Besluit beveiliging netwerk- en informatiesystemen

Geraadpleegd op 08-12-2024.
Geldend van 01-10-2023 t/m heden

Besluit van 30 oktober 2018, houdende regels ter uitvoering van de Wet beveiliging netwerk- en informatiesystemen (Besluit beveiliging netwerk- en informatiesystemen)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Justitie en Veiligheid van 4 juli 2018, Directie Wetgeving en Juridische Zaken, nr. 2306334, gedaan in overeenstemming met Onze Ministers van Defensie, Economische Zaken en Klimaat, Financiën en Infrastructuur en Waterstaat;

Gelet op richtlijn (EU) 2016/1148, uitvoeringsverordening (EU) 2018/151 en de artikelen 5, eerste lid, 6, 9, 15 en 34 van de Wet beveiliging netwerk- en informatiesystemen;

De Afdeling advisering van de Raad van State gehoord (advies van 25 juli 2018, nummer W16.18.0203/II);

Gezien het nader rapport van Onze Minister van Justitie en Veiligheid van 24 oktober 2018, Directie Wetgeving en Juridische Zaken, nr. 2346717, uitgebracht in overeenstemming met Onze Ministers van Defensie, Economische Zaken en Klimaat, Financiën en Infrastructuur en Waterstaat;

Hebben goedgevonden en verstaan:

Artikel 2. (aanwijzing aanbieders van een essentiële dienst)

Als aanbieders van een essentiële dienst of categorieën van zodanige aanbieders worden aangewezen:

Sector

Aanbieder

Essentiële dienst

Energie: elektriciteit

De netbeheerder van het landelijk hoogspanningsnet, aangewezen op grond van artikel 10, tweede lid, of 14 van de Elektriciteitswet 1998

Transmissie en distributie van elektriciteit

 

De regionale netbeheerders, aangewezen op grond van artikel 10, negende lid, 13, eerste lid, of 14 van de Elektriciteitswet 1998

 
 

BritNed Development Ltd.

Transmissie van elektriciteit (landsgrensoverschrijdend)

 

Een elektriciteitsbedrijf als bedoeld in Bijlage II van de NIB-richtlijn, dat één of meerdere productie-installaties als bedoeld in artikel 1, eerste lid, onder ah, van de Elektriciteitswet 1998, beheert met een cumulatief nominaal vermogen van ten minste 100 MegaWatt

Productie van elektriciteit

 

De bij besluit van Onze Minister van Economische Zaken en Klimaat aangewezen elektriciteitsbedrijven, als bedoeld in Bijlage II van de NIB-richtlijn

Levering of aankoop van elektriciteit

Energie: gas

De netbeheerder van het landelijk gastransportnet, aangewezen op grond van artikel 2, eerste lid, of 5 van de Gaswet

Transmissie en distributie van gas

De regionale netbeheerders, aangewezen krachtens artikel 2, achtste lid, of 5 van de Gaswet

De Nederlandse Aardolie Maatschappij B.V.

Het opsporen en winnen van gas op basis van de concessie voor de aardgaswinning uit het Groningenveld op grond van het koninklijk besluit van 30 mei 1963, nr. 39 (Stcrt. 1963, 126)

Het opslaan van gas op basis van de opslagvergunning «Norg» van 31 maart 2003 (Stcrt. 2003, 68)

De bij besluit van Onze Minister van Economische Zaken en Klimaat aangewezen leveringsbedrijven, als bedoeld in Bijlage II van de NIB-richtlijn

Levering van gas

De bij besluit van Onze Minister van Economische Zaken en Klimaat aangewezen opslagsysteembeheerders, als bedoeld in Bijlage II van de NIB-richtlijn

Opslag van gas

De bij besluit van Onze Minister van Economische Zaken en Klimaat aangewezen LNG-systeembeheerders, als bedoeld in Bijlage II van de NIB-richtlijn

