Voorstel van wet
Regels ter implementatie van Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333) (Wet weerbaarheid kritieke entiteiten)
Voorstel van wet
Nummer: 2025D26094, datum: 2025-06-02, bijgewerkt: 2025-06-04 15:50, versie: 1
Directe link naar document (.docx), link naar pagina op de Tweede Kamer site.
Onderdeel van kamerstukdossier 36765 -2 Regels ter implementatie van Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333) (Wet weerbaarheid kritieke entiteiten) .
Onderdeel van zaak 2025Z11356:
- Indiener: D.M. van Weel, minister van Justitie en Veiligheid
- Voortouwcommissie: vaste commissie voor Justitie en Veiligheid
- 2025-06-05 12:55: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2025-06-19 14:15: Extra procedurevergadering commissie Justitie en Veiligheid (groslijst controversieel verklaren) (Procedurevergadering), vaste commissie voor Justitie en Veiligheid
Preview document (🔗 origineel)
Regels ter implementatie van Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333) (Wet weerbaarheid kritieke entiteiten) [KetenID WGK014627]
VOORSTEL VAN WET
Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.
Allen, die deze zullen zien of horen lezen, saluut! doen te weten:
Alzo Wij in overweging genomen hebben dat het gelet op Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333) noodzakelijk is om wettelijke bepalingen vast te stellen ter versterking van de weerbaarheid van kritieke entiteiten;
Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:
Hoofdstuk 1. Begripsbepaling
Artikel 1 (begripsbepaling)
In deze wet en de daarop berustende bepalingen wordt verstaan onder:
– Aanbeveling 2003/361/EG: Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (PbEU 2003, L 124);
– Besluit nr. 1313/2013/EU: Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad van 17 december 2013 betreffende een Uniemechanisme voor civiele bescherming (PbEU 2013, L 347);
– bevoegde autoriteit: de bevoegde autoriteit, bedoeld in artikel 9, eerste lid, van de CER-richtlijn en bedoeld in artikel 8;
– bevoegde autoriteit van een andere lidstaat van de Europese Unie: een bevoegde autoriteit van een andere lidstaat van de Europese Unie als bedoeld in artikel 9, eerste lid, van de CER-richtlijn en die als zodanig is aangewezen in het nationale recht van die andere lidstaat;
– centraal contactpunt: het centrale contactpunt, bedoeld in artikel 9, tweede lid, van de CER-richtlijn en bedoeld in artikel 12;
– centraal contactpunt van een andere lidstaat van de Europese Unie: het centrale contactpunt van een andere lidstaat van de Europese Unie als bedoeld in artikel 9, tweede lid, van de CER-richtlijn en dat als zodanig is aangewezen in het nationale recht van die andere lidstaat;
– CER-richtlijn: Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333);
– cyberbeveiligingsrisico: een risico als bedoeld in artikel 1 van de Cyberbeveiligingswet in relatie tot de cyberbeveiliging, bedoeld in artikel 1 van de Cyberbeveiligingswet;
– cyberdreiging: een cyberdreiging als bedoeld in artikel 1 van de Cyberbeveiligingswet;
– cyberincident: een incident als bedoeld in artikel 1 van de Cyberbeveiligingswet;
– entiteit: een natuurlijk persoon, een rechtspersoon, een overheidsinstantie, een maatschap als bedoeld in artikel 1655 van boek 7A van het Burgerlijk Wetboek, een vennootschap onder firma als bedoeld in artikel 16 van het Wetboek van Koophandel en een commanditaire vennootschap als bedoeld in artikel 19 van het Wetboek van Koophandel, alsmede een samenwerkingsverband naar buitenlands recht dat met één van deze rechtsvormen vergelijkbaar is;
– essentiële dienst: een dienst die van cruciaal belang is voor de instandhouding van vitale maatschappelijke functies, economische activiteiten, de volksgezondheid en openbare veiligheid of het milieu;
– incident: elke gebeurtenis die het verlenen van een essentiële dienst aanzienlijk kan verstoren of verstoort, ook wanneer de gebeurtenis gevolgen heeft voor de nationale systemen die de rechtsstaat waarborgen;
– kritieke entiteit: een entiteit als bedoeld in artikel 6, eerste lid;
– kritieke entiteit van bijzonder Europees belang: een entiteit als bedoeld in artikel 17, eerste lid, van de CER-richtlijn;
– kritieke infrastructuur: een voorziening, een faciliteit, apparatuur, een netwerk of een systeem, of een onderdeel van een voorziening, een faciliteit, apparatuur, een netwerk of een systeem, hetgeen noodzakelijk is voor de verlening van een essentiële dienst;
– NIS2-richtlijn: Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (PbEU 2022, L 333);
– Onze Minister: Onze Minister van Justitie en Veiligheid;
– overheidsinstantie: een entiteit die overeenkomstig het Nederlands recht als zodanig in Nederland is erkend, met uitzondering van de rechtbanken, de gerechtshoven, de Hoge Raad, het College van Beroep voor het bedrijfsleven, de Centrale Raad van Beroep, de Afdeling bestuursrechtspraak van de Raad van State, de beide Kamers der Staten-Generaal en De Nederlandsche Bank N.V., en die aan de volgende criteria voldoet:
a. zij is opgericht om te voorzien in behoeften van algemeen belang en heeft geen industrieel of commercieel karakter;
b. zij heeft rechtspersoonlijkheid of mag volgens de wet namens een andere entiteit met rechtspersoonlijkheid optreden;
c. zij wordt grotendeels gefinancierd door de staat, regionale autoriteiten of andere publiekrechtelijke organen, is onderworpen aan beheerstoezicht door die autoriteiten of organen, of heeft een bestuurs-, leidinggevend of toezichthoudend orgaan waarvan de leden voor meer dan de helft door de staat, regionale autoriteiten of andere publiekrechtelijke organen worden benoemd; en
d. zij heeft de bevoegdheid om ten aanzien van natuurlijke personen of rechtspersonen administratieve of regelgevende besluiten te nemen die van invloed zijn op hun rechten op het grensoverschrijdende verkeer van personen, goederen, diensten of kapitaal;
– Richtlijn 2007/60/EG: Richtlijn 2007/60/EG van het Europees Parlement en de Raad van 23 oktober 2007 over beoordeling en beheer van overstromingsrisico’s (PbEU 2007, L 288);
– Richtlijn 2012/18/EU: Richtlijn 2012/18/EU van het Europees Parlement en de Raad van 4 juli 2012 betreffende de beheersing van de gevaren van zware ongevallen waarbij gevaarlijke stoffen zijn betrokken, houdende wijziging en vervolgens intrekking van Richtlijn 96/82/EG van de Raad (PbEU 2012, L 197);
– Richtlijn (EU) 2017/541: Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad van 15 maart 2017 inzake terrorismebestrijding en ter vervanging van Kaderbesluit 2002/475/JBZ van de Raad en tot wijziging van Besluit 2005/671/JBZ van de Raad (PbEU 2017, L 88);
– risico: de mogelijkheid van verlies of verstoring als gevolg van een incident; dat wordt uitgedrukt als een combinatie van de omvang van een dergelijk verlies of een dergelijke verstoring en de waarschijnlijkheid dat het incident zich voordoet;
– risicobeoordeling: het gehele proces ter bepaling van de aard en omvang van een risico door potentiële relevante dreigingen, kwetsbaarheden en gevaren die tot een incident kunnen leiden, in kaart te brengen en te analyseren, en door het verlies of de verstoring van een essentiële dienst die dat incident zou kunnen veroorzaken in te schatten;
– Verordening (EU) 2017/1938: Verordening (EU) 2017/1938 van het Europees Parlement en de Raad van 25 oktober 2017 betreffende maatregelen tot veiligstelling van de gasleveringszekerheid en houdende intrekking van Verordening (EU) nr. 994/2010 (PbEU 2017, L 280);
– Verordening (EU) 2019/941: Verordening (EU) 2019/941 van het Europees Parlement en de Raad van 5 juni 2019 betreffende risicoparaatheid in de elektriciteitssector en tot intrekking van Richtlijn 2005/89/EG (PbEU 2019, L 158);
– weerbaarheid: het vermogen van een kritieke entiteit om een incident te voorkomen, te beperken en te beheersen, en om bescherming te bieden en bestand te zijn tegen, te reageren op of zich aan te passen aan en te herstellen van een incident.
Hoofdstuk 2. Algemeen
Artikel 2 (doel van deze wet)
Deze wet is, met het oog op het in stand houden van vitale maatschappelijke functies en economische activiteiten, gericht op het versterken van de weerbaarheid van kritieke entiteiten en het vermogen van die entiteiten om essentiële diensten te verlenen.
