                           watervoorzieningssysteem’;</wat>
                  </wijziging>
                  <wijziging>
                    <nr status="officieel">b.</nr>
                    <wat>in onderdeel b wordt ‘Legionella:’ vervangen door ‘het risico op
                           Legionella:’.</wat>
                  </wijziging>
                </wijzig-lid>
                <wijzig-lid>
                  <lidnr status="officieel">B</lidnr>
                  <wat>In het opschrift van artikel 46a wordt na ‘Risicobeoordeling’ ingevoegd:
                        ‘en risicobeheer’.</wat>
                </wijzig-lid>
                <wijzig-lid>
                  <lidnr status="officieel">C</lidnr>
                  <wat>Artikel 47 wordt als volgt gewijzigd:</wat>
                  <wijziging>
                    <nr status="officieel">1.</nr>
                    <wat>Aan het slot van het opschrift wordt toegevoegd ‘en -beheer’.</wat>
                  </wijziging>
                  <wijziging>
                    <nr status="officieel">2.</nr>
                    <wat>Het eerste lid komt te luiden:</wat>
                    <artikeltekst>
                      <lid>
                        <lidnr status="officieel">1.</lidnr>
                        <al>Een verstorings-risicoanalyse omvat het inventariseren en
                                 analyseren van de voor het leveringsgebied van een
                                 drinkwaterbedrijf bestaande en te verwachten dreigingen voor de
                                 openbare drinkwatervoorziening. Van de verstorings-risicoanalyse
                                 maken in elk geval deel uit:</al>
                        <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                          <li>
                            <li.nr>a.</li.nr>
                            <al>de risicobeoordeling, bedoeld in artikel 14 van de Wet
                                       weerbaarheid kritieke entiteiten;</al>
                          </li>
                          <li>
                            <li.nr>b.</li.nr>
                            <al>de benadering die alle gevaren omvat, bedoeld in artikel 21,
                                       derde lid, van de Cyberbeveiligingswet;</al>
                          </li>
                          <li>
                            <li.nr>c.</li.nr>
                            <al>nationale dreigingen en scenario’s als bedoeld in het tweede
                                       lid.</al>
                          </li>
                        </lijst>
                        <al>De verstorings-risicoanalyse wordt met het oog op goedkeuring van
                                 het leveringsplan, bedoeld in artikel 37, derde lid, van de wet,
                                 voorafgaand aan de indiening van het leveringsplan aan de
                                 inspecteur ter beoordeling voorgelegd.</al>
                      </lid>
                    </artikeltekst>
                  </wijziging>
                  <wijziging>
                    <nr status="officieel">3.</nr>
                    <wat>In het vijfde lid vervalt de zinsnede ‘overeenkomstig de vereisten,
                           opgenomen in bijlage B, onderdeel 3, behorende bij dit besluit,’.</wat>
                  </wijziging>
                  <wijziging>
                    <nr status="officieel">4.</nr>
                    <wat>Er worden twee nieuwe leden toegevoegd, luidende:</wat>
                    <artikeltekst>
                      <lid>
                        <lidnr status="officieel">6.</lidnr>
                        <al>In de verstoringsparagraaf worden in elk geval opgenomen:</al>
                        <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                          <li>
                            <li.nr>a.</li.nr>
                            <al>de maatregelen, bedoeld in artikel 15 van de Wet
                                       weerbaarheid kritieke entiteiten;</al>
                          </li>
                          <li>
                            <li.nr>b.</li.nr>
                            <al>de maatregelen, bedoeld in artikel 21 van de
                                       Cyberbeveiligingswet;</al>
                          </li>
                          <li>
                            <li.nr>c.</li.nr>
                            <al>maatregelen in verband met de dreigingen en scenario’s,
                                       bedoeld in het tweede lid.</al>
                          </li>
                        </lijst>
                      </lid>
                      <lid>
                        <lidnr status="officieel">7.</lidnr>
                        <al>De vereisten, opgenomen in bijlage B, onderdeel 3, behorende bij
                                 dit besluit, zijn van toepassing op de verstoringsparagraaf.</al>
                      </lid>
                    </artikeltekst>
                  </wijziging>
                </wijzig-lid>
                <wijzig-lid>
                  <lidnr status="officieel">D</lidnr>
                  <wat>Na artikel 47 wordt een artikel ingevoegd, luidende:</wat>
                  <wijziging>
                    <artikel status="goed">
                      <kop>
                        <label>Artikel</label>
                        <nr status="officieel">47a.</nr>
                        <titel>Geïntegreerde aanpak risicoanalyse en risicobeheer</titel>
                      </kop>
                      <al>Met het oog op een doelmatige uitvoering kunnen:</al>
                      <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                        <li>
                          <li.nr>a.</li.nr>
                          <al>de risicobeoordeling van het watervoorzieningssysteem, bedoeld
                                    in artikel 46a, en de verstoringsrisicoanalyse, bedoeld in
                                    artikel 47, geïntegreerd worden voorbereid en uitgevoerd;</al>
                        </li>
                        <li>
                          <li.nr>b.</li.nr>
                          <al>de paragraaf risicobeheer watervoorzieningssysteem, bedoeld in
                                    artikel 46a, en de verstoringsparagraaf, bedoeld in artikel 47,
                                    geïntegreerd worden voorbereid en opgenomen in het
                                    leveringsplan, bedoeld in artikel 53, en geïntegreerd worden
                                    uitgevoerd.</al>
                        </li>
                      </lijst>
                    </artikel>
                  </wijziging>
                </wijzig-lid>
              </wijzig-artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">34</nr>
                  <titel>(intrekking Besluit beveiliging netwerk- en informatiesystemen)</titel>
                </kop>
                <al>Het Besluit beveiliging netwerk- en informatiesystemen wordt ingetrokken.</al>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">35</nr>
                  <titel>(inwerkingtreding)</titel>
                </kop>
                <al>Dit besluit treedt in werking op een bij koninklijk besluit te bepalen
                     tijdstip, dat voor de verschillende artikelen of onderdelen daarvan
                     verschillend kan worden vastgesteld.</al>
              </artikel>
              <artikel status="goed">
                <kop>
                  <label>Artikel</label>
                  <nr status="officieel">36</nr>
                  <titel>(citeertitel)</titel>
                </kop>
                <al>Dit besluit wordt aangehaald als: Cyberbeveiligingsbesluit.</al>
              </artikel>
            </hoofdstuk>
          </wettekst>
          <wetsluiting status="goed">
            <slotformulering>
              <al>Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting
                  in het Staatsblad zal worden geplaatst.</al>
            </slotformulering>
            <ondertekening>
              <functie>De Minister van Justitie
                  en Veiligheid,</functie>
            </ondertekening>
          </wetsluiting>
          <nota-toelichting>
            <kop>
              <titel>NOTA VAN TOELICHTING</titel>
            </kop>
            <divisie opmaak="default">
              <kop>
                <titel>ALGEMEEN DEEL</titel>
              </kop>
              <divisie opmaak="default">
                <kop>
                  <nr status="officieel">1.</nr>
                  <titel>Inleiding</titel>
                </kop>
                <al>Dit besluit, het Cyberbeveiligingsbesluit (hierna: Cbb), strekt ter uitwerking
                     van de Cyberbeveiligingswet (hierna: Cbw). De Cbw strekt op haar beurt tot de
                     uitvoering van de Richtlijn (EU) 2022/2555 van het Europees Parlement en de
                     Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk
                     niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU)
                     nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU)
                        2016/1148.<noot id="n1" type="voet"><noot.nr>1</noot.nr><noot.al><nadruk type="cur">PbEU</nadruk> 2022, L 333.</noot.al></noot> Die richtlijn wordt ook wel aangeduid als de NIS2-richtlijn.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <nr status="officieel">2.</nr>
                  <titel>De belangrijkste onderdelen van het Cbb</titel>
                </kop>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">2.1</nr>
                    <titel>Inleiding</titel>
                  </kop>
                  <al>In dit hoofdstuk wordt ingegaan op de belangrijkste onderdelen van het Cbb.
                        Voor een nadere en uitgebreide toelichting op alle artikelen uit het Cbb
                        wordt verwezen naar de artikelsgewijze toelichting. Aan het eind van dit
                        hoofdstuk wordt ook ingegaan op enkele overige zaken.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">2.2</nr>
                    <titel>Zorgplicht</titel>
                  </kop>
                  <al>Voor essentiële entiteiten en belangrijke entiteiten geldt op grond van
                        artikel 21 Cbw de verplichting om passende en evenredige technische,
                        operationele en organisatorische maatregelen te nemen om de risico’s voor de
                        beveiliging van de netwerk- en informatiesystemen, die zij voor haar
                        werkzaamheden of voor het verlenen van haar diensten gebruiken, te
                        beheersen. Deze verplichting wordt de zorgplicht genoemd.</al>
                  <al-groep>
                    <al>De maatregelen die essentiële entiteiten en belangrijke entiteiten
                           moeten nemen in het kader van de zorgplicht, omvatten ingevolge artikel
                           21, derde lid, Cbw ten minste het volgende:</al>
                    <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                      <li>
                        <li.nr>a.</li.nr>
                        <al>beleid over risicoanalyse en beveiliging van
                                 informatiesystemen;</al>
                      </li>
                      <li>
                        <li.nr>b.</li.nr>
                        <al>incidentenbehandeling;</al>
                      </li>
                      <li>
                        <li.nr>c.</li.nr>
                        <al>bedrijfscontinuïteit, zoals back-upbeheer en
                                 noodvoorzieningenplannen, en crisisbeheer;</al>
                      </li>
                      <li>
                        <li.nr>d.</li.nr>
                        <al>de beveiliging van de toeleveringsketen;</al>
                      </li>
                      <li>
                        <li.nr>e.</li.nr>
                        <al>beveiliging bij het verwerven, ontwikkelen en onderhouden van
                                 netwerk- en informatiesystemen;</al>
                      </li>
                      <li>
                        <li.nr>f.</li.nr>
                        <al>beleid en procedures om de effectiviteit van maatregelen voor het
                                 beheer van cyberbeveiligingsrisico’s te beoordelen;</al>
                      </li>
                      <li>
                        <li.nr>g.</li.nr>
                        <al>basispraktijken op het gebied van cyberhygiëne en opleiding op het
                                 gebied van cyberbeveiliging;</al>
                      </li>
                      <li>
                        <li.nr>h.</li.nr>
                        <al>beleid en procedures over het gebruik van cryptografie;</al>
                      </li>
                      <li>
                        <li.nr>i.</li.nr>
                        <al>beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en
                                 beheer van assets; en</al>
                      </li>
                      <li>
                        <li.nr>j.</li.nr>
                        <al>wanneer gepast, het gebruik van multifactor-authenticatie- of
                                 continue-authenticatieoplossingen, beveiligde spraak-, video- en
                                 tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de
                                 entiteit.</al>
                      </li>
                    </lijst>
                  </al-groep>
                  <al>De maatregelen die essentiële entiteiten en belangrijke entiteiten in het
                        kader van de zorgplicht moeten nemen, zijn nader uitgewerkt in de artikelen
                        6 tot en met 18 Cbb. Voor een toelichting op deze artikelen wordt verwezen
                        naar de artikelsgewijze toelichting. Daarbij geldt steeds als uitgangspunt
                        dat de maatregelen in zijn geheel moeten voldoen aan de open geformuleerde
                        zorgplicht uit artikel 21 Cbw en dat de artikelen 6 tot en met 18 Cbb dus
                        steeds in dat licht moeten worden beoordeeld.</al>
                  <al>De artikelen 6 tot en met 18 Cbb zijn van toepassing op alle essentiële
                        entiteiten en belangrijke entiteiten uit alle sectoren waar de Cbw op van
                        toepassing is, uitgezonderd van de entiteiten die op grond van artikel 23
                        Cbw zijn ontheven van de zorgplicht en de entiteiten waarop de
                        Uitvoeringsverordening (EU) 2024/2690<noot id="n2" type="voet"><noot.nr>2</noot.nr><noot.al>Uitvoeringsverordening (EU) 2024/2690 van de Commissie van
                              17 oktober 2024 tot vaststelling van regels voor de toepassing van
                              Richtlijn (EU) 2022/2555 wat betreft de technische en methodologische
                              vereisten van de maatregelen voor het beheer van
                              cyberbeveiligingsrisico’s en nadere specificatie van de gevallen
                              waarin een incident als significant wordt beschouwd met betrekking tot
                              DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders
                              van cloudcomputingdiensten, aanbieders van datacentrumdiensten,
                              aanbieders van netwerken voor de levering van inhoud, aanbieders van
                              beheerde diensten, aanbieders van beheerde beveiligingsdiensten,
                              aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van
                              platforms voor socialenetwerkdiensten, en verleners van
                              vertrouwensdiensten (<nadruk type="cur">PbEU</nadruk>
                              L 2024/2690).</noot.al></noot> (hierna: de uitvoeringsverordening) van toepassing is. Voor een
                        toelichting op dit laatste wordt verwezen naar de artikelsgewijze
                        toelichting op artikel 4 Cbb. Het van toepassing zijn van de artikelen 6 tot
                        en met 18 Cbb op een groot aantal entiteiten biedt een gemeenschappelijk
                        basisniveau voor de digitale weerbaarheid van een groot aantal essentiële
                        entiteiten en belangrijke entiteiten.</al>
                  <al>In diverse artikelen in het Cbb, zoals de artikelen 6 en 7, is bepaald dat
                        essentiële entiteiten en belangrijke entiteiten beleid over de in die
                        artikelen genoemde onderwerpen schriftelijk moeten hebben vastgesteld en
                        aantoonbaar moeten toepassen. Het doel van deze voorschriften is dat
                        entiteiten weloverwogen beleid formuleren op de genoemde onderwerpen, dat
                        zij dit formeel vaststellen en dat zij dit beleid daadwerkelijk ten uitvoer
                        brengen en dat hierop ook effectief toezicht mogelijk is. Het beleid kan in
                        één of meerdere beleidsdocumenten worden uitgewerkt of bijvoorbeeld
                        geïntegreerd worden in een managementsysteem voor informatiebeveiliging
                        waarmee ook aan de aantoonbaarheid kan worden voldaan.</al>
                  <al>Artikel 19 Cbb biedt de mogelijkheid om de zorgplicht nader sectoraal in te
                        vullen middels ministeriële regelingen van de vakministers voor de sectoren
                        waar zij verantwoordelijk voor zijn. Dit biedt de mogelijkheid om ten
                        aanzien van de zorgplicht onderscheid te maken tussen sectoren, subsectoren,
                        soorten entiteiten en entiteiten, bijvoorbeeld vanwege de specifieke aard
                        van een bepaalde sector, subsector, soort entiteit of entiteit.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">2.3</nr>
                    <titel>Training</titel>
                  </kop>
                  <al>In artikel 24, eerste lid, Cbw is bepaald dat de maatregelen die essentiële
                        entiteiten en belangrijke entiteiten moeten nemen in het kader van de
                        zorgplicht, de goedkeuring behoeven van het bestuur van de essentiële
                        entiteit en belangrijke entiteit. Artikel 24, tweede lid, Cbw verplicht
                        ieder lid van het bestuur van een essentiële entiteit en belangrijke
                        entiteit om te beschikken over kennis en vaardigheden om onder meer risico’s
                        voor de beveiliging van netwerk- en informatiesystemen te kunnen
                        identificeren en risicobeheersmaatregelen op het gebied van cyberbeveiliging
                        te kunnen beoordelen. In artikel 24, vijfde lid, Cbw is bepaald dat die
                        bestuursleden met het oog op het aantonen van de hiervoor bedoelde kennis en
                        vaardigheden moeten beschikken over een certificaat, waaruit de deelname
                        blijkt aan een training die de hiervoor bedoelde onderwerpen behandelt. In
                        de artikelen 20 tot en met 22 Cbb worden regels gesteld over de hiervoor
                        bedoelde training. Deze regels zien onder meer op de eisen aan de training
                        en het certificaat. Voor een toelichting op deze regels wordt verwezen naar
                        de artikelsgewijze toelichting op deze bepalingen.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">2.4</nr>
                    <titel>Aanwijzing CSIRT en coördinator met het oog op een gecoördineerde
                           bekendmaking van kwetsbaarheden</titel>
                  </kop>
                  <al>In artikel 16, eerste lid, Cbw is bepaald dat voor alle essentiële
                        entiteiten en belangrijke entiteiten bij of krachtens algemene maatregel van
                        bestuur (hierna: amvb) een Computer security incident response team (hierna:
                        CSIRT) wordt aangewezen. Het CSIRT heeft op grond van artikel 16, derde lid,
                        Cbw, onder meer tot taak om genoemde entiteiten in geval van dreigingen,
                        kwetsbaarheden en incidenten vroegtijdig te waarschuwen en bijstand te
                        verlenen. Het CSIRT zal bij het verlenen van bijstand niet de
                        verantwoordelijkheid overnemen van de entiteit. De entiteit blijft
                        zelfstandig verantwoordelijk voor het oplossen van een incident en haar
                        cyberweerbaarheid. In artikel 2, eerste en tweede lid, Cbb wordt geregeld
                        welke partij voor essentiële entiteiten en belangrijke entiteiten als CSIRT
                        wordt of kan worden aangewezen.</al>
                  <al>Daarnaast is in artikel 17, eerste lid, Cbw bepaald dat één van de als
                        CSIRT aangewezen partijen bij of krachtens amvb wordt aangewezen als
                        coördinator met het oog op een gecoördineerde bekendmaking van
                        kwetsbaarheden. Deze coördinator heeft op grond van artikel 17, tweede lid,
                        Cbw, onder meer tot taak om als tussenpersoon op te treden tussen degene die
                        een kwetsbaarheid (een zwakheid, vatbaarheid of gebrek van ICT-producten of
                        -diensten die door een cyberdreiging kan worden uitgebuit) bij de
                        coördinator meldt en de fabrikant of aanbieder van het ICT-product of de
                        ICT-dienst waarop de melding betrekking heeft. In artikel 2, derde lid, Cbb
                        wordt deze coördinator aangewezen. Voor een toelichting hierop wordt
                        verwezen naar de artikelsgewijze toelichting op deze bepaling.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">2.5</nr>
                    <titel>Overige zaken</titel>
                  </kop>
                  <divisie opmaak="default">
                    <kop>
                      <nr status="officieel">2.5.1</nr>
                      <titel>Na overleg met of in overeenstemming met de Minister van Justitie
                              en Veiligheid</titel>
                    </kop>
                    <al>Waar er afstemming nodig is tussen de centraal verantwoordelijke
                           minister, te weten de Minister van Justitie en Veiligheid, en de
                           vakminister heeft dit er toe geleid dat in het Cbb per artikel is bepaald
                           of dit geschiedt ‘na overleg met’ of ‘in overeenstemming met’ de Minister
                           van Justitie en Veiligheid. Het verschil tussen ‘na overleg met’ en ‘in
                           overeenstemming met’ is dat bij ‘na overleg met’ eventueel verschil van
                           inzicht kan worden opgelost via de gangbare afstemmings- en
                           overlegstructuren, maar de vakminister uiteindelijk eigenstandig de
                           eindbeslissing neemt. Bij ‘in overeenstemming met’ dient de Minister van
                           Justitie en Veiligheid bij eventueel uiteenlopende inzichten alsnog mede
                           te beslissen. Deze variant is gekozen bij de bepalingen waarbij de
                           handelingen van de vakminister het integrale stelsel raken, en dus van
                           invloed zijn op de stelselverantwoordelijkheid van de Minister van
                           Justitie en Veiligheid.</al>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <nr status="officieel">2.5.2</nr>
                      <titel>Notificatie</titel>
                    </kop>
                    <al>Ter voldoening aan de zogeheten Notificatierichtlijn<noot id="n3" type="voet"><noot.nr>3</noot.nr><noot.al>Richtlijn 2015/1535/EU van het Europees Parlement en de Raad
                                 van 9 september 2015 betreffende een informatieprocedure op het
                                 gebied van technische voorschriften en regels betreffende de
                                 diensten van de informatiemaatschappij (codificatie) (<nadruk type="cur">PbEU</nadruk> 2015, L 241).</noot.al></noot> is beoordeeld of de maatregelen ter uitwerking van de zorgplicht
                           als nationale technische eisen genotificeerd moeten worden bij de
                           Europese Commissie. Artikel 7, eerste lid, onderdeel a,
                           Notificatierichtlijn bepaalt dat er niet genotificeerd hoeft te worden
                           indien de lidstaten zich voegen naar bindende handelingen van de Europese
                           Unie die de aanneming van technische voorschriften of regels betreffende
                           diensten tot gevolg hebben. In het geval van minimumharmonisatie, waarvan
                           sprake is voor wat betreft de implementatie van de NIS2-richtlijn, geldt
                           dat nationale verdergaande maatregelen wel onder de notificatieplicht
                           vallen. Van dergelijke verdergaande maatregelen is in dit verband geen
                           sprake.</al>
                  </divisie>
                </divisie>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <nr status="officieel">3.</nr>
                  <titel>Gevolgen</titel>
                </kop>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">3.1</nr>
                    <titel>Inleiding</titel>
                  </kop>
                  <al-groep>
                    <al>Het Ministerie van Justitie en Veiligheid heeft door een onafhankelijk
                        onderzoeksbureau een regeldrukonderzoek laten uitvoeren. Het onderzoek naar
                        de regeldruk van de Cbw en het Cbb is gecombineerd met het onderzoek naar de
                        regeldruk van de Wet weerbaarheid kritieke entiteiten (hierna: Wwke) en het
                        Besluit weerbaarheid kritieke entiteiten (hierna: Bwke). Aan de hand van
                        interviews met het bedrijfsleven en een panelbijeenkomst met het mkb is een
                        inschatting gemaakt van de regeldruk als gevolg van de Cbw en het Cbb (en de
                        regeldruk als gevolg van de Wwke en het Bwke). Hieronder worden de
                        belangrijkste uitkomsten daarvan ten aanzien van de Cbw en het Cbb
                        beschreven.</al>
                    <al>De uitkomsten van het regeldrukonderzoek, in combinatie met de
                        consultatiereacties op een concept van het Cbb en de panelbijeenkomst met
                        het mkb, hebben geleid tot aanpassingen in het Cbb. Een deel van die
                        aanpassingen komen aan de orde in hoofdstuk 4.</al>
                  </al-groep>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">3.2</nr>
                    <titel>Werkwijze regeldrukonderzoek</titel>
                  </kop>
                  <al>Bij het in kaart brengen van de regeldrukeffecten is gebruik gemaakt van de
                        landelijke methodiek die is vastgelegd in de meest recente versie van het
                        Handboek Meting Regeldrukkosten 2023, versie 2.1 d.d. 29 november 2023. De
                        hierin beschreven methodiek wordt ook voorgeschreven door het Adviescollege
                        Toetsing Regeldruk (hierna: ATR).</al>
                  <al>Er zijn interviews gehouden met verschillende bedrijven die naar
                        verwachting regeldrukgevolgen zullen ervaren als gevolg van de Cbw en het
                        Cbb. Tijdens de selectie van deelnemende bedrijven is rekening gehouden met
                        de diversiteit aan bedrijven die tot de doelgroep behoren van de Cbw en
                        Wwke. Zo is gepoogd een gevarieerde selectie samen te stellen van bedrijven
                        uit diverse sectoren, van verschillende omvang en vallend binnen
                        uiteenlopende wetgevende kaders.</al>
                  <al>Alleen de verplichtingen uit de Cbw die nader zijn ingevuld in het Cbb en
                        waarvoor om die reden geen regeldrukberekening is gedaan in de memorie van
                        toelichting op de Cbw, vormen onderdeel van dit onderzoek. Meer concreet
                        gaat het om de regels in het Cbb over de zorgplicht, de verplichting op het
                        terrein van governance en de registratieplicht.</al>
                  <al>In het onderzoek is op twee vlakken onderscheid gemaakt, namelijk tussen de
                        eenmalige en de structurele regeldrukeffecten en tussen bedrijfseigen en
                        bedrijfsvreemde kosten. Onder eenmalige effecten vallen alle kosten die
                        tijdelijk van aard zijn. Structurele kosten omvatten kosten die periodiek
                        terugkeren, die kunnen bestaan uit aanschafkosten (out-of-pocketkosten) voor
                        goederen of diensten, of uit tijdbesteding. Bedrijfseigen kosten die
                        gekwantificeerd kunnen worden, tellen niet mee in de regeldrukberekening.