Het vloeibaar maken van aardgas of de invoer, de verlading en de hervergassing van LNG

De bij besluit van Onze Minister van Economische Zaken en Klimaat aangewezen aardgasbedrijven, als bedoeld in Bijlage II van de NIB-richtlijn

Productie of aankoop van aardgas, met inbegrip van LNG

De bij besluit van Onze Minister van Economische Zaken en Klimaat aangewezen exploitanten van voorzieningen voor de raffinage en behandeling van aardgas, als bedoeld in Bijlage II van de NIB-richtlijn

Raffinage of behandeling van aardgas

Energie: aardolie

Stichting Centraal Orgaan Voorraadvorming Aardolieproducten

Het beheren van strategische olievoorraden

Energie: aardolie

De bij besluit van Onze Minister van Economische Zaken en Klimaat aangewezen exploitanten van oliepijpleidingen, als bedoeld in Bijlage II van de NIB-richtlijn

Beheer van oliepijpleidingen

De bij besluit van Onze Minister van Economische Zaken en Klimaat aangewezen exploitanten van voorzieningen voor de productie, opslag, transport, raffinage en behandeling van olie, bedoeld in Bijlage II van de NIB-richtlijn

Productie, opslag, transport, raffinage, of behandeling van olie

Vervoer: luchtvervoer

• Nederlandse luchtvaartmaatschappijen die beschikken over een Air Operator Certificate (AOC) en die niet conform artikel 4, vierde lid van Verordening (EG) nr. 300/20081 zijn uitgezonderd van de gemeenschappelijke basisnormen voor de beveiliging van de burgerluchtvaart zoals opgenomen in deze Verordening;

• De exploitant van Luchthaven Schiphol;

• De exploitanten van de luchthavens, genoemd in artikel 8.1, derde lid, van de Wet luchtvaart voor zover op die luchthavens verkeersvluchten plaatsvinden van luchtvaartmaatschappijen die:

a. open staan voor individuele boekingen voor passagiers, vracht of post; en

b. betreffen geregelde vluchten, zijnde lijnvluchten of commerciële vluchten uitgevoerd op een vaste route volgens een gepubliceerde dienstregeling, en niet-geregelde vluchten, zijnde chartervluchten in het passagiers- en vrachtvervoer of commerciële vluchten met een ongeregeld karakter;

• De burgerexploitant van de luchthaven Eindhoven;

• Aircraft Fuel Supply B.V.;

• Koninklijke marechaussee;

• Luchtverkeersleiding Nederland (LVNL);

• Maastricht Upper Area Control Centre (MUAC).

Een veilige en vlotte vlucht- en vliegtuigafhandeling

Vervoer: spoorvervoer

De bij besluit van Onze Minister van Infrastructuur en Waterstaat aangewezen infrastructuurbeheerders, bedoeld in artikel 3 van richtlijn 2012/34/EU

Het beheer van de hoofdspoorweginfrastructuur, bedoeld in artikel 16 van de Spoorwegwet

De bij besluit van Onze Minister van Infrastructuur en Waterstaat aangewezen spoorwegondernemingen, bedoeld in artikel 3 van richtlijn 2012/34/EU

Het vervoer van personen of goederen over (hoofd)spoorweginfrastructuur

Vervoer: vervoer over water

De Divisie Havenmeester van het Havenbedrijf Rotterdam N.V.

