Preview document (🔗 origineel)

---

Besluit van [datum], houdende regels ter uitvoering van de Wet weerbaarheid kritieke entiteiten (Besluit weerbaarheid kritieke entiteiten)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Justitie en Veiligheid van [datum], Directie Wetgeving en Juridische Zaken, nr. [nummer], gedaan in overeenstemming met Onze Ministers van PM;

Gelet op de artikelen 10, derde lid, 14, vijfde lid, 15, vierde lid, 17, vijfde en zesde lid, en 33 van de Wet weerbaarheid kritieke entiteiten;

De Afdeling advisering van de Raad van State gehoord (advies van [datum], nr. [PM]);

Gezien het nader rapport van Onze Minister van Justitie en Veiligheid van [datum], Directie Wetgeving en Juridische Zaken, nr. [nummer], uitgebracht in overeenstemming met Onze Ministers van PM;

Hebben goedgevonden en verstaan:

Hoofdstuk 1. Begripsbepaling

Artikel 1 (begripsbepaling)

In dit besluit en de daarop berustende bepalingen wordt verstaan onder wet: Wet weerbaarheid kritieke entiteiten.

Hoofdstuk 2. Ondersteuning aan kritieke entiteiten

Artikel 2 (ondersteuning aan kritieke entiteiten)

Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister, kunnen regels worden gesteld over de samenwerking en ondersteuning, bedoeld in artikel 10, tweede lid, van de wet.

Hoofdstuk 3. Risicobeoordeling door de kritieke entiteit

Artikel 3 (risicobeoordeling door de kritieke entiteit)

1. De kritieke entiteit heeft vastgesteld beleid over het uitvoeren van de risicobeoordeling, bedoeld in artikel 14 van de wet. De entiteit legt dat beleid schriftelijk vast, past dat beleid aantoonbaar toe en monitort de uitvoering en effectiviteit van dat beleid.

2. De kritieke entiteit houdt bij het uitvoeren van de risicobeoordeling, bedoeld in artikel 14 van de wet, rekening met de mate waarin de dienstverlening van haar rechtstreekse leveranciers en rechtstreekse dienstverleners een risico kan vormen voor haar eigen verlening van een essentiële dienst.

3. De kritieke entiteit legt de uitgevoerde risicobeoordeling, bedoeld in artikel 14 van de wet, schriftelijk vast.

4. De kritieke entiteit evalueert het beleid, bedoeld in het eerste lid, ten minste elke vier jaar na de eerste risicobeoordeling, of eerder, indien hiertoe aanleiding bestaat, en legt het resultaat daarvan schriftelijk vast. De entiteit past naar aanleiding van die evaluaties het beleid waar nodig aan.

Hoofdstuk 4. Zorgplicht

Artikel 4 (uitvoering van artikel 15 van de wet)

Ter uitvoering van artikel 15 van de wet neemt de kritieke entiteit ten minste de maatregelen, bedoeld in de artikelen 5 tot en met 14.

Artikel 5 (identificatie kritieke infrastructuur)

1. De kritieke entiteit heeft vastgesteld beleid over de identificatie van haar kritieke infrastructuur. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

2. De kritieke entiteit heeft een actueel overzicht van haar kritieke infrastructuur. Dat overzicht omvat ten minste een beschrijving van de noodzakelijkheid van de desbetreffende voorziening, faciliteit, apparatuur, netwerk of systeem, of een onderdeel daarvan, voor de verlening van de essentiële dienst.

Artikel 6 (verwerving, ontwikkeling, onderhoud, herstel en beëindiging van kritieke infrastructuur)

De kritieke entiteit heeft vastgesteld beleid over het verwerven, ontwikkelen, onderhouden, herstellen en beëindigen van haar kritieke infrastructuur. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

Artikel 7 (rechtstreekse leveranciers en rechtstreekse dienstverleners)

De kritieke entiteit identificeert haar rechtstreekse leveranciers en rechtstreekse dienstverleners, voor zover zij gerelateerd zijn aan de essentiële dienst, en heeft vastgesteld beleid over de rol van deze rechtstreekse leveranciers en rechtstreekse dienstverleners ten aanzien van de weerbaarheid en instandhouding van de essentiële dienst. Die identificatie en vaststelling geschiedt op basis van de risicobeoordeling, bedoeld in artikel 14 van de wet, met inachtneming van het bepaalde in artikel 3, tweede lid. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

Artikel 8 (bescherming)

1. De kritieke entiteit neemt maatregelen voor de adequate fysieke bescherming van haar gebouwen en haar kritieke infrastructuur. Daartoe neemt de entiteit in ieder geval de volgende maatregelen:

a. het instellen van beveiligingszones;

b. het inrichten van toegangsbeveiliging;

c. het beveiligen van kantoren, ruimten, faciliteiten, bedrijfsmiddelen buiten het terrein en nutsvoorzieningen, die van essentieel belang zijn voor de instandhouding van haar kritieke infrastructuur;

d. het monitoren van de beveiliging; en

e. het plaatsen van apparatuur op een veilige locatie en het treffen van beschermingsmaatregelen voor die apparatuur.