Artikel 3 (uitvoering uitvoeringshandelingen, gedelegeerde handelingen en richtsnoeren)
Bij of krachtens algemene maatregel van bestuur kunnen regels worden gesteld ter uitvoering van de op grond van de CER-richtlijn vastgestelde uitvoeringshandelingen, gedelegeerde handelingen en richtsnoeren.
Hoofdstuk 3. Toepassingsbereik
Artikel 4 (netwerk- en informatiesystemen en de fysieke componenten en omgevingen daarvan)
Deze wet is niet van toepassing op aangelegenheden waarop de Cyberbeveiligingswet van toepassing is.
Artikel 5 (overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving)
Deze wet is niet van toepassing op:
a. het Ministerie van Defensie;
b. de inlichtingen- en veiligheidsdiensten, bedoeld in de Wet op de inlichtingen- en veiligheidsdiensten 2017;
c. het openbaar ministerie;
d. de politie;
e. de veiligheidsregio’s, bedoeld in artikel 9 van de Wet veiligheidsregio’s; en
f. indien van toepassing, de andere bij algemene maatregel van bestuur aangewezen overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten.
Hoofdstuk 4. Aanwijzing kritieke entiteit, sector, subsector en categorie van entiteiten
Artikel 6 (aanwijzing kritieke entiteit)
1. Bij regeling of besluit van Onze Minister die het aangaat, na overleg met Onze Minister, wordt een entiteit in een sector als bedoeld in de bijlage van deze wet of, indien van toepassing, een sector als bedoeld in artikel 7, eerste lid, aangewezen als kritieke entiteit indien:
a. zij één of meer essentiële diensten verleent;
b. zij actief is op het grondgebied van Nederland;
c. haar kritieke infrastructuur zich bevindt op het grondgebied van Nederland; en
d. een incident aanzienlijke verstorende effecten zou hebben:
1°. op haar verlening van één of meer essentiële diensten; of
2°. op haar verlening van andere essentiële diensten in de sectoren, genoemd in de bijlage van deze wet, of, indien van toepassing, de sectoren die zijn aangewezen op grond van artikel 7, eerste lid, die afhankelijk zijn van die diensten.
2. Bij het bepalen of een verstorend effect aanzienlijk is als bedoeld in het eerste lid, onderdeel d, houdt Onze Minister die het aangaat rekening met de volgende criteria:
a. het aantal gebruikers dat afhankelijk is van de door de betrokken entiteit verleende essentiële dienst;
b. de mate waarin andere sectoren en subsectoren, genoemd in de bijlage van deze wet, en, indien van toepassing, andere sectoren en subsectoren die zijn aangewezen op grond van artikel 7, eerste lid, afhankelijk zijn van de betrokken essentiële dienst;
c. de ernst en duur van de gevolgen die incidenten kunnen hebben voor economische en maatschappelijke activiteiten, het milieu, de openbare veiligheid en beveiliging, of de volksgezondheid;
d. het marktaandeel van de entiteit op de markt voor de betrokken essentiële dienst;
e. het geografische gebied dat door een incident kan worden getroffen, met inbegrip van eventuele grensoverschrijdende gevolgen, rekening houdend met de kwetsbaarheid die samenhangt met de mate van isolatie van bepaalde soorten geografische gebieden, zoals insulaire regio’s, afgelegen regio’s of bergachtige gebieden; en
f. het belang van de entiteit om de essentiële dienst op een voldoende niveau te houden, rekening houdend met de beschikbare alternatieven voor het verlenen van die essentiële dienst.
3. Bij de toepassing van het eerste lid houdt Onze Minister die het aangaat rekening met de resultaten van de risicobeoordeling, bedoeld in artikel 9, en de strategie, bedoeld in artikel 13.
4. Onze Minister die het aangaat kan na overleg met Onze Minister bij regeling nadere regels stellen over criteria op basis waarvan wordt bepaald of een verstoring aanzienlijk is als bedoeld in het tweede lid.
5. Onze Minister die het aangaat vermeldt bij de aanwijzing van een entiteit als kritieke entiteit welke verplichtingen bij of krachtens deze wet van toepassing zijn op die entiteit en de datum vanaf wanneer die verplichtingen van toepassing zijn, overeenkomstig de artikelen 14, derde lid, 15, vijfde lid, en 17, zevende lid. Indien het de aanwijzing betreft van een entiteit als kritieke entiteit in de sector bankwezen, infrastructuur voor de financiële markt of digitale infrastructuur, genoemd in de bijlage van deze wet, vermeldt Onze Minister die het aangaat tevens welke verplichtingen bij of krachtens deze wet niet van toepassing zijn op die entiteit, overeenkomstig artikel 23.
6. De aanwijzing van een entiteit als kritieke entiteit geschiedt telkens indien hiertoe naar het oordeel van Onze Minister die het aangaat aanleiding bestaat.
7. Indien de entiteit niet langer voldoet aan de voorwaarden, genoemd in het eerste lid, trekt Onze Minister die het aangaat de aanwijzing in en stelt hij de entiteit hiervan in kennis. Ook informeert hij de entiteit erover dat de verplichtingen die van toepassing waren als gevolg van de aanwijzing, vanaf de intrekking van de aanwijzing niet meer van toepassing zijn.
Artikel 7 (aanwijzing sector, subsector en categorie van entiteiten)
1. Onze Minister die het aangaat kan na overleg met Onze Minister bij regeling een sector, en daarbinnen een subsector en categorie van entiteiten, aanwijzen waarvoor hij beleidsverantwoordelijk is, waarbinnen kritieke entiteiten op grond van artikel 6, eerste lid, kunnen worden aangewezen.
2. Bij het aanwijzen van een sector, subsector en categorie van entiteiten houdt Onze Minister die het aangaat rekening met de volgende criteria:
a. de mate waarin andere sectoren en subsectoren, genoemd in de bijlage van deze wet, afhankelijk zijn van de essentiële dienst of diensten van entiteiten in de sector of subsector;
b. de ernst en duur van de gevolgen die incidenten in de sector of subsector kunnen hebben voor economische en maatschappelijke activiteiten, het milieu, de openbare veiligheid en beveiliging, of de volksgezondheid; en
c. het geografische gebied dat door een incident in de sector of subsector kan worden getroffen, met inbegrip van eventuele grensoverschrijdende gevolgen, rekening houdend met de kwetsbaarheid die samenhangt met de mate van isolatie van bepaalde soorten geografische gebieden, zoals insulaire regio’s, afgelegen regio’s of bergachtige gebieden.
Hoofdstuk 5. Aanwijzing en taken bevoegde autoriteit
Artikel 8 (aanwijzing en taken bevoegde autoriteit)
1. De bevoegde autoriteit is voor de kritieke entiteiten in de sectoren en subsectoren, genoemd in de bijlage van deze wet:
| Bevoegde autoriteit | Sector | Subsector (indien van toepassing) |
|---|---|---|
| Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties | overheid | |
| Onze Minister van Economische Zaken | digitale infrastructuur | |
| ruimtevaart | ||
| Onze Minister van Financiën | bankwezen | |
| infrastructuur voor de financiële markt | ||
| Onze Minister van Infrastructuur en Waterstaat | vervoer | lucht |
| spoor | ||
| water | ||
| weg | ||
| openbaar vervoer | ||
| drinkwater | ||
| afvalwater | ||
| Onze Minister van Klimaat en Groene Groei | energie | elektriciteit |
| stadsverwarming en -koeling | ||
| olie | ||
| gas | ||
| waterstof | ||
| Onze Minister van Landbouw, Visserij, Voedselzekerheid en Natuur | productie, verwerking en distributie van levensmiddelen | |
| Onze Minister van Volksgezondheid, Welzijn en Sport | gezondheidszorg |
2. Onze Minister die het aangaat die op grond van artikel 6, eerste lid, een entiteit in een sector als bedoeld in artikel 7, eerste lid, heeft aangewezen als kritieke entiteit, is voor die kritieke entiteit de bevoegde autoriteit.
3. De bevoegde autoriteit heeft de volgende taken:
a. het zorgen voor de bestuursrechtelijke handhaving van het bepaalde bij of krachtens deze wet ten aanzien van kritieke entiteiten;
b. het zorgen voor de bestuursrechtelijke handhaving van het bepaalde in de op grond van artikel 13, zesde lid, van de CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat van de Europese Unie; en
c. de overige in deze wet genoemde taken van de bevoegde autoriteit.