                        Bedrijfsvreemde kosten zijn alle overige kosten die bedrijven niet uit eigen
                        beweging zouden maken, voortkomend uit verplichtingen uit wet- en
                        regelgeving. Bedrijfsvreemde regeldrukkosten worden meegenomen in de
                        regeldrukberekening.</al>
                  <al>In het regeldrukonderzoek is voor de berekening, naast de uitkomsten van de
                        interviews, gebruik gemaakt van standaardaantallen. Deze aantallen omvatten
                        onder andere het totaal aantal bedrijven of ondernemingen dat naar
                        verwachting onder de reikwijdte van de Cbw zal vallen. Zoals ook is
                        aangegeven in de memorie van toelichting op de Cbw wordt het
                        toepassingsbereik van de Cbw geschat op 7.550 ondernemingen.</al>
                  <al>Verder worden structurele tijdbestedingen geregeld uitgedrukt in fte’s in
                        plaats van individuele uren. Omdat het aantal werkzame uren van een voltijds
                        dienstverband significant kan verschillen tussen werkgevers en tussen cao’s,
                        wordt gerekend met een standaardaantal uren. Gekozen is om het aantal van
                        1.720 werkzame uren op jaarbasis te hanteren. Dit aantal berust op een
                        schatting van het Ministerie van Sociale Zaken en Werkgelegenheid.</al>
                  <al>Ook voor de uurtarieven van medewerkers van de bedrijven die activiteiten
                        moeten verrichten om te voldoen aan wettelijke verplichtingen worden
                        standaardaantallen gebruikt. Dit regeldrukonderzoek volgt hiervoor de
                        methode uit het Handboek Meting Regeldrukkosten, versie 2.1 d.d. 29 november
                        2023. Onderdeel van deze methode is het aanhouden van standaard interne
                        uurtarieven per type functie. Per activiteit die verricht wordt om te
                        voldoen aan een verplichting is bepaald welk type functie de medewerkers die
                        deze activiteit uitvoeren naar alle waarschijnlijkheid zullen hebben. Dit is
                        afgestemd met de respondenten. Op basis hiervan is gerekend met het
                        bijbehorende uurtarief. Sommige bedrijven hebben aangegeven dat zij voor het
                        verrichten van dezelfde werkzaamheden in sommige gevallen een ander type
                        medewerker inzetten.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">3.3</nr>
                    <titel>Bevindingen regeldrukonderzoek</titel>
                  </kop>
                  <al>De geïnterviewde bedrijven geven aan dat zij al maatregelen nemen voor de
                        beveiliging van hun netwerk- en informatiesystemen, met als basis de eisen
                        uit de Wet beveiliging netwerk- en informatiesystemen (hierna: Wbni) of
                        sectorspecifieke wetgeving. Veel bedrijven gaan echter verder dan wettelijk
                        is vereist. Hun motieven zijn complex en niet eenduidig te herleiden tot
                        bedrijfseigen of wettelijke redenen. ISO- en NEN-standaarden vormen het
                        ijkpunt voor alle geïnterviewde bedrijven en worden voortdurend aangepast
                        aan technologische en wettelijke ontwikkelingen. Om gecertificeerd te
                        blijven, moeten bedrijven daarom blijvend investeren. Of deze investeringen
                        voortkomen uit intrinsieke beweegredenen of wetgeving is niet altijd
                        evident. De hier gerapporteerde regeldrukkosten zijn gebaseerd op een
                        kwantitatieve inschatting van de meerkosten die bedrijven verwachten voor
                        het voldoen aan de Cbw en het Cbb.</al>
                  <al>De bevindingen met betrekking tot de zorgplicht, de opleidingsverplichting
                        voor bestuursleden en de verplichting tot het registreren worden hieronder
                        toegelicht. De uiteenzetting van de verwachte regeldrukgevolgen wordt hierna
                        uitgesplitst in eenmalige en structurele regeldrukkosten.</al>
                  <divisie opmaak="default">
                    <kop>
                      <label>Artikel</label>
                      <nr status="officieel">21</nr>
                      <titel>Cbw en de artikelen 6 tot en met 18 Cbb (zorgplicht)</titel>
                    </kop>
                    <al-groep>
                      <al>De eenmalige kosten die gemaakt moeten worden om te voldoen aan de
                              zorgplicht zijn primair het gevolg van de voorbereidingen die
                              bedrijven moeten treffen om de voorgeschreven maatregelen ten aanzien
                              van de zorgplicht uit te voeren, en de eenmalige meerkosten bij de
                              implementatie van deze maatregelen. Voor de meeste bedrijven vormt het
                              uitvoeren van een <nadruk type="cur">gap assessment</nadruk> en het
                              herzien van de overeenkomsten met ketenpartners het meest kostbare
                              onderdeel van deze voorbereiding. Bedrijven verwachten hierbij zowel
                              gebruik te zullen maken van hun eigen werknemers, alsook van de
                              diensten van externe partijen. Sommige bedrijven geven aan te
                              verwachten extra personeel in dienst te nemen voor de duur van de
                              transitieperiode.</al>
                      <al>Bedrijven verwachten dat het inregelen en aanpassen aan de nieuwe
                              wet- en regelgeving minstens enkele maanden, maar in sommige gevallen
                              enkele jaren in beslag zal gaan nemen. Gemiddeld verwachten
                              middelgrote ondernemingen 614 uur per onderneming aan eenmalige extra
                              tijdbesteding nodig te hebben voor de voorbereiding en implementatie
                              van de te nemen maatregelen ten aanzien van de zorgplicht. Voor grote
                              ondernemingen ligt dit getal aanzienlijk hoger, namelijk op gemiddeld
                              6.708 uur per onderneming.</al>
                      <al>De betrokken medewerkers kunnen worden ingedeeld in verschillende
                              functietypen variërend van ‘administratief medewerker’ tot
                              ‘leidinggevenden en managers’. De meeste handelingen worden echter
                              verricht door ‘hoogopgeleide medewerkers’, zij worden hierna aangeduid
                              als ‘theoretisch opgeleide medewerkers’. De gemiddelde uurtarieven van
                              de betrokken medewerkers bij middelgrote (€ 49,–) en grote
                              ondernemingen (€ 54,–) wijken niet significant af van het standaard
                              uurtarief voor theoretisch opgeleide medewerkers volgens het Handboek
                              Meting Regeldrukkosten, versie 2.1 d.d. 29 november 2023.</al>
                      <al>Naast tijdbesteding zullen bedrijven ook <nadruk type="cur">out-of-pocket</nadruk>-investeringen moeten doen. Wederom
                              verwachten middelgrote ondernemingen gemiddeld lagere kosten te moeten
                              maken dan grote ondernemingen: € 25.000,– respectievelijk € 44.400,–
                              per bedrijf.</al>
                      <al>Naast eenmalige kosten voor het voorbereiden en implementeren van
                              maatregelen in het kader van de zorgplicht verwachten bedrijven ook
                              structurele meerkosten te zullen maken. Bedrijven geven aan dat zij op
                              veel thema’s die worden uitgewerkt in het Cbb al staand beleid hebben.
                              De ISO 27001- en NEN7510-standaarden vereisen dit immers al. De
                              structurele meerkosten voor bedrijven volgen dan ook primair uit
                              verplichtingen die meer diepgang of een bredere scope van toepassing
                              vereisen dan de maatregelen die bedrijven op dit moment al nemen. Veel
                              genoemd zijn de voorschriften met betrekking tot de beveiliging van de
                              toeleveringsketen. Bedrijven geven aan dat, hoewel zij vaak al
                              maatregelen nemen op dit gebied, zij verwachten dat dit huidige beleid
                              ontoereikend zal zijn om te voldoen aan de voorschriften op dit punt
                              uit het Cbb. Bedrijven die veel op projectbasis werken met
                              ketenpartners verwachten dat het sluiten van overeenkomsten met deze
                              partijen structureel meer tijd zal kosten. Ook geven veel bedrijven
                              aan meerkosten te verwachten ten aanzien van de voorschriften op het
                              gebied van incidentenbehandeling. De structurele kosten van een
                              licentie voor een <nadruk type="cur">Incident Security Management
                                 System</nadruk> (ISMS), en de inhuur van externe
                              monitoringsdiensten ter ondersteuning van het <nadruk type="cur">Security Operations Centre</nadruk> (SOC) worden hierbij meermaals
                              genoemd. Andere structurele kostenposten zijn de inhuur van een
                                 <nadruk type="cur">Chief Information Security Officer</nadruk>
                              (CISO), de kosten in verband met de voorschriften ten aanzien van
                              logging, en het schriftelijk vastleggen en bijhouden van het beleid in
                              algemene zin.</al>
                      <al>Op basis van de inschattingen van de geïnterviewde bedrijven zijn de
                              gemiddelde en de totale structurele regeldrukgevolgen als gevolg van
                              de zorgplicht berekend. Bedrijven verwachten zowel kosten te maken als
                              gevolg van tijdbesteding om aan de zorgplicht te voldoen, alsook als
                              gevolg van <nadruk type="cur">out-of-pocket</nadruk>-investeringen die
                              gedaan zullen moeten worden. Gemiddeld verwachten middelgrote
                              bedrijven structureel 1.246 uur per jaar kwijt te zijn aan
                              tijdbesteding om te voldoen aan de zorgplicht. Bij grote ondernemingen
                              ligt dit aantal aanmerkelijk hoger, namelijk op gemiddeld 3.465 uur
                              per jaar per bedrijf. Ook het type medewerker dat deze handelingen zal
                              verrichten verschilt tussen middelgrote en grote ondernemingen. Bij
                              bedrijven in die eerste categorie is de verwachting dat
                              leidinggevenden en/of managers in de meeste gevallen verantwoordelijk
                              zullen zijn voor de structurele werkzaamheden ten gevolge van de
                              zorgplicht. Het gemiddelde corresponderend uurtarief van deze
                              medewerkers ligt op € 73,–. Bij grote ondernemingen zal dit werk
                              meestal verricht worden door hoogopgeleide medewerkers van de
                              IT-afdeling of administratief personeel. Het gemiddelde
                              corresponderend uurtarief van deze medewerkers ligt op € 51,–. De
                              structurele <nadruk type="cur">out-of-pocket</nadruk>-kosten van
                              middelgrote en grote ondernemingen liggen niet ver uit elkaar, deze
                              bedragen gemiddeld € 30.000,– respectievelijk € 32.800,–.</al>
                    </al-groep>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <label>Artikel</label>
                      <nr status="officieel">24</nr>
                      <titel>Cbw en de artikelen 21 en 22 Cbb (governance)</titel>
                    </kop>
                    <al-groep>
                      <al>De kosten die geïnterviewde bedrijven verwachten te maken om te
                              voldoen aan de eisen op het gebied van governance bestaan uit
                              tijdbesteding door leden van het bestuur enerzijds, en <nadruk type="cur">out-of-pocket</nadruk>-kosten als gevolg van de
                              vergoeding die betaald moet worden aan de externe trainer anderzijds.
                              De geïnterviewde bedrijven verwachten deze kosten eenmalig te moeten
                              maken voor het voltallige bestuur, en vervolgens periodiek naarmate de
                              samenstelling van het bestuur verandert en de stand van de techniek
                              evolueert. Omdat geen inschatting gegeven kon worden van de gemiddelde
                                 <nadruk type="cur">turnover </nadruk>van de raad van bestuur, en
                              omdat technische innovaties zich niet laten voorspellen, is de aanname
                              gedaan dat de helft van het aantal bestuursleden gedurende een periode
                              van 10 jaar wordt vervangen.</al>
                      <al>De regeldrukgevolgen van de governanceverplichtingen zijn
                              afzonderlijk in kaart gebracht voor middelgrote en grote
                              ondernemingen. Hieruit blijkt dat middelgrote bedrijven gemiddeld
                              genomen lagere kosten per bedrijf voorzien dan grote bedrijven, zowel
                              ten gevolge van de tijdbesteding van het bestuur<noot id="n4" type="voet"><noot.nr>4</noot.nr><noot.al>Hoewel middelgrote ondernemingen verwachten minder tijd
                                    per bestuurder kwijt te zijn aan de training dan grote
                                    ondernemingen (ca. 5 uur om ca. 9 uur), geven zij aan gemiddeld
                                    meer bestuurders de training te zullen laten volgen dan grote
                                    ondernemingen (5,6 personen om 4,4 personen).</noot.al></noot>, alsook ten gevolge van de <nadruk type="cur">out-of-pocket</nadruk>-investeringen die gedaan zullen moeten
                              worden. Middelgrote ondernemingen verwachten eenmalig € 1.954,– aan
                              tijdbesteding kwijt te zijn voor de training van het bestuur en
                              € 3.958,– aan <nadruk type="cur">out-of-pocket</nadruk>-investeringen
                              te moeten doen. Voor grote ondernemingen zijn deze bedragen € 2.808,–
                              respectievelijk € 11.071,– per bedrijf. Het verschil in de kosten van
                              de tijdbesteding tussen middelgrote en grote bedrijven is te verklaren
                              door de verwachting van grote bedrijven dat hun bestuurders meer tijd
                              kwijt zullen zijn aan de te volgen training dan bestuurders van
                              middelgrote bedrijven, namelijk bijna 9 uur per bestuurder van een
                              grote onderneming tegenover bijna 5 uur per bestuurder van een
                              middelgrote onderneming. De divergentie in de te maken <nadruk type="cur">out-of-pocket</nadruk>-kosten is minder eenduidig te
                              verklaren. Wel geven respondenten namens middelgrote bedrijven vaker
                              aan dat zij de verplichting tot het inhuren van een externe trainer
                              bezwaarlijk vinden. Een mogelijke verklaring zou daarom kunnen zijn
                              dat zij zullen proberen om de kosten van externe inhuur te verlagen,
                              bijvoorbeeld door de voorbereiding op deze training zoveel mogelijk
                              intern op te pakken. Grote bedrijven daarentegen hebben in sommige
                              gevallen al ervaring met trainingen en/of cursussen van externe
                              partijen. De verwachting van de respondenten namens grote bedrijven is
                              veelal dat zij deze partijen simpelweg opnieuw zullen inschakelen en
                              de bijkomende kosten accepteren.</al>
                      <al>De structurele kosten voor het voldoen aan de verplichtingen in het
                              kader van de governance zijn naar verwachting beperkt.</al>
                    </al-groep>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <label>Artikel</label>
                      <nr status="officieel">44</nr>
                      <titel>Cbw en artikel 27 Cbb (registratie in het nationaal register en
                              informatieverstrekking ten behoeve van die registratie)</titel>
                    </kop>
                    <al-groep>
                      <al>Sommige geïnterviewde bedrijven geven aan al geregistreerd te zijn
                              naar aanleiding van het huidige wettelijke kader (de Wbni). Zij zijn
                              echter niet geregistreerd bij het Nationaal Cyber Security Centrum
                              (hierna: NCSC), maar bij de Rijksinspectie Digitale Infrastructuur
                              (hierna: RDI), en zullen zich dus nog moeten registreren bij het NCSC.
                              Meerdere bedrijven geven daarnaast aan op dit moment niet in te kunnen
                              schatten wat de exacte implicaties van de registratieverplichting voor
                              hun organisatie zullen zijn. Wat hierbij een rol speelt is dat sommige
                              bedrijven uit vele tientallen, soms honderden juridische eenheden
                              bestaan die actief zijn in meerdere lidstaten van de Europese Unie,
                              ieder met een eigen registratieplicht die volgt uit de
                              NIS2-richtlijn.</al>
                      <al>De meeste bedrijven geven aan enkel eenmalige kosten te verwachten
                              ten gevolge van de registratieplicht, of de structurele kosten als
                              verwaarloosbaar te beschouwen. Gemiddeld verwachten bedrijven dat één
                              medewerker een dagdeel (circa 4 uur) kwijt zal zijn aan het registeren
                              van het bedrijf bij het NCSC. De medewerker die deze werkzaamheden uit
                              zal voeren is naar verwachting in de meeste gevallen een hoogopgeleide
                              IT’er met een corresponderend uurtarief van € 54,–.</al>
                      <al>Toch voorzien enkele bedrijven ook significante structurele
                              regeldrukgevolgen, bijvoorbeeld omdat de informatie in het register,
                              waaronder informatie over de domeinnamen van de entiteit, continu
                              bijgewerkt zal moeten worden. Deze opvatting wordt echter uitsluitend
                              gedeeld door grote bedrijven. Daarom wordt in het kader van de
                              berekening van de regeldrukkosten aangenomen dat, naast de incidentele
                              kosten van het registreren van de onderneming bij het NCSC, alle 1.742
                              grote bedrijven die naar verwachting onder het toepassingsbereik van
                              de Cbw vallen jaarlijks tijd kwijt zullen zijn om de geregistreerde
                              informatie actueel te houden. Gemiddeld verwachten grote bedrijven dat
                              enkele medewerkers hier gezamenlijk 10 uur per jaar aan zullen
                              besteden, tegen een gemiddeld uurloon van € 52,–.</al>
                    </al-groep>
                    <table colsep="1" frame="all" pgwide="1" rowsep="1" tabstyle="zebra1">
                      <title>Tabel 1: eenmalige regeldrukgevolgen Cbw en Cbb<noot id="n5" type="tabel"><noot.nr>1</noot.nr><noot.al>De resultaten zijn gewogen gemiddelden voor middelgrote-
                                    en grote ondernemingen.</noot.al></noot></title>
                      <tgroup align="left" char="" charoff="50" cols="7" tgroupstyle="zebra1">
                        <colspec colname="col1" colnum="1" colwidth="130*" />
                        <colspec colname="col2" colnum="2" colwidth="64*" />
                        <colspec colname="col3" colnum="3" colwidth="60*" />
                        <colspec colname="col4" colnum="4" colwidth="60*" />
                        <colspec colname="col5" colnum="5" colwidth="65*" />
                        <colspec colname="col6" colnum="6" colwidth="60*" />
                        <colspec colname="col7" colnum="7" colwidth="91*" />
                        <thead valign="bottom">
                          <row rowsep="1">
                            <entry align="left" colname="col1" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Artikelen</al>
                            </entry>
                            <entry align="left" colname="col2" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Tijdbesteding in uren</al>
                            </entry>
                            <entry align="left" colname="col3" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Uurtarief (€)</al>
                            </entry>
                            <entry align="left" colname="col4" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Out-of-pocket-kosten (€)</al>
                            </entry>
                            <entry align="left" colname="col5" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Totale kosten per bedrijf (P)</al>
                            </entry>
                            <entry align="left" colname="col6" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Aantal (Q)</al>
                            </entry>
                            <entry align="left" colname="col7" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Kosten (P×Q)</al>
                            </entry>
                          </row>
                        </thead>
                        <tbody valign="top">
                          <row rowsep="1">
                            <entry align="left" colname="col1" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Artikel 21 Cbw en de artikelen 6 tot en met 18 Cbb
                                          (zorgplicht)</al>
                            </entry>
                            <entry align="left" colname="col2" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>2.020</al>
                            </entry>
                            <entry align="left" colname="col3" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 53,–</al>
                            </entry>
                            <entry align="left" colname="col4" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 29.476,–</al>
                            </entry>
                            <entry align="left" colname="col5" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 136.536,–</al>
                            </entry>
                            <entry align="left" colname="col6" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>7.550</al>
                            </entry>
                            <entry align="left" colname="col7" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 1.030.847.000,–</al>
                            </entry>
                          </row>
                          <row rowsep="1">
                            <entry align="left" colname="col1" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Artikel 24 Cbw en de artikelen 21 en 22 Cbb
                                          (governance)</al>
                            </entry>
                            <entry align="left" colname="col2" colsep="1" morerows="0" nameend="col3" namest="col2" rotate="0" valign="top">
                              <al>€ 2.151</al>
                            </entry>
                            <entry align="left" colname="col4" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 5.599,–</al>
                            </entry>
                            <entry align="left" colname="col5" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 7.750,–</al>
                            </entry>
                            <entry align="left" colname="col6" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>7.550</al>
                            </entry>
                            <entry align="left" colname="col7" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 58.513.000,–</al>
                            </entry>
                          </row>
                          <row rowsep="1">
                            <entry align="left" colname="col1" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Artikel 44 Cbw en artikel 27 Cbb (registratie in het
                                          nationaal register en informatieverstrekking ten behoeve
                                          van die registratie)</al>
                            </entry>
                            <entry align="left" colname="col2" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>4</al>
                            </entry>
                            <entry align="left" colname="col3" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 54,–</al>
                            </entry>
                            <entry align="left" colname="col4" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>–</al>
                            </entry>
                            <entry align="left" colname="col5" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 216,–</al>
                            </entry>
                            <entry align="left" colname="col6" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>7.550</al>
                            </entry>
                            <entry align="left" colname="col7" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 1.631.000,–</al>
                            </entry>
                          </row>
                          <row rowsep="1">
                            <entry align="left" colname="col1" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Totaal</al>
                            </entry>
                            <entry align="left" colname="col2" colsep="1" morerows="0" nameend="col7" namest="col2" rotate="0" valign="top">
                              <al>€ 1.090.991.000,–</al>
                            </entry>
                          </row>
                          <row rowsep="1">
                            <entry align="left" colname="col1" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Gemiddeld per bedrijf</al>
                            </entry>
                            <entry align="left" colname="col2" colsep="1" morerows="0" nameend="col7" namest="col2" rotate="0" valign="top">
                              <al>€ 145.000,–</al>
                            </entry>
                          </row>
                        </tbody>
                      </tgroup>
                    </table>
                    <table colsep="1" frame="all" pgwide="1" rowsep="1" tabstyle="zebra1">
                      <title>Tabel 2: structurele regeldrukgevolgen Cbw en Cbb<noot id="n6" type="tabel"><noot.nr>1</noot.nr><noot.al>De resultaten zijn gewogen gemiddelden voor middelgrote-
                                    en grote ondernemingen.</noot.al></noot></title>
                      <tgroup align="left" char="" charoff="50" cols="7" tgroupstyle="zebra1">
                        <colspec colname="col1" colnum="1" colwidth="130*" />
                        <colspec colname="col2" colnum="2" colwidth="64*" />
                        <colspec colname="col3" colnum="3" colwidth="60*" />
                        <colspec colname="col4" colnum="4" colwidth="60*" />
                        <colspec colname="col5" colnum="5" colwidth="65*" />
                        <colspec colname="col6" colnum="6" colwidth="60*" />
                        <colspec colname="col7" colnum="7" colwidth="91*" />
                        <thead valign="bottom">
                          <row rowsep="1">
                            <entry align="left" colname="col1" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Artikelen</al>
                            </entry>
                            <entry align="left" colname="col2" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Tijdbesteding in uren</al>
                            </entry>
                            <entry align="left" colname="col3" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Uurtarief (€)</al>
                            </entry>
                            <entry align="left" colname="col4" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Out-of-pocket-kosten (€)</al>
                            </entry>
                            <entry align="left" colname="col5" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Totale kosten per bedrijf (P)</al>
                            </entry>
                            <entry align="left" colname="col6" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Aantal (Q)</al>
                            </entry>
                            <entry align="left" colname="col7" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Kosten (P×Q)</al>
                            </entry>
                          </row>
                        </thead>
                        <tbody valign="top">
                          <row rowsep="1">
                            <entry align="left" colname="col1" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Artikel 21 Cbw en de artikelen 6 tot en met 18 Cbb
                                          (zorgplicht)</al>
                            </entry>
                            <entry align="left" colname="col2" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>1.758</al>
                            </entry>
                            <entry align="left" colname="col3" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 63,–</al>
                            </entry>
                            <entry align="left" colname="col4" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 30.646,–</al>
                            </entry>
                            <entry align="left" colname="col5" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 141.400,–</al>
                            </entry>
                            <entry align="left" colname="col6" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>7.550</al>
                            </entry>
                            <entry align="left" colname="col7" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 1.067.570.000,–</al>
                            </entry>
                          </row>
                          <row rowsep="1">
                            <entry align="left" colname="col1" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Artikel 24 Cbw en de artikelen 21 en 22 Cbb
                                          (governance)</al>
                            </entry>
                            <entry align="left" colname="col2" colsep="1" morerows="0" nameend="col3" namest="col2" rotate="0" valign="top">
                              <al>€ 108,–</al>
                            </entry>
                            <entry align="left" colname="col4" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 280,–</al>
                            </entry>
                            <entry align="left" colname="col5" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 388,–</al>
                            </entry>
                            <entry align="left" colname="col6" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>7.550</al>
                            </entry>
                            <entry align="left" colname="col7" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 2.926.000,–</al>
                            </entry>
                          </row>
                          <row rowsep="1">
                            <entry align="left" colname="col1" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Artikel 44 Cbw en artikel 27 Cbb (registratie in het
                                          nationaal register en informatieverstrekking ten behoeve
                                          van die registratie)</al>
                            </entry>
                            <entry align="left" colname="col2" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>10</al>
                            </entry>
                            <entry align="left" colname="col3" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 52,–</al>
                            </entry>
                            <entry align="left" colname="col4" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>-</al>
                            </entry>
                            <entry align="left" colname="col5" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 520,–</al>
                            </entry>
                            <entry align="left" colname="col6" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>7.550</al>
                            </entry>
                            <entry align="left" colname="col7" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>€ 906.000,–</al>
                            </entry>
                          </row>
                          <row rowsep="1">
                            <entry align="left" colname="col1" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Totaal</al>
                            </entry>
                            <entry align="left" colname="col2" colsep="1" morerows="0" nameend="col7" namest="col2" rotate="0" valign="top">
                              <al>€ 1.071.402.000,–</al>
                            </entry>
                          </row>
                          <row rowsep="1">
                            <entry align="left" colname="col1" colsep="1" morerows="0" rotate="0" valign="top">
                              <al>Gemiddeld per bedrijf</al>
                            </entry>
                            <entry align="left" colname="col2" colsep="1" morerows="0" nameend="col7" namest="col2" rotate="0" valign="top">
                              <al>€ 142.000,–</al>
                            </entry>
                          </row>
                        </tbody>
                      </tgroup>
                    </table>
                  </divisie>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">3.4</nr>
                    <titel>Panel mkb</titel>
                  </kop>
                  <divisie opmaak="default">
                    <kop>
                      <titel>Inleiding</titel>
                    </kop>
                    <al>Bij de voorbereiding van het onderhavige besluit is tevens een panel van
                           mkb-ondernemers gevraagd mee te denken over deze regelgeving. Deze
                           ondernemers hebben op basis van hun praktijkervaring aangegeven of de
                           plannen werkbaar zijn, waar eventuele knelpunten zitten en hoe regeldruk
                           voor het mkb zo veel mogelijk beperkt of voorkomen kan worden. Tijdens
                           een bijeenkomst is gesproken over de deelthema’s waar de meeste regeldruk
                           wordt voorzien, te weten: de zorgplicht, governanceverplichting en
                           registratieplicht.</al>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <titel>Ondersteuning</titel>
                    </kop>
                    <al>Met betrekking tot de zorgplicht gaven de panelleden aan dat het
                           vereiste van het nemen van specifieke maatregelen voor de beveiliging van
                           netwerk- en informatiesystemen niet onredelijk is, waarbij het mkb-panel
                           zich wel af vroeg hoe haalbaar en betaalbaar dit voor het mkb is. Daarbij
                           pleitten de deelnemers voor zo veel mogelijk duidelijkheid over het
                           toepassingsbereik en over de betekenis van specifieke begrippen. Voor
                           mkb’ers is het bijvoorbeeld lastig in te schatten wat de risico’s in hun
                           netwerk- en informatiesystemen zijn. Daarom zouden mkb’ers graag zien dat
                           de overheid hen ondersteuning biedt door bijvoorbeeld handreikingen,
                           tools en sjablonen aan te bieden, zodat zij een beter idee krijgen wat er
                           van hen wordt verwacht. In reactie hierop wordt erop gewezen dat
                           organisaties bij het NCSC en het Digital Trust Center (hierna: DTC)
                           terecht kunnen voor kennis, informatie en advies op thema’s rondom
                           cyberweerbaarheid. Daarnaast bieden het NCSC en het DTC verschillende
                           handreikingen en tools die organisaties kunnen gebruiken. Het DTC heeft
                           op grond van de Wet bevordering digitale weerbaarheid bedrijven de
                           wettelijke taak om (onder andere) het mkb hierin specifiek te voorzien.
