Uitvoeringswet cyberbeveiligingsverordening

Geraadpleegd op 06-02-2023.
Geldend van 01-05-2022 t/m heden

Wet van 9 februari 2022, houdende regels ter uitvoering van Verordening (EU) 2019/881 (Uitvoeringswet cyberbeveiligingsverordening)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Allen, die deze zullen zien of horen lezen, saluut! doen te weten:

Alzo Wij in overweging genomen hebben, dat het noodzakelijk is Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PbEU 2019, L151) uit te voeren, en dat het wenselijk is de hiervoor noodzakelijke bepalingen vast te stellen;

Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:

Hoofdstuk 1. Algemene bepalingen

Artikel 1. (begripsbepalingen)

In deze wet en de daarop berustende bepalingen wordt verstaan onder:

  • conformiteitsbeoordeling: conformiteitsbeoordeling als bedoeld in artikel 2, onderdeel 17, van de cyberbeveiligingsverordening;

  • conformiteitsbeoordelingsinstantie: conformiteitsbeoordelingsinstantie als bedoeld in artikel 2, onderdeel 18, van de cyberbeveiligingsverordening;

  • cyberbeveiligingsverordening: verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PbEU 2019, L151);

  • EU-conformiteitsverklaringen: EU-conformiteitsverklaring afgegeven met inachtneming van artikel 53 van de cyberbeveiligingsverordening;

  • Europees cyberbeveiligingscertificaat: Europees cyberbeveiligingscertificaat als bedoeld in artikel 2, onderdeel 11, van de cyberbeveiligingsverordening;

  • Europese cyberbeveiligingscertificeringsregeling: Europese cyberbeveiligingscertificeringsregeling als bedoeld in artikel 2, onderdeel 9, van de cyberbeveiligingsverordening, die door de Europese Commissie is vastgesteld op grond van artikel 49, zevende lid, van de cyberbeveiligingsverordening;

  • ICT-dienst: ICT-dienst als bedoeld in artikel 2, onderdeel 13, van de cyberbeveiligingsverordening;

  • ICT-proces: ICT-proces als bedoeld in artikel 2, onderdeel 14, van de cyberbeveiligingsverordening;

  • ICT-product: ICT-product als bedoeld in artikel 2, onderdeel 12, van de cyberbeveiligingsverordening;

  • Onze Minister: Onze Minister van Economische Zaken en Klimaat;

  • zekerheidsniveau hoog: zekerheidsniveau als bedoeld in artikel 2, onderdeel 21, in samenhang met artikel 52, zevende lid, van de cyberbeveiligingsverordening.

Hoofdstuk 2. Nationale cyberbeveiligingscertificeringsautoriteit

Artikel 2. (aanwijzing nationale cyberbeveiligingscertificeringsautoriteit)

  • 1 Onze Minister is de nationale cyberbeveiligingscertificeringsautoriteit, bedoeld in artikel 58, eerste lid, van de cyberbeveiligingsverordening.

  • 2 De Wet open overheid is niet van toepassing op gegevens inzake cyberbeveiligingscertificaten voor zekerheidsniveau hoog die de nationale cyberbeveiligingscertificeringsautoriteit verkrijgt in het kader van de uitvoering van de in artikel 58, zevende lid, onderdelen a en h, van de cyberbeveiligingsverordening aan de nationale cyberbeveiligingscertificeringsautoriteit opgedragen taken, behalve voor zover die gegevens milieu-informatie inhouden als bedoeld in artikel 19.1a van de Wet milieubeheer. De eerste volzin geldt ook als de gegevens bij een ander overheidsorgaan berusten na verstrekking in het kader van deze taken.

Hoofdstuk 3. Cyberbeveiligingscertificering zekerheidsniveau hoog

Artikel 3. (melding)

  • 1 Een conformiteitsbeoordelingsinstantie die voornemens is een conformiteitsbeoordeling van een ICT-product, ICT-dienst of een ICT-proces voor zekerheidsniveau hoog uit te voeren, meldt dit aan Onze Minister bij het aangaan van de certificatieovereenkomst.

