Wet van 17 oktober 2018, houdende regels ter implementatie van richtlijn (EU) 2016/1148 (Wet beveiliging netwerk- en informatiesystemen)

Artikel 1 (begripsbepalingen) In deze wet en de daarop berustende bepalingen wordt verstaan onder: – aanbieder: overheidsorganisatie of privaatrechtelijke rechtspersoon die een dienst exploiteert, beheert of beschikbaar stelt; – aanbieder van een essentiële dienst: artikel 5, eerste lid, onder a aanbieder van een essentiële dienst als bedoeld in artikel 4 van de NIB-richtlijn, aangewezen op grond van; – beveiliging van netwerk- en informatiesystemen, digitale dienst, incident, netwerk- en informatiesysteem, norm, onderscheidenlijk afbreekrisico: hetgeen daaronder wordt verstaan in artikel 4 van de NIB-richtlijn; – bevoegde autoriteit: artikel 4 bevoegde autoriteit, genoemd in; – centraal contactpunt: centraal contactpunt als bedoeld in artikel 8, derde lid, van de NIB-richtlijn; – CSIRT: Computer security incident response team als bedoeld in artikel 9 van de NIB-richtlijn; – CSIRT voor digitale diensten: artikel 4, tweede lid, onder b CSIRT, aangewezen op grond van; – digitaledienstverlener: rechtspersoon die een digitale dienst aanbiedt en gelet op artikel 18, eerste en tweede lid, van de NIB-richtlijn onder de jurisdictie van Nederland valt, met uitzondering van kleine en micro-ondernemingen als bedoeld in artikel 16, elfde lid, van de NIB-richtlijn; – NIB-richtlijn: richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194); – Onze Minister: Onze Minister van Justitie en Veiligheid; – vitale aanbieder: a. aanbieder van een essentiële dienst; b. aanbieder van een andere dienst waarvan de continuïteit van vitaal belang is voor de Nederlandse samenleving. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 2 (centraal contactpunt; CSIRT voor essentiële diensten; instantie voor vrijwillige meldingen) Onze Minister is: a. het centrale contactpunt; b. voor aanbieders van een essentiële dienst: het CSIRT; c. artikel 16 de instantie voor de behandeling van vrijwillige meldingen als bedoeld in. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 3 (taken van Onze Minister) 1 Onze Minister heeft, ter voorkoming of beperking van het uitvallen van de beschikbaarheid of het verlies van integriteit van netwerk- en informatiesystemen van vitale aanbieders, en van andere aanbieders die onderdeel zijn van de rijksoverheid, ter verdere versterking van de digitale weerbaarheid van de Nederlandse samenleving en ter uitvoering van de NIB-richtlijn, de volgende taken: a. de taken van het centrale contactpunt; b. voor aanbieders van een essentiële dienst: de in bijlage I, onder 2, van de NIB-richtlijn genoemde taken van het CSIRT; c. het bijstaan van de in de aanhef bedoelde aanbieders bij het treffen van maatregelen om de continuïteit van hun diensten te waarborgen of te herstellen; d. het informeren en adviseren van deze aanbieders en anderen in en buiten Nederland over dreigingen en incidenten met betrekking tot de in de aanhef bedoelde netwerk- en informatiesystemen; e. het verrichten van analyses en technisch onderzoek ten behoeve van de onder b, c en d genoemde taken, naar aanleiding van de onder d bedoelde dreigingen en incidenten of aanwijzingen daarvoor, niet zijnde onderzoek naar personen of organisaties die voor die dreigingen of incidenten verantwoordelijk zijn of die daar anderszins aan bijdragen of hebben bijgedragen. 