                           Met de komst van de Cbw worden deze vormen van ondersteuning verder
                           uitgebreid.</al>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <titel>Toezicht</titel>
                    </kop>
                    <al-groep>
                      <al>De NIS2-richtlijn en de Cbw hanteren het principe van een
                              risicogebaseerde benadering, waardoor organisaties discretionaire
                              ruimte hebben voor de specifieke invulling van de eisen die de Cbw en
                              het Cbb stellen. De panelleden pleitten ervoor dit principe van
                              risicobeheersing ook te hanteren bij het toezicht en de handhaving van
                              de Cbw en het Cbb.</al>
                      <al>Het toezicht onder de Cbw is risicogestuurd sectoraal en wordt gedaan
                              door een onafhankelijke toezichthouder. Op welke wijze essentiële
                              entiteiten en belangrijke entiteiten invulling moeten geven aan de
                              maatregelen in het kader van de zorgplicht is afhankelijk van de
                              risicoanalyse, waaruit voortvloeit welke invulling passend en
                              evenredig is voor de betreffende entiteit. De toezichthouder zal per
                              entiteit beoordelen of de specifieke invulling van de maatregelen
                              voldoen aan de zorgplicht, bedoeld in artikel 21 Cbw. Toezichthoudende
                              instanties werken op grond van artikel 55 Cbw zoveel mogelijk samen
                              bij het (onderling gecoördineerd) toezicht houden op essentiële
                              entiteiten, belangrijke entiteiten en entiteiten die
                              domeinnaamregistratiediensten verlenen, dit is ook gericht op het
                              beperken van de regeldruk bij entiteiten. In het bijzonder in gevallen
                              waarbij meerdere toezichthoudende instanties onder de Cbw toezicht
                              houden op eenzelfde entiteit is het vanuit het belang van doeltreffend
                              en doelmatig toezicht en het beperken van toezichtslasten gewezen om
                              deze informatie uit te wisselen.</al>
                    </al-groep>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <titel>Focus op administratie</titel>
                    </kop>
                    <al-groep>
                      <al>Verder geeft het mkb-panel aan dat voorkomen dient te worden dat de
                              focus van de verplichtingen op de administratie komt te liggen. Dit
                              gaat ten koste van de inspanning en de middelen die ondernemers kunnen
                              aanwenden voor het daadwerkelijk nemen van maatregelen. Mkb’ers zouden
                              graag zien dat hen minder gedetailleerd wordt opgelegd hóe zij
                              bepaalde doelen moeten behalen, en dat in plaats daarvan een algemene
                              inspanningsverplichting geldt. Het is van belang dat de eisen die de
                              Cbw en het Cbb stellen duidelijk, evenredig en proportioneel zijn. De
                              eisen voor bedrijfscontinuïteit en crisisbeheer zijn nu nog (te) breed
                              geformuleerd, aldus het mkb-panel. Gepleit wordt voor het werken met
                              doelvoorschriften, waarbij precieze invulling aan de ondernemers wordt
                              gelaten. Zij roepen op om maatwerk te faciliteren. Daarnaast wordt de
                              suggestie gedaan om de ISO 27001-standaard als kapstok te hanteren,
                              omdat veel mkb’ers al bekend zijn met dit normenkader.</al>
                      <al>De reactie op het voorgaande is als volgt. Zowel voor de Cbw als voor
                              de uitwerking van de zorgplicht in het Cbb zijn bestaande normenkaders
                              gehanteerd als uitgangspunt, zoals de ISO 27001 en NEN7510. In de
                              memorie van toelichting op de Cbw en nota van toelichting op het Cbb
                              wordt, waar van toepassing, naar bestaande normenkaders verwezen. Ook
                              staat het doel van specifieke eisen in deze nota van toelichting
                              verder uitgewerkt. De Cbw en het Cbb gaan uit van een risicogebaseerde
                              aanpak en schrijven niet voor hoe invulling gegeven met worden aan de
                              maatregelen.</al>
                    </al-groep>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <titel>Effecten op de markt</titel>
                    </kop>
                    <al-groep>
                      <al>Tevens signaleren mkb’ers het risico dat bepaalde partijen
                              onevenredig kunnen profiteren van deze nieuwe wetgeving, omdat zij als
                              enigen bepaalde diensten aanbieden die ondernemers nodig hebben om de
                              verplichtingen van de Cbw te kunnen voldoen.</al>
                      <al>De reactie hierop is als volgt. De Cbw en onderliggende regelgeving
                              beoogt geen invloed uit te oefenen op (al bestaande) marktwerkingen.
                              Waar mogelijk bieden overheidsorganisaties zoals het NCSC en het DTC
                              ondersteuning, zoals eerder omschreven. Een organisatie blijft echter
                              zelf verantwoordelijk voor de beveiliging van haar netwerk- en
                              informatiesystemen en voor het besluit of gebruik wordt gemaakt van
                              externe partijen in het implementeren van de Cbw en het Cbb.</al>
                    </al-groep>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <titel>Ingroeiperiode</titel>
                    </kop>
                    <al-groep>
                      <al>Met betrekking tot de inwerkingtreding van de Cbw en onderliggende
                              regelgeving wordt de suggestie gedaan een ingroeiperiode te hanteren,
                              zodat mkb-ondernemers zich adequaat kunnen voorbereiden. Dit heeft ook
                              te maken met onzekerheid over de datum van inwerkingtreding en
                              onduidelijkheid over de vraag welke mkb-ondernemers nu precies onder
                              de reikwijdte van de Cbw zullen vallen.</al>
                      <al>De reactie op het voorgaande is als volgt. Over de inwerkingtreding
                              van de Cbw en onderliggende regelgeving zal tijdig worden
                              gecommuniceerd. Hierbij wordt opgemerkt dat organisaties al meermaals
                              via verschillende kanalen zijn opgeroepen om de inwerkingtreding van
                              de Cbw en onderliggende regelgeving niet af te wachten, maar om alvast
                              aan de slag te gaan ter voorbereiding op de komst van die wet- en
                              regelgeving. Daarbij kan gebruik worden gemaakt van de eerder
                              omschreven ondersteuning die al wordt geboden. Voor de reikwijdte van
                              de Cbw kunnen organisaties terecht op verschillende websites van de
                              rijksoverheid, waar onder andere een zelfevaluatietool beschikbaar is.
                              Deze tool kan helpen bij het bepalen of een organisatie onder de Cbw
                              valt. Iedere organisatie is hier zelf verantwoordelijk voor.</al>
                    </al-groep>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <titel>Toeleveranciers</titel>
                    </kop>
                    <al-groep>
                      <al>De panelleden signaleren dat de kleinere toeleveranciers van hun
                              ondernemingen moeilijk aan de eisen met betrekking tot de beveiliging
                              van de toeleveringsketen zullen kunnen voldoen. Grotere bedrijven
                              hebben wellicht de mogelijkheid om hun toeleveranciers te helpen, maar
                              voor het mkb is dat niet altijd haalbaar. Ook hier wordt gepleit voor
                              een risicogebaseerde benadering, zodat mkb’ers zelf kunnen inschatten
                              welke van hun toeleveranciers een mogelijk risico voor de beveiliging
                              van hun netwerk- en informatiesystemen vormen. Daarnaast voorzien
                              panelleden een risico in de slagkracht die zij hebben tegenover
                              grote(re) bedrijven in hun toeleveringsketen.</al>
                      <al>De reactie op het voorgaande is als volgt. De artikelen uit de Cbw en
                              het Cbb die zien op de toeleveringsketen zijn alleen van toepassing op
                              de leveranciers die van invloed zijn op de netwerk- en
                              informatiesystemen van een organisatie. Uit de risicoanalyse van de
                              organisatie vloeit voort welke maatregelen voor de toeleveringsketen
                              genomen moeten worden.</al>
                    </al-groep>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <titel>Governance</titel>
                    </kop>
                    <al-groep>
                      <al>De gestelde eisen op het gebied van governance van de Cbw en het Cbb
                              zijn behoorlijk uitgebreid, zo merken de deelnemers van het mkb-panel
                              op. De eis dat een trainer een onafhankelijke partij, dat wil zeggen
                              een externe partij, moet zijn wordt voor het mkb als belastend
                              ervaren. De deelnemers aan het mkb-panel begrijpen dat het bestuur een
                              zeker begrip van cyberbeveiliging moet hebben, maar geven aan dat
                              ervoor gewaakt moet worden dat het middel het doel voorbijschiet. De
                              training is bedoeld dat bestuurders adequate beslissingen kunnen nemen
                              met betrekking tot de beveiliging van de netwerk- en
                              informatiesystemen van hun organisatie, niet dat zij tot in detail
                              kunnen uitleggen hoe een bijvoorbeeld DdoS-aanval werkt. Ook in dit
                              geval pleiten zij voor proportionele en evenredige eisen.</al>
                      <al>Ten aanzien van het voorgaande is de reactie als volgt. De eis van
                              een onafhankelijke trainer is na de internetconsultatie geschrapt. De
                              verplichting van een training voor het bestuur is een (dwingend)
                              vereiste uit de NIS2-richtlijn en kan om die reden niet gewijzigd
                              worden.</al>
                    </al-groep>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <titel>Registratie</titel>
                    </kop>
                    <al-groep>
                      <al>De panelleden gaven tot slot aan behoefte te hebben aan meer en
                              betere voorlichting over de registratieplicht. Zo waren niet alle
                              deelnemers op de hoogte van het feit dat entiteiten die onder de
                              reikwijdte van de Cbw vallen, zich dienen te registreren bij het NCSC
                              die namens de Minister van Justitie en Veiligheid het nationale
                              register zal beheren. Met betrekking tot de registratieplicht ziet het
                              mkb-panel voorts graag harmonisatie en afstemming tussen lidstaten.
                              Het is niet werkbaar wanneer sommige mkb’ers zich mogelijk 27 keer
                              moeten registreren.</al>
                      <al>De reactie op het voorgaande is als volgt. Er wordt actief ingezet op
                              communicatiemiddelen die onder andere de boodschap om te registreren
                              met zich meedragen. Er zal in aanloop naar de inwerkingtreding van de
                              Cbw grootschaliger campagne worden gevoerd met communicatiemiddelen
                              die wederom deze boodschap met zich mee zullen dragen. Voor wat
                              betreft het punt over de harmonisatie en afstemming tussen lidstaten
                              wordt erop gewezen dat de NIS2-richtlijn van elk lidstaat van de
                              Europese Unie vereist te voorzien in de registratieplicht.</al>
                    </al-groep>
                  </divisie>
                </divisie>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <nr status="officieel">4.</nr>
                  <titel>Adviezen, consultatie en uitvoerings- en
                        handhaafbaarheidstoetsen</titel>
                </kop>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">4.1</nr>
                    <titel>Inleiding</titel>
                  </kop>
                  <al-groep>
                    <al>Een eerdere versie van dit besluit is voor advies voorgelegd aan de
                           Autoriteit persoonsgegevens</al>
                    <al>(hierna: AP) en het ATR, opengesteld voor consultatie op <extref doc="http://www.internetconsultatie.nl" soort="URL" status="actief">www.internetconsultatie.nl</extref> en voor commentaar toegezonden
                           aan belangenorganisaties en entiteiten. Hieronder volgt een globale
                           bespreking van de adviezen en reacties.</al>
                  </al-groep>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">4.2</nr>
                    <titel>Advies AP</titel>
                  </kop>
                  <al>De AP geeft in haar advies aan dat onvoldoende duidelijk is welke
                        persoonsgegevens in het kader van de Cbw verwerkt mogen worden. De AP
                        concludeert dat de te verwerken persoonsgegevens waar mogelijk in de
                        wettekst gespecificeerd dienen te worden, of dat verduidelijking en
                        onderbouwing in de toelichting nodig is. De reactie op dit punt is als
                        volgt. De gevraagde specificering is niet mogelijk. Voor een CSIRT is het
                        bijvoorbeeld niet mogelijk om van tevoren te zien welke persoonsgegevens
                        zich bevinden in dreigings- en incidentinformatie. Daardoor is het niet
                        mogelijk dit vooraf te identificeren. Door dit wel te specificeren kan dit
                        een belemmering vormen voor de wettelijke taakuitvoering van een CSIRT.</al>
                  <al>Voorts wijst de AP in haar advies op artikel 29, tweede lid, Cbb (30,
                        tweede lid, oud) en hetgeen daarover in de nota van toelichting is
                        aangegeven. Volgens de AP wordt in de nota van toelichting aangegeven dat de
                        verwachting is dat het nationaal register steeds aangepast of bijgewerkt
                        wordt zodat deze gegevens in de praktijk oneindig bewaard worden. De
                        maximale bewaartermijn van 60 maanden begint voor veel van deze
                        persoonsgegevens steeds opnieuw te lopen, waardoor de termijn geen
                        effectieve waarborg meer is, aldus de AP. Naar aanleiding van dit advies is
                        in artikel 29, tweede lid, Cbb ‘na de laatste wijziging van de betreffende
                        persoonsgegevens’ vervangen door ‘na de laatste bevestiging van de juistheid
                        van de betreffende persoonsgegevens’. Hierop is ook de artikelsgewijze
                        toelichting bij de bepaling aangepast.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">4.3</nr>
                    <titel>Advies ATR</titel>
                  </kop>
                  <divisie opmaak="default">
                    <kop>
                      <titel>Nut en noodzaak</titel>
                    </kop>
                    <al-groep>
                      <al>Het ATR adviseert om het nut en de noodzaak van het wetsvoorstel Cbw
                              in de memorie van toelichting beter te onderbouwen, door te
                              verduidelijken op welke onderdelen de bestaande wetgeving
                              tekortschiet. In reactie op dit advies wordt verwezen naar hoofdstuk
                              2.2 van de memorie van toelichting op de Cbw. Hierin is reeds
                              toegelicht dat de NIS2-richtlijn onder meer verplichtingen bevat
                              waarvan het wenselijk is dat deze door de entiteiten uit de
                              verschillende sectoren van de NIS2-richtlijn uniform worden toegepast.
                              Bovendien bevat de NIS2-richtlijn onderwerpen waarvan de regeling per
                              definitie alleen centraal kan worden geregeld</al>
                      <al>(bijvoorbeeld het beheer van een nationaal register van essentiële
                              entiteiten, belangrijke entiteiten en entiteiten die
                              domeinnaamregistratiediensten verlenen).</al>
                    </al-groep>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <titel>Minder belastende alternatieven</titel>
                    </kop>
                    <al-groep>
                      <al>Het ATR stelt dat zoveel mogelijk gekozen moet worden voor de minst
                              belastende invulling van verplichtingen uit de NIS2-richtlijn (en van
                              de implementatiewetgeving als gevolg daarvan). Daarbij geeft het ATR
                              aan dat toegelicht moet worden welke alternatieven voor nationale
                              koppen zijn bezien en toe te lichten waarom niet is gekozen voor die
                              (minder belastende) alternatieven.</al>
                      <al>De reactie hierop is als volgt. In het Cbb zijn er geen nationale
                              koppen. Wel is in het Cbb de zorgplicht uit de Cbw nader ingevuld. Ten
                              aanzien van het punt over minder belastende alternatieven wordt
                              opgemerkt dat bij de invulling van de zorgplicht uit de Cbw in het Cbb
                              telkens is gekozen voor de invulling die entiteiten duidelijkheid
                              geeft en daarmee dus ook bijdraagt aan de rechtszekerheid voor
                              entiteiten. De gekozen invulling zorgt in zekere zin voor een
                              regeldrukbeperking voor de entiteit.</al>
                      <al>Daarnaast adviseert het ATR om aan te sluiten bij bestaande kaders.
                              Daarbij refereert het ATR aan een onderdeel van de regeldrukparagraaf
                              waarin mkb’ers bestaande normenkaders hebben aangehaald voor minder
                              belastende regeldruk. De reactie hierop is als volgt. Zowel voor de
                              Cbw als voor de uitwerking van de zorgplicht in het Cbb zijn bestaande
                              normenkaders gehanteerd als uitgangspunt, zoals de ISO 27001 en
                              NEN7510. Hierbij is gecontroleerd of de Cbw en het Cbb deze
                              normenkaders niet doorkruist. In de memorie van toelichting op de Cbw
                              en de nota van toelichting op het Cbb wordt, waar van toepassing, naar
                              bestaande normenkaders verwezen. Eén verplicht normenkader, zoals het
                              ATR adviseert, levert niet noodzakelijkerwijs lastenvermindering op.
                              Entiteiten houden met de Cbw en het Cbb de ruimte om hun bestaande
                              normenkader te blijven hanteren, waarbij ze wel moeten zorgen dat de
                              maatregelen uit het Cbb geborgd zijn.</al>
                    </al-groep>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <titel>Mkb</titel>
                    </kop>
                    <al-groep>
                      <al>Het ATR heeft bij het wetsvoorstel Cbw geadviseerd om een mkb-toets
                              uit te laten voeren voor de lagere regelgeving waarmee de
                              verplichtingen uit de Cbw nader worden uitgewerkt. Aansluitend
                              adviseert het ATR om de werkbaarheid van het Cbb te onderzoeken en
                              consequent toe te lichten hoe met de zorgen en kritiek van de
                              relevante entiteiten is omgegaan. Conform het advies van het ATR is
                              een mkb-toets uitgevoerd op het Cbb. Hiervoor wordt verwezen naar
                              hoofdstuk 3, waarin de belangrijkste uitkomsten worden omschreven,
                              evenals hoe is omgegaan met de door entiteiten aangehaalde
                              aandachtspunten.</al>
                      <al>Het ATR vraagt of aan mkb’ers dezelfde eisen moeten worden gesteld
                              als aan grotere entiteiten. De reactie hierop is als volgt. Voor
                              differentiatie tussen de verplichtingen die gelden voor essentiële
                              entiteiten en die gelden voor belangrijke entiteiten biedt de
                              NIS2-richtlijn geen ruimte, anders dan de reeds opgenomen
                              differentiatie in het toezichtregime.</al>
                      <al>Ten aanzien van het mkb wordt tot slot opgemerkt dat in het kader van
                              de Cbw en het Cbb gericht aanvullende hulpmiddelen worden geboden aan
                              het mkb, om de werkbaarheid voor het mkb te vergroten. Er zullen onder
                              meer handreikingen worden gepubliceerd die als hulpmiddel kunnen
                              worden gebruikt voor het implementeren van de verschillende vereisten
                              die de Cbw en het Cbb bevatten. Ook wordt in deze handreiking
                              handelingsperspectief geboden aan entiteiten die onder meerdere
                              sectoren vallen.</al>
                    </al-groep>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <titel>Regeldruk</titel>
                    </kop>
                    <al-groep>
                      <al>Het ATR heeft bij het wetsvoorstel Cbw geadviseerd om meer inzicht te
                              geven in de regeldrukgevolgen van het Cbb. Omdat het Cbb met name
                              regels bevat ter uitwerking van de zorgplicht, de nadruk van deze
                              regeldrukgevolgen voornamelijk op het voldoen aan de zorgplicht.
                              Conform het advies van het ATR is een regeldrukonderzoek uitgevoerd
                              met betrekking tot het Cbb door een onafhankelijk onderzoeksbureau.
                              Hiervoor wordt verwezen naar hoofdstuk 3, waarin de belangrijkste
                              uitkomsten worden omschreven en hoe hiermee om is en wordt gegaan. De
                              berekening van de regeldrukgevolgen is conform de Rijksbrede methodiek
                              uitgevoerd.</al>
                      <al>Het ATR stelt dat een onderbouwing ontbreekt van de berekening van
                              sommige onderdelen van de regeldrukkosten. Naar aanleiding van deze
                              observatie van het ATR zijn waar nodig de bevindingen in hoofdstuk 3
                              aangevuld, mede op basis van een uitbreiding van de mkb-toets.</al>
                      <al>Het ATR signaleert dat de gevolgen voor de toeleveringsketen niet in
                              de regelruktoets zijn meegenomen. In reactie daarop is het van belang
                              om hierbij te benadrukken dat het wat de Cbw en het Cbb betreft gaat
                              om leveranciers die relevant zijn voor de beveiliging van de netwerk-
                              en informatiesystemen van essentiële entiteiten en belangrijke
                              entiteiten en waarvoor maatregelen moeten worden genomen vanuit de
                              risicoanalyse van de entiteit zelf. Daardoor is de inschatting dat op
                              dit punt de Cbw en het Cbb geen hogere regeldruk veroorzaken.</al>
                    </al-groep>
                  </divisie>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">4.4</nr>
                    <titel>Toepassingsbereik</titel>
                  </kop>
                  <al>In meerdere (internet)consultatiereacties zijn vragen gesteld over het
                        toepassingsbereik van het Cbb, geregeld in artikel 4 Cbb, met name als het
                        gaat om entiteiten die zowel onder het Cbb als de uitvoeringsverordening
                        vallen. De artikelsgewijze toelichting op artikel 4 Cbb is in verband
                        hiermee verduidelijkt.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">4.5</nr>
                    <titel>CSIRT</titel>
                  </kop>
                  <al>In meerdere (internet)consultatiereacties is gevraagd naar de samenhang van
                        de Cbw, het Cbb en het rapport over het herinrichten van het
                           CSIRT-stelsel.<noot id="n7" type="voet"><noot.nr>5</noot.nr><noot.al><nadruk type="cur">CSIRT-stelsel – Een beleidskader voor het
                                 herinrichten van het stelsel met een nationale en sectorale CSIRT's
                                 in Nederland</nadruk>, Petra Oldengarm, 2023.</noot.al></noot> Dit zal verder worden uitgewerkt in beleid. Hierbij is ook aandacht
                        voor de informatie vanuit het CSIRT-stelsel ten behoeve van het
                        Cyberweerbaarheidsnetwerk zoals toegelicht in de Toekomstvisie van 23 mei
                        2024. Ook zal nader worden ingegaan op de invulling van taken door CSIRT’s,
                        zoals bij het leveren van bijstand.</al>
                  <al>Een aantal partijen, waaronder het Verbond van Nederlandse Ondernemingen –
                        Nederlands Christelijk Werkgeversverbond (hierna: VNO-NCW) en Cyberveilig
                        Nederland, vragen in de consultatie naar de bijstand die een entiteit van
                        het CSIRT kan verwachten. De toelichting hierop is als volgt. Het CSIRT zal
                        geen taken en verantwoordelijkheden van essentiële entiteiten en belangrijke
                        entiteiten overnemen. De bijstand door een CSIRT laat dus de eigen
                        verantwoordelijkheid voor het naleven van de verplichtingen die voortvloeien
                        uit de Cbw en het Cbb onverlet. De door het CSIRT geleverde bijstand zal
                        worden uitgewerkt in beleid.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">4.6</nr>
                    <titel>Zorgplicht</titel>
                  </kop>
                  <al>In een aantal consultatiereacties, waaronder die van FME, VNO-NCW, Pasquil,
                        Energie Nederland en de Nederlandse Vereniging van Ziekenhuizen, wordt
                        opgemerkt dat duidelijker naar voren moet komen dat in het kader van de Cbw
                        en het Cbb er sprake is van een <nadruk type="cur">risk-based</nadruk>
                        aanpak in plaats van een <nadruk type="cur">rule-based</nadruk> aanpak. Naar
                        aanleiding van deze reacties is deze nota van toelichting op meerdere
                        plekken aangepast om duidelijk te maken dat de invulling van de te nemen
                        maatregelen afhankelijk is van de uitkomsten van de risicoanalyse. In
                        diverse artikelen in het Cbb is bepaald dat essentiële entiteiten en
                        belangrijke entiteiten bepaald beleid moeten hebben vastgesteld. Hiermee
                        kunnen entiteiten aantonen dat zij hebben nagedacht over de mogelijke
                        risico’s. Er wordt niet voorgeschreven wat de exacte omvang en inhoud van
                        dit beleid moet zijn.</al>
                  <al>Omni-U Services B.V. en Netbeheer Nederland hebben in hun
                        consultatiereacties aangegeven dat processen en procedures geen onderdeel
                        zijn van het beleid, maar aparte documenten die uitvoering geven aan het
                        beleid. Hierop is het Cbb en de nota van toelichting op verschillende punten
                        aangepast.</al>
                  <al>In een aantal consultatiereacties, waaronder die van FERM en de koninklijke
                        Vereniging van de Nederlandse Chemische Industrie (hierna: VNCI), is
                        aangegeven dat het scheiden van conflicterende rollen voor het mkb niet
                        altijd mogelijk is en risicogebaseerd moet zijn. Naar aanleiding van dit
                        commentaar is artikel 6, tweede lid, Cbb aangepast.</al>
                  <al>Meerdere partijen vragen in de consultatie wat er met termen als
                        ‘periodiek’ en ‘tijdig’ wordt bedoeld. De reactie hierop is als volgt.