  • 2 Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld ter uitvoering van het eerste lid, waaronder regels over:

    • a. de wijze waarop een melding als bedoeld in het eerste lid wordt gedaan;

    • b. de gegevens die ter uitvoering van het eerste lid worden verstrekt.

  • 3 Artikel 2, tweede lid, is van overeenkomstige toepassing op gegevens als bedoeld in het tweede lid, onderdeel b.

Artikel 4. (goedkeuring onderzoeksplan)

  • 1 Een conformiteitsbeoordelingsinstantie die de conformiteitsbeoordeling van een ICT-product, ICT-dienst of een ICT-proces voor zekerheidsniveau hoog uitvoert, stelt een onderzoeksplan op waaruit blijkt op welke wijze wordt getoetst of het ICT-product, de ICT-dienst of het ICT-proces voldoet aan de in een Europese cyberbeveiligingscertificeringsregeling aan dat product, die dienst of dat proces gestelde eisen voor zekerheidsniveau hoog.

  • 2 Het in het eerste lid bedoelde onderzoeksplan behoeft goedkeuring van Onze Minister, behoudens in bij ministeriële regeling bepaalde gevallen.

  • 3 Onze Minister verleent op aanvraag goedkeuring aan het onderzoeksplan indien het in overeenstemming is met de in de cyberbeveiligingsverordening en in de desbetreffende Europese cyberbeveiligingscertificeringsregeling gestelde eisen voor zekerheidsniveau hoog.

  • 4 Onze Minister beslist binnen acht weken na ontvangst van de aanvraag. Deze termijn kan eenmaal met ten hoogste zes weken worden verlengd.

  • 5 Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld ter uitvoering van het derde lid.

  • 6 Artikel 2, tweede lid, is van overeenkomstige toepassing op gegevens verstrekt in het kader van de in het derde lid bedoelde aanvraag.

Artikel 5. (goedkeuring onderzoeksrapport en het bijbehorende Europese cyberbeveiligingscertificaat)

  • 1 Een conformiteitsbeoordelingsinstantie die op grond van artikel 4, derde lid, goedkeuring van het onderzoeksplan heeft verkregen, voert certificering overeenkomstig het onderzoeksplan uit.

  • 2 Een conformiteitsbeoordelingsinstantie stelt een onderzoeksrapport op waaruit volgt dat het ICT-product, de ICT-dienst of het ICT-proces voldoet aan de in een Europese cyberbeveiligingscertificeringsregeling aan dat product, die dienst of dat proces op zekerheidsniveau hoog gestelde eisen voor zekerheidsniveau hoog.

  • 3 Het in het tweede lid bedoelde onderzoeksrapport alsmede het bijbehorende Europese cyberbeveiligingscertificaat behoeft goedkeuring van Onze Minister.

  • 4 Onze Minister verleent op aanvraag de in het derde lid bedoelde goedkeuring indien het onderzoeksrapport en het bijbehorende Europese cyberbeveiligingscertificaat in overeenstemming zijn met de in de cyberbeveiligingsverordening en in de desbetreffende Europese cyberbeveiligingscertificeringsregeling gestelde eisen voor zekerheidsniveau hoog.

  • 5 Onze Minister beslist binnen acht weken na ontvangst van de aanvraag. Deze termijn kan eenmaal met ten hoogste zes weken worden verlengd.

  • 6 Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld ter uitvoering van het vierde lid.

  • 7 Artikel 2, tweede lid, is van overeenkomstige toepassing op gegevens verstrekt in het kader van de in het vierde lid bedoelde aanvraag.

Artikel 6. (verlening Europees cyberbeveiligingscertificaat voor zekerheidsniveau «hoog»)

Een conformiteitsbeoordelingsinstantie geeft een Europees cyberbeveiligingscertificaat voor zekerheidsniveau hoog niet eerder af dan nadat Onze Minister de in artikel 5, vierde lid, bedoelde goedkeuring heeft verleend.