2. Indien de kritieke entiteit risico’s heeft geïdentificeerd ten aanzien van natuurrampen en klimaatverandering, neemt zij in ieder geval maatregelen in het kader van die risico’s die op of rondom haar huidige en toekomstige locaties kunnen bestaan, zowel ondergronds als bovengronds.

3. De kritieke entiteit legt de maatregelen, bedoeld in het eerste lid, schriftelijk vast.

Artikel 9 (crisismanagementplan en bedrijfscontinuïteitsplan)

1. De kritieke entiteit heeft vastgestelde plannen voor het beheersen van crises en incidenten en voor het waarborgen van de bedrijfscontinuïteit. De entiteit legt die plannen schriftelijk vast, past deze plannen aantoonbaar toe in geval van een incident, en beoefent deze plannen periodiek.

2. Het plan voor het beheersen van crises en incidenten, bedoeld in het eerste lid, bestaat in ieder geval uit:

a. een beschrijving van de rollen, verantwoordelijkheden en bevoegdheden van het personeel ten tijde van een crisis of incident;

a. procedures en mogelijke maatregelen voor het bestrijden, beperken, bestand zijn tegen en herstellen van een incident of crisis teneinde de gevolgen daarvan te beperken; en

b. indien van toepassing, procedures voor het gebruik van beveiligde noodcommunicatiesystemen binnen de entiteit.

3. Het plan voor het waarborgen van bedrijfscontinuïteit, bedoeld in het eerste lid, bestaat in ieder geval uit:

a. procedures en mogelijke maatregelen voor noodvoorzieningen; en

b. procedures en mogelijke maatregelen om de essentiële dienst te beschermen voor uitval en zo spoedig mogelijk te herstellen na een incident;

c. indien van toepassing, procedures voor het gebruik van beveiligde noodcommunicatiesystemen binnen de entiteit.

Artikel 10 (personeel)

1. De kritieke entiteit heeft vastgesteld beleid over de rollen, bevoegdheden en verantwoordelijkheden van haar personeel dat verantwoordelijk is voor haar weerbaarheid of het beheer van haar kritieke infrastructuur. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

2. Het beleid, bedoeld in het eerste lid, omvat in ieder geval de identificatie van categorieën personeelsleden die kritieke functies vervullen.

3. Het beleid, bedoeld in het eerste lid, omvat in ieder geval de verzorging van periodieke bewustwordings- en opleidingsactiviteiten en oefeningen voor het personeel, gericht op het ontwikkelen en behouden van de benodigde kwalificaties, kennis, bewustzijn, vaardigheden en gedrag die noodzakelijk zijn voor de weerbaarheid van de kritieke entiteit. In die activiteiten en opleidingen worden in ieder geval de maatregelen die moeten worden genomen op grond van artikel 15, eerste lid, van de wet, behandeld.

Artikel 11 (toegang tot gevoelige informatie)

1. De kritieke entiteit heeft vastgesteld beleid over de beveiliging, integriteit en vertrouwelijkheid van gevoelige informatie die van belang is voor haar weerbaarheid. De kritieke entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

2. Het beleid, bedoeld in het eerste lid, omvat in ieder geval:

a. de rubricering van gevoelige informatie; en

b. de toegang tot gevoelige informatie.

Artikel 12 (attenderingen, adviezen en informatie)

Indien de kritieke entiteit door relevante partijen, waaronder overheidsinstanties, rechtstreekse leveranciers en rechtstreekse dienstverleners, gericht wordt geattendeerd op de voor haar weerbaarheid relevante risico’s en dreigingen, of van die partijen gerichte adviezen of informatie ontvangt over de voor haar weerbaarheid relevante risico’s of dreigingen, beoordeelt zij of op basis daarvan aanpassingen of aanvullingen nodig zijn van de maatregelen die nodig zijn ter uitvoering van artikel 15 van de wet. De entiteit legt de uitkomsten van die beoordeling schriftelijk vast.