2 Voorts heeft Onze Minister, ter voorkoming van nadelige maatschappelijke gevolgen in en buiten Nederland, tot taak: het verstrekken van ingevolge het eerste lid, onder e, verkregen gegevens over dreigingen en incidenten met betrekking tot andere netwerk- en informatiesystemen dan bedoeld in de aanhef van het eerste lid aan: a. organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek daarover te informeren, aangewezen bij regeling van Onze Minister of behorend tot een bij die regeling aangewezen categorie; b. CSIRT’s; c. andere computercrisisteams, aangewezen bij regeling van Onze Minister of behorend tot een bij die regeling aangewezen categorie; d. aanbieders van internettoegangs- en internetcommunicatiediensten ten behoeve van het informeren van gebruikers van die diensten; e. artikel 2, eerste lid, van de Wet bevordering digitale weerbaarheid bedrijven Onze Minister van Economische Zaken en Klimaat, ten behoeve van de uitvoering van de taken, bedoeld in; f. aanbieders, niet zijnde een vitale aanbieder of een andere aanbieder die onderdeel is van de rijksoverheid, indien een dreiging of incident aanzienlijke gevolgen heeft of kan hebben voor de continuïteit van hun dienstverlening en voor de verstrekking van gegevens een onder a tot en met c of e bedoelde organisatie ontbreekt. 3 artikel 16 Voorts heeft Onze Minister tot taak: de behandeling van vrijwillige meldingen als bedoeld in. 2024 236 13-08-2024 17-07-2024 36270 2024 252 12-09-2024 09-09-2024 01-10-2024

Artikel 4 (bevoegde autoriteit; CSIRT voor digitale diensten) 1 De bevoegde autoriteit, bedoeld in artikel 8, eerste lid, van de NIB-richtlijn, is voor de sectoren, genoemd in bijlage II van die richtlijn: Bevoegde autoriteit Sector Onze Minister van Economische Zaken en Klimaat energie digitale infrastructuur De Nederlandsche Bank N.V. bankwezen infrastructuur voor de financiële markt Onze Minister van Infrastructuur en Waterstaat vervoer levering en distributie van drinkwater Onze Minister voor Medische Zorg gezondheidszorg 2 Voor de digitale diensten, genoemd in bijlage III van de NIB-richtlijn, is: a. de bevoegde autoriteit, bedoeld in artikel 8, eerste lid, van de NIB-richtlijn: Onze Minister van Economische Zaken en Klimaat; b. het CSIRT: de bij koninklijk besluit aangewezen instantie. 3 De bevoegde autoriteit heeft voor wat betreft de aanbieders van een essentiële dienst in de betrokken sector of sectoren, onderscheidenlijk voor de digitaledienstverleners, tot taak zorg te dragen voor de bestuursrechtelijke handhaving van het bepaalde bij of krachtens deze wet. 4 Het CSIRT voor digitale diensten heeft voor wat betreft digitaledienstverleners de in bijlage I, onder 2, van de NIB-richtlijn genoemde taken. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 01-01-2019

Artikel 5 (aanwijzing van vitale aanbieders) 1 Bij algemene maatregel van bestuur of bij besluit van een bij die maatregel genoemd bestuursorgaan worden aangewezen: a. aanbieders van een essentiële dienst of categorieën van zodanige aanbieders; b. andere vitale aanbieders of categorieën van zodanige aanbieders. 2 Bij de toepassing van het eerste lid, onder a, worden de artikelen 5 en 6 van de NIB-richtlijn en bijlage II van die richtlijn in acht genomen. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 6 (voorrang voor sectorspecifieke EU-regels) Voor zover artikel 1, zevende lid, van de NIB-richtlijn van toepassing is, kan bij algemene maatregel van bestuur worden bepaald dat daarbij aangewezen, bij of krachtens deze wet gestelde voorschriften niet gelden voor daarbij aangewezen categorieën van aanbieders van essentiële diensten of digitaledienstverleners. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 7 (risico’s beheersen) 1 De aanbieder van een essentiële dienst en de digitaledienstverlener nemen passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. De maatregelen zorgen, gezien de stand van de techniek, voor een niveau van beveiliging dat is afgestemd op de risico's die zich voordoen. 2 De in het eerste lid bedoelde maatregelen van de digitaledienstverlener houden in elk geval rekening met de volgende aspecten: a. de beveiliging van systemen en voorzieningen; b. behandeling van incidenten; c. het beheer van de bedrijfscontinuïteit; d. toezicht, controle en testen; e. inachtneming van de internationale normen. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 8 (incidenten voorkomen en gevolgen van incidenten beperken) De aanbieder van een essentiële dienst en de digitaledienstverlener nemen passende maatregelen om incidenten die de beveiliging van de voor de verlening van de betrokken dienst gebruikte netwerk- en informatiesystemen aantasten, te voorkomen en de gevolgen van dergelijke incidenten zo veel mogelijk te beperken, teneinde de continuïteit van die dienst te waarborgen. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 9 (nadere regels) artikelen 7 8 Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gegeven over de maatregelen, bedoeld in deen. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 10 (aangewezen vitale aanbieder) 1 artikel 5, eerste lid, onder a of b De vitale aanbieder, aangewezen op grond van, meldt onverwijld bij Onze Minister: a. een incident met aanzienlijke gevolgen voor de continuïteit van de door hem verleende dienst; b. een inbreuk op de beveiliging van netwerk- en informatiesystemen die aanzienlijke gevolgen kan hebben voor de continuïteit van de door hem verleende dienst. 2 De aanbieder van een essentiële dienst meldt een incident als bedoeld in het eerste lid, onder a, ook onverwijld bij de bevoegde autoriteit. 3 artikel 13 Onverminderdmeldt de aanbieder van een essentiële dienst een incident bij een digitaledienstverlener onverwijld bij Onze Minister en bij de bevoegde autoriteit, als dat incident aanzienlijke gevolgen heeft voor de continuïteit van zijn essentiële dienst. 4 Om te bepalen of een incident aanzienlijke gevolgen heeft voor de continuïteit van de essentiële dienst, worden in elk geval in aanmerking genomen: a. het aantal gebruikers dat door de verstoring van de dienst wordt getroffen; b. de duur van het incident; c. de omvang van het geografische gebied dat door het incident is getroffen. 5 artikel 1 In afwijking vanwordt in het derde lid onder digitaledienstverlener tevens de digitaledienstverlener verstaan die niet valt onder de jurisdictie van Nederland. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 11 (bij de melding te verstrekken gegevens) artikel 10 De inbedoelde melding omvat in ieder geval: a. de aard en omvang van het incident; b. het vermoedelijke tijdstip van de aanvang van het incident; c. de mogelijke gevolgen in en buiten Nederland van het incident; d. een prognose van de hersteltijd; e. zo mogelijk, de door de aanbieder genomen of te nemen maatregelen om de gevolgen van het incident te beperken of herhaling hiervan te voorkomen; f. de contactgegevens van de functionaris die verantwoordelijk is voor het doen van de melding. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 12 (verstrekking nadere gegevens door aangewezen vitale aanbieder) 1 artikel 10, eerste of derde lid Desgevraagd verstrekt de aanbieder die een melding als bedoeld in, bij Onze Minister heeft gedaan, Onze Minister onverwijld alle overige gegevens die noodzakelijk zijn om: a. de aanbieder bij te staan bij het treffen van maatregelen om de continuïteit van zijn diensten te waarborgen of te herstellen; b. artikel 3, eerste lid, aanhef de risico’s in te schatten voor de netwerk- en informatiesystemen, bedoeld in. 2 Het eerste lid is van overeenkomstige toepassing als de aanbieder een incident heeft gemeld bij de bevoegde autoriteit en deze de door haar ontvangen gegevens heeft verstrekt aan Onze Minister. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 13 (digitaledienstverlener) 1 Een digitaledienstverlener meldt een incident met aanzienlijke gevolgen voor de verlening van de door hem verleende dienst in de Europese Unie onverwijld bij: a. het CSIRT voor digitale diensten, en b. de bevoegde autoriteit. 2 Om te bepalen of een incident aanzienlijke gevolgen heeft als bedoeld in het eerste lid, worden in elk geval in aanmerking genomen: a. het aantal gebruikers dat door de verstoring van de dienst wordt getroffen; b. de duur van het incident; c. de omvang van het geografische gebied dat door het incident is getroffen. d. de omvang van de verstoring van de werking van de dienst; e. de omvang van de gevolgen voor de economische en maatschappelijke activiteiten. 3 Het eerste lid geldt alleen als de digitaledienstverlener toegang heeft tot de informatie die nodig is om te beoordelen of het incident aanzienlijke gevolgen heeft als bedoeld in dat lid. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 01-01-2019