                        Afhankelijk van de geïdentificeerde risico’s zal een entiteit zelf moeten
                        bepalen en onderbouwen welke periode passend is en wat tijdig is in de
                        context van die entiteit.</al>
                  <al>Meerdere partijen hebben in de consultatie commentaar gegeven op artikel 9
                        Cbb. Zo hebben Omni-U Services B.V. en MSP ISAC aangegeven dat niet voor
                        ieder incident een bedrijfscontinuïteitsplan nodig is. Daarnaast wordt
                        aangegeven dat een noodvoorzieningenplan een heel ander plan is. Sunbites
                        Cybersecurity geeft aan dat er geen apart plan hoeft te zijn voor de Cbw,
                        maar dat dit geïntegreerd kan worden in bestaande plannen. Daarnaast geeft
                        VNO-NCW aan dat ook hier een risicogebaseerde aanpak nodig is. Een aantal
                        andere partijen vragen aandacht voor de OT-omgeving in verband met back-ups.
                        Verder vraag Brainport om verduidelijking over hoe er gecommuniceerd kan
                        worden met het CSIRT. In reactie hierop wordt toegelicht dat dit zal gaan
                        via het meld- en registratieportaal waar entiteiten zich kunnen registeren
                        en incidenten en de voortgang daarvan kunnen melden. Op basis van deze
                        commentaren is artikel 9 Cbb aangepast, evenals de artikelsgewijze
                        toelichting op dat artikel.</al>
                  <al>In een aantal consultatiereacties, waaronder die van VNO-NCW, Energie
                        Nederland en Cyberveilig Nederland, wordt gevraagd wat bedoeld wordt met de
                        term ‘waar mogelijk’ in artikel 10, eerste lid, Cbb. Naar aanleiding hiervan
                        is artikel 10 Cbb aangepast. Ook is de passage in dit artikel over het
                        beëindigen van overeenkomsten aangepast.</al>
                  <al>In de consultatie geven VNO-NCW en FERM aan dat zij een toelichting wensen
                        over de relatie tussen het Cbb en de zogeheten Verordening
                           cyberweerbaarheid<noot id="n8" type="voet"><noot.nr>6</noot.nr><noot.al>Verordening (EU) 2024/2847 van het Europees Parlement en de Raad
                              van 23 oktober 2024 betreffende horizontale cyberbeveiligingsvereisten
                              voor producten met digitale elementen en tot wijziging van
                              Verordeningen (EU) nr. 168/2013 en (EU) 2019/1020 en Richtlijn (EU)
                              2020/1828 (Verordening cyberweerbaarheid) (<nadruk type="cur">PbEU</nadruk> 2024/2847).</noot.al></noot> (<nadruk type="cur">Cyber Resilience Act</nadruk>). Naar aanleiding
                        van deze vraag wordt het volgende toegelicht. De <nadruk type="cur">Cyber
                           Resilience Act</nadruk> is toekomstige wet- en regelgeving die de
                        cyberbeveiliging van producten met een digitaal component verbetert. Dit
                        ontslaat entiteiten er niet van zelf vast te stellen of het gebruik van
                        dergelijke producten en diensten de beveiliging van hun netwerk- en
                        informatiesystemen verhoogt of verlaagt.</al>
                  <al>Diverse partijen, waaronder VNO-NCW en Energie Nederland, geven aan dat de
                        term ‘opleiding’ in artikel 12, tweede lid, Cbb te ver gaat en hier de term
                        ‘training’ moet worden gehanteerd. De reactie hierop is als volgt. De term
                        ‘opleiding’ komt uit de NIS2-richtlijn en is ter implementatie daarvan ook
                        in de Cbw gehanteerd.</al>
                  <al>Door verschillende partijen is in de consultatie aangegeven dat artikel 15
                        Cbb niet juist is vanwege de term ‘authenticaties’. Naar aanleiding van deze
                        commentaren is artikel 15 Cbb aangepast.</al>
                  <al>Diverse partijen, waaronder Nederlandse Federatie van Universitair Medische
                        Centra (NFU), VNCI, NVZ en Brainport, hebben vragen gesteld over de uitleg
                        van artikel 17 Cbb en dan met name over op welke attenderingen entiteiten nu
                        wel en niet moet reageren. Hierop is de artikelsgewijze toelichting op
                        artikel 17 Cbb verduidelijkt.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">4.7</nr>
                    <titel>Training</titel>
                  </kop>
                  <al>Uit de consultatie volgt dat meerdere partijen, waaronder de G4, kritisch
                        zijn over artikel 22 Cbb, over de eisen die worden gesteld aan de trainer.
                        Er wordt met name aangegeven dat deze bepaling verder gaat dan de
                        NIS2-richtlijn, onder meer ten aanzien van de onafhankelijkheid van de
                        trainer. Dit artikel is mede vanwege deze commentaren heroverwogen en
                        geschrapt.</al>
                  <al>Ook waren er kritische reacties op de eisen aan het certificaat, met name
                        ten aanzien van het vereiste over het aantal uren dat de training is
                        gevolgd. Hierover is onder meer aangegeven dat het aantal uur niets zegt
                        over de kwaliteit van de training. Naar aanleiding van deze reacties is in
                        artikel 22, eerste lid, Cbb (23, eerste lid, oud) het vereiste over het
                        aantal uren geschrapt.</al>
                  <al>Enkele consultatiereacties gingen ook in op het stellen van een
                        opleidingsvereiste aan de bestuurder van een entiteit. De toelichting hierop
                        is als volgt. Dit is een vereiste uit de NIS2-richtlijn. In dit verband
                        wordt overigens benadrukt dat het uitdrukkelijk geen opleiding betreft
                        waarin van de bestuurder wordt verwacht technische kennis te verkrijgen en
                        netwerk- en informatiesystemen te kunnen uitleggen. Wel wordt van de
                        bestuurder op strategisch niveau kennis verwacht op de genoemde onderwerpen,
                        zodat de bestuurder in staat is de maatregelen die de entiteit moet nemen in
                        het kader van de zorgplicht te beoordelen en de risico’s te (laten)
                        beheersen. Hiervoor is een bepaalde basiskennis vereist.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">4.8</nr>
                    <titel>Meldplicht</titel>
                  </kop>
                  <al>In enkele consultatiereacties, waaronder die van NLdigital, Energie
                        Nederland, de N.V. Nederlandse Spoorwegen en Cyberveilig Nederland, wordt
                        aandacht gevraagd voor de meld- en registratieplicht van groepen van
                        entiteiten. De reactie hierop is als volgt. Op dit moment wordt gewerkt aan
                        een functionaliteit in het meld- en registratieportaal waarmee groepen van
                        entiteiten meerdere entiteiten die tot een groep behoren, gebundeld kunnen
                        registreren en meldingen kunnen doen. Entiteiten die zowel een essentiële
                        entiteit als belangrijke entiteit zijn onder verschillende sectoren, moeten
                        zich registreren als essentiële entiteit.</al>
                  <al>In de consultatie is door een aantal partijen, waaronder Brainport,
                        gevraagd wat wordt bedoeld met soort entiteit. De toelichting hierop is als
                        volgt. De Cbw kent een onderscheid tussen sectoren en indien van toepassing
                        subsectoren en soorten entiteiten. Dit onderscheid is te vinden in bijlage 1
                        en 2 van de Cbw.</al>
                  <al>Door de Vereniging van Nederlandse Gemeenten (VNG) en het Interprovinciaal
                        Overleg (IPO) is gevraagd om twee jaar na de invoering van de Cbw de inhoud
                        van de meldplicht te evalueren. De reactie hierop is als volgt. De termijn
                        van vier jaar voor het evalueren van de drempelwaarden in het kader van de
                        meldplicht betreft een uiterlijke termijn; een eerdere evaluatie is ook
                        mogelijk. Het is de verwachting dat de vakministers (ruim) voor die
                        uiterlijke termijn zullen overgaan op het evalueren van de drempelwaarden.
                        Het moment waarop zij de drempelwaarden zullen evalueren wordt uitgewerkt in
                        beleid en zal vanwege de in artikel 23, derde lid, Cbb opgenomen termijn in
                        ieder geval binnen vier jaar na de vaststelling van de drempelwaarden
                        zijn.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">4.9</nr>
                    <titel>Overige opmerkingen</titel>
                  </kop>
                  <al>Een aantal partijen, waaronder Energie Nederland, Forum Standaardisatie en
                        Netbeheer Nederland, vragen wat er onder domeinnamen wordt verstaan. Onder
                        domeinnamen wordt verstaan: de publiek beschikbare domeinen die de entiteit
                        in eigendom heeft en niet de interne domeinen of de domeinnamen die zij
                        namens derden beheert. De data vanuit Stichting Internet Domeinregistratie
                        Nederland (SIDN) evenals de gegevens uit het Register Internetdomeinen
                        Overheid zijn een goed startpunt, maar niet volledig. De artikelsgewijze
                        toelichting op artikel 27 Cbb (28 oud) is hierop aangepast.</al>
                  <al>De G4 geeft aan dat een bewaartermijn van 60 maanden, zeker voor
                        loggegevens, lang is en de nodige kosten met zich meebrengt. De reactie
                        hierop is als volgt. De in artikel 29, eerste en tweede lid, Cbb (30, eerste
                        en tweede lid, oud) opgenomen maximale bewaartermijn van 60 maanden geldt
                        voor de persoonsgegevens die door het CSIRT, de bevoegde autoriteit, het
                        centrale contactpunt en de Minister van Justitie en Veiligheid bij of
                        krachtens de Cbw worden verwerkt.</al>
                  <al>In enkele consultatiereacties is gewezen op fouten in het conceptbesluit op
                        het gebied van de interpunctie, spelling, grammatica en opmaak en
                        verwijzingsfouten. Deze fouten zijn hersteld.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <nr status="officieel">4.10</nr>
                    <titel>Uitvoerings- en handhaafbaarheidstoetsen</titel>
                  </kop>
                  <al>De betrokken vakdepartementen hebben uitvoerings- en
                        handhaafbaarheidstoetsen laten uitvoeren op een concept van het Cbb en
                        hebben deze als volgt beoordeeld.</al>
                  <divisie opmaak="default">
                    <kop>
                      <nr status="officieel">4.10.1</nr>
                      <titel>Ministerie van Binnenlandse Zaken en Koninkrijkrelaties</titel>
                    </kop>
                    <al>Op verzoek van het Ministerie van Binnenlandse Zaken en
                           Koninkrijksrelaties heeft de RDI een uitvoerings- en handhavingstoets
                           (UHT) uitgevoerd op het concept van het Cbb en de bijbehorende nota van
                           toelichting. De RDI acht het concept van het Cbb uitvoerbaar,
                           handhaafbaar en fraudebestendig, mits verschillende aandachtspunten nader
                           worden verduidelijkt dan wel aangepast in het concept. Deze
                           aandachtspunten betreffen niet specifiek de sector overheid, maar zijn
                           algemeen van aard.</al>
                    <al>In het kader van artikel 2 Financiële-verhoudingswet is in de memorie
                           van toelichting op de Cbw aangegeven dat de gevolgen van de Cbw
                           voornamelijk voort zullen vloeien uit de lagere regelgeving. Voor de
                           overheid gelden reeds sinds 1 december 2008 de ISO 27001- en ISO
                           27002-standaarden, aangezien zij toen zijn opgenomen in de <nadruk type="cur">pas-toe-of-leg-uit</nadruk>-lijst van het Bureau Forum
                           Standaardisatie. Voorts vormen deze standaarden de basis voor de bij de
                           centrale en decentrale overheden verplichte normatiek van de Baseline
                           Informatiebeveiliging Overheid (BIO).</al>
                    <al>De verplichtingen ten aanzien van de zorgplicht in het Cbb gaan in grote
                           lijnen niet verder dan reeds bestaande verplichtingen van genoemde
                           ISO-standaarden en de BIO. Verder bevat het Cbb enkele eisen ten aanzien
                           van de opleiding van de bestuurder. De inschatting is dat deze opleiding
                           geen merkbaar effect zal hebben op de begroting van de
                           overheidsentiteiten en zal opgaan in reguliere scholings- en
                           opleidingsinspanningen.</al>
                    <al>In de ministeriële regeling onder de Cbw voor de sector overheid zullen
                           de specifieke bepalingen uit de BIO worden opgenomen. De impact van de
                           Cbw op overheidsorganisaties zal met name voortvloeien uit deze
                           ministeriële regeling.</al>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <nr status="officieel">4.10.2</nr>
                      <titel>Ministerie van Economische Zaken en Ministerie van Klimaat en
                              Groene Groei</titel>
                    </kop>
                    <al>De RDI acht het concept-Cbb en de bijbehorende ministeriële regeling
                           uitvoerbaar, handhaafbaar en fraudebestendig, mits op enkele onderdelen
                           aanvullende toelichting wordt gegeven. Het gaat daarbij onder meer om de
                           verhouding tussen de open norm van de zorgplicht in de Cbw en de in het
                           Cbb uitgewerkte maatregelen. In de toelichting is verduidelijkt dat deze
                           maatregelen het minimumniveau vormen en passend en evenredig toegepast
                           moeten worden, afhankelijk van de risicoanalyse van de betreffende
                           entiteit. Hiermee is geborgd dat de open norm uit de Cbw leidend blijft,
                           met ruimte voor sectorspecifieke toepassing.</al>
                    <al>Daarnaast is in de toelichting per maatregel het doel en beoogde
                           resultaat toegelicht, zodat voor entiteiten en toezichthouders duidelijk
                           is wat een adequate invulling inhoudt. Ook zijn begrippen als ‘crisis’ en
                           ‘cryptografie’ nader toegelicht, net als het gebruik van termen als ‘waar
                           passend’ en ‘waar mogelijk’, om interpretatieverschillen bij de
                           uitvoering te voorkomen. Verder is op verzoek van de RDI de samenhang
                           tussen de verschillende beleidsdocumenten binnen hoofdstuk 4 van het Cbb
                           verduidelijkt, zoals tussen het incidentenplan en het
                           bedrijfscontinuïteitsplan, zodat deze in de praktijk integraal kunnen
                           worden toegepast. Waar signalen van overlap zijn benoemd, zoals bij
                           artikelen over de toeleveringsketen, is de reikwijdte nader afgebakend in
                           de artikelsgewijze toelichting.</al>
                    <al>Ook wijst de RDI op het belang van integraliteit tussen de Cbw, het Cbb
                           en andere relevante wet- en regelgeving, zowel nationaal als Europees.
                           Dit punt wordt herkend. Daarbij wordt rekening gehouden met de
                           uitvoerbaarheid voor entiteiten en uitvoeringsorganisaties. Waar
                           volledige afstemming niet mogelijk is – bijvoorbeeld als gevolg van
                           vastgestelde Europese verplichtingen – wordt bij de inrichting van
                           processen gezocht naar zoveel mogelijk coördinatie en centralisatie, met
                           als doel de uitvoeringslasten en regeldruk voor betrokken partijen te
                           beperken.</al>
                    <al>Tot slot zijn naar aanleiding van de uitvoerings- en handhavingstoets
                           van de RDI nog technische aanpassingen in de telecommunicatiewetgeving
                           (het Besluit beveiliging en continuïteit openbare elektronische
                           communicatienetwerken en -diensten en het Besluit veiligheid en
                           integriteit telecommunicatie) doorgevoerd.</al>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <nr status="officieel">4.10.3</nr>
                      <titel>Ministerie van Financiën</titel>
                    </kop>
                    <al>Gelijktijdig met de NIS2-richtlijn is de zogeheten <nadruk type="cur">Digital Operational Resilience Act</nadruk> (hierna: DORA)
                              vastgesteld.<noot id="n9" type="voet"><noot.nr>7</noot.nr><noot.al>Verordening (EU) 2022/2554 van het Europees Parlement en de
                                 Raad van 14 december 2022 betreffende digitale operationele
                                 weerbaarheid voor de financiële sector en tot wijziging van
                                 Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU)
                                 nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (<nadruk type="cur">PbEU</nadruk> 2022, L 333).</noot.al></noot> Deze verordening is van toepassing op de financiële sector. De
                           Nederlandsche Bank (DNB) en Autoriteit Financiële Markten (AFM) zijn
                           verantwoordelijk voor het toezicht uit hoofde van DORA.</al>
                    <al>De bepalingen van de DORA over risicobeheer op het gebied van
                           informatie- en communicatietechnologie (ICT), het beheer van
                           ICT-gerelateerde incidenten en met name de rapportage van grote
                           ICT-gerelateerde incidenten, alsmede die over digitale operationele
                           weerbaarheidstests, informatie-uitwisselingsregelingen en risico van
                           derden op het gebied van ICT, zijn van toepassing op een groot gedeelte
                           van de financiële sector in plaats van de bepalingen uit de
                           NIS2-richtlijn. In artikel 1, tweede lid, DORA is namelijk expliciet
                           bepaald dat de verordening voor de toepassing van artikel 4
                           NIS2-richtlijn moet worden beschouwd als een sectorspecifieke
                           rechtshandeling. Dit betekent dat de bepalingen uit de Cbw over de
                           zorgplicht, governance en de meldplicht niet van toepassing zijn op
                           financiële entiteiten die onder de verordening vallen, voor zover zij
                           niet tevens kwalificeren als ander soort entiteit onder de Cbw. Dit geldt
                           vanzelfsprekend ook voor de uitwerking van de hiervoor genoemde
                           verplichtingen in het Cbb. Wel regelt het Cbb de dubbele meldplicht voor
                           banken, handelsplatformen, centrale effectenbewaarinstellingen en
                           centrale tegenpartijen. Deze instellingen melden bij zowel de
                           toezichthouder als het CSIRT. Ook hierop houdt de relevante
                           toezichthouder toezicht.</al>
                    <al>De verplichting uit artikel 44 Cbw (over het verstrekken van informatie
                           ten behoeve van het nationale register) is wel van toepassing, voor zover
                           deze entiteiten onder het toepassingsbereik van de Cbw vallen. De
                           verplichtingen uit de artikelen 42 (over de aanwijzing van een
                           vertegenwoordiger), 47 (over het verstrekken van informatie ten behoeve
                           van het Enisa-register) en 49 (over een database met
                           domeinnaamregistratiegegevens) Cbw zijn alleen van toepassing voor zover
                           de betrokken financiële entiteit kwalificeert als één van de in die
                           artikelen genoemde entiteiten en onder het toepassingsbereik van de Cbw
                           valt.</al>
                    <al>Onder de Cbw is de Minister van Financiën aangewezen als bevoegde
                           autoriteit voor entiteiten in de sectoren bankwezen en infrastructuur
                           voor de financiële markt. Het Ministerie van Financiën acht het Cbb, waar
                           het de taak als bevoegde autoriteit ten aanzien van financiële
                           instellingen betreft, uitvoerbaar en handhaafbaar.</al>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <nr status="officieel">4.10.4</nr>
                      <titel>Ministerie van Infrastructuur en Waterstaat</titel>
                    </kop>
                    <al>Door de Inspectie voor Leefomgeving en Transport (hierna: ILT) en de
                           Autoriteit Nucleaire Veiligheid en Stralingsbescherming (hierna: ANVS) is
                           het Cbb beoordeeld op handhaafbaarheid, uitvoerbaarheid en
                           fraudebestendigheid.</al>
                    <al>De ILT oordeelt dat het Cbb op hoofdlijnen handhaafbaar, uitvoerbaar en
                           fraudebestendig is. Daarbij wordt wel aandacht gevraagd voor de
                           consequentie van de overlap tussen sectoren. Daarnaast geeft de ILT aan
                           dat de uitvoerbaarheid samenhangt met de krapte op de arbeidsmarkt voor
                           gekwalificeerde inspecteurs.</al>
                    <al>De ANVS merkt op dat nog enkele relevante aspecten onduidelijk zijn,
                           zoals de wijze waarop de (nucleaire) sector zal worden aangewezen. De
                           ANVS geeft aan nog niet te beschikken over bestuurlijke boetes als
                           handhavingsinstrument. Daarnaast vraagt de ANVS aandacht voor het belang
                           dat haar huidige onafhankelijkheid in stand blijft, ook als zij er op
                           grond van de Wwke toezichthoudende taken zou bij krijgen. Het Ministerie
                           van Infrastructuur en Waterstaat houdt bij de verdere uitwerking van de
                           ministeriële regeling nadrukkelijk rekening met deze punten.</al>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <nr status="officieel">4.10.5</nr>
                      <titel>Ministerie van Landbouw, Visserij, Voedselzekerheid en
                              Natuur</titel>
                    </kop>
                    <al>Een concept van het Cbb is voorgelegd aan de Nederlandse Voedsel- en
                           Warenautoriteit (hierna: NVWA). Volgens de NVWA is het Cbb in potentie
                           handhaafbaar, uitvoerbaar en fraudebestendig mits normen duidelijker zijn
                           beschreven en de NVWA de juiste technische expertise in huis kan halen.
                           Daarnaast moet vooraf duidelijk zijn welke bedrijven in Nederland onder
                           het Cbb zullen vallen en zullen deze bedrijven geïnformeerd moeten worden
                           over het Cbb. Ook zal samenwerking en informatie-uitwisseling tussen
                           verschillende toezichthouders en de opdrachtgevers van de NVWA ingericht
                           moeten zijn.</al>
                  </divisie>
                  <divisie opmaak="default">
                    <kop>
                      <nr status="officieel">4.10.6</nr>
                      <titel>Ministerie van Volksgezondheid, Welzijn en Sport</titel>
                    </kop>
                    <al>Een concept van het Cbb is voorgelegd aan de Inspectie Gezondheidszorg
                           en Jeugd (hierna: IGJ). De IGJ stelt dat het Cbb op enkele punten
                           aanscherping behoeft. Zo ziet de IGJ dat enkele artikelen van het Cbb
                           bepalingen bevatten die (tekstueel en inhoudelijk) afwijken van de normen
                           voor informatiebeveiliging in de zorgsector. Dit zal tot verwarring
                           leiden bij zorgaanbieders die op basis van de Wet aanvullende bepalingen
                           verwerking persoonsgegevens in de zorg (Wabvpz) al wettelijk verplicht
                           zijn te voldoen aan de NEN7510. Er ontstaan daarnaast nieuwe Nederlandse
                           regels die afwijken van gangbare internationale normen, voor entiteiten
                           die internationaal werken (zoals fabrikanten van medische hulpmiddelen).