Artikel 13 (weren producten en diensten van leveranciers)

1. Indien dat naar het oordeel van Onze Minister die het aangaat noodzakelijk is om incidenten bij een kritieke entiteit die de nationale veiligheid raken te voorkomen, te beperken of te beheersen, legt hij in overeenstemming met Onze Minister een kritieke entiteit de verplichting op om in de daarbij aangewezen kritieke infrastructuur uitsluitend gebruik te maken van producten of diensten van anderen dan de daarbij door Onze Minister die het aangaat genoemde partij die:

a. een staat, entiteit of persoon is waarvan bekend is of waarvoor gronden zijn te vermoeden dat deze de intentie heeft om incidenten bij de kritieke entiteit te veroorzaken; of

b. nauwe banden heeft met of onder invloed staat van een staat, entiteit of persoon als bedoeld in onderdeel a, of een entiteit of persoon is ten aanzien van wie er gronden zijn om dergelijke banden of invloed te vermoeden.

2. Indien de verplichting, bedoeld in het eerste lid, betrekking heeft op reeds in gebruik zijnde producten en diensten ten behoeve van de daarbij aangewezen kritieke infrastructuur, stelt Onze Minister die het aangaat in het belang van het voorkomen, beperken en beheersen van incidenten bij de kritieke entiteit een termijn vast voor het vervangen respectievelijk beëindigen van de betreffende producten en diensten.

Artikel 14 (evaluatie)

De kritieke entiteit evalueert de doeltreffendheid van de maatregelen die zij heeft genomen op grond van artikel 15, eerste lid, van de wet en de effecten ervan in de praktijk ten minste elke vier jaar, of eerder, indien hiertoe aanleiding bestaat, en legt het resultaat daarvan schriftelijk vast. De entiteit past naar aanleiding van de uitkomst van die evaluaties de maatregelen waar nodig aan.

Artikel 15 (nadere regels)

Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister, kunnen nadere regels worden gesteld over de maatregelen, bedoeld in artikel 15, eerste lid, van de wet, waarbij onderscheid kan worden gemaakt tussen sectoren, subsectoren, categorieën van entiteiten en entiteiten.

Hoofdstuk 5. Meldplicht

Artikel 16 (aanzienlijke verstoring)

1. Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister, worden de criteria vastgesteld op basis waarvan wordt bepaald of een verstoring aanzienlijk is als bedoeld in artikel 17, derde lid, van de wet, waarbij onderscheid kan worden gemaakt tussen sectoren, subsectoren, categorieën van entiteiten en entiteiten. In plaats van de vaststelling van die criteria bij regeling kan Onze Minister die het aangaat, na overleg met Onze Minister, die criteria ten aanzien van specifieke entiteiten vaststellen bij besluit.

2. Onze Minister die het aangaat evalueert ten minste elke vier jaar de doeltreffendheid van de criteria, bedoeld in het eerste lid, en de effecten daarvan in de praktijk. Indien nodig past hij de criteria, na overleg met Onze Minister, aan.

Artikel 17 (gegevens waar een melding uit moet bestaan)

De melding, bedoeld in artikel 17 van de wet, omvat naast de gegevens, genoemd in artikel 17, tweede lid, van de wet, tevens de volgende gegevens:

a. het vermoedelijke tijdstip van de aanvang van het incident;

b. zo mogelijk, een prognose van de hersteltijd; en

c. zo mogelijk, de door de kritieke entiteit genomen of te nemen maatregelen om de gevolgen van het incident te beperken of herhaling hiervan te voorkomen.

Artikel 18 (wijze waarop een melding geschiedt)

De melding, bedoeld in artikel 17, eerste lid, van de wet, wordt door de kritieke entiteit gedaan bij een hiervoor door de bevoegde autoriteit ingericht meldpunt.

Hoofdstuk 6. Persoonsgegevens

Artikel 19 (bewaring van persoonsgegevens)

1. De persoonsgegevens die door de bevoegde autoriteit, Onze Minister en het centrale contactpunt bij of krachtens de wet worden verwerkt, worden niet langer bewaard dan noodzakelijk is ter uitvoering van hun taken op grond van de wet, doch uiterlijk binnen 60 maanden na de eerste verwerking verwijderd.

2. In afwijking van het eerste lid worden de persoonsgegevens die door de bevoegde autoriteit met het oog op het toezicht op de naleving van het bepaalde bij of krachtens de wet worden verwerkt, niet langer bewaard dan noodzakelijk daarvoor is, doch uiterlijk binnen 120 maanden na de eerste verwerking verwijderd.

3. Het tweede lid is van overeenkomstige toepassing ten aanzien van de persoonsgegevens die door de bevoegde autoriteit worden verwerkt met het oog op het toezicht op de naleving van het bepaalde in de op grond van artikel 13, zesde lid, van de CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat van de Europese Unie.

Hoofdstuk 7. Slotbepalingen

Artikel 20 (inwerkingtreding)

Dit besluit treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.

Artikel 21 (citeertitel)

Dit besluit wordt aangehaald als: Besluit weerbaarheid kritieke entiteiten.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.

De Minister van Justitie en Veiligheid,