Cybersecuritywet

Dit voorstel voor een Cybersecuritywet strekt ter implementatie van de zogenoemde NIB-richtlijn van de Europese Unie (richtlijn 2016/1148). Vanwege de inhoudelijke samenhang en overlap worden de bepalingen van de toekomstige Wet gegevensverwerking en meldplicht cybersecurity (nu nog als wetsvoorstel aanhangig in de Eerste Kamer) overgeheveld naar de Cybersecuritywet.

Consultatie gegevens

Publicatiedatum 16-06-2017
Einddatum consultatie 16-07-2017
Status Gesloten
Type consultatie Wet
Organisatie Ministerie van Justitie en Veiligheid
Onderwerpen ICT Netwerken Criminaliteit Rampen Staatsveiligheid Terrorisme

Publicatie reacties

Reacties worden gepubliceerd tijdens de loop van de consultatie. Alleen die reacties worden gepubliceerd waarvan is aangeven, door de inzender, dat deze openbaar mogen zijn.

Doel van de regeling

Implementatie van EU-richtlijn 2016/1148, die met name de volgende verplichtingen bevat:
1. aanwijzing, door elke lidstaat, van de ‘aanbieders van een essentiële dienst’ in die lidstaat;
2. verplichting voor aanbieders van essentiële en digitale diensten om hun ICT te beveiligen en ernstige incidenten te melden;
3. toezicht en sancties door een of meer bevoegde autoriteiten;
4. aanwijzing van één centraal contactpunt;
5. aanwijzing van een of meer CSIRT’s (computer security incident response teams) voor advies en bijstand aan aanbieders van essentiële en digitale diensten.

Doelgroepen die door de regeling worden geraakt

1. aanbieders van essentiële diensten binnen de sectoren energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater en digitale infrastructuur;
2. andere vitale aanbieders: beheerders van primaire waterkeringen en organisaties in de sector nucleair;
3. digitaledienstverleners: aanbieders van onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten;
4. de rijksoverheid.

Verwachte effecten van de regeling

Het wetsvoorstel leidt naar verwachting tot een hoger niveau van netwerk- en informatiebeveiliging, vergroting van digitale paraatheid en weerbaarheid en verkleining van de gevolgen van cyberincidenten.

Doel van de consultatie

Gelegenheid bieden voor commentaar op de gemaakte implementatiekeuzes, zoals:
1. scheiding van de functies van hulpverlening en toezicht;
2. aanwijzing van de Minister van Veiligheid en Justitie (Nationaal Cyber Security Centrum, NCSC) als het CSIRT voor essentiële diensten en als het centrale contactpunt;
3. aanwijzing van de vakdepartementen resp. DNB als bevoegde autoriteit (toezicht en sancties door de sectorale toezichthouder);
4. globale beveiligingsnormen (zorgplichten) in de wet, eventueel sectoraal nader uit te werken;
5. dubbele meldplicht voor ernstige ICT-incidenten: zowel melden bij de bevoegde autoriteit als bij het CSIRT, technisch zó vormgegeven dat de indiener desgewenst met één handeling aan beide meldplichten kan voldoen;
6. enkele meldplicht voor ICT-incidenten die ernstige gevolgen kúnnen hebben voor aangewezen vitale aanbieders: alleen melden bij NCSC;
7. implementatie in één centrale wet en niet in sectorale wetten van de vakdepartementen (zoals de Wet op het financieel toezicht en de Drinkwaterwet).

Op welke onderdelen van de regeling wordt een reactie gevraagd

Op alle onderdelen is een reactie mogelijk. Wel is van belang dat de verplichtingen van de NIB-richtlijn vaststaan. Een reactie is dus vooral zinvol als zij gaat over de keuzes die het wetsvoorstel maakt om die verplichtingen nader uit te werken.

Meer informatie