                           Volgens de IGJ leidt dit tot extra regeldruk. Het Ministerie van
                           Volksgezondheid, Welzijn en Sport zal bij de sectorale invulling van de
                           zorgplicht rekening houden met de door de IGJ genoemde aandachtspunten en
                           waar mogelijk tegemoet komen aan de gangbare normen binnen de
                           zorgsector.</al>
                    <al>Daarnaast verzoekt de IGJ om artikel 24 Cbb (25 oud) uit te breiden door
                           entiteiten te vragen om extra informatie aan te leveren, zodat de
                           significantie van incidenten beter beoordeeld kan worden. Naar aanleiding
                           hiervan is artikel 24 Cbb (25 oud) uitgebreid.</al>
                  </divisie>
                </divisie>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <nr status="officieel">5.</nr>
                  <titel>Overgangsrecht en inwerkingtreding</titel>
                </kop>
                <al>Het Cbb voorziet niet in overgangsrecht.</al>
                <al>Met betrekking tot de inwerkingtreding van het Cbb is in artikel 35 Cbb
                     bepaald dat het Cbb in werking treedt op een bij koninklijk besluit te bepalen
                     tijdstip, dat voor de verschillende artikelen of onderdelen daarvan
                     verschillend kan worden vastgesteld. Op grond van dit artikel kan worden
                     gekozen voor een gefaseerde inwerkingtreding. Dit is denkbaar in het geval dat
                     bepaalde onderdelen van het Cbb nog niet in werking kunnen treden, terwijl dat
                     bij andere onderdelen van het Cbb wel het geval is. De verwachting is dat bij
                     de inwerkingtreding van (onderdelen van) het Cbb een uitzondering wordt gemaakt
                     op de vaste verandermomenten en de minimuminvoeringstermijn, omdat het Cbb
                     strekt tot de uitvoering van de Cbw en de Cbw ziet op de implementatie van een
                     bindende EU-rechtshandeling.</al>
              </divisie>
            </divisie>
            <divisie opmaak="default">
              <kop>
                <titel>ARTIKELSGEWIJZE TOELICHTING</titel>
              </kop>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 1 (begripsbepaling)</titel>
                </kop>
                <al>Artikel 1 Cbb bevat de definitie van enkele begrippen uit het Cbb. Zo wordt,
                     daar waar in het Cbb ‘de wet’ wordt genoemd, daaronder verstaan: de Cbw.</al>
                <al>Het Cbb bevat ook andere begrippen, zoals ‘risico’ en ‘incident’, die ook
                     voorkomen in de Cbw en al in artikel 1 Cbw zijn gedefinieerd. De in artikel 1
                     Cbw opgenomen definitie van die begrippen geldt ook als de definitie van
                     diezelfde begrippen in het Cbb. In artikel 1 Cbw is namelijk bepaald dat de
                     daarin opgenomen definities gelden voor de begrippen in de Cbw én in de daarop
                     berustende bepalingen. Bij het Cbb is sprake van dat laatste; de bepalingen uit
                     het Cbb berusten immers op de Cbw.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 2 (aanwijzing CSIRT en coördinator bekendmaking
                        kwetsbaarheden)</titel>
                </kop>
                <divisie opmaak="default">
                  <kop>
                    <titel>Eerste lid</titel>
                  </kop>
                  <al-groep>
                    <al>In artikel 2, eerste lid, Cbb wordt de Minister van Justitie en
                           Veiligheid voor essentiële entiteiten en belangrijke entiteiten
                           aangewezen als het CSIRT. In afwijking daarvan kan op grond van artikel
                           2, tweede lid, Cbb voor essentiële entiteiten en belangrijke entiteiten
                           uit specifieke sectoren en subsectoren, voor specifieke soorten
                           entiteiten en voor specifieke entiteiten een andere instantie als CSIRT
                           worden aangewezen.</al>
                    <al>De Minister van Binnenlandse Zaken en Koninkrijksrelaties, de Minister
                           van Economische Zaken, de Minister van Financiën, de Minister van
                           Infrastructuur en Waterstaat, de Minister van Klimaat en Groene Groei en
                           de Minister van Landbouw, Visserij, Voedselzekerheid en Natuur hebben in
                           samenspraak met de Minister van Justitie en Veiligheid besloten de
                           CSIRT-taak te beleggen bij de Minister van Justitie en Veiligheid voor de
                           sectoren waar zij politiek verantwoordelijk voor zijn. De taken die de
                           Minister van Justitie en Veiligheid als CSIRT op grond van de Cbw moet
                           verrichten zullen in de praktijk worden uitgevoerd door het NCSC. Voor de
                           aanwijzing van de Minister van Justitie en Veiligheid is, in samenspraak
                           met de andere betrokken departementen, reden gezien vanwege diens
                           coördinerende verantwoordelijkheid voor cybersecurity.</al>
                  </al-groep>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Tweede lid</titel>
                  </kop>
                  <al-groep>
                    <al>Op grond van artikel 2, tweede lid, Cbb kan bij regeling van de
                           betrokken vakminister, na overleg met de Minister van Justitie en
                           Veiligheid, voor entiteiten uit specifieke sectoren en subsectoren, voor
                           specifieke soorten entiteiten en voor specifieke entiteiten een andere
                           instantie dan de Minister van Justitie en Veiligheid als CSIRT worden
                           aangewezen. De reden daarvoor kan bijvoorbeeld zijn dat een dergelijke
                           andere instantie beschikt over specifieke kennis met betrekking tot de
                           beveiliging van netwerk- en informatiesystemen in een bepaalde sector en
                           daarom meer aangewezen is om de rol van CSIRT ten aanzien van bepaalde
                           essentiële entiteiten of belangrijke entiteiten in die sector te
                           vervullen.</al>
                    <al>Inmiddels is besloten dat voor entiteiten in de zorgsector bij
                           ministeriële regeling de Stichting Z-CERT, dat momenteel ook al als
                           computercrisisteam voor deze sector fungeert, zal worden aangewezen. Ook
                           is reeds besloten dat voor gemeenten bij ministeriële regeling de
                           Informatiebeveiligingsdienst, onderdeel van VNG Realisatie B.V., die
                           thans ook al computercrisisteam voor die entiteiten is, als CSIRT zal
                           worden aangewezen. Voor beide instanties geldt dat hiertoe, naast
                           bijvoorbeeld hun specifieke deskundigheid van cybersecurity in die
                           sectoren, ook is besloten op basis van de vaststelling dat zij voldoen
                           aan de eisen die artikel 11, eerste lid, NIS2-richtlijn aan een CSIRT
                           stelt. Bovendien hebben zij een voldoende mate van volwassenheid. Het
                           voornemen is voorts om voor de waterschappen het CERT Watermanagement
                           (CERT-WM) aan te wijzen als het CSIRT, die nu nog een onderdeel is van de
                           gemeenschappelijke regeling van waterschappen (Het Waterschapshuis).</al>
                    <al>Met het oog op het voorgaande wordt momenteel interdepartementaal beleid
                           ontwikkeld ten behoeve van onder meer de onderlinge samenwerking tussen
                           CSIRT’s en het bevorderen van uniformiteit in hun taakuitoefening.</al>
                  </al-groep>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Derde lid</titel>
                  </kop>
                  <al>In artikel 2, derde lid, Cbb wordt de Minister van Justitie en Veiligheid
                        aangewezen als de coördinator met het oog op een gecoördineerde bekendmaking
                        van kwetsbaarheden, bedoeld in artikel 17 Cbw. Die rol van coördinator zal
                        in de praktijk worden uitgevoerd door het NCSC. Voor deze aanwijzing is
                        gekozen, niet alleen omdat de Minister van Justitie en Veiligheid zoals
                        hierboven toegelicht onder artikel 2, eerste lid, Cbb voor de meeste
                        essentiële entiteiten en belangrijke entiteiten als CSIRT wordt aangewezen,
                        maar ook omdat het NCSC momenteel in de praktijk namens de Minister van
                        Justitie en Veiligheid reeds een met de aanwijzing in dit artikel
                        vergelijkbare rol vervult.</al>
                </divisie>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 3 (eisen aan CSIRT’s)</titel>
                </kop>
                <divisie opmaak="default">
                  <kop>
                    <titel>Eerste lid</titel>
                  </kop>
                  <al>Artikel 3, eerste lid, Cbb behelst de codificatie van artikel 11, eerste
                        lid, NIS2-richtlijn en bevat enkele kleine aanpassingen ten opzichte van de
                        laatstgenoemde bepaling. Die aanpassingen zijn uitsluitend
                        wetgevingstechnisch van aard.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Tweede lid</titel>
                  </kop>
                  <al>Artikel 3, tweede lid, Cbb voorziet in de mogelijkheid van de Minister van
                        Justitie en Veiligheid om na overleg met de betrokken ministers nadere eisen
                        te stellen die gelden voor alle CSIRT’s. Er kan ten behoeve van het hele
                        CSIRT-stelsel behoefte zijn om met nadere eisen te komen, bijvoorbeeld ten
                        aanzien van het volwassenheidsniveau, de vertrouwelijkheid van communicatie
                        met andere partijen, de beveiliging van netwerk- en informatiesystemen die
                        voor het uitvoeren van de taken worden gebruikt en het eventuele gebruik van
                        vertrouwensfuncties.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Derde lid</titel>
                  </kop>
                  <al>Artikel 3, derde lid, Cbb voorziet daarnaast in de mogelijkheid van de
                        betrokken vakminister om na overleg met de Minister van Justitie en
                        Veiligheid nadere eisen te stellen aan het CSIRT dat hij zelf op grond van
                        artikel 2, tweede lid, Cbb heeft aangewezen. De reden om zulke nadere eisen
                        ten aanzien van een specifiek CSIRT te stellen kan bijvoorbeeld zijn dat een
                        CSIRT geen overheidsorganisatie is en daardoor niet onder bestaande
                        regelgeving valt dat zorgt voor een adequaat instrumentarium om sturing te
                        geven aan het CSIRT. Denk hierbij aan de Comptabiliteitswet ten aanzien van
                        begroting en verantwoording. Ook kan worden gedacht aan eisen over de wijze
                        van het informeren van de vakminister bij incidenten of calamiteiten. Er kan
                        ook worden gedacht aan het ten behoeve van het door die minister vaststellen
                        of het aangewezen CSIRT voldoet aan de gestelde eisen.</al>
                </divisie>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 4 (verhouding tot Uitvoeringsverordening (EU) 2024/2690)</titel>
                </kop>
                <al>In artikel 21, vijfde lid, NIS2-richtlijn is bepaald dat de Europese Commissie
                     uiterlijk op 17 oktober 2024 uitvoeringshandelingen vaststelt met betrekking
                     tot de technische en methodologische vereisten van de maatregelen die een
                     aantal specifiek genoemde entiteiten in het kader van de zorgplicht ten minste
                     moeten nemen. Die vereisten gelden onder meer voor DNS-dienstverleners,
                     aanbieders van cloudcomputingdiensten en aanbieders van
                     vertrouwensdiensten.</al>
                <al>In artikel 23, elfde lid, NIS2-richtlijn is bepaald dat de Europese Commissie
                     uiterlijk op 17 oktober 2024 uitvoeringshandelingen vaststelt waarin nader
                     wordt gespecificeerd in welke gevallen een incident als significant wordt
                     beschouwd als bedoeld in artikel 23, derde lid, NIS2-richtlijn. Deze regels
                     gelden voor dezelfde entiteiten als de hiervoor genoemde uitvoeringshandelingen
                     over de zorgplicht (waaronder DNS-dienstverleners, aanbieders van
                     cloudcomputingdiensten en aanbieders van vertrouwensdiensten).</al>
                <al>Ter uitvoering van de artikelen 21, vijfde lid, en 23, elfde lid,
                     NIS2-richtlijn heeft de Europese Commissie de Uitvoeringsverordening (EU)
                        2024/2690<noot id="n10" type="voet"><noot.nr>8</noot.nr><noot.al>Uitvoeringsverordening (EU) 2024/2690 van de Commissie van
                           17 oktober 2024 tot vaststelling van regels voor de toepassing van
                           Richtlijn (EU) 2022/2555 wat betreft de technische en methodologische
                           vereisten van de maatregelen voor het beheer van
                           cyberbeveiligingsrisico’s en nadere specificatie van de gevallen waarin
                           een incident als significant wordt beschouwd met betrekking tot
                           DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van
                           cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders
                           van netwerken voor de levering van inhoud, aanbieders van beheerde
                           diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van
                           onlinemarktplaatsen, van onlinezoekmachines en van platforms voor
                           socialenetwerkdiensten, en verleners van vertrouwensdiensten (<nadruk type="cur">PbEU</nadruk> L 2024/2690).</noot.al></noot> (hierna: de uitvoeringsverordening) vastgesteld. De
                     uitvoeringsverordening is op grond van artikel 16 van de uitvoeringsverordening
                     rechtstreeks van toepassing; implementatie in nationale wet- en regelgeving
                     hoeft niet plaats te vinden. Met de uitvoeringsverordening wordt voor de
                     entiteiten waarop deze van toepassing is (waaronder DNS-dienstverleners,
                     aanbieders van cloudcomputingdiensten en aanbieders van vertrouwensdiensten) in
                     direct op hen van toepassing zijnde regelgeving uitwerking gegeven aan de
                     maatregelen die zij in het kader van de zorgplicht moeten nemen en wordt nader
                     gespecificeerd in welke gevallen voor hen een incident als significant wordt
                     beschouwd. Gelet hierop kunnen de bepalingen in dit besluit, waarin dezelfde
                     onderwerpen worden geregeld, niet van toepassing zijn op de entiteiten waarop
                     de uitvoeringsverordening van toepassing is. In artikel 4 Cbb is daarom
                     uitdrukkelijk geregeld dat voor de hierin genoemde essentiële entiteiten en
                     belangrijke entiteiten de artikelen 6 tot en met 18 Cbb buiten toepassing
                     blijven. Deze artikelen blijven alleen buiten toepassing wanneer een entiteit
                     uitsluitend van een soort is die onder de reikwijdte van de
                     uitvoeringsverordening valt, als bedoeld in artikel 1 uitvoeringsverordening.
                     Dan gelden de technische en methodologische vereisten van de maatregelen die
                     zij in het kader van de zorgplicht ten minste moeten nemen en de nadere
                     criteria voor het bepalen of er sprake is van een significant incident uit de
                     uitvoeringsverordening. Op basis van de uitvoeringsverordening kunnen meerdere
                     criteria voor het bepalen van een significant incident gelden als een entiteit
                     van meerdere soorten is die binnen de reikwijdte van de uitvoeringsverordening
                     vallen, bijvoorbeeld als aanbieder van een datacentrumdienst en aanbieder van
                     cloudcomputingdiensten. Echter, indien een entiteit zowel van een soort als
                     bedoeld in artikel 1 uitvoeringsverordening als een ander soort als bedoeld in
                     bijlage 1 en 2 van de Cbw is, dan zijn zowel de zorgplicht- en
                     meldplichtverplichtingen uit de uitvoeringsverordening als die bij of krachtens
                     het Cbb van toepassing. Een voorbeeld hiervan is een entiteit die zowel een
                     aanbieder van cloudcomputingdiensten als een aanbieder van internetknooppunten
                     is. Deze entiteit heeft zowel nadere zorg- en meldplichtverplichtingen op grond
                     van de uitvoeringsverordening, namelijk in haar hoedanigheid als aanbieder van
                     cloudcomputerdiensten, als op grond van het Cbb in haar hoedanigheid van
                     internetknooppunt. Belangrijk is om op te merken dat een entiteit in
                     verschillende sectoren kan vallen en daardoor voor wat betreft de zorgplicht en
                     de meldplicht zowel onder de uitvoeringsverordening, als onder het Cbb kan
                     vallen in welk geval de entiteit aan beide dient te voldoen.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 5 (uitvoering van artikel 21 van de wet)</titel>
                </kop>
                <al>In artikel 5 Cbb is bepaald dat essentiële entiteiten en belangrijke
                     entiteiten in elk geval de maatregelen, bedoeld in de artikelen 6 tot en met 18
                     Cbb, moeten nemen, waarmee zij uitvoering geven aan de zorgplicht uit artikel
                     21 Cbw.</al>
                <al>In de genoemde artikelen wordt gesproken over het vaststellen van beleid,
                     processen, procedures en plannen. Processen en procedures werken het beleid
                     uit, dat geldt ook voor plannen. Dit zijn losse maar nauw met elkaar verbonden
                     elementen. Ten aanzien van het vaststellen van beleid wordt het volgende
                     opgemerkt. Door beleid vast te stellen en beleid schriftelijk vast te leggen,
                     kan de entiteit aantonen dat zij over de invulling van de te nemen maatregelen
                     heeft nagedacht en welke invulling van de maatregelen passend en evenredig is.
                     Dit kan in theorie betekenen dat er gezien de risico’s op beperkte wijze
                     invulling wordt gegeven aan de betreffende maatregel. Desalniettemin betekent
                     dit wel dat er, wanneer dit in het Cbb vereist wordt, er altijd beleid dient te
                     zijn.</al>
                <al>De vraag op welke wijze invulling moet worden gegeven aan de maatregelen is
                     afhankelijk van de risicoanalyse, bedoeld in artikel 7 Cbb, waaruit voortvloeit
                     welke invulling van de maatregelen passend en evenredig is voor de betreffende
                     entiteit. De uitkomsten van de risicoanalyse en daarmee de invulling van de
                     genomen maatregelen zullen daarom per entiteit verschillen vanwege de
                     specifieke en unieke kenmerken van iedere entiteit.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 6 (beleid over beveiliging van netwerk- en
                        informatiesystemen)</titel>
                </kop>
                <al>In artikel 21, derde lid, onderdeel a, Cbw is bepaald dat essentiële
                     entiteiten en belangrijke entiteiten in het kader van de zorgplicht beleid
                     moeten hebben over de beveiliging van de netwerk- en informatiesystemen, die
                     zij voor hun werkzaamheden of voor het verlenen van hun diensten
                     gebruiken.</al>
                <divisie opmaak="default">
                  <kop>
                    <titel>Eerste lid</titel>
                  </kop>
                  <al>In artikel 6, eerste lid, Cbb is opgenomen dat het hiervoor bedoelde beleid
                        schriftelijk moet zijn vastgelegd en aantoonbaar moet worden toegepast. Het
                        beleid formuleert de doelstellingen van de entiteit voor de beveiliging van
                        de netwerk- en informatiesystemen, evenals de aanpak ervan en de
                        organisatie-inrichting met bijhorende rollen, verantwoordelijkheden en
                        bevoegdheden.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Tweede lid</titel>
                  </kop>
                  <al>In artikel 6, tweede lid, Cbb is bepaald dat essentiële entiteiten en
                        belangrijke entiteiten in het kader van de toepassing van dat beleid de
                        rollen, verantwoordelijkheden en bevoegdheden in relatie tot de beveiliging
                        van hun netwerk- en informatiesystemen vaststellen. Hiermee bewerkstelligt
                        de entiteit dat alle rollen, verantwoordelijkheden en bevoegdheden met
                        betrekking tot de beveiliging van haar netwerk- en informatiesystemen
                        kenbaar zijn. Daarnaast worden conflicterende rollen zoveel als mogelijk
                        gescheiden. Hiermee wordt bedoeld dat hierbij het principe van pas toe of
                        leg uit geldt, waarbij de entiteit dient te kunnen onderbouwen waarom een
                        conflicterende rol in een gegeven geval niet gescheiden kon worden en welke
                        compenserende maatregelen getroffen zijn om bijkomende risico’s te
                        beheersen, zoals logging van handelingen en managementgoedkeuring.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Derde lid</titel>
                  </kop>
                  <al>In artikel 6, derde lid, Cbb is geregeld dat essentiële entiteiten en
                        belangrijke entiteiten van hun personeel en andere binnen de entiteit
                        werkzame personen moeten verlangen dat zij de beveiliging van hun netwerk-
                        en informatiesystemen toepassen overeenkomstig het hiervoor bedoelde beleid.
                        Het is aan de entiteit om bij haar personeel en andere binnen de entiteit
                        werkzame personen af te dwingen dat het beleid in de praktijk ook
                        daadwerkelijk wordt toegepast en om daarop toe te zien.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Vierde lid</titel>
                  </kop>
                  <al>In artikel 6, vierde lid, Cbb is bepaald dat essentiële entiteiten en
                        belangrijke entiteiten voor de beveiliging van hun netwerk- en
                        informatiesystemen een managementsystematiek hanteren. Het is aan de
                        entiteit zelf om te bepalen welke managementsystematiek voor hen passend is.
                        Deze systematiek zorgt ervoor dat informatie over onder andere de
                        beveiliging van netwerk- en informatiesystemen op basis van een <nadruk type="cur">Plan-Do-Check-Act</nadruk>-cyclus (PDCA) wordt vastgelegd en
                        inzichtelijk, begrijpelijk en toegankelijk is. Daarmee kunnen afgewogen
                        besluiten worden genomen over de beveiliging van de netwerk- en
                        informatiesystemen en is het aantoonbaar welke maatregelen er zijn genomen
                        of welk beleid is vastgesteld. Voorbeelden hiervan zijn een
                        managementsysteem voor informatiebeveiliging (<nadruk type="cur">Information
                           Security Management Systeem</nadruk>, ISMS) zoals de ISO 27000-reeks of
                        het <nadruk type="cur">Cyber Security Management System</nadruk> (CSMS) op
                        basis van IEC62443.</al>
                </divisie>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 7 (beleid over risicomanagement)</titel>
                </kop>
                <al>In artikel 21, derde lid, onderdeel a, Cbw is bepaald dat essentiële
                     entiteiten en belangrijke entiteiten in het kader van de zorgplicht beleid
                     moeten hebben over risicoanalyse. In artikel 7 Cbb wordt deze verplichting
                     verder uitgewerkt.</al>
                <divisie opmaak="default">
                  <kop>
                    <titel>Eerste lid</titel>
                  </kop>
                  <al-groep>
                    <al>In artikel 7, eerste lid, Cbb is bepaald dat essentiële entiteiten en
                           belangrijke entiteiten voor de beveiliging van hun netwerk- en
                           informatiesystemen vastgesteld beleid hebben over risicomanagement. De
                           entiteit moet het hiervoor bedoelde beleid schriftelijk vastleggen en
                           aantoonbaar toepassen.</al>
                    <al>Er is ervoor gekozen om risicomanagement als terminologie te hanteren in
                           plaats van het begrip risicoanalyse, zoals dat in de Cbw staat opgenomen,
                           omdat dit een meer gangbare term is en het gehele proces van
                           risicobeheersing, inclusief risicoanalyse, omvat. Het doel van
                           risicomanagement is om risico’s voor de entiteit in kaart te brengen en
                           deze vervolgens te beheersen. Onder risicomanagement wordt het geheel aan
                           processen en procedures voor de beheersing van risico’s van de entiteit
                           verstaan. De entiteit houdt bij het in kaart brengen van de risico’s
                           rekening met de dreigingen, kwetsbaarheden en afhankelijkheden ten
                           aanzien van de te beschermen belangen van de entiteit.</al>
                  </al-groep>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Tweede lid</titel>
                  </kop>
                  <al>Artikel 7, tweede lid, Cbb vereist onder meer dat het beleid, bedoeld in
                        het eerste lid, een risicomanagementmethodiek omvat. Het doel van een
                        risicomanagementmethodiek is om op gestructureerde wijze risico’s te
                        identificeren en te beheersen. Deze bepaling vereist eveneens criteria voor
                        risicoacceptatie.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Derde lid</titel>
                  </kop>
                  <al-groep>
                    <al>Artikel 7, derde lid, Cbb bepaalt dat essentiële entiteiten en
                           belangrijke entiteiten in het kader van de toepassing van het beleid,
                           bedoeld in het eerste lid, processen en procedures vaststelt voor
                           risicoanalyse, risicobeoordeling en risicobehandeling. Ook dient de
                           entiteit deze processen en procedures aantoonbaar toe te passen.</al>
                    <al>Bij de risicoanalyse wordt een <nadruk type="cur">all
                           hazard</nadruk>-benadering gebruikt waarbij de te beschermen belangen met
                           betrekking tot de beveiliging van de netwerk- en informatiesystemen in
                           kaart worden gebracht. Een te beschermen belang is datgene wat belangrijk
                           is voor de netwerk- en informatiesystemen van de entiteit om goed te
                           kunnen functioneren en om de continuïteit van haar dienstverlening te
                           borgen. Denk hierbij aan personen, informatie, informatiesystemen,
                           materieel, goederen, imago en objecten, waarbij in geval van
                           compromittering of uitval van voorgenoemde, of de mogelijkheid van
                           compromittering of uitval ervan, nadelige gevolgen kunnen hebben op het
                           functioneren van de netwerk- en informatiesystemen van de entiteit en
                           daarmee haar dienstverlening.</al>
                    <al>In de risicoanalyse kunnen de risico’s tegen elkaar afgewogen worden. Zo
                           kan verdere digitalisering van de entiteit bekende risico’s doen afnemen
                           ten koste van nieuwe risico’s. Dit kan worden afgewogen in de bredere
                           context van de entiteit zoals: organisatiedoelen, operationele
                           activiteiten, technische- of financiële beperkingen of relaties met
                           leveranciers of dienstverleners. Risico’s met betrekking tot de
                           beveiliging van de netwerk- en informatiesystemen kunnen daarnaast niet
                           los gezien worden van alle andere risico’s waar de entiteit aan bloot
                           gesteld wordt. Daarom behoort het beheersen van de risico’s met
                           betrekking tot de beveiliging van de netwerk- en informatiesystemen een
                           onderdeel van het bredere risicobeheerproces van de entiteit te
                           zijn.</al>
                    <al>De risicoanalyse die op basis van de Cbw moeten worden gedaan kan een
                           onderdeel zijn van een grotere of gecombineerde risicoanalyse. Dit
                           betekent concreet dat er een integrale risicoanalyse plaats kan vinden
                           voor bijvoorbeeld de Wwke en de Cbw, mits alle relevante elementen van de
                           betreffende regelgeving worden meegenomen in de risicoanalyse.</al>
                  </al-groep>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Vierde lid</titel>
                  </kop>
                  <al>Artikel 7, vierde lid, Cbb schrijft voor dat essentiële entiteiten en
                        belangrijke entiteiten op basis van de uitgevoerde risicoanalyse een
                        overzicht moeten vaststellen van de risico’s met betrekking tot de
                        beveiliging van hun netwerk- en informatiesystemen. Het doel van dit
                        overzicht is om een goede afweging te kunnen maken voor de beheersing van de
                        risico’s.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Vijfde lid</titel>
                  </kop>
                  <al>Artikel 7, vijfde lid, Cbb vereist dat essentiële entiteiten en belangrijke
                        entiteiten op basis van het overzicht van de risico’s, bedoeld in het derde
                        lid, eisen met betrekking tot de beveiliging van hun netwerk- en
                        informatiesystemen formuleren. Deze beveiligingseisen moet de entiteit, waar
                        mogelijk, gebruiken bij het uitvoering geven aan de in de artikelen 10,
                        tweede lid, en 11, eerste lid, Cbb voorgeschreven maatregelen.</al>
                </divisie>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 8 (incidentenbehandeling)</titel>
                </kop>
                <al>In artikel 21, derde lid, onderdeel b, Cbw is bepaald dat de maatregelen die
                     essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht
                     moeten nemen in elk geval incidentenbehandeling moeten omvatten. In artikel 8
                     Cbb wordt deze verplichting verder uitgewerkt.</al>
                <divisie opmaak="default">
                  <kop>
                    <titel>Eerste lid</titel>
                  </kop>
                  <al>In artikel 8, eerste lid, Cbb is bepaald dat essentiële entiteiten en
                        belangrijke entiteiten vastgesteld beleid moeten hebben over
                        incidentenbehandeling. Dat beleid moet schriftelijk zijn vastgelegd en
                        aantoonbaar worden toegepast.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Tweede lid</titel>
                  </kop>
                  <al>Artikel 8, tweede lid, Cbb bepaalt dat essentiële entiteiten en belangrijke
                        entiteiten, in het kader van de toepassing van het beleid, bedoeld in het
                        eerste lid, de rollen, verantwoordelijkheden, bevoegdheden vaststellen voor
                        het tijdig detecteren van, analyseren en beoordelen van, reageren op,
                        beperken van de gevolgen van, wegnemen van de oorzaak van, herstellen van,
                        documenteren van, rapporteren van en leren van incidenten. Het doel van deze
                        bepaling is dat het gehele proces en uitvoering van processen en procedures
                        van incidentbehandeling, zoals beschreven in artikel 8, vierde lid, Cbb
                        helder is belegd binnen de organisatie, zodat daar in de praktijk goede
                        uitvoering aan gegeven kan worden.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Derde lid</titel>
                  </kop>
                  <al>Artikel 8, derde lid, Cbb schrijft voor dat essentiële entiteiten en
                        belangrijke entiteiten, in het kader van de toepassing van het beleid,
                        processen en procedures moeten vaststellen om relevante gebeurtenissen in
                        hun netwerk- en informatiesystemen te monitoren en te registreren. Ook dient
                        de entiteit deze processen en procedures aantoonbaar toe te passen. Die
                        processen en procedures zijn bedoeld om incidenten te detecteren, analyseren
                        en classificeren. Met relevante gebeurtenissen wordt in elk geval gedoeld op
                        alle gebeurtenissen die de beveiliging van de netwerk- en informatiesystemen
                        van de entiteit in gevaar brengen of kunnen brengen. Hierbij wordt opgemerkt
                        dat de monitoring extern kan worden uitbesteed. Het is ook mogelijk dat de
                        monitoring plaatsvindt door een andere vestiging van de entiteit die zich in
                        het buitenland bevindt.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Vierde en vijfde lid</titel>
                  </kop>
                  <al>Artikel 8, vierde lid, Cbb schrijft voor dat essentiële entiteiten en
                        belangrijke entiteiten in het kader van de toepassing van het beleid,
                        bedoeld in het eerste lid, processen en procedures vast moeten stellen voor
                        het tijdig detecteren van, analyseren en beoordelen van, reageren op,
                        beperken van de gevolgen van, wegnemen van de oorzaak van, herstellen van,
                        documenteren van, rapporteren van en leren van een incident. Deze processen
                        en procedures hebben het doel om snel te kunnen handelen wanneer een
                        incident zich voordoet, zodat de impact zoveel mogelijk beperkt kan worden.
