Wet van 25 juli 2017, houdende regels over het verwerken van gegevens ter bevordering van de veiligheid en de integriteit van elektronische informatiesystemen die van vitaal belang zijn voor de Nederlandse samenleving en regels over het melden van ernstige inbreuken (Wet gegevensverwerking en meldplicht cybersecurity)

Artikel 1 In deze wet en de daarop gebaseerde bepalingen wordt verstaan onder: – aanbieder: overheidsorganisatie of privaatrechtelijke rechtspersoon die een product of dienst exploiteert, beheert of beschikbaar stelt; – vitale aanbieder: aanbieder van een product of dienst waarvan de beschikbaarheid en betrouwbaarheid van vitaal belang zijn voor de Nederlandse samenleving; – informatiesysteem: geheel of gedeeltelijk met elektronische middelen bestuurd systeem waarvan een product of dienst afhankelijk is; – Onze Minister: Onze Minister van Veiligheid en Justitie; – persoonsgegevens, verwerking van persoonsgegevens, verantwoordelijke: artikel 1 van de Wet bescherming persoonsgegevens onderscheidenlijkhetgeen daaronder wordt verstaan in. 2017 316 03-08-2017 25-07-2017 34388 2017 347 28-09-2017 20-09-2017 01-10-2017

Artikel 2 1 Onze Minister heeft, ter voorkoming of beperking van het uitvallen van de beschikbaarheid of het verlies van integriteit van informatiesystemen van vitale aanbieders, en van andere aanbieders die onderdeel zijn van de rijksoverheid, en ter verdere versterking van de digitale weerbaarheid van de Nederlandse samenleving, de volgende taken: a. het bijstaan van deze aanbieders bij het treffen van maatregelen om de beschikbaarheid en betrouwbaarheid van hun producten of diensten te waarborgen of te herstellen; b. het informeren en adviseren van deze aanbieders en anderen in en buiten Nederland over dreigingen en incidenten met betrekking tot de in de aanhef bedoelde informatiesystemen; c. het verrichten van analyses en technisch onderzoek ten behoeve van de onder a en b genoemde taken, naar aanleiding van de onder b bedoelde dreigingen en incidenten of aanwijzingen daarvoor, niet zijnde onderzoek naar personen of organisaties die voor die dreigingen of incidenten verantwoordelijk zijn of die daar anderszins aan bijdragen of hebben bijgedragen. 2 Voorts heeft Onze Minister, ter voorkoming van nadelige maatschappelijke gevolgen, tot taak: het verstrekken van ingevolge het eerste lid, onderdeel c, verkregen gegevens over dreigingen en incidenten met betrekking tot andere informatiesystemen dan bedoeld in de aanhef van het eerste lid aan: a. organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek daarover te informeren; b. computercrisisteams, aangewezen bij regeling van Onze Minister of behorend tot een bij die regeling aangewezen categorie; c. aanbieders van internettoegangs- en internetcommunicatiediensten ten behoeve van het informeren van gebruikers van die diensten. 2017 316 03-08-2017 25-07-2017 34388 2017 347 28-09-2017 20-09-2017 01-10-2017

Artikel 3 artikel 2 Ten behoeve van de ingenoemde doeleinden en taken worden gegevens verwerkt, waaronder persoonsgegevens. Onze Minister is verantwoordelijke voor deze verwerking. 2017 316 03-08-2017 25-07-2017 34388 2017 347 28-09-2017 20-09-2017 01-10-2017

Artikel 4 1 artikel 2, eerste lid Onze Minister kan een rechtspersoon of een orgaan daarvan verzoeken om gegevens te verstrekken die noodzakelijk zijn voor de vervulling van de in, genoemde taken. 2 Artikel 9, eerste lid, van de Wet bescherming persoonsgegevens is niet van toepassing op het verstrekken van persoonsgegevens aan Onze Minister ingevolge een verzoek als bedoeld in het eerste lid. 2017 316 03-08-2017 25-07-2017 34388 2017 347 28-09-2017 20-09-2017 01-10-2017

Artikel 5 artikelen 6 tot en met 8 Dezijn slechts van toepassing op vitale aanbieders die zijn aangewezen bij algemene maatregel van bestuur of behoren tot een daarbij omschreven categorie, voor wat betreft de producten of diensten die bij die maatregel zijn aangewezen of behoren tot een daarbij omschreven categorie. 2017 316 03-08-2017 25-07-2017 34388 2017 477 14-12-2017 04-12-2017 01-01-2018