Het afwikkelen van scheepvaartverkeer

Vervoer: wegvervoer

De bij besluit van Onze Minister van Infrastructuur en Waterstaat aangewezen wegenautoriteiten, bedoeld in artikel 2 van verordening (EU) 2015/962

Het beheer van weginfrastructuur

De bij besluit van Onze Minister van Infrastructuur en Waterstaat aangewezen exploitanten van intelligente vervoerssystemen, bedoeld in artikel 4 van richtlijn 2010/40/EU

Het exploiteren van een intelligent vervoerssysteem als bedoeld in artikel 4 van richtlijn 2010/40/EU

Bankwezen

De bij besluit van De Nederlandsche Bank N.V. aangewezen kredietinstellingen als bedoeld in artikel 4, punt 1, van Verordening (EU) nr. 575/2013

Het aanbieden en afwikkelen van betalings- en effectenverkeer

Infrastructuur voor de financiële markt

De bij besluit van De Nederlandsche Bank N.V. aangewezen:

• exploitanten van handelsplatformen als bedoeld in artikel 4, punt 24, van Richtlijn 2014/65/EU;

• centrale tegenpartijen als bedoeld in artikel 2, punt 1, van Verordening (EU) nr. 648/2012

Het aanbieden en afwikkelen van effectenverkeer

Drinkwater

Drinkwaterbedrijf als bedoeld in artikel 1, eerste lid, van de Drinkwaterwet

Het leveren van deugdelijk drinkwater door middel van een openbare drinkwatervoorziening

Digitale infrastructuur

De bij besluit van Onze Minister van Economische Zaken en Klimaat aangewezen aanbieders van internetknooppunten, bedoeld in bijlage II van de NIB-richtlijn

Het faciliteren van het internet- en dataverkeer

De bij besluit van Onze Minister van Economische Zaken en Klimaat aangewezen aanbieders van registers voor topleveldomeinnamen, als bedoeld in bijlage II van de NIB-richtlijn

Het beheren en registreren van domeinnamen onder een topleveldomein

De bij besluit van Onze Minister van Economische Zaken en Klimaat aangewezen aanbieders van DNS-dienstverleners, als bedoeld in bijlage II van de NIB-richtlijn

Het verlenen van DNS-diensten

Artikel 3. (aanwijzing andere vitale aanbieders)

Als andere vitale aanbieders of categorieën van zodanige aanbieders als bedoeld in artikel 5, eerste lid, onder b, van de wet worden aangewezen:

Sector

Andere vitale aanbieder

Dienst

Nucleair

Houder van een vergunning als bedoeld in artikel 15, onderdeel b, van de Kernenergiewet

De bescherming van inrichtingen, waarin kernenergie kan worden vrijgemaakt, splijtstoffen kunnen worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen worden opgeslagen of inrichtingen, waarin kernenergie kon worden vrijgemaakt, splijtstoffen konden worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen werden opgeslagen

Bedrijf vallend onder het Geheimhoudingsbesluit Kernenergiewet, Bedrijf vallend onder het Toepassingsbesluit 24 september 1971/nr.671/524

• De bescherming van inrichtingen, waarin kernenergie kan worden vrijgemaakt, splijtstoffen kunnen worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen worden opgeslagen of inrichtingen, waarin kernenergie kon worden vrijgemaakt, splijtstoffen konden worden vervaardigd, bewerkt of verwerkt, dan wel splijtstoffen werden opgeslagen

• Het waarborgen van de beveiliging en geheimhouding van gegevens, welke noodzakelijk zijn voor het scheiden van verschillende in splijtstof voorkomende uraniumisotopen met gebruikmaking van gasultracentrifuges en het produceren van hulpmiddelen en materialen, welke zijn benodigd voor het scheiden van verschillende in splijtstof voorkomende uraniumisotopen met gebruikmaking van gasultracentrifuges

Keren en Beheren

Onze Minister van Infrastructuur en Waterstaat

De bij besluit van Onze Minister van Infrastructuur en Waterstaat aangewezen waterkeringen of onderdelen daarvan

Financieel

De bij besluit van De Nederlandsche Bank N.V. aangewezen:

 

• afwikkelondernemingen, bedoeld in artikel 1:1 van de Wet op het financieel toezicht

• het verlenen van afwikkeldiensten als bedoeld in artikel 1:1 van de Wet op het financieel toezicht