                        Artikel 8, vijfde lid, Cbb schrijft voor dat de hiervoor bedoelde processen
                        en procedures aantoonbaar moeten worden toegepast.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Zesde lid</titel>
                  </kop>
                  <al>Artikel 8, zesde lid, Cbb ziet op het loggen van relevante gebeurtenissen
                        in de netwerk- en informatiesystemen die relevant zijn voor de beveiliging
                        van de netwerk- en informatiesystemen, voor zover logging mogelijk is.
                        Hierbij wordt opgemerkt dat de logging extern kan worden uitbesteed. Logging
                        is belangrijk, omdat het onder meer monitoring en detectie mogelijk maakt,
                        waarmee essentiële entiteiten en belangrijke entiteiten opvolging kunnen
                        geven aan de bevindingen die hieruit voortkomen. De entiteit kan onder meer
                        op basis van geïdentificeerde risico’s, bedoeld in artikel 7 Cbb, bepalen
                        welke gegevens worden gelogd, hoelang deze moeten worden bijgehouden en
                        welke loggegevens moeten worden beschermd tegen ongeautoriseerde toegang of
                        wijzigingen. De periode voor het bijhouden van logbestanden dient in
                        verhouding te staan tot de aard van de risico’s waaraan de entiteit is
                        blootgesteld, alsmede tot de tijd die doorgaans verstrijkt tussen het
                        plaatsvinden van een incident en de ontdekking ervan.</al>
                </divisie>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 9 (bedrijfscontinuïteit en crisisbeheer)</titel>
                </kop>
                <al>In artikel 21, derde lid, onderdeel c, Cbw is bepaald dat de maatregelen die
                     essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht
                     moeten nemen in elk geval bedrijfscontinuïteit en crisisbeheer moet omvatten.
                     In artikel 9 Cbb wordt deze verplichting verder uitgewerkt.</al>
                <divisie opmaak="default">
                  <kop>
                    <titel>Eerste lid</titel>
                  </kop>
                  <al>Artikel 9, eerste lid, Cbb bepaalt dat essentiële entiteiten en belangrijke
                        entiteiten bedrijfscontinuïteitsbeleid moeten hebben vastgesteld. Dat beleid
                        moet schriftelijk zijn vastgelegd en aantoonbaar worden toegepast.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Tweede lid</titel>
                  </kop>
                  <al>In artikel 9, tweede lid, Cbb is opgenomen dat essentiële entiteiten en
                        belangrijke entiteiten in het kader van de toepassing van het beleid,
                        bedoeld in het eerste lid, processen en procedures moeten vaststellen voor
                        het borgen van hun bedrijfscontinuïteit, waaronder in ieder geval processen
                        en procedures voor het herstellen van hun netwerk- en informatiesystemen en
                        voor het maken en periodiek verifiëren van de betrouwbaarheid van back-ups
                        van software en gegevens. Dit moeten zij doen om een passend niveau van
                        vertrouwelijkheid, beschikbaarheid en integriteit van hun netwerk- en
                        informatiesystemen te borgen. Hierbij is het in het bijzonder van belang dat
                        de entiteit processen en procedures vaststelt voor incidenten als gevolg
                        waarvan back-ups, al dan niet door acties van kwaadwillende, onbruikbaar
                        worden. Ook de betrouwbaarheid van back-ups dient gewaarborgd te worden, om
                        zo ongeautoriseerde wijziging van gegevens te voorkomen. Een voorbeeld
                        hiervan is een ransomware-aanval. De hiervoor bedoelde processen en
                        procedures moeten aantoonbaar worden toegepast en periodiek worden
                        getest.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Derde lid</titel>
                  </kop>
                  <al-groep>
                    <al>Artikel 9, derde lid, Cbb schrijft voor dat essentiële entiteiten en
                           belangrijke entiteiten een vastgesteld bedrijfscontinuïteitsplan met
                           betrekking tot haar netwerk- en informatiesystemen moeten hebben. Dit
                           plan moet schriftelijk zijn vastgesteld, aantoonbaar worden toegepast en
                           periodiek worden getest. Op deze wijze kunnen zij controleren of het plan
                           nog steeds werkt en actueel is. De entiteit bepaalt zelf de vorm van het
                           testen. Te denken valt bijvoorbeeld aan een <nadruk type="cur">tabletop
                              exercise</nadruk>. De periode hangt af van de uitkomsten van de
                           risicoanalyse. Het bedrijfscontinuïteitsplan kan ook paragrafen bevatten
                           die voortvloeien uit eisen die andere wet- en regelgeving naast de Cbw
                           stellen aan bedrijfscontinuïteit.</al>
                    <al>Indien een incident zich voordoet die de bedrijfscontinuïteit in gevaar
                           kan brengen moet het bedrijfscontinuïteitsplan door de entiteit worden
                           toegepast. Dit plan richt zich op het minimaliseren van de impact van een
                           incident op de dienstverlening en het zo spoedig mogelijk herstellen en
                           hervatten van de dienstverlening. Bij het opstellen van het plan houdt de
                           entiteit rekening met de geïdentificeerde risico’s, bedoeld in artikel 7
                           Cbb.</al>
                    <al>Het is aan de entiteit zelf om een afweging te maken welke processen en
                           procedures moeten worden beschreven in het bedrijfscontinuïteitsplan. Dit
                           hangt af van meerdere factoren. Het is bijvoorbeeld denkbaar dat bij
                           kleinere entiteiten een bellijst volstaat met IT-leveranciers en een
                           overzicht van de met hen gemaakte afspraken over het herstellen van de
                           netwerk- en informatiesystemen in geval van een incident. Bij grotere
                           entiteiten of entiteiten met een complexe IT is een uitgebreider plan
                           vereist, waarin een verdeling van rollen, verantwoordelijkheden en
                           bevoegdheden van betrokkenen binnen en buiten de entiteit is opgenomen.
                           Hierbij dient aansluiting gezocht te worden bij de specifieke inrichting
                           van de netwerk- en informatiesystemen van de betreffende entiteit en de
                           daaruit voorvloeiende risico’s op het gebied van
                           bedrijfscontinuïteit.</al>
                  </al-groep>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Vierde lid</titel>
                  </kop>
                  <al>In artikel 9, vierde lid, Cbb is bepaald dat essentiële entiteiten en
                        belangrijke entiteiten een herstelplan moeten hebben. Herstelplannen staan
                        ook wel bekend als een ‘Disaster Recovery Plan’ en maken in de regel
                        onderdeel uit van een bedrijfscontinuïteitsplan. In het herstelplan is
                        vastgelegd in welke gevallen dit plan moet worden toegepast. De entiteit
                        legt dat plan schriftelijk vast, past dat plan toe in geval van een incident
                        en test dit plan periodiek. Het doel van het herstelplan is dat de entiteit
                        voorbereid is om specifieke netwerk- en informatiesystemen te kunnen
                        herstellen na een incident en daarvoor alle benodigdheden in kaart heeft
                        gebracht, evenals de stappen die doorlopen dienen te worden. In de praktijk
                        kan de entiteit meerdere herstelplannen hebben en kunnen deze ook de vorm
                        van een uitwijk- en herstelplan hebben, waarbij van een uitwijklocatie
                        gebruik wordt gemaakt om de impact van een incident te beperken.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Vijfde lid</titel>
                  </kop>
                  <al-groep>
                    <al>In artikel 9, vijfde lid, Cbb is bepaald dat essentiële entiteiten en
                           belangrijke entiteiten een plan voor crisisbeheer moeten hebben. Een
                           crisis is een buitengewone situatie die de voortzetting van de
                           dienstverlening of werkzaamheden van een entiteit bedreigt dat niet kan
                           worden opgelost binnen de bestaande structuren van een entiteit. Hierbij
                           kan gedacht worden aan een plan dat voldoet aan de ISO 22361. Daarin
                           moeten in elk geval de rollen, verantwoordelijkheden en bevoegdheden ten
                           tijde van een crisis voor het personeel en andere in de entiteit werkzame
                           personen worden beschreven. Dit maakt de tijdige en adequate inzet in
                           crisissituaties mogelijk. Het plan moet ook de communicatiemiddelen ten
                           tijde van een crisis beschrijven. Wanneer passend moet het plan ook de
                           beschikbare noodvoorzieningen beschrijven, waaronder het gebruik van
                           beveiligde noodcommunicatiesystemen. Dit is bijvoorbeeld het geval
                           wanneer een entiteit voor een goede crisisbeheersing ook bij uitval van
                           algemene telecommunicatienetwerken moet kunnen communiceren met
                           medewerkers op verschillende locaties. Noodvoorzieningen zijn
                           voorzieningen die permanent aanwezig of beschikbaar zijn, maar slechts in
                           noodsituaties gebruikt zal worden. Bij noodvoorzieningen kan gedacht
                           worden aan uitwijklocaties, noodstroomvoorzieningen en dergelijke. Van
                           belang is dat de entiteit het plan voor crisisbeheer periodiek test en
                           beoefent, zodat ten tijde van een crisis alle betrokkenen bekend zijn met
                           hun rollen, verantwoordelijkheden en bevoegdheden.</al>
                    <al>Hierbij wordt opgemerkt dat het kan gaan om één gecombineerd plan met
                           paragrafen over bedrijfscontinuïteit en noodvoorzieningen, maar dat het
                           ook kan gaan om losstaande plannen. Het is van belang dat wanneer sprake
                           is van verschillende plannen deze integraal op elkaar zijn afgestemd om
                           tegenstrijdige procedures bij incidenten te voorkomen en als samenhangend
                           worden toepast binnen het bedrijfscontinuïteitsmanagementsysteem. Het
                           bedrijfscontinuïteitsplan beschrijft hoe de entiteit haar dienstverlening
                           zo snel mogelijk kan hervatten bij verstoringen en de impact kan
                           beperken. Het herstelplan bevat concrete maatregelen voor het herstel van
                           systemen en gegevens. Het crisisplan regelt de inzet en coördinatie in
                           geval van een crisis, waaronder de verantwoordelijkheden, communicatie en
                           inzet van noodvoorzieningen.</al>
                  </al-groep>
                </divisie>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 10 (beveiliging van de toeleveringsketen)</titel>
                </kop>
                <al>In artikel 21, derde lid, onderdeel d, Cbw is bepaald dat de maatregelen die
                     essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht
                     moeten nemen in elk geval de beveiliging van de toeleveringsketen moeten
                     omvatten. In artikel 10 Cbb wordt deze verplichting verder uitgewerkt. Hierbij
                     wordt opgemerkt dat de genoemde verplichtingen in artikel 10 Cbb uitsluitend
                     zien op aspecten van de toeleveringsketen die relevant zijn voor de beveiliging
                     van de netwerk- en informatiesystemen die de entiteit gebruikt voor haar
                     werkzaamheden of die zij voor het verlenen van haar diensten gebruikt. De
                     relatie met een leverancier van potloden zal bijvoorbeeld buiten de reikwijdte
                     van de verplichtingen vallen, omdat het leveren van potloden geen verband houdt
                     met de beveiliging van de eerdergenoemde netwerk- en informatiesystemen die de
                     entiteit gebruikt voor haar werkzaamheden of het verlenen van haar diensten. De
                     relatie met bijvoorbeeld een softwareleverancier of leverancier van
                     hardware-onderdelen die relevant zijn voor het goed functioneren van de
                     netwerk- en informatiesystemen, valt wel binnen de reikwijdte.</al>
                <al>In artikel 10, eerste lid, Cbb is bepaald dat essentiële entiteiten en
                     belangrijke entiteiten vastgesteld beleid moeten hebben over de beveiliging van
                     de toeleveringsketen. De entiteit moet in dat beleid haar omgang bepalen met
                     afhankelijkheden van de producten en diensten van haar leveranciers en
                     dienstverleners die invloed kunnen hebben op de beveiliging van haar netwerk-
                     en informatiesystemen. Het beleid moet schriftelijk worden vastgelegd en
                     aantoonbaar worden toegepast.</al>
                <al>In artikel 10, tweede lid, Cbb is bepaald dat essentiële entiteiten en
                     belangrijke entiteiten toetsen of hun rechtstreekse leveranciers en
                     rechtstreekse dienstverleners, bedoeld in artikel 10, eerste lid, Cbb voldoen
                     aan hun beveiligingseisen, bedoeld in artikel 7, vijfde lid, Cbb. De entiteit
                     kan dit bijvoorbeeld beoordelen door certificering van de toeleveranciers of
                     clausules in leveringsovereenkomsten. De entiteit zal op basis van haar
                     cyberbeveiligingseisen periodiek moeten beoordelen of haar rechtstreekse
                     leverancier of haar rechtstreekse dienstverlener nog steeds voldoet aan de
                     beveiligingseisen. Wanneer dit niet het geval is moet de entiteit beoordelen of
                     er aanvullende maatregelen getroffen kunnen worden om de risico’s te mitigeren.
                     Gedacht kan worden aan het heronderhandelen van contracten, het afsluiten van
                     een aanvullend contract of het overstappen naar een andere leverancier of
                     dienstverlener.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 11 (beveiliging bij het verwerven, ontwikkelen en onderhouden
                        van netwerk- en informatiesystemen)</titel>
                </kop>
                <al>In artikel 21, derde lid, onderdeel e, Cbw is bepaald dat de maatregelen die
                     essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht
                     moeten nemen in elk geval de beveiliging bij het verwerven, ontwikkelen en
                     onderhouden van netwerk- en informatiesystemen moeten omvatten. In artikel 11
                     Cbb wordt deze verplichting verder uitgewerkt.</al>
                <al>In artikel 11, eerste lid, Cbb is bepaald dat essentiële entiteiten en
                     belangrijke entiteiten op basis van de beveiligingseisen, bedoeld in artikel 7,
                     vijfde lid, Cbb vastgesteld beleid moeten hebben voor het mitigeren en
                     beheersen van risico’s die voortvloeien uit het verwerven van software,
                     hardware of diensten die betrekking hebben op hun netwerk- en
                     informatiesystemen. Deze eisen gelden ook wanneer de entiteit de netwerk- en
                     informatiesystemen zelf ontwikkelt. Het beleid moet schriftelijk worden
                     vastgelegd en aantoonbaar worden toegepast.</al>
                <al>In artikel 11, tweede lid, Cbb is bepaald dat essentiële entiteiten en
                     belangrijke entiteiten, indien van toepassing, processen en procedures moeten
                     vaststellen voor de veilige ontwikkeling van hun netwerk- en
                     informatiesystemen. Deze bepaling is van toepassing indien de betreffende
                     entiteit zelf netwerk- en informatiesystemen ontwikkelt of deze laat
                     ontwikkelen. Deze processen en procedures moeten aantoonbaar worden toegepast.
                     Deze processen en procedures hebben betrekking op alle ontwikkelingsfasen van
                     de netwerk- en informatiesystemen. Die fasen betreffen in ieder geval
                     specificatie, ontwerp, implementatie, en doorontwikkeling en testen. Het
                     uitgangspunt is dat de entiteit de <nadruk type="cur">security by
                        design-</nadruk> of <nadruk type="cur">security by
                     default-</nadruk>principes hanteert bij de ontwikkeling en implementatie van
                     software, hardware en diensten, zodat al tijdens deze fases rekening wordt
                     gehouden met beveiligingsmaatregelen. Hierbij wordt tevens opgemerkt dat deze
                     activiteiten extern kunnen worden uitbesteed. Hierbij gaat het om activiteiten
                     die direct impact hebben op de netwerk- en informatiesystemen.</al>
                <al>In artikel 11, derde lid, Cbb is bepaald dat essentiële entiteiten en
                     belangrijke entiteiten processen en procedures moeten vaststellen voor het
                     onderhoud en beheer van hun netwerk- en informatiesystemen. Het onderhoud en
                     beheer kan worden uitbesteed. De hiervoor bedoelde processen en procedures
                     moeten ten minste betrekking hebben op het configuratiebeheer.
                     Configuratiebeheer is het beheer van de inrichting van software en hardware en
                     hun onderlinge verbindingen. Daaronder valt in elk geval een veilige
                     configuratie van software, hardware en diensten. De hiervoor bedoelde processen
                     en procedures moeten ook ten minste betrekking hebben op het wijzigingsbeheer
                     van de netwerk- en informatiesystemen, zodat de entiteit op gecontroleerde
                     wijze wijzigingen in haar netwerk- en informatiesystemen doorvoert. Ook ten
                     aanzien van deze processen en procedures geldt dat deze aantoonbaar moeten
                     worden toegepast.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 12 (basispraktijken op het gebied van cyberhygiëne en opleiding
                        op het gebied van cyberbeveiliging)</titel>
                </kop>
                <al>In artikel 21, derde lid, onderdeel g, Cbw is bepaald dat de maatregelen die
                     essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht
                     moeten nemen in elk geval basispraktijken op het gebied van cyberhygiëne en
                     opleiding op het gebied van cyberbeveiliging moeten omvatten. In artikel 12 Cbb
                     wordt deze verplichting verder uitgewerkt. Hierbij gaat het om al het personeel
                     dus ook die worden ingehuurd.</al>
                <al>In artikel 12, eerste lid, Cbb is bepaald dat essentiële entiteiten en
                     belangrijke entiteiten ervoor moeten zorgen dat hun personeel en andere binnen
                     de entiteit werkzame personen, voor zover relevant voor hun functie, bewust
                     zijn van risico’s met betrekking tot de netwerk- en informatiesystemen van de
                     entiteit, op de hoogte zijn van het belang van cyberbeveiliging en praktijken
                     op het gebied van cyberhygiëne toepassen. Cyberhygiëne omvat een
                     gemeenschappelijke basisreeks van praktijken, met inbegrip van software- en
                     hardware-updates, het wijzigen van wachtwoorden, het beheer van nieuwe
                     installaties, de beperking van toegangsaccounts op beheersniveau en het maken
                     van back-ups van gegevens. Hierdoor is een proactief kader mogelijk met
                     betrekking tot paraatheid, algemene veiligheid en beveiliging in geval van
                     incidenten of cyberdreigingen. Om de cyberhygiëne bij haar personeel en andere
                     binnen de entiteit werkzame personen te borgen kan de entiteit bijvoorbeeld
                     denken aan het verzorgen van bewustwordings- en trainingsactiviteiten, voor
                     zover relevant voor de functie.</al>
                <al>In artikel 12, tweede lid, Cbb is bepaald dat essentiële entiteiten en
                     belangrijke entiteiten het personeel en andere binnen de entiteit werkzame
                     personen waarvan de rollen, verantwoordelijkheden en bevoegdheden vaardigheden
                     en deskundigheid vereisen op het gebied van de beveiliging van netwerk- en
                     informatiesystemen, moeten aanwijzen. Zij dienen regelmatig opleiding te
                     krijgen over de beveiliging van netwerk- en informatiesystemen, passend bij hun
                     functie. Deze opleidingen kunnen bijvoorbeeld betrekking hebben op de werking
                     en beveiliging van netwerk- en informatiesystemen, bekende dreigingen of
                     werkwijzen van kwaadwillende en incidentbehandeling. Met die opleidingen wordt
                     voor het betreffende personeel de benodigde kennis en kunde over de beveiliging
                     van netwerk- en informatiesystemen ook steeds actueel gehouden. Afhankelijk van
                     de functie zal er een zwaardere of minder zwaardere opleiding gevolgd moeten
                     worden. Hierbij wordt opgemerkt dat met de term opleiding ook een training of
                     cursus wordt bedoeld.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 13 (beleid over het gebruik van cryptografie)</titel>
                </kop>
                <al>In artikel 21, derde lid, onderdeel h, Cbw is bepaald dat essentiële
                     entiteiten en belangrijke entiteiten in het kader van de zorgplicht beleid en
                     procedures moeten hebben over het gebruik van cryptografie. In artikel 13 Cbb
                     wordt deze verplichting verder uitgewerkt.</al>
                <al>In artikel 13, eerste lid, Cbb wordt bepaald dat essentiële entiteiten en
                     belangrijke entiteiten vastgesteld beleid hebben over het gebruik van
                     cryptografie. Dat beleid moet schriftelijk worden vastgelegd en aantoonbaar
                     worden toegepast. Cryptografie is het geheel van methoden voor het versleutelen
                     en beveiligen van gegevens. Het doel van cryptografie en bijbehorend beleid is
                     om te voorkomen dat ongeautoriseerde gebruikers toegang hebben tot de data van
                     de entiteit of dat de integriteit van de data wordt aangetast. Door middel van
                     cryptografie kan de data voor ongeautoriseerde gebruikers onleesbaar gemaakt
                     worden en kunnen ongeautoriseerde wijzigingen worden vastgesteld. De
                     cryptografie kan door bijvoorbeeld zwaktes in algoritmes, implementatiefouten
                     of de komst van quantumcomputers toch doorbroken worden. Daarom moeten
                     cryptografische middelen met minimale inspanning gewijzigd kunnen worden
                     (cryptografische behendigheid). De vereiste mate van cryptografische
                     behendigheid is afhankelijk van de geïdentificeerde risico’s, bedoeld in
                     artikel 7 Cbb.</al>
                <al>Artikel 13, tweede lid, Cbb schrijft voor dat essentiële entiteiten en
                     belangrijke entiteiten in het kader van de toepassing van het beleid, bedoeld
                     in artikel 13, eerste lid, Cbb processen en procedures vaststellen over het
                     gebruik van cryptografie. De entiteit past deze processen en procedures
                     aantoonbaar toe.</al>
                <al>In artikel 13, derde lid, Cbb is bepaald dat in het hiervoor bedoelde beleid
                     en processen en procedures in ieder geval is uitgewerkt in welke gevallen
                     cryptografie wordt ingezet en welke type encryptie in voorkomende gevallen
                     worden gebruikt. Daarbij kan onderscheid per toepassingsgebied worden gemaakt,
                     bijvoorbeeld voor opgeslagen gegevens en gegevens die worden verzonden, evenals
                     per categorie van gegevens. Ook moet in het beleid inzichtelijk worden gemaakt
                     wie verantwoordelijk is voor de implementatie van cryptografie en wie binnen de
                     entiteit verantwoordelijk is voor het sleutelbeheer. Door deze rollen,
                     verantwoordelijkheden en bevoegdheden inzichtelijk te maken bewerkstelligt de
                     entiteit dat iedereen in de organisatie op de hoogte is van zijn of haar
                     specifieke rollen, verantwoordelijkheden en bevoegdheden met betrekking tot
                     encryptie. Hierdoor wordt de kans op misverstanden, misbruik en nalatigheid
                     verminderd.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 14 (beveiligingsaspecten ten aanzien van personeel)</titel>
                </kop>
                <al>In artikel 21, derde lid, onderdeel i, Cbw is bepaald dat de maatregelen die
                     essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht
                     moeten nemen in elk geval beveiligingsaspecten ten aanzien van personeel,
                     toegangsbeleid en beheer van assets moeten omvatten. In artikel 14 Cbb wordt
                     deze verplichting verder uitgewerkt, specifiek over de beveiligingsaspecten ten
                     aanzien van het personeel. Het gaat daarbij om personeel dat daadwerkelijk in
                     verband met haar functie de beveiliging van de netwerk- en informatiesystemen
                     kan beïnvloeden.</al>
                <al>In artikel 14, eerste lid, Cbb is bepaald dat essentiële entiteiten en
                     belangrijke entiteiten het personeel en andere binnen de entiteit werkzame
                     personen aanwijzen dat wordt belast met rollen, verantwoordelijkheden en
                     bevoegdheden met betrekking tot de beveiliging van hun netwerk- en
                     informatiesystemen. Dit artikel houdt verband met artikel 6, tweede lid, Cbb,
                     waarin is bepaald dat de entiteit de rollen, verantwoordelijkheden en
                     bevoegdheden in relatie tot de beveiliging van haar netwerk- en
                     informatiesystemen heeft vastgelegd. Doordat de entiteit in artikel 14, eerste
                     lid, Cbb bepaalt en vastlegt wie binnen de entiteit in relatie tot de
                     beveiliging van de netwerk- en informatiesystemen verantwoordelijk is, is er
                     altijd een eigenaar van het systeem en wordt voorkomen dat de netwerk- en
                     informatiesystemen onvoldoende beveiligd worden.</al>
                <al>De hiervoor bedoelde aanwijzing moet op grond van artikel 14, tweede lid, Cbb
                     periodiek worden geëvalueerd en indien nodig bijgewerkt. Het doel van de
                     evaluatie is om na te gaan of de aanwijzing nog passend is en in lijn is met de
                     rollen, verantwoordelijkheden en bevoegdheden in de praktijk.</al>
                <al>In artikel 14, derde lid, Cbb is bepaald dat essentiële entiteiten en
                     belangrijke entiteiten indien dit blijkt uit de risicoanalyse, bedoeld in
                     artikel 7 Cbb, betrouwbaarheidseisen moeten opstellen waaraan hun personeel en
                     andere binnen of namens de entiteit werkzame personen moeten voldoen, voor
                     zover deze passend en noodzakelijk zijn voor hun taakuitoefening met betrekking
                     tot de beveiliging van de netwerk- en informatiesystemen van de entiteit. Voor
                     bepaalde functionarissen kan dit betekenen dat er een screening plaatsvindt.