Artikel 6 1 De vitale aanbieder geeft Onze Minister onverwijld kennis van een inbreuk op de veiligheid of een verlies van integriteit van zijn informatiesysteem waardoor de beschikbaarheid of betrouwbaarheid van een product of dienst in belangrijke mate wordt of kan worden onderbroken. 2 De kennisgeving omvat in ieder geval: a. de aard en omvang van de inbreuk of het verlies; b. het vermoedelijke tijdstip van de aanvang van de inbreuk of het verlies; c. de mogelijke gevolgen van de inbreuk of het verlies; d. een prognose van de hersteltijd; e. zo mogelijk, de door de vitale aanbieder genomen of te nemen maatregelen om de gevolgen van de inbreuk of het verlies te beperken of herhaling hiervan te voorkomen; f. de contactgegevens van de functionaris die verantwoordelijk is voor het doen van de kennisgeving. 2017 316 03-08-2017 25-07-2017 34388 2017 477 14-12-2017 04-12-2017 01-01-2018

Artikel 7 artikel 6 Desgevraagd verstrekt de vitale aanbieder die een kennisgeving als bedoeld inheeft gedaan, Onze Minister onverwijld alle overige gegevens die noodzakelijk zijn om: a. de vitale aanbieder bij te staan bij het treffen van maatregelen om de beschikbaarheid en betrouwbaarheid van het product of de dienst te waarborgen of te herstellen; b. artikel 2, eerste lid de risico’s in te schatten voor de informatiesystemen, bedoeld in, aanhef. 2017 316 03-08-2017 25-07-2017 34388 2017 477 14-12-2017 04-12-2017 01-01-2018

Artikel 8 artikelen 6 7 Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld over deen, waaronder regels over: a. artikel 6 de gegevens die ter uitvoering vanworden verstrekt; b. artikel 6 artikel 7 de wijze waarop een kennisgeving als bedoeld inwordt gedaan en waarop gegevens als bedoeld inworden verstrekt. 2017 316 03-08-2017 25-07-2017 34388 2017 477 14-12-2017 04-12-2017 01-01-2018

Artikel 9 1 artikel 2 Ter uitvoering van de ingenoemde taken verstrekt Onze Minister geen vertrouwelijke gegevens met betrekking tot een aanbieder indien: a. de geheimhouding van die gegevens onvoldoende is gewaarborgd, of b. onvoldoende is gewaarborgd dat zij uitsluitend worden gebruikt voor het doel waarvoor zij worden verstrekt. 2 artikel 2 Ter uitvoering van de ingenoemde taken kan Onze Minister vertrouwelijke gegevens die herleid kunnen worden tot een aanbieder, zonder diens instemming uitsluitend verstrekken voor zover dat dienstig is voor het bevorderen van maatregelen ter voorkoming of beperking van een verstoring van het maatschappelijk verkeer. Ingevolge de eerste volzin worden uitsluitend gegevens verstrekt aan: a. computercrisisteams, aangewezen bij regeling van Onze Minister of behorend tot een bij die regeling aangewezen categorie; b. Wet op de inlichtingen- en veiligheidsdiensten 2017 de inlichtingen- en veiligheidsdiensten, bedoeld in de. 3 Indien een vitale aanbieder, of een andere aanbieder die onderdeel is van de rijksoverheid, onvoldoende gevolg geeft aan een door Onze Minister gegeven advies, kan Onze Minister in het advies opgenomen gegevens als bedoeld in het tweede lid verstrekken aan Onze betrokken Minister. 4 Voor zover dat noodzakelijk is om ernstige maatschappelijke gevolgen te voorkomen of te beperken: a. verstrekt Onze Minister onverwijld gegevens als bedoeld in het tweede lid aan Onze betrokken Minister; b. kan Onze Minister, na raadpleging van de betrokken aanbieder, gegevens als bedoeld in het tweede lid verstrekken aan andere organisaties of over die gegevens mededelingen doen aan het publiek. 5 Het eerste lid geldt niet voor de in het vierde lid, onder b, bedoelde mededelingen aan het publiek. 6 Wet openbaarheid van bestuur artikel 19.1a van de Wet milieubeheer Deis niet van toepassing op gegevens als bedoeld in het tweede lid, behalve voor zover die gegevens milieu-informatie inhouden als bedoeld in. 2017 317 17-08-2017 26-07-2017 34588 2018 119 26-04-2018 18-04-2018 01-05-2018

Artikel 10 De artikelen van deze wet treden in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld. 2017 316 03-08-2017 25-07-2017 34388 2017 347 28-09-2017 20-09-2017 01-10-2017

Artikel 11 Deze wet wordt aangehaald als: Wet gegevensverwerking en meldplicht cybersecurity. 2017 316 03-08-2017 25-07-2017 34388 2017 347 28-09-2017 20-09-2017 01-10-2017