Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.
Allen, die deze zullen zien of horen lezen, saluut! doen te weten:
Alzo Wij in overweging genomen hebben, dat het noodzakelijk is Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PbEU 2019, L151) uit te voeren, en dat het wenselijk is de hiervoor noodzakelijke bepalingen vast te stellen;
Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:
In deze wet en de daarop berustende bepalingen wordt verstaan onder:
conformiteitsbeoordeling als bedoeld in artikel 2, onderdeel 17, van de cyberbeveiligingsverordening;
conformiteitsbeoordelingsinstantie als bedoeld in artikel 2, onderdeel 18, van de cyberbeveiligingsverordening;
verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening (PbEU 2019, L151);
EU- conformiteitsverklaring afgegeven met inachtneming van artikel 53 van de cyberbeveiligingsverordening;
Europees cyberbeveiligingscertificaat als bedoeld in artikel 2, onderdeel 11, van de cyberbeveiligingsverordening;
Europese cyberbeveiligingscertificeringsregeling als bedoeld in artikel 2, onderdeel 9, van de cyberbeveiligingsverordening, die door de Europese Commissie is vastgesteld op grond van artikel 49, zevende lid, van de cyberbeveiligingsverordening;
ICT-dienst als bedoeld in artikel 2, onderdeel 13, van de cyberbeveiligingsverordening;
ICT-proces als bedoeld in artikel 2, onderdeel 14, van de cyberbeveiligingsverordening;
ICT-product als bedoeld in artikel 2, onderdeel 12, van de cyberbeveiligingsverordening;
Onze Minister van Economische Zaken en Klimaat;
zekerheidsniveau als bedoeld in artikel 2, onderdeel 21, in samenhang met artikel 52, zevende lid, van de cyberbeveiligingsverordening.
1. Onze Minister is de nationale cyberbeveiligingscertificeringsautoriteit, bedoeld in artikel 58, eerste lid, van de cyberbeveiligingsverordening.
2. De Wet openbaarheid van bestuur is niet van toepassing op gegevens inzake cyberbeveiligingscertificaten voor zekerheidsniveau hoog die de nationale cyberbeveiligingscertificeringsautoriteit verkrijgt in het kader van de uitvoering van de in artikel 58, zevende lid, onderdelen a en h, van de cyberbeveiligingsverordening aan de nationale cyberbeveiligingscertificeringsautoriteit opgedragen taken, behalve voor zover die gegevens milieu-informatie inhouden als bedoeld in artikel 19.1a van de Wet milieubeheer. De eerste volzin geldt ook als de gegevens bij een ander overheidsorgaan berusten na verstrekking in het kader van deze taken.
1. Een conformiteitsbeoordelingsinstantie die voornemens is een conformiteitsbeoordeling van een ICT-product, ICT-dienst of een ICT-proces voor zekerheidsniveau hoog uit te voeren, meldt dit aan Onze Minister bij het aangaan van de certificatieovereenkomst.
2. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld ter uitvoering van het eerste lid, waaronder regels over:
a. de wijze waarop een melding als bedoeld in het eerste lid wordt gedaan;
b. de gegevens die ter uitvoering van het eerste lid worden verstrekt.
3. Artikel 2, tweede lid, is van overeenkomstige toepassing op gegevens als bedoeld in het tweede lid, onderdeel b.
1. Een conformiteitsbeoordelingsinstantie die de conformiteitsbeoordeling van een ICT-product, ICT-dienst of een ICT-proces voor zekerheidsniveau hoog uitvoert, stelt een onderzoeksplan op waaruit blijkt op welke wijze wordt getoetst of het ICT-product, de ICT-dienst of het ICT-proces voldoet aan de in een Europese cyberbeveiligingscertificeringsregeling aan dat product, die dienst of dat proces gestelde eisen voor zekerheidsniveau hoog.
2. Het in het eerste lid bedoelde onderzoeksplan behoeft goedkeuring van Onze Minister, behoudens in bij ministeriële regeling bepaalde gevallen.
3. Onze Minister verleent op aanvraag goedkeuring aan het onderzoeksplan indien het in overeenstemming is met de in de cyberbeveiligingsverordening en in de desbetreffende Europese cyberbeveiligingscertificeringsregeling gestelde eisen voor zekerheidsniveau hoog.
4. Onze Minister beslist binnen acht weken na ontvangst van de aanvraag. Deze termijn kan eenmaal met ten hoogste zes weken worden verlengd.
5. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld ter uitvoering van het derde lid.
6. Artikel 2, tweede lid, is van overeenkomstige toepassing op gegevens verstrekt in het kader van de in het derde lid bedoelde aanvraag.
1. Een conformiteitsbeoordelingsinstantie die op grond van artikel 4, derde lid, goedkeuring van het onderzoeksplan heeft verkregen, voert certificering overeenkomstig het onderzoeksplan uit.
2. Een conformiteitsbeoordelingsinstantie stelt een onderzoeksrapport op waaruit volgt dat het ICT-product, de ICT-dienst of het ICT-proces voldoet aan de in een Europese cyberbeveiligingscertificeringsregeling aan dat product, die dienst of dat proces op zekerheidsniveau hoog gestelde eisen voor zekerheidsniveau hoog.
3. Het in het tweede lid bedoelde onderzoeksrapport alsmede het bijbehorende Europese cyberbeveiligingscertificaat behoeft goedkeuring van Onze Minister.