Artikel 9 (risicobeoordeling door de bevoegde autoriteit)
1. De bevoegde autoriteit voert na overleg met Onze Minister een risicobeoordeling uit voor de betrokken sector en indien van toepassing subsector, genoemd in de bijlage van deze wet, en voor de op grond van artikel 7, eerste lid, aangewezen sector en indien van toepassing subsector. De bevoegde autoriteit neemt daarbij alle relevante natuurlijke en door de mens veroorzaakte risico’s die tot een incident zouden kunnen leiden in aanmerking, waaronder in ieder geval:
a. risico’s van sectoroverschrijdende of van grensoverschrijdende aard;
b. ongevallen;
c. natuurrampen;
d. noodsituaties op het gebied van de volksgezondheid; en
e. hybride dreigingen en andere antagonistische dreigingen, waaronder terroristische misdrijven als bedoeld in de Richtlijn (EU) 2017/541.
2. De bevoegde autoriteit houdt bij het uitvoeren van de risicobeoordeling ten minste rekening met:
a. de algemene risicobeoordeling die wordt uitgevoerd op grond van artikel 6, eerste lid, van het Besluit nr. 1313/2013/EU en andere relevante risicobeoordelingen die worden uitgevoerd overeenkomstig de voorschriften van de relevante sectorspecifieke rechtshandelingen van de Europese Unie, waaronder de Verordening (EU) 2017/1938, de Verordening (EU) 2019/941, de Richtlijn 2007/60/EG en de Richtlijn 2012/18/EU;
b. de relevante risico’s die voortvloeien uit de mate van afhankelijkheid tussen de sectoren, genoemd in de bijlage van deze wet, waaronder de mate van afhankelijkheid van deze sectoren ten aanzien van entiteiten met vestiging in andere lidstaten van de Europese Unie en derde landen, en de gevolgen die een aanzienlijke verstoring in één sector kan hebben voor andere sectoren, met inbegrip van eventuele significante risico’s voor burgers en de interne markt van de Europese Unie; en
c. alle informatie over incidenten die overeenkomstig artikel 17 is kennisgegeven.
3. Voor de toepassing van het tweede lid, onderdeel b, werkt de bevoegde autoriteit samen met de bevoegde autoriteiten van andere lidstaten van de Europese Unie en de bevoegde autoriteiten van derde landen, al naargelang het geval.
4. De bevoegde autoriteit maakt bij het uitvoeren van de risicobeoordeling gebruik van de door de Europese Commissie op grond van artikel 5, eerste lid, van de CER-richtlijn vastgestelde lijst van essentiële diensten.
5. De risicobeoordeling geschiedt ten minste elke vier jaar na de eerste risicobeoordeling, of eerder, indien hiertoe aanleiding bestaat.
6. De bevoegde autoriteit verstrekt relevante informatie uit de risicobeoordeling aan de kritieke entiteit in de betrokken sector, die overeenkomstig artikel 6, eerste lid, is aangewezen, ten behoeve van de door die kritieke entiteit te verrichten risicobeoordeling, bedoeld in artikel 14, en het nemen van de maatregelen, bedoeld in artikel 15.
Artikel 10 (ondersteuning aan kritieke entiteiten)
1. De bevoegde autoriteit ondersteunt en werkt samen met kritieke entiteiten in de betrokken sector of subsector ten behoeve van het vergroten van hun weerbaarheid.
2. De samenwerking en ondersteuning bestaat in ieder geval uit het uitwisselen van informatie en beste praktijken, en kunnen na overleg met Onze Minister voorts bestaan uit:
a. het ontwikkelen van richtsnoeren en methodologieën;
b. het verlenen van bijstand in het geval van crisis- of noodsituaties;
c. het helpen bij de organisatie van oefeningen om de weerbaarheid van kritieke entiteiten te testen;
d. het verstrekken van advies aan het personeel van kritieke entiteiten; en
e. het geven van opleidingen aan het personeel van kritieke entiteiten.
3. Bij of krachtens algemene maatregel van bestuur kunnen regels worden gesteld over de samenwerking en ondersteuning.
Artikel 11 (lijst van kritieke entiteiten)
1. De bevoegde autoriteit stelt een lijst op van kritieke entiteiten.
2. De bevoegde autoriteit evalueert de lijst en actualiseert de lijst ten minste elke vier jaar, of vaker, indien daartoe aanleiding bestaat.
Hoofdstuk 6. Aanwijzing en taken centraal contactpunt
Artikel 12 (aanwijzing en taken centraal contactpunt)
Onze Minister is het centrale contactpunt en heeft in die hoedanigheid de volgende taken:
a. het vervullen van een verbindingsfunctie in de samenwerking met de Europese Commissie;
b. het met het oog op grensoverschrijdende samenwerking vervullen van een verbindingsfunctie met de centrale contactpunten van andere lidstaten van de Europese Unie en met de Groep voor de weerbaarheid van kritieke entiteiten, genoemd in artikel 19 van de CER-richtlijn;
c. de samenwerking met de bevoegde autoriteiten van derde landen; en
d. het zorgen voor sectoroverstijgende en doeltreffende samenwerking tussen de bevoegde autoriteiten binnen Nederland.
Hoofdstuk 7. Strategie inzake de weerbaarheid van kritieke entiteiten
Artikel 13 (strategie inzake de weerbaarheid van kritieke entiteiten)
1. Onze Minister stelt in overeenstemming met Onze Ministers die het aangaan een strategie vast om de weerbaarheid van kritieke entiteiten te verbeteren. De strategie bevat, voortbouwend op bestaande nationale en sectorale strategieën, plannen en soortgelijke documenten, strategische doelstellingen en beleidsmaatregelen die ervoor moeten zorgen dat kritieke entiteiten een hoge weerbaarheid hebben en behouden, en die ten minste betrekking hebben op de sectoren, genoemd in de bijlage van deze wet, en de op grond van artikel 7, eerste lid, aangewezen sectoren.
2. De strategie bevat ten minste de volgende elementen:
a. strategische doelstellingen en prioriteiten ter vergroting van de algehele weerbaarheid van kritieke entiteiten met inachtneming van grensoverschrijdende en intersectorale afhankelijkheden en onderlinge afhankelijkheden;
b. een governancekader ter verwezenlijking van de strategische doelstellingen en prioriteiten, met inbegrip van een beschrijving van de taken en verantwoordelijkheden van de verschillende autoriteiten, kritieke entiteiten en andere partijen die bij de uitvoering van de strategie betrokken zijn;
c. een beschrijving van de maatregelen die nodig zijn om de algehele weerbaarheid van kritieke entiteiten te vergroten, inclusief een beschrijving van de risicobeoordelingen, bedoeld in artikel 9;
d. een beschrijving van het proces waarmee kritieke entiteiten worden geïdentificeerd;
e. een beschrijving van het proces waarmee kritieke entiteiten worden ondersteund, met inbegrip van de maatregelen ter verdieping van de samenwerking tussen de publieke sector enerzijds en de private sector en publieke en private entiteiten anderzijds;
f. een lijst van de belangrijkste autoriteiten en belanghebbenden, met uitzondering van kritieke entiteiten, die betrokken zijn bij de uitvoering van de strategie;
g. een beleidskader voor coördinatie tussen de bevoegde autoriteit, bedoeld in artikel 8, en de bevoegde autoriteit, bedoeld in artikel 15 van de Cyberbeveiligingswet, met het oog op het delen van informatie over cyberbeveiligingsrisico's, cyberdreigingen en cyberincidenten, en niet-cybergerelateerde risico's, dreigingen en incidenten en de uitoefening van toezichthoudende taken; en
h. een beschrijving van de maatregelen die reeds genomen zijn om het voor kleine en middelgrote ondernemingen in de zin van de bijlage bij Aanbeveling 2003/361/EG die zijn geïdentificeerd als kritieke entiteit, gemakkelijker te maken om te voldoen aan het bepaalde bij of krachtens de artikelen 14, 15 en 17.
3. Onze Minister actualiseert in overeenstemming met Onze Ministers die het aangaan de strategie ten minste elke vier jaar na de eerste strategie.
4. Onze Minister consulteert in overeenstemming met Onze Ministers die het aangaan eerst de relevante betrokken partijen voordat hij de strategie vaststelt of actualiseert.
Hoofdstuk 8. Risicobeoordeling door de kritieke entiteit
Artikel 14 (risicobeoordeling door de kritieke entiteit)
1. De kritieke entiteit voert een risicobeoordeling uit op basis van de relevante informatie uit de risicobeoordeling van de bevoegde autoriteit, bedoeld in artikel 9, en andere relevante informatiebronnen. De kritieke entiteit beoordeelt in dat kader alle relevante door de natuur en door de mens veroorzaakte risico’s die de verlening van haar essentiële dienst of diensten kunnen verstoren, waaronder in ieder geval:
a. risico’s van sectoroverschrijdende of van grensoverschrijdende aard;
b. ongevallen;
c. natuurrampen;
d. noodsituaties op het gebied van de volksgezondheid; en
e. hybride dreigingen en andere antagonistische dreigingen, waaronder terroristische misdrijven als bedoeld in de Richtlijn (EU) 2017/541.