                     Hierbij valt onder meer te denken aan functionarissen met hoge rechten in
                     kritieke omgevingen van de netwerk- en informatiesystemen van de entiteit.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 15 (beveiligingsaspecten ten aanzien van toegangsbeleid)</titel>
                </kop>
                <al>In artikel 21, derde lid, onderdeel i, Cbw is bepaald dat de maatregelen die
                     essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht
                     moeten nemen in elk geval beveiligingsaspecten ten aanzien van personeel,
                     toegangsbeleid en beheer van assets moeten omvatten. In artikel 15 Cbb wordt
                     deze verplichting verder uitgewerkt, specifiek over de beveiligingsaspecten ten
                     aanzien van toegangsbeleid.</al>
                <al>In artikel 15, eerste lid, Cbb is bepaald dat essentiële entiteiten en
                     belangrijke entiteiten vastgesteld beleid moeten hebben over de logische en
                     fysieke toegang (<nadruk type="cur">access management</nadruk>) tot hun
                     netwerk- en informatiesystemen. Dat beleid moet schriftelijk worden vastgelegd
                     en aantoonbaar worden toegepast. Logische toegang houdt het beheersen van de
                     toegang tot de netwerk- en informatiesystemen in en vereist de authenticatie
                     van de identiteit van een individu via een mechanisme, zoals een toegangspas,
                     token of cijfercode. Met fysieke toegang wordt bedoeld: de directe fysieke
                     toegang tot de netwerk- en informatiesystemen. Het doel van het genoemde beleid
                     is om ongeautoriseerde logische en fysieke toegang tot de netwerk- en
                     informatiesystemen van de entiteit te voorkomen. Het uitgangspunt is dat de
                     entiteit daarbij de <nadruk type="cur">need-to-know</nadruk>- en <nadruk type="cur">least-privilege</nadruk>-principes hanteert. Dit betekent dat
                     alleen toegang wordt verkregen tot informatie en ruimtes die passen bij de
                     functie, ongeacht beveiligingsmachtiging of andere goedkeuringen.</al>
                <al>Op grond van artikel 15, tweede lid, Cbb moet het beleid in elk geval
                     omvatten: het uitgeven, monitoren, gebruiken, wijzigen en intrekken van
                     identiteiten en autorisaties, en het beheer van identiteiten en autorisaties.
                     Deze aspecten worden voorgeschreven, zodat ongeautoriseerde toegang tot en
                     wijzigingen in de netwerk- en informatiesystemen kunnen worden gedetecteerd en
                     waar mogelijk worden voorkomen. Hierbij wordt opgemerkt dat de toegang ook
                     extern kan worden uitbesteed. Het is ook mogelijk dat de monitoring plaatsvindt
                     door een andere vestiging van de entiteit die zich in het buitenland
                     bevindt.</al>
                <al>In artikel 15, derde lid, Cbb is bepaald dat essentiële entiteiten en
                     belangrijke entiteiten identiteiten, authenticatiemiddelen en autorisaties
                     periodiek moeten controleren op de noodzakelijkheid, juistheid en actualiteit.
                     Indien nodig voert de entiteit wijzigingen door in die identiteiten,
                     authenticatiemiddelen en autorisaties. Door deze periodieke toets kan de
                     toekenning van een identiteit of autorisatie tijdig worden aangepast,
                     bijvoorbeeld als deze niet langer noodzakelijk is of (gewijzigde) risico’s voor
                     de beveiliging van de netwerk- en informatiesystemen hiertoe aanleiding
                     geeft.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 16 (beveiligingsaspecten ten aanzien van beheer van
                        assets)</titel>
                </kop>
                <al>In artikel 21, derde lid, onderdeel i, Cbw is bepaald dat de maatregelen die
                     essentiële entiteiten en belangrijke entiteiten in het kader van de zorgplicht
                     moeten nemen in elk geval beveiligingsaspecten ten aanzien van personeel,
                     toegangsbeleid en beheer van assets moeten omvatten. In artikel 16 Cbb wordt
                     deze verplichting verder uitgewerkt, specifiek over de beveiligingsaspecten ten
                     aanzien van het beheer van assets die de entiteit in haar netwerk- en
                     informatiesystemen voor haar werkzaamheden of voor het verlenen van haar
                     diensten gebruikt.</al>
                <al>In artikel 16, eerste lid, Cbb is bepaald dat essentiële entiteiten en
                     belangrijke entiteiten vastgesteld beleid moeten hebben voor het beheer van hun
                     assets die zij voor hun werkzaamheden of voor het verlenen van hun diensten
                     gebruiken. Dat beleid moet schriftelijk worden vastgelegd en aantoonbaar worden
                     toegepast. Het is van belang dat zij een dergelijk beleid hebben, omdat zij
                     door een goed inzicht in hun assets hun risico’s beter kunnen inschatten en
                     gerichter informatie over kwetsbaarheden kunnen vinden.</al>
                <al>In artikel 16, tweede lid, Cbb is bepaald dat het hiervoor bedoelde beleid in
                     elk geval een systeem moet omvatten om assets op verschillende niveaus te
                     kunnen classificeren op basis van, indien van toepassing, de eisen voor
                     vertrouwelijkheid, integriteit en beschikbaarheid. Het beleid moet ook regels
                     omvatten die aangeven wat er wel en niet mag met de assets (aanvaardbaar
                     gebruik) Door assets te classificeren kunnen essentiële entiteiten en
                     belangrijke entiteiten vaststellen welk beveiligingsniveau ten aanzien van hun
                     netwerk- en informatiesystemen passend is. Dit is mede relevant in de context
                     van de bedrijfscontinuïteit, bedoeld in artikel 9 Cbb, het toetsen of
                     rechtstreekse leveranciers en rechtstreekse dienstverleners voldoen aan de
                     beveiligingseisen, bedoeld in artikel 10 Cbb, en de beveiliging bij het
                     verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen,
                     bedoeld in artikel 11 Cbb. Onder assets kan ook cryptografie worden verstaan.
                     Denk hierbij aan cryptografische sleutels.</al>
                <al>Artikel 16, derde lid, Cbb schrijft voor dat essentiële entiteiten en
                     belangrijke entiteiten in het kader van de toepassing van het beleid, bedoeld
                     in artikel 16, eerste lid, Cbb, processen en procedures vaststellen voor het
                     beheer van hun assets. De entiteit past deze processen en procedures
                     aantoonbaar toe.</al>
                <al>In artikel 16, vierde lid, Cbb is bepaald dat essentiële entiteiten en
                     belangrijke entiteiten een volledige en actuele inventaris van hun assets
                     moeten hebben en deze inventaris moeten bijhouden. Deze inventaris dient voor
                     de beveiliging van de netwerk- en informatiesystemen relevante registraties te
                     bevatten, zoals de assets waar de entiteit over beschikt, inclusief digitale
                     gegevens en software, evenals de locatie hiervan. Het abstractieniveau en de
                     mate van gedetailleerdheid dient passend te zijn om de risico’s voor de
                     beveiliging van de netwerk- en informatiesystemen te kunnen beheersen.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 17 (attenderingen, beveiligingsadviezen en
                        dreigingsinformatie)</titel>
                </kop>
                <al>Artikel 17 Cbb gaat over attenderingen, beveiligingsadviezen en
                     dreigingsinformatie die relevant zijn voor de beveiliging van de netwerk- en
                     informatiesystemen van essentiële entiteiten en belangrijke entiteiten. Wanneer
                     deze entiteiten zulke attenderingen, beveiligingsadviezen en informatie gericht
                     ontvangen, moeten zij beoordelen of op basis daarvan aanpassingen of
                     aanvullingen nodig zijn van de maatregelen die genomen moeten worden in het
                     kader van de zorgplicht. Zij moeten de uitkomsten van die beoordeling ook
                     schriftelijk vastleggen.</al>
                <al>Het artikel betreft allereerst gerichte attenderingen over voor de beveiliging
                     van de netwerk- en informatiesystemen van de betrokken entiteit relevante
                     kwetsbaarheden of cyberdreigingen. Deze informatie kan onder andere afkomstig
                     zijn van CSIRT’s, toezichthouders of andere betrokken overheidsinstanties, maar
                     kan eveneens afkomstig zijn van het eigen personeel, klanten en ethische
                     hackers. Het zal hierbij in de praktijk veelal gaan om attenderingen gericht
                     aan de ICT-contactpersoon van de entiteit. Een voorbeeld van deze attenderingen
                     zijn high-high-attenderingen van een CSIRT.</al>
                <al>Het artikel ziet daarnaast op beveiligingsadviezen en dreigingsinformatie die
                     afkomstig zijn van relevante organisaties. Het gaat hierbij om gerichte
                     adviezen en informatie. Dit houdt in dat bijvoorbeeld reclame-uitingen hier
                     niet onder vallen. Tot relevante organisaties behoren onder meer CSIRT’s,
                     bevoegde autoriteiten, rechtstreekse leveranciers en rechtstreekse
                     dienstverleners.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 18 (evaluatie)</titel>
                </kop>
                <al>In artikel 18 Cbb is geregeld dat essentiële entiteiten en belangrijke
                     entiteiten de maatregelen die zij hebben genomen in het kader van de zorgplicht
                     periodiek moeten evalueren op de doeltreffendheid en de effecten daarvan in de
                     praktijk, en de resultaten van deze evaluatie schriftelijk moeten vastleggen.
                     Deze evaluaties hebben tot doel om op basis daarvan te beoordelen of de
                     maatregelen aangepast moeten worden.</al>
                <al>Het is aan entiteiten zelf om in te schatten welke periode tussen de
                     evaluaties passend is. Wanneer het weer tijd is voor een entiteit om te
                     evalueren kan afhankelijk zijn van bijvoorbeeld technologische ontwikkelingen,
                     veranderingen in de sector of binnen de entiteit, of veranderingen in risico’s
                     en dreigingen waarmee de entiteit geconfronteerd wordt en die invloed hebben op
                     de beveiliging van de netwerk- en informatiesystemen van de entiteit.</al>
                <al>In het kader van de door artikel 18 Cbb voorgeschreven evaluaties wordt
                     opgemerkt dat deze evaluaties ook onderdeel kunnen zijn van andere periodieke
                     evaluaties, zoals evaluaties van de leveringsplannen.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 19 (nadere regels)</titel>
                </kop>
                <al>In artikel 19 Cbb is een grondslag opgenomen om bij ministeriële regelingen
                     van de vakministers, na overleg met de Minister van Justitie en Veiligheid,
                     nadere regels te stellen over de maatregelen die essentiële entiteiten en
                     belangrijke entiteiten moeten nemen in het kader van de zorgplicht. Hierbij kan
                     onderscheid worden gemaakt tussen sectoren, subsectoren, soorten entiteiten en
                     entiteiten. Het maken van onderscheid kan in sommige gevallen nodig zijn,
                     bijvoorbeeld vanwege de (afwijkende) aard van een bepaalde sector ten opzichte
                     van andere sectoren.</al>
                <al>De grondslag in artikel 19 Cbb is niet enkel beperkt tot de maatregelen die
                     worden genoemd in artikel 21, derde lid, Cbw en die zijn uitgewerkt in het Cbb.
                     De grondslag biedt de mogelijkheid om regels te stellen over de maatregelen,
                     bedoeld in artikel 21, eerste lid, Cbw.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 20 (doel van de training)</titel>
                </kop>
                <al>Artikel 24, tweede lid, Cbw bepaalt dat ieder lid van het bestuur van
                     essentiële entiteiten en belangrijke entiteiten moet beschikken over kennis en
                     vaardigheden om risico’s voor de beveiliging van netwerk- en informatiesystemen
                     te kunnen identificeren, risicobeheersmaatregelen op het gebied van
                     cyberbeveiliging te kunnen beoordelen en de gevolgen van de risico’s en
                     risicobeheersmaatregelen voor de diensten die door de entiteit worden verleend,
                     te kunnen beoordelen. Artikel 24, vijfde lid, Cbw bepaalt dat al die
                     bestuursleden over een certificaat moeten beschikken waaruit de deelname blijkt
                     aan een training die de onderwerpen, bedoeld in artikel 24, tweede lid, Cbw,
                     behandelt. In artikel 20 Cbb wordt het doel van de training bepaald. De
                     training moet bestuursleden in staat stellen om het proces voor het
                     identificeren van risico’s voor de beveiliging van netwerk- en
                     informatiesystemen te kunnen begrijpen en de maatregelen inclusief gevolgen te
                     beoordelen, om zo tot een goede afweging en afgewogen besluitvorming rondom de
                     beveiliging van netwerk- en informatiesystemen te komen.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 21 (eisen aan de training)</titel>
                </kop>
                <al>In artikel 21 Cbb wordt geregeld waar de training (te volgen door ieder lid
                     van het bestuur van essentiële entiteiten en belangrijke entiteiten), bedoeld
                     in artikel 24, vijfde lid, Cbw, inhoudelijk aan moet voldoen. Hierbij wordt
                     aangesloten bij de kennis- en vaardighedenvereisten uit artikel 24, tweede lid,
                     Cbw. Hierbij wordt opgemerkt dat het uitdrukkelijk geen opleiding betreft
                     waarin van de bestuurder wordt verwacht technische kennis te bezitten en de
                     werking van netwerk- en informatiesystemen te kunnen uitleggen. Wel wordt van
                     de bestuurder op strategisch niveau kennis verwacht op de genoemde onderwerpen,
                     zodat de bestuurder in staat is de maatregelen te beoordelen en de risico’s te
                     (laten) beheersen. Hiervoor is een bepaalde basiskennis vereist.</al>
                <al>Artikel 21, eerste lid, Cbb ziet op de kennis en vaardigheden om risico’s voor
                     de beveiliging van netwerk- en informatiesystemen te kunnen identificeren en de
                     gevolgen van deze risico’s te kunnen beoordelen. Voor een goede identificatie
                     van risico’s is kennis over de verschillende soorten risico’s nodig die spelen
                     bij netwerk- en informatiesystemen, zoals de dreiging van malware, <nadruk type="cur">insiders threat</nadruk> en DDoS-aanvallen die een risico vormen
                     voor de integriteit en beschikbaarheid. Daarnaast is inzicht in hoe het
                     risicomanagementproces in elkaar zit en de risicomanagementmethodiek relevant
                     om te weten op welke wijze risico’s systematisch geïdentificeerd, beoordeeld en
                     behandeld kunnen worden.</al>
                <al>Artikel 21, tweede lid, Cbb ziet op de kennis en vaardigheden om
                     risicobeheersmaatregelen op het gebied van cyberbeveiliging en de gevolgen van
                     die maatregelen te kunnen beoordelen. In deze bepaling is geregeld dat de
                     training in elk geval moet zien op de onderwerpen die in artikel 21, derde lid,
                     onderdelen a tot en met j, Cbw worden genoemd. Dit artikel ziet op de
                     maatregelen die in elk geval moeten worden genomen in het kader van de
                     zorgplicht. Globale kennis van dergelijke maatregelen is van belang voor een
                     goede beoordeling van de maatregelen.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 22 (eisen aan het certificaat)</titel>
                </kop>
                <al>In artikel 22 Cbb worden eisen gesteld aan de inhoud van het certificaat van
                     de training, bedoeld in artikel 24, vijfde lid, Cbw.</al>
                <al>In artikel 22, eerste lid, Cbb is bepaald welke informatie het certificaat ten
                     minste moet bevatten. Die eisen, waaronder de eis dat uit het certificaat moet
                     blijken welke onderwerpen zijn behandeld, zijn nodig om na te kunnen gaan of de
                     training voldoet aan de eisen die aan de training worden gesteld in de Cbw en
                     het Cbb. Hierbij dient te worden opgemerkt dat dit certificaat uitsluitend
                     verplicht is in het kader van de verplichte training van artikel 24, vijfde
                     lid, Cbw. Een certificaat met de in het Cbb opgenomen vereisten is niet
                     verplicht voor het aantoonbaar actueel houden van de kennis en vaardigheden als
                     bedoeld in artikel 24, vierde lid, Cbw. Leden van bestuur kunnen dat ook op
                     andere wijze aantonen.</al>
                <al>Artikel 22, tweede lid, Cbb bevat het vereiste dat het certificaat is
                     opgesteld in de Nederlandse of Engelse taal. Dit vereiste is noodzakelijk voor
                     efficiënt en effectief toezicht op de verplichting voor bestuursleden om de
                     training te volgen. Dit vereiste geldt alleen voor het certificaat en niet voor
                     de taal van de training. De training mag in iedere taal worden gegeven.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 23 (significante incidenten)</titel>
                </kop>
                <al>Essentiële entiteiten en belangrijke entiteiten moeten op grond van artikel
                     25, eerste lid, Cbw ieder significant incident melden. In artikel 25, tweede
                     lid, Cbw is bepaald dat een incident een significant incident is als het een
                     ernstige operationele verstoring van de diensten of financiële verliezen voor
                     de betrokken entiteit veroorzaakt of kan veroorzaken, of andere entiteiten
                     heeft getroffen of kan treffen door aanzienlijke materiële of immateriële
                     schade te veroorzaken. Artikel 25, derde lid, Cbw regelt dat bij of krachtens
                     amvb de criteria kunnen worden vastgesteld op basis waarvan wordt bepaald of
                     sprake is van een significant incident als bedoeld in artikel 25, tweede lid,
                     Cbw. Daarbij kan onderscheid worden gemaakt tussen sectoren, subsectoren,
                     soorten entiteiten en entiteiten.</al>
                <al>De hiervoor bedoelde criteria worden ook wel drempelwaarden genoemd en geven
                     concrete invulling aan de hiervoor bedoelde parameters. In artikel 23, eerste
                     lid, Cbb is geregeld dat de vakministers de hiervoor bedoelde criteria
                     (drempelwaarden) bij regeling kunnen vaststellen. De in ministeriële regelingen
                     opgenomen criteria (drempelwaarden) zijn openbaar, aangezien ministeriële
                     regelingen moeten worden gepubliceerd. Artikel 23, eerste lid, Cbb voorziet in
                     de mogelijkheid om de criteria (drempelwaarden) – in plaats van het vaststellen
                     hiervan bij ministeriële regeling – vast te stellen bij besluit. De vakminister
                     kan hiertoe overgaan als de openbaarmaking van de criteria (drempelwaarden) ten
                     aanzien van specifieke entiteiten onaanvaardbare risico’s met zich mee kan
                     brengen voor de desbetreffende entiteit en gelet daarop mogelijk ook voor de
                     nationale veiligheid.</al>
                <al>Er is gekozen voor subdelegatie, omdat het vanwege de verschillen tussen
                     sectoren en subsectoren en in sommige gevallen zelfs tussen soorten entiteiten
                     binnen die (sub)sectoren of entiteiten onderling het niet mogelijk is om de
                     bedoelde criteria (drempelwaarden) vast te stellen die sectorbreed en dus op
                     alle entiteiten uit alle sectoren van toepassing kunnen zijn. Door subdelegatie
                     kunnen de vakministers bij ministeriële regelingen voor de sectoren waar zij
                     beleidsverantwoordelijk voor zijn, criteria (drempelwaarden) vaststellen, aan
                     de hand van de kennis die zij hebben over de sectoren en met consultatie van de
                     betrokkenen binnen die sectoren. Door het overleg met de betrokken sector kan
                     zoveel mogelijk maatwerk worden geleverd per sector, subsector, soort entiteit
                     of entiteit. Indien relevant kan zodoende ook rekening worden gehouden met
                     andere sectorale meldplichten en de daarvoor geldende criteria
                     (drempelwaarden).</al>
                <al>Artikel 23, tweede lid, Cbb ziet specifiek op het geval dat in een
                     uitvoeringshandeling op grond van artikel 23, elfde lid, NIS2-richtlijn al
                     nader is gespecificeerd in welke gevallen incidenten bij specifieke entiteiten
                     als significant wordt beschouwd. Artikel 23, tweede lid, Cbb regelt dat de
                     vakminister naast de hiervoor bedoelde specificaties in uitvoeringshandelingen,
                     aanvullende criteria (drempelwaarden) kan vaststellen. Dat kan bij besluit ten
                     aanzien van specifieke entiteiten, of bij regeling.</al>
                <al>Artikel 23, derde lid, Cbb bepaalt dat de doeltreffendheid van de criteria
                     (drempelwaarden) en de effecten daarvan ten minste elke vier jaar moeten worden
                     geëvalueerd door de betrokken vakminister. Hierbij wordt ook de effectiviteit
                     van de meldingen in ogenschouw genomen en zal worden bezien of voldoende
                     relevante meldingen worden gedaan en of irrelevante meldingen beperkt blijven.
                     Met het evalueren kan worden bewerkstelligd dat de criteria (drempelwaarden)
                     actueel blijven en aansluiten op de gevaren en dreigingen die voor een sector
                     relevant zijn. Denk daarbij bijvoorbeeld aan zeer snelle technologische
                     ontwikkelingen. Indien nodig past de vakminister, na overleg met de Minister
                     van Justitie en Veiligheid, de criteria (drempelwaarden) aan.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 24 (gegevens waar een vroegtijdige waarschuwing uit moet
                        bestaan)</titel>
                </kop>
                <al>Artikel 35 Cbw biedt de grondslag om bij of krachtens amvb regels te stellen
                     over onder meer de gegevens waar de vroegtijdige waarschuwing, bedoeld in
                     artikel 26, eerste lid, Cbw, uit moet bestaan. Op grond van artikel 35 Cbw is
                     in artikel 24 Cbb bepaald dat de vroegtijdige waarschuwing ook moet bestaan uit
                     het vermoedelijke tijdstip van aanvang van het significante incident, een
                     beschrijving van de aard en gevolgen van het incident, (zo mogelijk) een
                     prognose van de hersteltijd en (zo mogelijk) de door essentiële entiteiten en
                     belangrijke entiteiten genomen of voorgenomen maatregelen om de gevolgen van
                     het significante incident te beperken of herhaling hiervan te voorkomen. Met
                     deze informatie kan door het CSIRT en de bevoegde autoriteit beter worden
                     ingeschat of zij willen reageren en hoe respons mogelijk is. Daarnaast kan door
                     deze informatie beter worden ingeschat wat mogelijke cascade-effecten zijn op
                     bijvoorbeeld andere entiteiten.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 25 (wijze waarop een melding geschiedt)</titel>
                </kop>
                <al>Artikel 25 Cbb verplicht essentiële entiteiten en belangrijke entiteiten om
                     meldingen van significante incidenten te doen bij een hiervoor door de Minister
                     van Justitie en Veiligheid ingericht meldpunt.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 26 (nadere regels over meldingen)</titel>
                </kop>
                <al>Artikel 26 Cbb biedt de betrokken vakminister, na overleg met de Minister van
                     Justitie en Veiligheid, de grondslag om bij ministeriële regeling regels te
                     stellen ter uitwerking van de artikelen 26 tot en met 30, 33 en 34 Cbw. Deze
                     grondslag biedt de mogelijkheid om met regels te komen die zijn toegespitst op
                     een specifieke sector, subsector of soort entiteit.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 27 (informatieverstrekking ten behoeve van nationaal
                        register)</titel>
                </kop>
                <al>In artikel 44, eerste lid, Cbw is geregeld dat essentiële entiteiten,
                     belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen
                     bepaalde informatie moeten verstrekken aan de Minister van Justitie en
                     Veiligheid voor de registratie in het nationaal register, bedoeld in artikel 43
                     Cbw. Op grond van artikel 44, eerste lid, onderdeel f, Cbw kan aanvullende
                     informatie worden verlangd voor de registratie in het nationaal register. In
                     artikel 27 Cbb is gebruik gemaakt van deze mogelijkheid.</al>
                <al-groep>
                  <al>Artikel 27, eerste lid, Cbb is van toepassing op essentiële entiteiten,
                        belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten
                        verlenen. Zij moeten op grond van artikel 27, eerste lid, onderdeel a, Cbb
                        voor hun registratie in het nationaal register aangeven of zij dit doen als
                        essentiële entiteit, belangrijke entiteit of entiteit die
                        domeinnaamregistratiediensten verleent. Aan de hand van die opgegeven
                        informatie kan de bevoegde autoriteit bepalen onder welk toezichts- en
                        handhavingsregime de entiteit valt. Daarnaast wordt deze informatie door het
                        CSIRT gebruikt voor de triage in geval van incidenten.</al>
                  <al>Op grond van artikel 27, eerste lid, onderdeel b, Cbb moeten zij ook het
                        nummer verstrekken waarmee zij in het handelsregister, bedoeld in artikel 2
                        Handelsregisterwet 2007, staan ingeschreven. Dit nummer staat ook bekend als
                        het Kamer van Koophandel-nummer. Op deze wijze wordt met de registratie
                        aangesloten bij het Nederlandse beleid en stelsel van basisregistraties,
                        inclusief bijhorende unieke identificatie van entiteiten. Het stelt
                        bovendien de bevoegde autoriteiten en CSIRT’s in staat om op uitvoerbare
                        wijze relaties tussen verschillende entiteiten in kaart te brengen, zoals
                        moeder-dochter-relaties.</al>
                </al-groep>
                <al-groep>
                  <al>In artikel 27, tweede lid, Cbb is geregeld dat overheidsinstanties de
                        identificatiecode moeten verstrekken waarmee zij geregistreerd staan in het
                        Register voor Overheidsorganisaties.</al>
                  <al>Niet alle overheidsinstanties beschikken over een Kamer van
                        Koophandel-nummer, terwijl zij over het algemeen wel geregistreerd staan in
                        het Register voor Overheidsorganisaties. Het Register voor
                        Overheidsorganisaties is daarom een betere basis voor het identificeren van
                        overheidsinstanties. Mocht de onvoorziene situatie zich voordoen dat een
                        overheidsinstantie niet ingeschreven staat in het Register van
                        Overheidsorganisaties, dan geeft deze bepaling de mogelijkheid om ook het
                        Kamer van Koophandel-nummer te overleggen. Daarnaast kan de betreffende
                        overheidsinstantie zich ook registeren in het Register van
                        Overheidsorganisaties.</al>
                </al-groep>
                <al-groep>
                  <al>Artikel 27, derde lid, Cbb is van toepassing op essentiële entiteiten en
                        belangrijke entiteiten. In artikel 27, derde lid, onderdeel a, Cbb is
                        bepaald dat zij voor hun registratie in het nationaal register moeten
                        aangeven van welk soort zij zijn. Aan de hand van die opgegeven informatie
                        hebben de bevoegde autoriteit en de CSIRT een beter inzicht in de
                        bedrijfsactiviteiten van de betreffende entiteit, wat door de bevoegde
                        autoriteit gebruikt kan worden voor meer gericht toezicht en door het CSIRT
                        voor beter gerichte ondersteuning aan de betreffende entiteit. Dit sluit ook
                        aan bij de systematiek die geldt voor de soorten entiteiten die zich dienen
                        te registreren in het Enisa-register op basis van artikel 47 Cbw, waarbij
                        eveneens de soort geregistreerd dient te worden. Ook sluit het aan bij de
                        huidige praktijk onder de Wbni, waarbij van entiteiten duidelijk is van welk
                        soort zij zijn.</al>
                  <al>In artikel 27, derde lid, onderdeel b, Cbb is bepaald dat zij ook hun
                        domeinnamen moeten aanleveren. Het gaat daarbij om de publieke domeinnamen
                        die eigendom zijn van de entiteit. Deze informatie is noodzakelijk voor
                        CSIRT’s om hun wettelijke taken richting deze entiteiten, bevoegde
                        autoriteiten en andere relevante partijen effectief uit te kunnen voeren. In
                        sommige gevallen beschikt een CSIRT alleen over domeinnamen van een
                        potentieel doelwit of slachtoffer (zoals bij gelekte inloggegevens), en niet
                        over een IP-adres. Om in die gevallen de entiteit te kunnen informeren over
                        een dreiging of kwetsbaarheid, is het van belang dat het CSIRT ook beschikt
                        over de domeinnamen van de entiteit.</al>
                </al-groep>
                <al>Over het nationaal register, bedoeld in artikel 43 Cbw, wordt ten slotte nog
                     het volgende toegelicht. De bevoegde autoriteiten en CSIRT’s maken gebruik van
                     de registratie-informatie voor het uitoefenen van hun taken op grond van de
                     Cbw. In het registratieproces worden daarom maatregelen ingebouwd die eraan
                     bijdragen dat de opgegeven informatie juist en volledig is en de entiteiten
                     niet te veel worden belast. Dit gebeurt doordat vanuit het authenticatiemiddel
                     (zoals SSO-rijk of eHerkenning) dat bij registratie wordt gebruikt, automatisch
                     onder meer het Kamer van Koophandel-nummer van een entiteit wordt verkregen.