• centrale effectenbewaarinstelling, bedoeld in artikel 2, eerste lid, van Verordening (EU) nr. 909/2014

• het exploiteren van een effectenafwikkelingssysteem

Elektronische communicatienetwerken en -diensten/ICT

Een aanbieder van een elektronisch communicatienetwerk of een elektronische communicatiedienst die een netwerk of infrastructuur beheert dat of die direct of indirect wordt gebruikt ten behoeve van het verlenen van een telefoon-, sms- of internettoegangsdienst aan minimaal 1.000.000 eindgebruikers

Het verlenen van een telefoon-, sms- of internettoegangsdienst

Digitale overheid

De Kamer van Koophandel, bedoeld in artikel 2 van de Wet op de Kamer van Koophandel

Het handelsregister, bedoeld in artikel 2 van de Handelsregisterwet 2007

Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties

• De centrale voorzieningen, bedoeld in artikel 1.9, derde lid, van de Wet basisregistratie personen

• De voorziening voor uitgifte of activatie van elektronische authenticatiemiddelen en voor elektronische authenticatie die bereikbaar is via het webadres www.digid.nl

De aanbieder van een digitale overheidsvoorziening als bedoeld in de derde kolom

Een digitale overheidsvoorziening, aangewezen bij besluit van Onze Minister die het aangaat

Energie: elektriciteit

De exploitant van oplaadpunten als bedoeld in artikel 2, derde lid, van Richtlijn 2014/94/EU, met een totaal opgesteld laadvermogen van minimaal 300 megawatt (300.000 kilowatt)

Het beheer of de exploitatie van oplaadpunten die een laaddienst leveren aan particuliere of zakelijke eindgebruikers, onder meer namens en voor rekening van een aanbieder van mobiliteitsdiensten

Digitale infrastructuur

Een aanbieder van multi-tenant datacenterdiensten waarvan de datacenters een gezamenlijke stroomcapaciteit hebben van meer dan 50 megawatt

Het verlenen van datacenterdiensten

Artikel 3a. (beveiliging aanbieders van een essentiële dienst)

  • 1 Ter uitvoering van de artikelen 7 en 8 van de wet neemt een aanbieder van een essentiële dienst ten minste de maatregelen, beschreven in de bijlage bij dit besluit.

  • 2 Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister, kunnen nadere regels worden gesteld over de te nemen maatregelen.

Artikel 4. (uitzondering beveiligingseisen financiële instellingen)

De artikelen 7, 8, 9, 26 en 27 van de wetartikel 3a van dit besluit en de bijlage bij dit besluit zijn niet van toepassing op de bij besluit van De Nederlandsche Bank N.V. krachtens artikel 2 aangewezen kredietinstellingen, centrale tegenpartijen en exploitanten van handelsplatformen.

Artikel 5. (beveiliging en meldplicht digitaledienstverlener)

Het is verboden te handelen in strijd met de artikelen 2, 3, en 4, eerste lid, van uitvoeringsverordening (EU) 2018/151 van de Commissie van 30 januari 2018 tot vaststelling van toepassingsbepalingen voor Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad wat betreft de nadere specificatie van de door digitaledienstverleners in aanmerking te nemen elementen voor het beheer van de risico’s in verband met de beveiliging van netwerk- en informatiesystemen en van de parameters om te bepalen of een incident aanzienlijke gevolgen heeft (PbEU 2018, L 26).

Artikel 6. (wijze waarop een incident wordt gemeld)

Artikel 8. (inwerkingtreding)

Dit besluit treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan of voor verschillende categorieën van aanbieders of diensten verschillend kan worden vastgesteld.

Artikel 9. (citeertitel)

Dit besluit wordt aangehaald als: Besluit beveiliging netwerk- en informatiesystemen.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.