2. De kritieke entiteit houdt bij het uitvoeren van de risicobeoordeling rekening met de mate waarin andere in de bijlage van deze wet genoemde sectoren en op grond van artikel 7, eerste lid, aangewezen sectoren afhankelijk zijn van de door de kritieke entiteit verleende essentiële dienst, en de mate waarin die kritieke entiteit afhankelijk is van essentiële diensten van andere entiteiten in dergelijke andere sectoren, in voorkomend geval tevens buiten Nederland.
3. De risicobeoordeling geschiedt binnen negen maanden na de aanwijzing als kritieke entiteit. De risicobeoordeling geschiedt vervolgens ten minste elke vier jaar, of eerder, indien hiertoe aanleiding bestaat.
4. Indien de kritieke entiteit reeds risicobeoordelingen heeft uitgevoerd of documenten heeft opgesteld op grond van verplichtingen die zijn opgenomen in andere wet- en regelgeving die relevant zijn voor de risicobeoordeling, kan zij die beoordelingen en documenten gebruiken om aan het eerste lid te voldoen.
5. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld over het uitvoeren van de risicobeoordeling.
Hoofdstuk 9. Zorgplicht
Artikel 15 (zorgplicht)
1. De kritieke entiteit neemt passende en evenredige technische, beveiligings- en organisatorische maatregelen om voor haar weerbaarheid te zorgen, met inbegrip van maatregelen die nodig zijn om:
a. te voorkomen dat zich incidenten voordoen, naar behoren rekening houdend met maatregelen ter beperking van het risico op rampen en maatregelen voor aanpassing aan de klimaatverandering;
b. te zorgen voor adequate fysieke bescherming van haar gebouwen en de kritieke infrastructuur, terdege rekening houdend met bijvoorbeeld het plaatsen van omheiningen, het oprichten van barrières, instrumenten en routines voor de bewaking van de omgeving, detectieapparatuur en toegangscontroles;
c. de gevolgen van incidenten te bestrijden, te beperken en ertegen bestand te zijn, naar behoren rekening houdend met de uitvoering van risico- en crisisbeheersingsprocedures en -protocollen en waarschuwingsroutines;
d. te herstellen van incidenten, naar behoren rekening houdend met bedrijfscontinuïteitsmaatregelen en de identificatie van alternatieve toeleveringsketens, om de verlening van de essentiële dienst te hervatten;
e. te zorgen voor adequaat beheer van personeelsbeveiliging, daarbij in ieder geval rekening houdend met de volgende maatregelen:
1°. het vaststellen van categorieën personeelsleden die kritieke functies vervullen, daarbij rekening houdend met het personeel van externe dienstverleners;
2°. het vaststellen van het recht van toegang tot gebouwen, kritieke infrastructuur en gevoelige informatie;
3°. het instellen van procedures voor antecedentenonderzoek en het aanwijzen van categorieën van personen die aan antecedentenonderzoek moeten worden onderworpen; en
4°. het vaststellen van passende opleidingsvoorschriften en kwalificaties; en
f. het relevante personeel bewust te maken van de maatregelen, genoemd in de onderdelen a tot en met e, naar behoren rekening houdend met opleidingen, informatiemateriaal en oefeningen.
2. De kritieke entiteit neemt de maatregelen, bedoeld in het eerste lid, op basis van de door de bevoegde autoriteit verstrekte relevante informatie over de risicobeoordeling, bedoeld in artikel 9, en op basis van de resultaten van haar eigen risicobeoordeling, bedoeld in artikel 14.
3. De kritieke entiteit beschrijft de maatregelen, bedoeld in het eerste lid.
4. Bij of krachtens algemene maatregel van bestuur worden regels gesteld over de maatregelen, bedoeld in het eerste lid, en kunnen met betrekking tot die maatregelen eisen worden gesteld aan entiteiten, waarbij onderscheid kan worden gemaakt tussen sectoren, subsectoren, categorieën van entiteiten en entiteiten.
5. Het bepaalde bij of krachtens het eerste tot en met vierde lid is van toepassing op de kritieke entiteit vanaf tien maanden na de aanwijzing als kritieke entiteit.
Artikel 16 (sectorspecifieke rechtshandelingen van de Europese Unie)
Onze Minister die het aangaat kan bij regeling of besluit, na overleg met Onze Minister, bepalen dat sectorspecifieke rechtshandelingen van de Europese Unie die voorschrijven dat kritieke entiteiten maatregelen moeten nemen om hun weerbaarheid te vergroten, voor de in die regeling of dat besluit bedoelde kritieke entiteit ten minste gelijkwaardig zijn aan de maatregelen, bedoeld in artikel 15. In dat geval is artikel 15 niet van toepassing op de betreffende kritieke entiteit.
Hoofdstuk 10. Melding van incidenten
Artikel 17 (meldplicht)
1. De kritieke entiteit meldt zonder onnodige vertraging een incident dat de verlening van haar essentiële dienst aanzienlijk verstoort of kan verstoren bij de bevoegde autoriteit. De kritieke entiteit doet die melding binnen 24 uur nadat zij kennis heeft genomen van dat incident. Indien dat operationeel niet mogelijk is, doet zij de melding zo snel mogelijk nadat zij kennis heeft genomen van dat incident.
2. De melding bevat alle op dat moment beschikbare informatie die de bevoegde autoriteit nodig heeft om te bepalen wat de aard, vermoedelijke oorzaak en mogelijke gevolgen van het incident zijn en of er grensoverschrijdende gevolgen zijn. De melding bevat tevens de contactgegevens van de functionaris die verantwoordelijk is voor de melding.
3. Bij het bepalen of een verstoring aanzienlijk is, wordt in ieder geval in aanmerking genomen:
a. het aantal door de verstoring getroffen gebruikers en hun aandeel daarin;
b. de duur van de verstoring; en
c. het door de verstoring getroffen geografische gebied, rekening houdend met de vraag of het gebied geografisch geïsoleerd is.
4. De kritieke entiteit brengt binnen een maand na de melding een gedetailleerd verslag uit. Dit verslag bevat een aanvulling van de informatie, bedoeld in het tweede lid.
5. Bij of krachtens algemene maatregel van bestuur worden de criteria vastgesteld op basis waarvan wordt bepaald of een verstoring aanzienlijk is als bedoeld in het derde lid, waarbij onderscheid kan worden gemaakt tussen sectoren, subsectoren, categorieën van entiteiten en entiteiten.
6. Bij of krachtens algemene maatregel van bestuur kunnen regels worden gesteld over de wijze waarop een melding als bedoeld in het eerste lid wordt gedaan en de gegevens die ter uitvoering van het tweede lid worden verstrekt.
7. Het bepaalde bij of krachtens het eerste tot en met zesde lid is van toepassing op de kritieke entiteit vanaf tien maanden na de aanwijzing als kritieke entiteit.
Artikel 18 (taken bevoegde autoriteit en centraal contactpunt na melding)
1. De bevoegde autoriteit verstrekt de kritieke entiteit zo spoedig mogelijk na de melding, bedoeld in artikel 17, eerste lid, een ontvangstbevestiging en relevante vervolginformatie, waaronder informatie die de kritieke entiteit kan helpen om doeltreffend te reageren op het incident.
2. De bevoegde autoriteit informeert, indien mogelijk na raadpleging van de betrokken kritieke entiteit, het publiek over het gemelde incident wanneer zij van oordeel is dat dit in het algemeen belang zou zijn.
3. Indien het gemelde incident aanzienlijke gevolgen heeft of kan hebben voor de continuïteit van de verlening van essentiële diensten aan of in zes of meer lidstaten van de Europese Unie, meldt de bevoegde autoriteit dat incident aan het centrale contactpunt, waarna het centrale contactpunt dat incident meldt aan de Europese Commissie.
4. Indien het gemelde incident aanzienlijke gevolgen heeft of kan hebben voor kritieke entiteiten en voor de continuïteit van de verlening van essentiële diensten aan of in één of meer andere lidstaten van de Europese Unie, informeert de bevoegde autoriteit het centrale contactpunt over het incident, waarna het centrale contactpunt de centrale contactpunten van andere getroffen lidstaten van de Europese Unie informeert over dat incident. De bevoegde autoriteit doet dit op basis van de informatie die de betrokken kritieke entiteit bij de melding, bedoeld in artikel 17, eerste lid, heeft verstrekt.