                     Hierdoor kan het nationaal register worden gekoppeld aan het handelsregister of
                     andere registers, zoals het Register van Overheidsorganisaties, om bekende
                     gegevens van de entiteit op te halen. Dit is informatie die bij registratie
                     door de entiteit moet worden gecontroleerd. Dit betreffen gegevens die de
                     entiteit ook verplicht is om aan te leveren op grond van artikel 44 Cbw,
                     namelijk de naam en het adres van de entiteit. Daarnaast geldt dat deze
                     werkwijze kan valideren dat een persoon gerechtigd is om namens een entiteit
                     het registratieproces te doorlopen. Dit biedt extra zekerheid voor de juistheid
                     van deze gegevens en hiermee worden dus de administratieve lasten verminderd
                     voor entiteiten die onder het toepassingsbereik van de Cbw vallen.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 28 (aanwijzing autoriteiten)</titel>
                </kop>
                <al>Artikel 51, tweede lid, onderdeel i, Cbw biedt de betrokken vakminister, na
                     overleg met de Minister van Justitie en Veiligheid, de mogelijkheid om bij of
                     krachtens amvb autoriteiten aan te wijzen waar de bevoegde autoriteiten in de
                     zin van de Cbw, de CSIRT’s en het centrale contactpunt mee samenwerken voor de
                     doeltreffende en doelmatige uitvoering van hun taken uit hoofde van de Cbw en
                     in het kader van die samenwerking alle daarvoor noodzakelijke gegevens
                     uitwisselen.</al>
                <al>In artikel 28 Cbb is een delegatiegrondslag opgenomen op grond waarvan de
                     vakminister de hiervoor bedoelde autoriteiten bij regeling kan aanwijzen. De
                     reden voor het doordelegeren is dat naar verwachting vooral autoriteiten zullen
                     worden aangewezen die uit hoofde van sectorale regelgeving een rol hebben in
                     het toezicht op entiteiten die ook onder toepassing van de Cbw vallen. Door dit
                     bij regeling te regelen kan door de vakminister vanuit diens
                     verantwoordelijkheid voor sectoren hier een passende invulling aan gegeven
                     worden en waar nodig worden bijgesteld. De aanwijzing maakt het in het
                     bijzonder voor autoriteiten mogelijk om in het geval van overlappend toezicht
                     nauwer samen te werken, informatie uit te wisselen en op die wijze doelmatig en
                     doeltreffend toezicht te bevorderen en daarmee ook onnodige toezichtslasten
                     voor entiteiten te beperken.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 29 (bewaring van persoonsgegevens)</titel>
                </kop>
                <al>In artikel 29, eerste lid, Cbb is bepaald dat de persoonsgegevens die door het
                     CSIRT, het centrale contactpunt en de Minister van Justitie en Veiligheid bij
                     of krachtens de Cbw worden verwerkt, niet zijnde de persoonsgegevens, bedoeld
                     in artikel 64, tweede lid, Cbw, maximaal 60 maanden, gerekend vanaf de eerste
                     verwerking, worden bewaard.</al>
                <al>Het CSIRT verwerkt in het kader van de uitoefening van haar taken allerlei
                     soorten gegevens, waaronder persoonsgegevens. Het gedurende een periode bewaren
                     van deze gegevens kan in het belang zijn de uitoefening van die taken. Zo kan
                     het bewaren nodig zijn om te voorzien in de gevallen dat een bepaald IP-adres
                     opnieuw geraakt wordt, als een digitale aanval steeds vanuit dezelfde hoek komt
                     of wanneer een serie IP-adressen gebruikt is in bijvoorbeeld een botnet. Dit
                     kan voor het CSIRT aanleiding zijn om onderzoek te doen naar de relevantie voor
                     andere recent getroffen IP-adressen. Ook kan uit nader onderzoek van een
                     afgehandeld incident blijken dat relevante informatie, zoals een kwetsbaarheid
                     van bepaalde IP-adressen of bepaalde gebruikte aanvalstechnieken, door
                     kwaadwillende actoren opnieuw worden gebruikt tegen andere partijen. Voor een
                     gedegen onderzoek van afgehandelde incidenten is het noodzakelijk dat deze
                     gegevens niet te snel worden vernietigd. Een maximale bewaartermijn van
                     60 maanden wordt passend geacht voor de taken van het CSIRT, zoals het
                     monitoren en analyseren van cyberdreigingen waarbij onderzoek over een langere
                     periode noodzakelijk is om goed te kunnen kijken naar trends.</al>
                <al>Ook voor het centrale contactpunt is het wenselijk dat persoonsgegevens zoals
                     e-mailadressen en contactgegevens langere tijd kunnen worden bewaard, om zo een
                     goede samenwerking mogelijk te maken. Het is daarbij een te grote
                     administratieve last om de contactgegevens en e-mailadressen telkens opnieuw te
                     moeten verzamelen. Daarom is er ook ten aanzien van het centrale contactpunt
                     gekozen voor een maximale bewaartermijn van 60 maanden.</al>
                <al>Artikel 29, tweede lid, Cbb bevat een uitzondering op het bepaalde in artikel
                     29, eerste lid, Cbb voor de persoonsgegevens die worden verwerkt in het kader
                     van het nationale register, bedoeld in artikel 43 Cbw. Voor deze
                     persoonsgegevens geldt een maximale bewaartermijn van 60 maanden na de laatste
                     bevestiging van de juistheid van de betreffende persoonsgegevens. Het regelen
                     van deze uitzondering is nodig omdat het niet wenselijk is dat deze gegevens,
                     die door entiteiten zijn aangeleverd, zonder meer na vijf jaar moeten worden
                     verwijderd, terwijl deze gegevens nog steeds relevant zijn voor de wettelijke
                     taken van de Minister van Justitie en Veiligheid. De verwachting is dat de
                     bedoelde gegevens binnen die vijf jaar telkens zullen worden gewijzigd of
                     geactualiseerd. Daarom wordt de maximale bewaartermijn van vijf jaar gekoppeld
                     aan de laatste bevestiging van de juistheid van de gegevens. Indien de termijn
                     van vijf jaar dreigt te verlopen kan de Minister van Justitie en Veiligheid de
                     entiteit al dan niet geautomatiseerd vragen om de actualiteit en juistheid van
                     de gegevens te bevestigen. Indien de entiteit deze actualiteit en juistheid
                     bevestigt begint het termijn van vijf jaar opnieuw te lopen.</al>
                <al>In artikel 29, derde lid, Cbb is geregeld dat de persoonsgegevens die door de
                     bevoegde autoriteit bij of krachtens de Cbw worden verwerkt, niet langer
                     bewaard worden dan noodzakelijk is ter uitvoering van haar taken op grond van
                     de Cbw, doch uiterlijk binnen 120 maanden (10 jaren) na de eerste verwerking
                     verwijderd worden. De genoemde bewaartermijn van 120 maanden (10 jaren) is
                     daarmee een uiterlijke bewaartermijn die begint te lopen vanaf het moment van
                     de eerste verwerking. Persoonsgegevens moeten eerder (dan pas na 10 jaren)
                     verwijderd worden als deze met het oog op de taakuitoefening van de bevoegde
                     autoriteit niet langer noodzakelijk zijn. Dit sluit aan bij het beginsel van
                     gegevensminimalisatie uit de Algemene verordening gegevensbescherming. In de
                     praktijk zal de bevoegde autoriteit derhalve voor persoonsgegevens een
                     bewaartermijn hanteren die dit beginsel eerbiedigt doch die niet langer kan
                     zijn dan 10 jaren, gerekend vanaf de eerste verwerking.</al>
                <al>De gestelde uiterlijke bewaartermijn van 120 maanden is noodzakelijk gezien de
                     mogelijkheid van langlopende toezichtstrajecten en bijhorende
                     bestuursrechtelijke procedures, waarvan niet uitgesloten is dat deze een
                     kortere termijn zullen overschrijden. Dit levert het risico op dat
                     persoonsgegevens vanwege de uiterlijke termijn gedurende een traject of
                     procedure al verwijderd moeten worden, wat vanwege de daarmee gemoeide
                     aantasting van bewijsmiddelen en processtukken ernstig afbreuk kan doen aan de
                     doeltreffendheid van het toezicht. Voorbeelden hiervan zijn persoonsgegevens
                     als onderdeel van besluiten, gespreksverslagen of opgevraagde documentatie. Het
                     gaat daarbij met name om namen, e-mailadressen en telefoonnummers van
                     werknemers van entiteiten en van betrokken ambtenaren die met het toezicht zijn
                     belast. Van een toezichtstraject en bestuursrechtelijke procedure met lange
                     doorlooptijd kan bijvoorbeeld sprake zijn als bij een essentiële entiteit of
                     belangrijke entiteit tekortkomingen in de naleving van de zorgplicht worden
                     geconstateerd. In dat geval is in het kader van toezicht daarover bewijs
                     verzameld. In gevallen kan het zo zijn dat met het structureel oplossen van de
                     tekortkomingen door de entiteit meerdere jaren gemoeid zijn waarover de
                     voortgang en bijhorende gegevens zoals gespreksverslagen en documentatie worden
                     bijgehouden. Als een dergelijk toezichtstraject vervolgens uitmondt in een
                     bestuursrechtelijk sanctietraject kan in uitzonderlijke gevallen, wanneer er
                     bezwaar, beroep en hoger beroep tegen het sanctiebesluit worden ingesteld, vele
                     jaren verstrijken totdat het geschil finaal beslecht is. Een verplichting die
                     in de praktijk ertoe leidt dat gedurende deze procedure de voor de procedure
                     relevante persoonsgegevens dienen te worden verwijderd, zou een ernstige
                     afbreuk doen aan de doeltreffendheid van het toezicht. Daarom is ervoor gekozen
                     om een uiterlijke bewaartermijn voor persoonsgegevens van 120 maanden aan te
                     houden voor zover het gaat om de verwerking van persoonsgegevens door de
                     bevoegde autoriteit. Dit zorgt voor een uitvoerbare toezichtspraktijk en zorgt
                     tegelijkertijd voor rechtszekerheid dat persoonsgegevens uiterlijk na 120
                     maanden verwijderd worden. Ten overvloede wordt opgemerkt dat deze termijn de
                     uiterlijke termijn betreft en dat de bevoegde autoriteit op grond van het Cbb
                     en de Algemene verordening gegevensbescherming eraan gehouden is om
                     persoonsgegevens eerder te verwijderen indien deze niet langer noodzakelijk
                     zijn voor een goede uitvoering van haar taken.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 30 (wijziging Besluit EU-verordeningen Wft)</titel>
                </kop>
                <al>Gelijktijdig met de NIS2-richtlijn is de DORA vastgesteld. Deze verordening is
                     van toepassing op de financiële sector.</al>
                <al>Banken, exploitanten van handelsplatformen en centrale tegenpartijen vallen
                     zowel onder het toepassingsbereik van de DORA, als onder het toepassingsbereik
                     van de NIS2-richtlijn. De bepalingen uit de verordening over het melden van
                     grote ICT-gerelateerde incidenten zijn op hen van toepassing, in plaats van de
                     bepalingen hierover uit de NIS2-richtlijn. Dit volgt uit artikel 1, tweede lid,
                     DORA jo. artikel 4 NIS2-richtlijn. De bepalingen uit de Cbw over de meldplicht
                     zijn dan ook niet op hen van toepassing, waaronder de verplichting om melding
                     te doen bij het CSIRT.</al>
                <al>De DORA biedt in artikel 19, eerste lid, zesde alinea, lidstaten de
                     mogelijkheid om financiële entiteiten te verplichten om de melding, bedoeld in
                     artikel 19, vierde lid, van de verordening ook te melden bij het CSIRT.
                     Nederland maakt met artikel 30 Cbb gebruik van deze mogelijkheid. Hierdoor
                     moeten banken, exploitanten van handelsplatformen, centrale tegenpartijen en
                     centrale effectenbewaarinstellingen de melding zowel bij de financiële
                     toezichthouder (de Autoriteit Financiële Markten, hierna: AFM, of De
                     Nederlandsche Bank, hierna: DNB), als bij het CSIRT doen. Voor hen geldt dus
                     een dubbele meldplicht. Het gebruiken van deze lidstaatoptie behelst voor hen
                     geen nieuwe verplichting, maar een bestendiging van de meldplicht die thans
                     voor hen geldt. Voor de hiervoor genoemde financiële entiteiten geldt immers op
                     grond van artikel 10, eerste lid, Wbni al de verplichting om ernstige
                     cyberincidenten te melden bij de Minister van Justitie en Veiligheid, die op
                     grond van artikel 2 Wbni het CSIRT is voor deze aanbieders. De Wbni wordt met
                     de komst van de NIS2-richtlijn ingetrokken.</al>
                <al>Door het benutten van de in de DORA geboden lidstaatoptie hebben banken,
                     exploitanten van handelsplatformen, centrale tegenpartijen en centrale
                     effectenbewaarinstellingen een dubbele meldplicht. Het belang van deze dubbele
                     meldplicht is dat het CSIRT een andere rol vervult en een ander doel heeft met
                     het ontvangen van meldingen dan DNB of AFM. Het CSIRT is er om indien nodig
                     bijstand te verlenen, overloopeffecten te identificeren, andere entiteiten te
                     waarschuwen en trends te analyseren. DNB en AFM gebruiken de meldingen om de
                     toezichtspraktijk te verbeteren en de financiële stabiliteit te
                     waarborgen.</al>
                <al>Artikel 19, tweede lid, DORA biedt lidstaten de mogelijkheid om te regelen dat
                     financiële entiteiten <nadruk type="cur">significante</nadruk> cyberdreigingen
                     op vrijwillige basis kunnen melden bij het CSIRT. Er wordt gebruik gemaakt van
                     deze mogelijkheid, omdat het CSIRT naar aanleiding van vrijwillige meldingen
                     kan overgaan op het identificeren van overloopeffecten, het waarschuwen van
                     andere entiteiten en het analyseren van trends.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 31 (wijziging Besluit beveiliging en continuïteit openbare
                        elektronische communicatienetwerken en -diensten)</titel>
                </kop>
                <al>De implementatie van de NIS2-richtlijn leidt tot wijzigingen van het Besluit
                     beveiliging en continuïteit openbare elektronische communicatienetwerken en
                     -diensten. De wijzigingen zijn van een technische aard en beogen geen
                     beleidswijziging.</al>
                <al>De zorgplicht met betrekking tot de beveiliging van openbare elektronische
                     communicatienetwerken en -diensten wordt grotendeels in de Cbw geregeld. Met
                     betrekking tot de beveiliging van diensten geldt dat alleen de beveiliging van
                     de netwerk- en informatiesystemen die worden gebruikt voor het verlenen van
                     diensten of verrichten van activiteiten onder de Cbw komen te vallen. Om er
                     toch voor te zorgen dat beveiliging van diensten volledig onder de regelgeving
                     blijft vallen, is bij de implementatie van de NIS2-richtlijn in artikel 11.a,
                     eerste lid, Tw de zorgplicht voor de beveiliging van diensten gecontinueerd. In
                     de memorie van toelichting bij artikel 98 Cbw is dit nader toegelicht.</al>
                <al>De maatregelen in het Besluit beveiliging en continuïteit openbare
                     elektronische communicatienetwerken en -diensten waarmee een nadere invulling
                     werd gegeven aan de zorgplicht uit artikel 11.a1, eerste lid, Tw zijn
                     geschrapt, omdat deze onder de Cbw verder zijn uitgewerkt. De
                     delegatiegrondslag is behouden gebleven (onderdeel B). De meldplicht van
                     incidenten voor de aanbieders van openbare elektronische communicatienetwerken
                     en -diensten valt thans volledig onder de Cbw. De betreffende bepalingen inzake
                     de meldplicht zijn derhalve uit het Besluit beveiliging en continuïteit
                     openbare elektronische communicatienetwerken en -diensten geschrapt (onderdelen
                     D en F).</al>
                <al>De maatregelen die zien op de beveiliging van de antenne-opstelpunten met een
                     hoofdzender voor het verspreiden van programma’s voor het omroepnet voor radio
                     van regionale media-instellingen (zie artikel 3.7, onderdelen b en c, Tw) zijn
                     een continuering van het nationaal beleid. Het gaat hierbij om het treffen van
                     beveiligingsmaatregelen zodat de continuïteit van radio-uitzendingen die onder
                     meer in het bijzonder van belang is bij radiokanalen met de functie van
                     calamiteitenzender zo goed mogelijk wordt geborgd. Dit nationale beleid wordt
                     voortgezet (onderdelen C en D).</al>
                <al>Na artikel 5b Besluit beveiliging en continuïteit openbare elektronische
                     communicatienetwerken en -diensten wordt een omhangbepaling ingevoegd, als
                     gevolg van de wijziging van de grondslag in de Tw.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 32 (wijziging Besluit veiligheid en integriteit
                        telecommunicatie)</titel>
                </kop>
                <al>Na artikel 2 Bvit wordt een omhangbepaling ingevoegd, als gevolg van de
                     wijziging van de grondslag in de Tw (artikel 11.a1, tweede lid), ter uitvoering
                     van de NIS2-richtlijn.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 33 (wijziging Drinkwaterbesluit)</titel>
                </kop>
                <al>De wijzigingen van het Drinkwaterbesluit (hierna: Dwb) beogen een
                     samenhangende uitvoering te faciliteren van enerzijds de verplichtingen die
                     voortvloeien uit de Cbw (en overigens ook van de Wwke) en anderzijds de
                     bestaande verplichtingen inzake risicobeoordeling en risicobeheer in het Dwb,
                     die onder meer voortvloeien uit de zogeheten Drinkwaterrichtlijn.<noot id="n11" type="voet"><noot.nr>9</noot.nr><noot.al>Richtlijn (EU) 2020/2184 van het Europees Parlement en de Raad van
                           16 december 2020 betreffende de kwaliteit van voor menselijke consumptie
                           bestemd water (herschikking) (<nadruk type="cur">PbEU</nadruk> 2020,
                           L 435).</noot.al></noot></al>
                <divisie opmaak="default">
                  <kop>
                    <titel>Wijziging artikel 15 Dwb</titel>
                  </kop>
                  <al>De wijzigingen van artikel 15 Dwb zijn van redactionele aard; er is geen
                        inhoudelijke wijziging van verplichtingen. De wijzigingen ondersteunen in
                        samenhang met die van de artikelen 46a en 47 Dwb een samenhangende
                        uitvoering van (reeds geïmplementeerde) verplichtingen op grond van de
                        Drinkwaterrichtlijn en de verplichtingen op grond van de Cbw (en overigens
                        ook van de Wwke).</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Wijziging artikel 46a Dwb</titel>
                  </kop>
                  <al>De wijziging betreft een technische correctie. Het opschrift is gewijzigd
                        in verband met de verplichting tot beheer, opgenomen in het vijfde lid van
                        artikel 46a Dwb.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Wijziging artikel 47 Dwb</titel>
                  </kop>
                  <al-groep>
                    <al>De uitvoering van de verplichte risicobeoordeling op grond van de Wwke
                           wordt geïntegreerd in de bestaande systematiek van de
                           verstoringsrisicoanalyse (VRA), bedoeld in artikel 47 Dwb, en de
                           verstoringsparagraaf die op grond van artikel 47 Dwb onderdeel moet zijn
                           van het leveringsplan, bedoeld in artikel 37 Drinkwaterwet. De VRA gaat
                           dan omvatten:</al>
                    <lijst level="single" nr-sluiting="." start="1" type="expliciet">
                      <li>
                        <li.nr>a.</li.nr>
                        <al>de risicobeoordeling, bedoeld in artikel 14 Wwke;</al>
                      </li>
                      <li>
                        <li.nr>b.</li.nr>
                        <al>de benadering, bedoeld in artikel 21, derde lid, Cbw (<nadruk type="cur">all hazard</nadruk>);</al>
                      </li>
                      <li>
                        <li.nr>c.</li.nr>
                        <al>nationale dreigingen en scenario’s, zoals reeds opgenomen in het
                                 tweede lid van artikel 47 Dwb.</al>
                      </li>
                    </lijst>
                  </al-groep>
                  <al>Omdat de VRA tevens onderdeel is van de risicobeoordeling van het
                        watervoorzieningssysteem, bedoeld in artikel 46a Dwb, is daarmee ook
                        integratie in het bredere systeem van risicobeoordeling ingevolge de
                        Drinkwaterrichtlijn geborgd.</al>
                  <al>Het nieuwe zesde lid van artikel 47 Dwb regelt welke maatregelen op grond
                        van het voorgaande moeten worden opgenomen in de verstoringsparagraaf van
                        het leveringsplan. Omwille van de leesbaarheid wordt de bestaande bepaling
                        dat de vereisten uit bijlage B, onderdeel 3, van het Dwb van toepassing zijn
                        op de verstoringsparagraaf, in een separaat zevende lid opgenomen.</al>
                </divisie>
                <divisie opmaak="default">
                  <kop>
                    <titel>Nieuw artikel 47a Dwb</titel>
                  </kop>
                  <al>Het nieuwe artikel 47a Dwb maakt het, met het oog op een doelmatige
                        uitvoering, expliciet mogelijk voor het drinkwaterbedrijf om de
                        risicobeoordeling van het watervoorzieningssysteem en de VRA in samenhang
                        voor te bereiden en uit te voeren, zodat een geïntegreerde risicobeoordeling
                        en een geïntegreerd proces van totstandkoming en beoordeling door de ILT
                        mogelijk wordt.</al>
                </divisie>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 34 (intrekking Besluit beveiliging netwerk- en
                        informatiesystemen)</titel>
                </kop>
                <al>Artikel 103 Cbw regelt de intrekking van de Wbni. Het Besluit beveiliging
                     netwerk- en informatiesystemen (hierna: Bbni) vindt zijn grondslag in de Wbni.
                     Met de intrekking van de Wbni is er geen grond meer voor het Bbni en het Bbni
                     moet dan ook worden ingetrokken. Dit wordt geregeld in artikel 34 Cbb.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 35 (inwerkingtreding)</titel>
                </kop>
                <al>Artikel 35 Cbb bepaalt dat het Cbb in werking treedt op een bij koninklijk
                     besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen
                     daarvan verschillend kan worden vastgesteld. Op grond van dit artikel kan
                     worden gekozen voor een gefaseerde inwerkingtreding. Dit is denkbaar in het
                     geval dat bepaalde onderdelen van het Cbb nog niet in werking kunnen treden,
                     terwijl dat bij andere onderdelen van het Cbb wel het geval is. De verwachting
                     is dat bij de inwerkingtreding van (onderdelen van) het Cbb een uitzondering
                     wordt gemaakt op de vaste verandermomenten en de minimuminvoeringstermijn,
                     omdat het Cbb strekt ter uitvoering van de Cbw, en die wet ziet op de
                     implementatie van een bindende EU-rechtshandeling.</al>
              </divisie>
              <divisie opmaak="default">
                <kop>
                  <titel>Artikel 36 (citeertitel)</titel>
                </kop>
                <al>Artikel 36 Cbb bepaalt dat de citeertitel van dit besluit luidt:
                     Cyberbeveiligingsbesluit.</al>
              </divisie>
            </divisie>
            <ondertekening>
              <functie>De Minister van Justitie en Veiligheid,</functie>
            </ondertekening>
          </nota-toelichting>
        </wet-besluit>
      </object_van_advies>
    </adviesRvS>
  </staatscourant>
</officiele-publicatie>