Wassenaar, 30 oktober 2018

Willem-Alexander

De Minister van Justitie en Veiligheid,

F.B.J. Grapperhaus

Uitgegeven de achtste november 2018

De Minister van Justitie en Veiligheid,

F.B.J. Grapperhaus

Bijlage bij artikel 3a, eerste lid, van het Besluit beveiliging netwerk- en informatiesystemen

Beveiliging aanbieders van een essentiële dienst

Ter uitvoering van de artikelen 7 en 8 van de wet neemt de aanbieder van een essentiële dienst (hierna: de aanbieder) ten minste de in deze bijlage beschreven maatregelen. De maatregelen worden door de aanbieder periodiek geëvalueerd en bijgesteld.

1. Risicogebaseerde aanpak

De aanbieder heeft een actueel overzicht van de netwerk- en informatiesystemen die zijn essentiële dienst ondersteunen. De aanbieder stelt een risicoanalyse op waarin hij de risico’s met betrekking tot de beveiliging beschrijft en ingaat op de wijze waarop hij de risico’s naar een passend niveau verkleint. Hij motiveert daarbij waarom dit niveau volgens hem proportioneel en aanvaardbaar is. In die motivering gaat hij in ieder geval in op de organisatiespecifieke en sectorspecifieke risico’s, het maatschappelijke belang van zijn essentiële dienst en de stand van de techniek. Hij legt de resultaten van de risicoanalyse schriftelijk vast en verwerkt de resultaten in beveiligings- en beheersmaatregelen.

2. Organisatie van netwerk- en informatiebeveiligingsbeheer

De aanbieder heeft een informatiebeveiligingsbeleid en -strategie en past deze actief toe. Hij heeft de taken, bevoegdheden en verantwoordelijkheden voor de beveiliging en beheer van zijn netwerk- en informatiesystemen in de organisatie belegd.

3. Incidenten voorkomen

De aanbieder heeft een gelaagde beveiligingsstrategie die is gebaseerd op de risico’s die volgen uit de risicoanalyse. Defense in depth, lifecycle-, asset-, patch-, identificatie- en toegangsmanagement vormen in ieder geval onderdeel van deze strategie. Wanneer hij door relevante instanties zoals leveranciers of betrokken overheidsinstanties geattendeerd wordt op beveiligingsadviezen en dreigingsinformatie, beoordeelt hij of op basis daarvan gegeven de stand der techniek aanvullende maatregelen noodzakelijk zijn om geïdentificeerde risico’s te verkleinen naar een passend niveau. De aanbieder legt de bevindingen van zijn beoordeling schriftelijk vast.

4. Detectie en respons

De aanbieder heeft de beveiliging van zijn netwerk- en informatiesystemen zodanig ingericht dat hij daarmee incidenten kan detecteren, analyseren en vastleggen en de gevolgen daarvan zo veel mogelijk kan beperken. Hij monitort netwerk- en informatiesystemen structureel op kwetsbaarheden en mogelijke compromittatie en houdt hierbij rekening met de beschikbare dreigingsinformatie. Hij verzorgt het loggen van de handelingen op de netwerk- en informatiesystemen en bewaart deze gegevens lang genoeg om incidenten te kunnen analyseren. Hij hanteert procedures omtrent het optreden bij incidenten.

5. Gevolgen van incidenten beperken

De aanbieder stelt een bedrijfscontinuïteitsbeleid en crisismanagementbeleid op voor de netwerk- en informatiesystemen. Het crisismanagementbeleid bestaat in ieder geval uit een plan om de essentiële dienst zo spoedig mogelijk te herstellen na een incident. Het crisismanagementbeleid wordt daartoe periodiek in de praktijk beoefend.

  1. Verordening (EG) Nr. 300/2008 van het Europees Parlement en de Raad van 11 maart 2008 inzake gemeenschappelijke regels op het gebied van de beveiliging van de burgerluchtvaart en tot intrekking van Verordening (EG) nr. 2320/2002 (PbEU 2008, L 97). ^ [1]