5. Bij de ontvangst van de informatie, bedoeld in het vierde lid, en de verzending daarvan aan de centrale contactpunten van andere getroffen lidstaten van de Europese Unie, behandelt het centrale contactpunt die informatie zodanig dat ze vertrouwelijk kan worden gehouden en de veiligheid en de commerciële belangen van de betrokken kritieke entiteit worden beschermd.
6. Als blijkt uit gegevens die het centrale contactpunt heeft ontvangen van een centraal contactpunt van een andere lidstaat van de Europese Unie dat een daar gemeld incident aanzienlijke gevolgen heeft of kan hebben voor de continuïteit van een essentiële dienst in Nederland, dan stelt het centrale contactpunt de betrokken bevoegde autoriteit en, indien van toepassing, de betrokken kritieke entiteit daarvan op de hoogte.
Hoofdstuk 11. Overige verplichtingen van kritieke entiteiten
Artikel 19 (aanwijzing verbindingsfunctionaris)
De kritieke entiteit wijst een verbindingsfunctionaris of een gelijkwaardige functionaris aan als het contactpunt met de bevoegde autoriteiten.
Artikel 20 (kennisgeving verlening essentiële diensten aan of in zes of meer lidstaten)
Indien de kritieke entiteit essentiële diensten verleent aan of in zes of meer lidstaten van de Europese Unie, informeert zij de bevoegde autoriteit daarover. Daarbij maakt de kritieke entiteit kenbaar welke essentiële diensten en lidstaten het betreft.
Hoofdstuk 12. Kritieke entiteiten van bijzonder Europees belang
Artikel 21 (taken bevoegde autoriteit en centraal contactpunt ten aanzien van kritieke entiteit van bijzonder Europees belang)
1. De bevoegde autoriteit stelt het centrale contactpunt zonder onnodige vertraging op de hoogte van de identiteit van de kritieke entiteit die een kennisgeving als bedoeld in artikel 20 heeft gedaan, alsmede van de gemelde essentiële diensten en lidstaten. Vervolgens stelt het centrale contactpunt de Europese Commissie zonder onnodige vertraging daarvan op de hoogte.
2. Zodra de Europese Commissie de bevoegde autoriteit in kennis heeft gesteld van het besluit om een kritieke entiteit te beschouwen als kritieke entiteit van bijzonder Europees belang, zendt de bevoegde autoriteit die kennisgeving zonder onnodige vertraging toe aan de kritieke entiteit.
3. De bevoegde autoriteit verstrekt aan de Europese Commissie en aan de centrale contactpunten van de lidstaten waaraan of waarin de essentiële dienst wordt verleend informatie over de maatregelen die zij heeft genomen naar aanleiding van het oordeel van de Europese Commissie, bedoeld in artikel 18, vierde lid, van de CER-richtlijn.
Artikel 22 (verplichting kritieke entiteit van bijzonder Europees belang)
Indien van toepassing houdt de kritieke entiteit van bijzonder Europees belang bij het nemen van de maatregelen, bedoeld in artikel 15, rekening met het oordeel van de Europese Commissie, bedoeld in artikel 18, vierde lid, van de CER-richtlijn.
Hoofdstuk 13. Toepassingsbereik en ontheffing van verplichtingen
Artikel 23 (uitzondering sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur)
De artikelen 14, 15, 17, 19, 20 en 22 zijn niet van toepassing op kritieke entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur, genoemd in de bijlage van deze wet.
Artikel 24 (ontheffing van verplichtingen)
1. Onze Minister die het aangaat kan bij regeling of besluit, in overeenstemming met Onze Minister, een kritieke entiteit die activiteiten uitvoert op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving of die uitsluitend diensten verleent aan een overheidsinstantie als bedoeld in artikel 5, met betrekking tot die activiteiten of diensten ontheffen van de verplichtingen uit de artikelen 14, 15, 17, 19, 20 en 22.
2. Onze Minister die het aangaat kan bij regeling of besluit, in overeenstemming met Onze Minister, een kritieke entiteit die niet behoort tot een in de bijlage van deze wet genoemde sector ontheffen van de verplichtingen uit de artikelen 14, 15, 17, 19, 20 en 22.
Hoofdstuk 14. Samenwerking en gegevensuitwisseling
Artikel 25 (samenwerking en gegevensuitwisseling tussen bevoegde autoriteiten)
De bevoegde autoriteiten werken met elkaar samen voor de doeltreffende en doelmatige uitvoering van hun taken uit hoofde van deze wet en wisselen daartoe onderling alle daarvoor noodzakelijke gegevens uit, waaronder persoonsgegevens.
Artikel 26 (samenwerking en gegevensuitwisseling tussen het centrale contactpunt en bevoegde autoriteiten)
Het centrale contactpunt en de bevoegde autoriteit werken met elkaar samen voor de doeltreffende en doelmatige uitvoering van hun taken uit hoofde van deze wet en wisselen daartoe onderling alle daarvoor noodzakelijke gegevens uit, waaronder persoonsgegevens.
Artikel 27 (samenwerking en gegevensuitwisseling tussen bevoegde autoriteiten van deze wet en bevoegde autoriteiten Cyberbeveiligingswet)
1. De bevoegde autoriteiten, bedoeld in artikel 8, en de bevoegde autoriteiten, bedoeld in artikel 15 van de Cyberbeveiligingswet, werken met elkaar samen voor de doeltreffende en doelmatige uitvoering van hun taken uit hoofde van deze wet en de Cyberbeveiligingswet. In het kader van die samenwerking wisselen zij alle daarvoor noodzakelijke gegevens uit, met inbegrip van persoonsgegevens, waaronder gegevens over:
a. het aanmerken van entiteiten als kritieke entiteiten;
b. cyberbeveiligingsrisico’s, cyberdreigingen, cyberincidenten en niet-cybergerelateerde risico’s, dreigingen en incidenten die negatieve gevolgen hebben voor kritieke entiteiten; en
c. de maatregelen die zij in reactie op dergelijke risico’s, dreigingen en incidenten hebben genomen.
2. De betrokken bevoegde autoriteit, bedoeld in artikel 8, stelt de betrokken bevoegde autoriteit, bedoeld in artikel 15 van de Cyberbeveiligingswet, binnen één maand na de aanwijzing van een entiteit als kritieke entiteit in kennis van die aanwijzing. Indien van toepassing vermeldt de betrokken bevoegde autoriteit, bedoeld in artikel 8, daarbij dat het een kritieke entiteit betreft in de sector bankwezen, infrastructuur voor de financiële markt of digitale infrastructuur, genoemd in de bijlage van deze wet, en welke verplichtingen niet op die entiteit van toepassing zijn.
3. De betrokken bevoegde autoriteit, bedoeld in artikel 8, stelt de betrokken bevoegde autoriteit, bedoeld in artikel 15 van de Cyberbeveiligingswet, op de hoogte van haar beoordeling van de naleving van het bepaalde bij of krachtens deze wet door een kritieke entiteit en van de uitoefening van toezichts- en handhavingsbevoegdheden om ervoor te zorgen dat die entiteit voldoet aan het bepaalde bij of krachtens deze wet.
4. Het derde lid is van overeenkomstige toepassing op de beoordeling van de naleving van en de uitoefening van toezichts- en handhavingsbevoegdheden met betrekking tot het bepaalde in de op grond van artikel 13, zesde lid, van de CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat van de Europese Unie.
5. De betrokken bevoegde autoriteit, bedoeld in artikel 8, kan de betrokken bevoegde autoriteit, bedoeld in artikel 15 van de Cyberbeveiligingswet, verzoeken om toezichts- en handhavingsbevoegdheden uit te oefenen of uit te laten oefenen voor de naleving van het bepaalde bij of krachtens de Cyberbeveiligingswet door een kritieke entiteit.
6. Het vijfde lid is van overeenkomstige toepassing op het toezicht op de naleving van en de handhaving van het bepaalde in de op grond van de artikelen 21, vijfde lid, en 23, elfde lid, van de NIS2-richtlijn vastgestelde uitvoeringshandelingen en de op grond van artikel 24, tweede lid, van de NIS2-richtlijn vastgestelde gedelegeerde handelingen, voor zover in die uitvoeringshandelingen of gedelegeerde handelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat van de Europese Unie.
Artikel 28 (overleg, samenwerking en gegevensuitwisseling tussen bevoegde autoriteiten en andere nationale autoriteiten, kritieke entiteiten en betrokken belanghebbende partijen)
De bevoegde autoriteiten overleggen en werken samen met andere betrokken nationale autoriteiten, waaronder autoriteiten die belast zijn met civiele bescherming, rechtshandhaving en de bescherming van persoonsgegevens, met kritieke entiteiten en met betrokken belanghebbende partijen, en wisselen in het kader van die samenwerking alle daarvoor noodzakelijke gegevens uit, waaronder persoonsgegevens.