Artikel 14 (verstrekking nadere gegevens door digitaledienstverleners) 1 artikel 13, eerste lid, onder a Desgevraagd verstrekt de digitaledienstverlener die een melding als bedoeld in, bij het CSIRT voor digitale diensten heeft gedaan, het CSIRT voor digitale diensten onverwijld alle overige gegevens die noodzakelijk zijn om: a. de digitaledienstverlener bij te staan bij het treffen van maatregelen om de continuïteit van zijn diensten te waarborgen of te herstellen; b. de risico’s in te schatten voor de netwerk- en informatiesystemen van andere digitaledienstverleners. 2 Het eerste lid is van overeenkomstige toepassing als de digitaledienstverlener een incident heeft gemeld bij de bevoegde autoriteit en zij de door haar ontvangen gegevens heeft verstrekt aan het CSIRT voor digitale diensten. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 01-01-2019

Artikel 15 (nadere regels meldplicht) artikelen 10 tot en met 13 Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gegeven over de, waaronder regels over: a. artikelen 10 11 13 de gegevens die ter uitvoering van de,enworden verstrekt; b. artikel 10 13 artikel 12 de wijze waarop een melding als bedoeld inofwordt gedaan en waarop gegevens als bedoeld inworden verstrekt. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 16 (vrijwillige melding van incidenten) 1 paragraaf 3 Als een incident aanzienlijke gevolgen heeft voor de continuïteit van een dienst maar niet valt onder de meldplicht van, kan de betrokken dienstverlener dat incident melden bij Onze Minister. 2 Onze Minister neemt de melding niet in behandeling als dat hem onevenredig of overmatig zou belasten. 3 Onze Minister kan de melding ter behandeling doorsturen naar: a. een ander CSIRT; b. een ander computercrisisteam, aangewezen bij regeling van Onze Minister of behorend tot een bij die regeling aangewezen categorie. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 17 (verwerking van gegevens door Onze Minister en andere instanties) 1 artikel 3 Onze Minister verwerkt gegevens, waaronder persoonsgegevens, ten behoeve van de ingenoemde doeleinden en taken. Hij is verwerkingsverantwoordelijke. 2 artikel 4, derde lid De bevoegde autoriteit verwerkt gegevens, waaronder persoonsgegevens, ten behoeve van de in, genoemde taak. Zij is verwerkingsverantwoordelijke. 3 Het CSIRT voor digitale diensten verwerkt gegevens, waaronder persoonsgegevens, ten behoeve van de taken, genoemd in bijlage I van de NIB-richtlijn. Het is verwerkingsverantwoordelijke. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 01-01-2019

Artikel 18 (verstrekking gegevens aan Onze Minister) 1 artikel 3, eerste lid, onder b tot en met e Onze Minister kan een rechtspersoon of een orgaan daarvan verzoeken om gegevens te verstrekken die noodzakelijk zijn voor de vervulling van de in, genoemde taken. 2 De rechtspersoon of het orgaan kan op grond van het eerste lid gevraagde persoonsgegevens ook aan Onze Minister verstrekken als die verstrekking onverenigbaar is met de doeleinden waarvoor de persoonsgegevens zijn verzameld. 2020 245 14-07-2020 08-07-2020 35497 2020 245 14-07-2020 08-07-2020 35497 01-08-2021 2021 161 31-03-2021 24-03-2021 2020 480 30-11-2020 26-11-2020 2021 237 31-05-2021 27-05-2021 2021 35 29-01-2021 27-01-2021 Inwerkingtreding voorheen door Stb. 2020/245 gesteld op 1 december 2020. Inwerkingtreding voorheen door Stb. 2020/480 gesteld op 1 februari 2021. Inwerkingtreding voorheen door Stb. 2021/35 gesteld op 1 april 2021. Inwerkingtreding voorheen door Stb. 2021/161 gesteld op 1 juni 2021.