Artikel 7. (nadere regels uitvoering cyberbeveiligingsverordening en uitvoeringshandelingen)

Onze Minister kan bij ministeriële regeling regels stellen indien en voor zover dat nodig is voor een goede uitvoering van de cyberbeveiligingsverordening, de Europese cyberbeveiligingscertificeringsregelingen en de door de Europese Commissie op grond van artikel 61, vijfde lid, van de cyberbeveiligingsverordening vastgestelde uitvoeringshandelingen.

Hoofdstuk 4. Handhaving

Artikel 8. (verboden)

Het is verboden in strijd te handelen met bij ministeriële regeling aangewezen voorschriften van de cyberbeveiligingsverordening en de Europese cyberbeveiligingscertificeringsregelingen.

Artikel 9. (aanwijzing toezichthouders)

  • 1 Met het toezicht op de naleving van het bepaalde bij of krachtens deze wet zijn belast de bij besluit van Onze Minister aangewezen personen.

  • 2 Van een besluit als bedoeld in het eerste lid wordt mededeling gedaan door plaatsing in de Staatscourant.

Artikel 10. (bindende aanwijzing)

Onze Minister kan degene die niet voldoet aan het bepaalde bij of krachtens deze wet door middel van het geven van een aanwijzing verplichten om binnen een daarbij gestelde redelijke termijn de daarbij omschreven maatregelen te nemen.

Artikel 11. (intrekking goedkeuring Europese cyberbeveiligingscertificaten voor zekerheidsniveau hoog)

Onze Minister kan de in artikel 5, derde lid, bedoelde goedkeuring intrekken indien het cyberbeveiligingscertificaat niet voldoet aan de cyberbeveiligingsverordening of een Europese cyberbeveiligingscertificeringsregeling.

Artikel 12. (last onder bestuursdwang)

Onze Minister is bevoegd tot oplegging van een last onder bestuursdwang ter handhaving van het bepaalde bij of krachtens deze wet en artikel 5:20, eerste lid, van de Algemene wet bestuursrecht.

Artikel 13. (bestuurlijke boete)

  • 2 De boete bedraagt ten hoogste € 900.000 per overtreding.

Artikel 14. (vergoedingen)

  • 1 De kosten samenhangend met de werkzaamheden of diensten die Onze Minister verricht ingevolge het bepaalde bij of krachtens deze wet, de cyberbeveiligingsverordening of de Europese cyberbeveiligingscertificeringsregelingen kunnen door Onze Minister ten laste worden gebracht van degene ten behoeve van wie deze werkzaamheden worden verricht. Bij of krachtens algemene maatregel van bestuur worden hierover regels gesteld.

  • 2 Bij het vaststellen van de vergoeding kunnen mede worden betrokken kosten, verband houdend met het toezicht op de naleving van het bepaalde bij of krachtens deze wet of van de cyberbeveiligingsverordening ten aanzien van de desbetreffende werkzaamheden of diensten.

Hoofdstuk 5. Slotbepalingen

Artikel 15. (mededeling bindende EU-rechtshandelingen)

Onze Minister doet in de Staatscourant mededeling van de titel, de vindplaats en de datum van inwerkingtreding van de Europese cyberbeveiligingscertificeringsregelingen, alsmede van wijzigingen daarvan.

Artikel 18. (inwerkingtreding)

De artikelen van deze wet treden in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.

Artikel 19. (citeertitel)

Deze wet wordt aangehaald als: Uitvoeringswet cyberbeveiligingsverordening.

Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en dat alle ministeries, autoriteiten, colleges en ambtenaren die zulks aangaat, aan de nauwkeurige uitvoering de hand zullen houden.

Gegeven te

’s-Gravenhage, 9 februari 2022

Willem-Alexander

De Minister van Economische Zaken en Klimaat,

M.A.M. Adriaansens

Uitgegeven de vijfentwintigste februari 2022

De Minister van Justitie en Veiligheid,

D. Yeşilgöz-Zegerius

Naar boven