Artikel 29 (samenwerking en gegevensverstrekking bevoegde autoriteiten en die van andere lidstaten en derde landen)
De bevoegde autoriteiten werken samen met bevoegde autoriteiten van andere lidstaten van de Europese Unie en van derde landen voor de doeltreffende en doelmatige uitvoering van hun taken uit hoofde van deze wet en kunnen daartoe alle daarvoor noodzakelijke gegevens verstrekken, waaronder persoonsgegevens.
Artikel 30 (gegevensuitwisseling bevoegde autoriteiten en kritieke entiteiten)
De bevoegde autoriteiten ontvangen van en verstrekken aan kritieke entiteiten gegevens voor de doeltreffende en doelmatige uitvoering van hun taken uit hoofde van deze wet, waaronder persoonsgegevens.
Artikel 31 (gegevensverstrekking door het centrale contactpunt)
Het centrale contactpunt kan voor de doeltreffende en doelmatige uitvoering van zijn taken uit hoofde van deze wet gegevens, waaronder persoonsgegevens, verstrekken aan kritieke entiteiten, de centrale contactpunten van andere lidstaten van de Europese Unie, de Europese Commissie en de Groep voor de weerbaarheid van kritieke entiteiten, genoemd in artikel 19 van de CER-richtlijn, en bevoegde autoriteiten van derde landen.
Hoofdstuk 15. Verwerking van gegevens
Artikel 32 (verwerkingsverantwoordelijkheid)
De bevoegde autoriteit, het centrale contactpunt en Onze Minister zijn de verwerkingsverantwoordelijken voor de verwerking van persoonsgegevens ten behoeve van de taken die op grond van deze wet aan hen zijn toegewezen.
Artikel 33 (bewaring van persoonsgegevens)
Bij of krachtens algemene maatregel van bestuur worden regels gesteld over de periode gedurende welke de persoonsgegevens die bij of krachtens deze wet zijn verwerkt, worden bewaard.
Artikel 34 (vertrouwelijke gegevens)
1. De bevoegde autoriteit, het centrale contactpunt en Onze Minister kunnen vertrouwelijke gegevens verstrekken, doch uitsluitend voor zover:
a. dat noodzakelijk is ter uitvoering van hun taken uit hoofde van deze wet;
b. de verstrekking beperkt blijft tot die vertrouwelijke gegevens die relevant zijn voor de ontvangende partij en verstrekking evenredig is aan het doel van die verstrekking;
c. de vertrouwelijkheid van die vertrouwelijke gegevens is gewaarborgd; en
d. de veiligheids- en commerciële belangen van de betrokken kritieke entiteit worden beschermd.
2. De Wet open overheid is niet van toepassing op vertrouwelijke gegevens als bedoeld in het eerste lid, behalve voor zover die gegevens milieu-informatie inhouden als bedoeld in artikel 19.1a van de Wet milieubeheer. De eerste volzin geldt ook als de gegevens bij een ander overheidsorgaan berusten na verstrekking op grond van dit artikel.
Artikel 35 (verstrekking van gegevens in relatie tot nationale veiligheid, openbare veiligheid en defensie)
Het bepaalde bij of krachtens deze wet omvat niet de verstrekking van gegevens waarvan de bekendmaking strijdig is met de wezenlijke belangen van nationale veiligheid, openbare veiligheid of defensie.
Hoofdstuk 16. Handhaving
Artikel 36 (toezichthouders)
1. Met het toezicht op de naleving van het bepaalde bij of krachtens deze wet zijn belast: de bij besluit van de bevoegde autoriteit aangewezen ambtenaren.
2. De ambtenaren, bedoeld in het eerste lid, zijn tevens belast met het toezicht op de naleving van het bepaalde in de op grond van artikel 13, zesde lid, van de CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat van de Europese Unie.
3. Van een besluit als bedoeld in het eerste lid wordt mededeling gedaan door plaatsing in de
Staatscourant.
Artikel 37 (audit)
1. De bevoegde autoriteit kan een kritieke entiteit verplichten om:
a. een onafhankelijke en gekwalificeerde deskundige te laten onderzoeken of de entiteit voldoet aan het bepaalde bij of krachtens deze wet, met uitzondering van artikel 22, en het bepaalde in de op grond van artikel 13, zesde lid, van de CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat van de Europese Unie; of
b. de resultaten van dat onderzoek binnen een bij het besluit gestelde redelijke termijn te verstrekken aan de bevoegde autoriteit.
2. Het onderzoek wordt uitgevoerd op een door de bevoegde autoriteit voorgeschreven wijze.
3. De kritieke entiteit draagt de kosten van het onderzoek, tenzij de kosten naar het oordeel van de bevoegde autoriteit redelijkerwijs moeten worden gedragen door de bevoegde autoriteit.
4. Bij of krachtens algemene maatregel van bestuur kunnen regels worden gesteld over het eerste en tweede lid.
Artikel 38 (aanwijzing)
De bevoegde autoriteit kan een kritieke entiteit een bindende aanwijzing geven om binnen een daarbij gestelde redelijke termijn de daarin omschreven handelingen te verrichten of de daarin omschreven maatregelen te nemen ter naleving van het bepaalde bij of krachtens deze wet en het bepaalde in de op grond van artikel 13, zesde lid, van de CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat van de Europese Unie.
Artikel 39 (last onder bestuursdwang)
De bevoegde autoriteit is bevoegd tot oplegging van een last onder bestuursdwang aan een kritieke entiteit ter handhaving van het bepaalde bij of krachtens deze wet en het bepaalde in de op grond van artikel 13, zesde lid, van de CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat van de Europese Unie.
Artikel 40 (bestuurlijke boete)
1. De bevoegde autoriteit kan een kritieke entiteit een bestuurlijke boete opleggen in geval van:
a. overtreding van het bepaalde bij of krachtens deze wet, met uitzondering van artikel 22;
b. overtreding van het bepaalde in de op grond van artikel 13, zesde lid, van de CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat van de Europese Unie;
c. overtreding van artikel 5:20, eerste lid, van de Algemene wet bestuursrecht.
2. De boete bedraagt ten hoogste:
a. in geval van overtreding van het bepaalde bij of krachtens de artikelen 15 en 17 en het bepaalde in de op grond van artikel 13, zesde lid, van de CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat van de Europese Unie: € 10.000.000,- of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de kritieke entiteit behoort, indien het laatstbedoelde bedrag hoger is;
b. in geval van een andere overtreding: € 1.000.000,-.
3. De werking van het besluit tot oplegging van de boete wordt opgeschort totdat het besluit onherroepelijk is.
4. Verzet schorst de tenuitvoerlegging van een dwangbevel dat strekt tot invordering van de boete.
5. Artikel 184 van het Wetboek van Strafrecht is niet van toepassing op de overtreding, bedoeld in het eerste lid, onderdeel c.
Hoofdstuk 17. Slotbepalingen
Artikel 41 (evaluatie)
Onze Minister zendt binnen vier jaar na de inwerkingtreding van deze wet aan de Staten-Generaal een verslag over de doeltreffendheid en de effecten van deze wet in de praktijk.
Artikel 42 (wijzigingen van bindende rechtshandelingen van de Europese Unie)
Een wijziging van een bepaling uit een bindende rechtshandeling van de Europese Unie waarnaar in deze wet en de bijlage van deze wet wordt verwezen geldt voor de toepassing van de bepaling uit deze wet en de bijlage van deze wet waarin de verwijzing is opgenomen met ingang van de dag waarop aan de betrokken wijziging uitvoering moet zijn gegeven, tenzij bij ministerieel besluit, dat in de Staatscourant wordt bekendgemaakt, een ander tijdstip wordt vastgesteld.
Artikel 43 (eerste aanwijzingen kritieke entiteiten)
De eerste aanwijzingen van entiteiten in de sectoren, genoemd in de bijlage van deze wet, als kritieke entiteit op grond van artikel 6 geschieden uiterlijk op 17 juli 2026.
Artikel 44 (eerste risicobeoordeling door de bevoegde autoriteit)
De eerste risicobeoordeling, bedoeld in artikel 9, geschiedt uiterlijk op 17 januari 2026.
Artikel 45 (eerste strategie inzake de weerbaarheid van kritieke entiteiten)
De vaststelling van de eerste strategie, bedoeld in artikel 13, geschiedt uiterlijk op 17 januari 2026.