Artikel 19 (verstrekking incidentinformatie aan en door centrale contactpunten) 1 artikel 13, eerste lid Ter uitvoering van artikel 10, derde lid, eerste volzin, van de NIB-richtlijn stelt het CSIRT voor digitale diensten Onze Minister op de hoogte van gedane meldingen als bedoeld in. 2 artikel 10, eerste lid, onder a, of derde lid artikel 16, eerste lid Als blijkt uit een melding door een aanbieder van een essentiële dienst van een incident als bedoeld in, of, dat het incident aanzienlijke gevolgen heeft voor de continuïteit van een essentiële dienst in een andere lidstaat van de Europese Unie, stelt Onze Minister het centrale contactpunt van die lidstaat daarvan op de hoogte. 3 Op verzoek van de bevoegde autoriteit of uit eigen beweging stuurt Onze Minister de in het tweede lid bedoelde melding door naar het centrale contactpunt van de andere getroffen lidstaat. 4 artikel 13, eerste lid Als dat passend is en in elk geval als twee of meer lidstaten getroffen zijn, stelt Onze Minister het centrale contactpunt van de getroffen lidstaten op de hoogte van een bij het CSIRT voor digitale diensten gemeld incident als bedoeld in. 5 Als blijkt uit gegevens die Onze Minister heeft ontvangen van een centraal contactpunt in een andere lidstaat dat een daar gemeld incident aanzienlijke gevolgen heeft voor de continuïteit van: a. een essentiële dienst in Nederland: stelt Onze Minister de bevoegde autoriteit daarvan op de hoogte; b. een digitale dienst in Nederland: stelt Onze Minister het CSIRT voor digitale diensten en de bevoegde autoriteit daarvan op de hoogte. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 01-01-2019

Artikel 20 (verstrekking van vertrouwelijke gegevens door Onze Minister) 1 artikel 3 Ter uitvoering van de ingenoemde taken verstrekt Onze Minister geen vertrouwelijke gegevens met betrekking tot een aanbieder als: a. de geheimhouding van die gegevens onvoldoende is gewaarborgd, of b. onvoldoende is gewaarborgd dat zij uitsluitend worden gebruikt voor het doel waarvoor zij worden verstrekt. 2 artikel 3 Ter uitvoering van de ingenoemde taken kan Onze Minister vertrouwelijke gegevens die herleid kunnen worden tot een aanbieder, zonder diens instemming uitsluitend verstrekken voor zover dat dienstig is aan het bevorderen van maatregelen ter voorkoming of beperking van een verstoring van het maatschappelijk verkeer. Ingevolge de eerste volzin worden uitsluitend gegevens verstrekt aan: a. organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen, aangewezen bij regeling van Onze Minister of behorend tot een bij die regeling aangewezen categorie; b. CSIRT’s; c. andere computercrisisteams, aangewezen bij regeling van Onze Minister of behorend tot een bij die regeling aangewezen categorie; d. Wet op de inlichtingen- en veiligheidsdiensten 2017 de inlichtingen- en veiligheidsdiensten, bedoeld in de; e. artikel 2, eerste lid, van de Wet bevordering digitale weerbaarheid bedrijven Onze Minister van Economische Zaken en Klimaat, ten behoeve van de uitvoering van de taken, bedoeld in. 3 Als een vitale aanbieder, of een andere aanbieder die onderdeel is van de rijksoverheid, onvoldoende gevolg geeft aan een door Onze Minister gegeven advies, kan Onze Minister in het advies opgenomen gegevens als bedoeld in het tweede lid verstrekken aan de bevoegde autoriteit of Onze betrokken Minister. 4 Voor zover dat noodzakelijk is om ernstige maatschappelijke gevolgen te voorkomen of te beperken: a. verstrekt Onze Minister onverwijld gegevens als bedoeld in het tweede lid aan de bevoegde autoriteit of Onze betrokken Minister; b. kan Onze Minister, na raadpleging van de betrokken aanbieder, gegevens als bedoeld in het tweede lid verstrekken aan andere organisaties of over die gegevens mededelingen doen aan het publiek. 5 Het eerste lid geldt niet voor de in het vierde lid, onder b, bedoelde mededelingen aan het publiek. 6 artikel 19, tweede tot en met vijfde lid Het tweede lid geldt niet voor zover dat nodig is ter uitvoering van. 7 Wet open overheid artikel 19.1a van de Wet milieubeheer Deis niet van toepassing op gegevens als bedoeld in het tweede lid, behalve voor zover die gegevens milieu-informatie inhouden als bedoeld in. De eerste volzin geldt ook als de gegevens bij een ander overheidsorgaan berusten na verstrekking op grond van dit artikel. 2024 236 13-08-2024 17-07-2024 36270 2024 252 12-09-2024 09-09-2024 01-10-2024