4. Onze Minister verleent op aanvraag de in het derde lid bedoelde goedkeuring indien het onderzoeksrapport en het bijbehorende Europese cyberbeveiligingscertificaat in overeenstemming zijn met de in de cyberbeveiligingsverordening en in de desbetreffende Europese cyberbeveiligingscertificeringsregeling gestelde eisen voor zekerheidsniveau hoog.
5. Onze Minister beslist binnen acht weken na ontvangst van de aanvraag. Deze termijn kan eenmaal met ten hoogste zes weken worden verlengd.
6. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld ter uitvoering van het vierde lid.
7. Artikel 2, tweede lid, is van overeenkomstige toepassing op gegevens verstrekt in het kader van de in het vierde lid bedoelde aanvraag.
Een conformiteitsbeoordelingsinstantie geeft een Europees cyberbeveiligingscertificaat voor zekerheidsniveau hoog niet eerder af dan nadat Onze Minister de in artikel 5, vierde lid, bedoelde goedkeuring heeft verleend.
Onze Minister kan bij ministeriële regeling regels stellen indien en voor zover dat nodig is voor een goede uitvoering van de cyberbeveiligingsverordening, de Europese cyberbeveiligingscertificeringsregelingen en de door de Europese Commissie op grond van artikel 61, vijfde lid, van de cyberbeveiligingsverordening vastgestelde uitvoeringshandelingen.
Het is verboden in strijd te handelen met bij ministeriële regeling aangewezen voorschriften van de cyberbeveiligingsverordening en de Europese cyberbeveiligingscertificeringsregelingen.
1. Met het toezicht op de naleving van het bepaalde bij of krachtens deze wet zijn belast de bij besluit van Onze Minister aangewezen personen.
2. Van een besluit als bedoeld in het eerste lid wordt mededeling gedaan door plaatsing in de Staatscourant.
Onze Minister kan degene die niet voldoet aan het bepaalde bij of krachtens deze wet, de cyberbeveiligingsverordening, of de Europese cyberbeveiligingscertificeringsregelingen, door middel van het geven van een aanwijzing verplichten om binnen een daarbij gestelde redelijke termijn de daarbij omschreven maatregelen te nemen.
Onze Minister kan de in artikel 5, derde lid, bedoelde goedkeuring intrekken indien het cyberbeveiligingscertificaat niet voldoet aan de cyberbeveiligingsverordening of een Europese cyberbeveiligingscertificeringsregeling.
Onze Minister is bevoegd tot oplegging van een last onder bestuursdwang ter handhaving van het bepaalde bij of krachtens deze wet, artikel 5:20, eerste lid, van de Algemene wet bestuursrecht, de cyberbeveiligingsverordening, en de Europese cyberbeveiligingscertificeringsregelingen.
1. Onze Minister kan aan de overtreder een bestuurlijke boete opleggen in geval van overtreding van het bepaalde bij of krachtens deze wet, de cyberbeveiligingsverordening, de Europese cyberbeveiligingscertificeringsregelingen en artikel 5:20, eerste lid, van de Algemene wet bestuursrecht.
2. De boete bedraagt ten hoogste € 900.000 per overtreding.
1. De kosten samenhangend met de werkzaamheden of diensten die Onze Minister verricht ingevolge het bepaalde bij of krachtens deze wet, de cyberbeveiligingsverordening of de Europese cyberbeveiligingscertificeringsregelingen kunnen door Onze Minister ten laste worden gebracht van degene ten behoeve van wie deze werkzaamheden worden verricht. Bij of krachtens algemene maatregel van bestuur worden hierover regels gesteld.
2. Bij het vaststellen van de vergoeding kunnen mede worden betrokken kosten, verband houdend met het toezicht op de naleving van het bepaalde bij of krachtens deze wet of van de cyberbeveiligingsverordening ten aanzien van de desbetreffende werkzaamheden of diensten.
Onze Minister doet in de Staatscourant mededeling van de titel, de vindplaats en de datum van inwerkingtreding van de Europese cyberbeveiligingscertificeringsregelingen, alsmede van wijzigingen daarvan.
Bijlage 2 bij de Algemene wet bestuursrecht wordt als volgt gewijzigd:
a. In artikel 7 wordt in de alfabetische volgorde ingevoegd Uitvoeringswet cyberbeveiligingsverordening;
b. In artikel 11 wordt in de alfabetische volgorde ingevoegd: Uitvoeringswet cyberbeveiligingsverordening.
1. Als het bij geleidende brief van 5 juli 2012 aanhangig gemaakte voorstel van wet van de leden Snels en Van Weyenberg houdende regels over de toegankelijkheid van informatie van publiek belang (Wet open overheid) (Kamerstukken 33 328) tot wet is of wordt verheven, wordt in de alfabetische rangschikking van de bijlage bij artikel 8.8 van die wet ingevoegd
• Uitvoeringswet cyberbeveiligingsverordening: de artikelen2, tweede lid, 3, derde lid, 4, zesde lid, en 5, zevende lid.
2. Als het in het eerste lid genoemde voorstel van wet tot wet is of wordt verheven en artikel 10.1 van die wet in werking treedt, wordt in artikel 2, tweede lid, van deze wet «Wet openbaarheid van bestuur» vervangen door «Wet open overheid».
Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en dat alle ministeries, autoriteiten, colleges en ambtenaren die zulks aangaat, aan de nauwkeurige uitvoering de hand zullen houden.
Gegeven
De Staatssecretaris van Economische Zaken en Klimaat,