Artikel 46 (wijziging Algemene wet bestuursrecht)
Bijlage 2 bij de Algemene wet bestuursrecht wordt als volgt gewijzigd:
1. In artikel 7 wordt in de alfabetische volgorde ingevoegd:
Wet weerbaarheid kritieke entiteiten, voor zover het een besluit betreft dat betrekking heeft op een kritieke entiteit in de sector energie, bankwezen, infrastructuur voor de financiële markt, digitale infrastructuur of productie, verwerking en distributie van levensmiddelen, of de subsector spoor
2. In artikel 11 wordt in de alfabetische volgorde ingevoegd:
Wet weerbaarheid kritieke entiteiten, voor zover het een besluit betreft dat betrekking heeft op een kritieke entiteit in de sector energie, bankwezen, infrastructuur voor de financiële markt, digitale infrastructuur of productie, verwerking en distributie van levensmiddelen, of de subsector spoor
Artikel 47 (wijziging Wet open overheid)
In de bijlage bij artikel 8.8 van de Wet open overheid wordt in de alfabetische volgorde ingevoegd:
Wet weerbaarheid kritieke entiteiten: artikel 34
Artikel 48 (inwerkingtreding)
Deze wet treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.
Artikel 49 (citeertitel)
Deze wet wordt aangehaald als: Wet weerbaarheid kritieke entiteiten.
Gegeven
De Minister van Justitie en Veiligheid,
Bijlage
| Sector | Subsector | Categorie van entiteiten |
|---|---|---|
| Energie | Elektriciteit | — Elektriciteitsbedrijven als bedoeld in artikel 2, onderdeel 57, van Richtlijn (EU) 2019/9441, die de functie verrichten van “levering” als bedoeld in artikel 2, onderdeel 12, van die richtlijn |
| — Distributiesysteembeheerders als bedoeld in artikel 2, onderdeel 29, van Richtlijn (EU) 2019/944 | ||
| — Transmissiesysteembeheerders als bedoeld in artikel 2, onderdeel 35, van Richtlijn (EU) 2019/944 | ||
| — Producenten als bedoeld in artikel 2, onderdeel 38, van Richtlijn (EU) 2019/944 | ||
| — Benoemde elektriciteitsmarktbeheerders als bedoeld in artikel 2, onderdeel 8, van Verordening (EU) 2019/9432 | ||
| — Marktdeelnemers als bedoeld in artikel 2, onderdeel 25, van Verordening (EU) 2019/943, die diensten verlenen op het gebied van aggregatie, vraagrespons of energieopslag als bedoeld in artikel 2, onderdelen 18, 20 en 59, van Richtlijn (EU) 2019/944 | ||
| Stadsverwarming en -koeling | — Exploitanten van stadsverwarming of stadskoeling als bedoeld in artikel 2, onderdeel 19, van Richtlijn (EU) 2018/20013 | |
| Olie | — Exploitanten van oliepijpleidingen | |
| — Exploitanten van voorzieningen voor de productie, raffinage, behandeling, opslag en transmissie van olie | ||
| — Centrale entiteiten voor de voorraadvorming als bedoeld in artikel 2, onderdeel f, van Richtlijn 2009/119/EG4 | ||
| Gas | — Leveringsbedrijven als bedoeld in artikel 2, onderdeel 8, van Richtlijn 2009/73/EG5 | |
| — Distributiesysteembeheerders als bedoeld in artikel 2, onderdeel 6, van Richtlijn 2009/73/EG | ||
| — Transmissiesysteembeheerders als bedoeld in artikel 2, onderdeel 4, van Richtlijn 2009/73/EG | ||
| — Opslagsysteembeheerders als bedoeld in artikel 2, onderdeel 10, van Richtlijn 2009/73/EG | ||
| — LNG-systeembeheerders als bedoeld in artikel 2, onderdeel 12, van Richtlijn 2009/73/EG | ||
| — Aardgasbedrijven als bedoeld in artikel 2, onderdeel 1, van Richtlijn 2009/73/EG | ||
| — Exploitanten van voorzieningen voor de raffinage en behandeling van aardgas | ||
| Waterstof | — Exploitanten van voorzieningen voor de productie, opslag en transmissie van waterstof | |
| Vervoer | Lucht | — Luchtvaartmaatschappijen als bedoeld in artikel 3, onderdeel 4, van Verordening (EG) nr. 300/20086, die voor commerciële doeleinden worden gebruikt |
| — Luchthavenbeheerders als bedoeld in artikel 2, onderdeel 2, van Richtlijn 2009/12/EG7; luchthavens als bedoeld in artikel 2, onderdeel 1, van die richtlijn, inclusief de tot het kernnetwerk behorende luchthavens die in afdeling 2 van bijlage II bij Verordening (EU) nr. 1315/20138 zijn opgenomen, alsook de entiteiten die bijbehorende installaties bedienen welke zich op luchthavens bevinden | ||
| — Luchtverkeersleidingsdiensten als bedoeld in artikel 2, onderdeel 1, van Verordening (EG) nr. 549/20049 | ||
| Spoor | — Infrastructuurbeheerders als bedoeld in artikel 3, onderdeel 2, van Richtlijn 2012/34/EU10 | |
| — Spoorwegondernemingen als bedoeld in artikel 3, onderdeel 1, van Richtlijn 2012/34/EU, en exploitanten van dienstvoorzieningen als bedoeld in artikel 3, onderdeel 12, van die richtlijn | ||
| Water | — Bedrijven voor vervoer over water (binnenvaart, kust- en zeevervoer) van passagiers en vracht zoals voor maritiem transport gedefinieerd in bijlage I bij Verordening (EG) nr. 725/200411, met uitzondering van de door deze bedrijven geëxploiteerde individuele vaartuigen | |
| — Beheerders van havens als bedoeld in artikel 3, onderdeel 1, van Richtlijn 2005/65/EG, inclusief hun havenfaciliteiten als bedoeld in artikel 2, onderdeel 11, van Verordening (EG) nr. 725/2004, alsook entiteiten die werken en uitrusting in havens beheren | ||
| — Exploitanten van verkeersbegeleidingssystemen (VBS) als bedoeld in artikel 3, onderdeel o, van Richtlijn 2002/59/EG12 | ||
| Weg | — Wegenautoriteiten als bedoeld in artikel 2, onderdeel 12, van Gedelegeerde Verordening (EU) 2015/96213 die verantwoordelijk zijn voor het verkeersbeheer, met uitzondering van overheidsinstanties voor wie verkeersbeheer of de exploitatie van intelligente vervoerssystemen een niet-essentieel onderdeel van hun algemene activiteiten is | |
| — Exploitanten van intelligente vervoerssystemen als bedoeld in artikel 4, onderdeel 1, van Richtlijn 2010/40/EU14 | ||
| Openbaar vervoer | — Exploitanten van openbare diensten als bedoeld in artikel 2, onderdeel d, van Verordening (EG) nr. 1370/200715 | |
| Bankwezen | — Kredietinstellingen als bedoeld in artikel 4, onderdeel 1, van Verordening (EU) nr. 575/201316 | |
| Infrastructuur voor de financiële markt | — Exploitanten van handelsplatformen als bedoeld in artikel 4, eerste lid, onderdeel 24, van Richtlijn 2014/65/EU17 | |
| — Centrale tegenpartijen (CTP's) als bedoeld in artikel 2, onderdeel 1, van Verordening (EU) nr. 648/201218 | ||
| Gezondheidszorg | — Een zorgaanbieder als bedoeld in artikel 1 van de Wet kwaliteit, klachten en geschillen zorg | |
| — EU-referentielaboratoria als bedoeld in artikel 15 van Verordening (EU) 2022/237119 | ||
| — Entiteiten die zich bezighouden met het onderzoek naar en de ontwikkeling van geneesmiddelen als bedoeld in artikel 1, onderdeel 2, van Richtlijn 2001/83/EG20 | ||
| — Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen als bedoeld in sectie C, afdeling 21, van NACE Rev. 2 vervaardigen | ||
| — Entiteiten die medische hulpmiddelen vervaardigen die in het kader van een noodsituatie op het gebied van de volksgezondheid als kritiek worden beschouwd (“lijst van in een noodsituatie op het gebied van de volksgezondheid kritieke hulpmiddelen”) in de zin van artikel 22 van Verordening (EU) 2022/12321 | ||
| — Entiteiten die houder zijn van een groothandelsvergunning als bedoeld in artikel 79 van Richtlijn 2001/83/EG | ||
| Drinkwater | — Leveranciers en distributeurs van voor menselijke consumptie bestemd water als bedoeld in artikel 2, onderdeel 1, a), van Richtlijn (EU) 2020/218422, maar met uitzondering van distributeurs voor wie de distributie van water voor menselijke consumptie een niet-essentieel onderdeel is van hun algemene activiteit van distributie van andere waren en goederen | |