Artikel 21 (verstrekking van vertrouwelijke gegevens door het CSIRT voor digitale diensten) 1 Ter uitvoering van de in bijlage I, onder 2, van de NIB-richtlijn genoemde taken verstrekt het CSIRT voor digitale diensten geen vertrouwelijke gegevens met betrekking tot een digitaledienstverlener als: a. de geheimhouding van die gegevens onvoldoende is gewaarborgd, of b. onvoldoende is gewaarborgd dat zij uitsluitend worden gebruikt voor het doel waarvoor zij worden verstrekt. 2 Ter uitvoering van de in bijlage I, onder 2, van de NIB-richtlijn genoemde taken kan het CSIRT voor digitale diensten vertrouwelijke gegevens die herleid kunnen worden tot een digitaledienstverlener, zonder diens instemming uitsluitend verstrekken voor zover dat dienstig is aan het bevorderen van maatregelen ter voorkoming of beperking van een verstoring van het maatschappelijk verkeer. Ingevolge de eerste volzin worden uitsluitend gegevens verstrekt aan: a. CSIRT’s; b. andere computercrisisteams, aangewezen bij regeling van Onze Minister of behorend tot een bij die regeling aangewezen categorie; c. Wet op de inlichtingen- en veiligheidsdiensten 2017 de inlichtingen- en veiligheidsdiensten, bedoeld in de; d. artikel 2, eerste lid, van de Wet bevordering digitale weerbaarheid bedrijven Onze Minister van Economische Zaken en Klimaat, ten behoeve van de uitvoering van de taken, bedoeld in. 3 Als een digitaledienstverlener onvoldoende gevolg geeft aan een door het CSIRT voor digitale diensten gegeven advies, kan het CSIRT voor digitale diensten in het advies opgenomen gegevens als bedoeld in het tweede lid verstrekken aan de bevoegde autoriteit of Onze Minister van Economische Zaken en Klimaat. 4 Voor zover dat noodzakelijk is om ernstige economische of sociale gevolgen te voorkomen of te beperken verstrekt het CSIRT voor digitale diensten onverwijld gegevens als bedoeld in het tweede lid aan de bevoegde autoriteit of Onze betrokken Minister. 5 artikel 19, eerste lid Het tweede lid geldt niet voor zover dat nodig is ter uitvoering van. 6 Artikel 20, zevende lid , is van overeenkomstige toepassing op gegevens als bedoeld in het tweede lid. 2024 236 13-08-2024 17-07-2024 36270 2024 252 12-09-2024 09-09-2024 01-10-2024

Artikel 22 (verstrekking van vertrouwelijke gegevens door de bevoegde autoriteit) 1 artikel 4, derde lid Ter uitvoering van de in, genoemde taak verstrekt de bevoegde autoriteit geen vertrouwelijke gegevens met betrekking tot een aanbieder van een essentiële dienst of een digitaledienstverlener die zij ingevolge deze wet verkrijgt, als: a. de geheimhouding van die gegevens onvoldoende is geborgd, of b. onvoldoende is gewaarborgd dat zij uitsluitend worden gebruikt voor het doel waarvoor zij worden verstrekt. 2 Artikel 20, zevende lid , is van overeenkomstige toepassing op vertrouwelijke gegevens als bedoeld in het eerste lid die herleid kunnen worden tot een aanbieder van een essentiële dienst of een digitaledienstverlener. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 23 (openbaarmaking incidenten) artikel 20, vierde lid, onder b Onverminderd, kan de bevoegde autoriteit, na raadpleging van de betrokken aanbieder: a. artikel 10, eerste lid, onder a als publieke bewustwording nodig is om een incident te voorkomen of een lopend incident te beheersen: het publiek informeren over een gemeld incident als bedoeld in, of vorderen dat de aanbieder dit doet; b. artikel 13, eerste lid als publieke bewustwording nodig is om een incident te voorkomen of een lopend incident te beheersen, of wanneer de openbaarmaking van het incident anderszins in het algemeen belang is: het publiek informeren over een gemeld incident als bedoeld in, of vorderen dat de digitaledienstverlener dit doet. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 24 (reikwijdte) Dit hoofdstuk is alleen van toepassing op aanbieders van een essentiële dienst en digitaledienstverleners. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 25 (toezichthoudende personen) 1 Met het toezicht op de naleving van het bepaalde bij of krachtens deze wet zijn belast de bij besluit van de bevoegde autoriteit aangewezen personen. 2 Van een besluit als bedoeld in het eerste lid wordt mededeling gedaan door plaatsing in de Staatscourant. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 26 (beveiligingsaudit) 1 De bevoegde autoriteit kan een aanbieder van een essentiële dienst bij besluit de verplichting opleggen dat de aanbieder: a. artikelen 7 8 artikel 9 een onafhankelijke deskundige laat onderzoeken of de door de aanbieder genomen maatregelen voldoen aan deenen aan de nadere regels, bedoeld in, en b. de resultaten van dat onderzoek binnen een bij het besluit gestelde redelijke termijn verstrekt aan de bevoegde autoriteit. 2 Het onderzoek wordt uitgevoerd op een door de bevoegde autoriteit voorgeschreven wijze. 3 Tenzij bij algemene maatregel van bestuur anders is bepaald, draagt de aanbieder de kosten van het onderzoek. 4 Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld over het eerste en tweede lid. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 27 (bindende aanwijzing) artikel 7 8 artikel 9 De bevoegde autoriteit kan degene die niet voldoet aanofof aan de nadere regels, bedoeld in, door middel van het geven van een aanwijzing verplichten om binnen een daarbij gestelde redelijke termijn de daarbij omschreven maatregelen te nemen. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 28 (last onder bestuursdwang) De bevoegde autoriteit is bevoegd tot oplegging van een last onder bestuursdwang ter handhaving van het bepaalde bij of krachtens deze wet. 2021 135 17-03-2021 03-03-2021 35256 2021 254 02-06-2021 18-05-2021 01-07-2021

Artikel 29 (bestuurlijke boete) 1 De bevoegde autoriteit kan aan de overtreder een bestuurlijke boete opleggen in geval van: a. overtreding van het bepaalde bij of krachtens deze wet; b. artikel 5:20, eerste lid, van de Algemene wet bestuursrecht overtreding van. 2 De boete bedraagt ten hoogste: a. artikel 12 artikel 5:20, eerste lid, van de Algemene wet bestuursrecht in geval van overtreding vanof van: 1 miljoen euro; b. in geval van een andere overtreding: 5 miljoen euro. 3 De werking van het besluit tot oplegging van de boete wordt opgeschort totdat de beroepstermijn is verstreken of, als beroep is ingesteld, op het beroep is beslist. 4 Verzet schorst de tenuitvoerlegging van een dwangbevel dat strekt tot invordering van de boete. 5 Artikel 184 van het Wetboek van Strafrecht is niet van toepassing op de overtreding, bedoeld in het eerste lid, onder b. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 30 Algemene wet bestuursrecht (wijziging) Wijzigt de Algemene wet bestuursrecht. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 31 (samenloop met wetsvoorstel Wet bekostiging financieel toezicht 2019) Wijzigt de Wet bekostiging financieel toezicht 2019. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 32 Wet op de inlichtingen- en veiligheidsdiensten 2017 (samenloop met) Wijzigt deze wet. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 33 (samenloop met wetsvoorstel Wet open overheid) Wijzigt de Wet open overheid. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 34 Wet gegevensverwerking en meldplicht cybersecurity (intrekking) Wet gegevensverwerking en meldplicht cybersecurity Dewordt ingetrokken. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 35 (inwerkingtreding) Deze wet treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan, voor verschillende taken of voor verschillende categorieën van aanbieders of diensten verschillend kan worden vastgesteld. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018

Artikel 36 (citeertitel) Deze wet wordt aangehaald als: Wet beveiliging netwerk- en informatiesystemen. 2018 387 08-11-2018 17-10-2018 34883 2018 389 08-11-2018 30-10-2018 09-11-2018