| Afvalwater | — Ondernemingen die stedelijk, huishoudelijk of industrieel afvalwater als bedoeld in artikel 2, onderdelen 1, 2 en 3, van Richtlijn 91/271/EEG23 opvangen, lozen of behandelen, met uitzondering van ondernemingen waarvoor het opvangen, lozen of behandelen van stedelijk, huishoudelijk of industrieel afvalwater een niet-essentieel onderdeel van hun algemene activiteit is | |
| Digitale infrastructuur | — Aanbieders van internetknooppunten als bedoeld in artikel 6, onderdeel 18, van de NIS2-richtlijn | |
| — DNS-dienstverleners als bedoeld in artikel 6, onderdeel 20, van de NIS2-richtlijn, met uitzondering van exploitanten van root-naamservers | ||
| — Registers voor topleveldomeinnamen als bedoeld in artikel 6, onderdeel 21, van de NIS2-richtlijn | ||
| — Aanbieders van cloudcomputingdiensten als bedoeld in artikel 6, onderdeel 30, van de NIS2-richtlijn | ||
| — Aanbieders van datacenterdiensten als bedoeld in artikel 6, onderdeel 31, van de NIS2-richtlijn | ||
| — Aanbieders van netwerken voor content delivery als bedoeld in artikel 6, onderdeel 32, van de NIS2-richtlijn | ||
| — Verleners van vertrouwensdiensten als bedoeld in artikel 3, onderdeel 19, van Verordening (EU) nr. 910/201424 | ||
| — Aanbieders van openbare elektronische communicatienetwerken als bedoeld in artikel 2, onderdeel 8, van Richtlijn (EU) 2018/197225 | ||
| — Aanbieders van elektronische communicatiediensten als bedoeld in artikel 2, onderdeel 4, van Richtlijn (EU) 2018/1972, voor zover hun diensten publiek beschikbaar zijn | ||
| Overheid | — Overheidsinstanties die behoren tot de centrale overheid | |
| Ruimtevaart | — Exploitanten van grondfaciliteiten die in het bezit zijn van, beheerd of geëxploiteerd worden door de lidstaten of door particuliere partijen en die de verlening van vanuit de ruimte opererende diensten ondersteunen, met uitzondering van aanbieders van openbare elektronische communicatienetwerken als bedoeld in artikel 2, onderdeel 8, van Richtlijn (EU) 2018/1972 | |
| Productie, verwerking en distributie van levensmiddelen | — Levensmiddelenbedrijven als bedoeld in artikel 3, onderdeel 2; van Verordening (EG) nr. 178/200226 die zich uitsluitend bezighouden met logistiek en groothandel, en met grootschalige industriële productie en verwerking |
1 Richtlijn (EU) 2019/944 van het Europees Parlement en de Raad van 5 juni 2019 betreffende gemeenschappelijke regels voor de interne markt voor elektriciteit en tot wijziging van Richtlijn 2012/27/EU (PbEU 2019, L 158).
2 Verordening (EU) 2019/943 van het Europees Parlement en de Raad van 5 juni 2019 betreffende de interne markt voor elektriciteit (PbEU 2019, L 158).
3 Richtlijn (EU) 2018/2001 van het Europees Parlement en de Raad van 11 december 2018 ter bevordering van het gebruik van energie uit hernieuwbare bronnen (PbEU 2018, L 328).
4 Richtlijn 2009/119/EG van de Raad van 14 september 2009 houdende verplichting voor de lidstaten om minimumvoorraden ruwe aardolie en/of aardolieproducten in opslag te houden (PbEU 2009, L 265).
5 Richtlijn 2009/73/EG van het Europees Parlement en de
Raad van 13 juli 2009 betreffende gemeenschappelijke regels voor de
interne markt voor aardgas en tot intrekking van Richtlijn 2003/55/EG
(PbEU 2009, L 211).
6 Verordening (EG) nr. 300/2008 van het Europees Parlement en de
Raad van 11 maart 2008 inzake gemeenschappelijke regels op het gebied
van de beveiliging van de burgerluchtvaart en tot intrekking van
Verordening (EG) nr. 2320/2002 (PbEU 2008, L 97).
7 Richtlijn 2009/12/EG van het Europees Parlement en de Raad van 11 maart 2009 inzake luchthavengelden (PbEU 2009, L 70).
8 Verordening (EU) nr. 1315/2013 van het Europees Parlement en de Raad van 11 december 2013 betreffende richtsnoeren van de Unie voor de ontwikkeling van het trans-Europees vervoersnetwerk en tot intrekking van Besluit nr. 661/2010/EU (PbEU 2013, L 348).
9 Verordening (EG) nr. 549/2004 van het Europees Parlement en de Raad van 10 maart 2004 tot vaststelling van het kader voor de totstandbrenging van het gemeenschappelijke Europese luchtruim (“de kaderverordening”) (PbEU 2004, L 96).
10 Richtlijn 2012/34/EU van het Europees Parlement en de Raad van 21 november 2012 tot instelling van één Europese spoorwegruimte (PbEU 2012, L 343).
11 Verordening (EG) nr. 725/2004 van het Europees Parlement en de Raad van 31 maart 2004 betreffende de verbetering van de beveiliging van schepen en havenfaciliteiten (PbEU 2004, L 129).
12 Richtlijn 2002/59/EG van het Europees Parlement en de Raad van 27 juni 2002 betreffende de invoering van een communautair monitoring- en informatiesysteem voor de zeescheepvaart en tot intrekking van Richtlijn 93/75/EEG van de Raad (PbEU 2002, L 208).
13 Gedelegeerde Verordening (EU) 2015/962 van de Commissie van 18 december 2014 ter aanvulling van Richtlijn 2010/40/EU van het Europees Parlement en de Raad wat de verlening van EU-wijde realtimeverkeersinformatiediensten betreft (PbEU 2015, L 157).
14 Richtlijn 2010/40/EU van het Europees Parlement en de Raad van 7 juli 2010 betreffende het kader voor het invoeren van intelligente vervoerssystemen op het gebied van wegvervoer en voor interfaces met andere vervoerswijzen (PbEU 2010, L 207).
15 Verordening (EG) nr. 1370/2007 van het Europees Parlement en de Raad van 23 oktober 2007 betreffende het openbaar personenvervoer per spoor en over de weg en tot intrekking van Verordening (EEG) nr. 1191/69 van de Raad en Verordening (EEG) nr. 1107/70 van de Raad (PbEU 2007, L 315).
16 Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad van 26 juni 2013 betreffende prudentiële vereisten voor kredietinstellingen en tot wijziging van Verordening (EU) nr. 648/2012 (PbEU 2013, L 176).
17 Richtlijn 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en tot wijziging van Richtlijn 2002/92/EG en Richtlijn 2011/61/EU (PbEU 2014, L 173).
18 Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad van 4 juli 2012 betreffende otc-derivaten, centrale tegenpartijen en transactieregisters (PbEU 2012, L 201).
19 Verordening (EU) 2022/2371 van het Europees Parlement en de Raad van 23 november 2022 inzake ernstige grensoverschrijdende gezondheidsbedreigingen en tot intrekking van Besluit nr. 1082/2013/EU (PbEU 2022, L 314).
20 Richtlijn 2001/83/EG van het Europees Parlement en de Raad van 6 november 2001 tot vaststelling van een communautair wetboek betreffende geneesmiddelen voor menselijk gebruik (PbEU 2001, L 311).
21 Verordening (EU) 2022/123 van het Europees Parlement en de Raad van 25 januari 2022 betreffende een grotere rol van het Europees Geneesmiddelenbureau inzake crisisparaatheid en -beheersing op het gebied van geneesmiddelen en medische hulpmiddelen (PbEU 2022, L 20).
22 Richtlijn (EU) 2020/2184 van het Europees Parlement en de Raad van 16 december 2020 betreffende de kwaliteit van voor menselijke consumptie bestemd water (PbEU 2020, L 435).
23 Richtlijn 91/271/EEG van de Raad van 21 mei 1991 inzake de behandeling van stedelijk afvalwater (PbEG 1991, L 135).
24 Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PbEU 2014, L 257).
25 Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad van 11 december 2018 tot vaststelling van het Europees wetboek voor elektronische communicatie (PbEU 2018, L 321).
26 Verordening (EG) nr. 178/2002 van het Europees Parlement en de Raad van 28 januari 2002 tot vaststelling van de algemene beginselen en voorschriften van de levensmiddelenwetgeving, tot oprichting van een Europese Autoriteit voor voedselveiligheid en tot vaststelling van procedures voor voedselveiligheidsaangelegenheden (PbEU 2002, L 31).