36764 Nota van wijziging inzake Regels ter implementatie van Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (PbEU 2022, L 333) (Cyberbeveiligingswet)
Nota van wijziging
Nummer: 2025D45522, datum: 2025-11-04, bijgewerkt: 2025-11-04 13:51, versie: 1
Directe link naar document (.docx), link naar pagina op de Tweede Kamer site.
Gerelateerde personen:- Eerste ondertekenaar: F. van Oosten, minister van Justitie en Veiligheid (Ooit VVD kamerlid)
Onderdeel van zaak 2025Z19449:
- Indiener: F. van Oosten, minister van Justitie en Veiligheid
- Volgcommissie: vaste commissie voor Justitie en Veiligheid
- Voortouwcommissie: vaste commissie voor Digitale Zaken
- 2025-12-03 11:00: Procedurevergadering Digitale Zaken (Procedurevergadering), vaste commissie voor Digitale Zaken
Preview document (đ origineel)
36764 Regels ter implementatie van Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (PbEU 2022, L 333) (Cyberbeveiligingswet)
NOTA VAN WIJZIGING
Het voorstel van wet wordt als volgt gewijzigd:
A
In artikel 1 wordt de definitie van root-naamserver vervangen door âeen gezaghebbende naamserver voor de root-zone van het domeinnaamsysteem (DNS) van het internetâ.
B
In artikel 5, eerste lid, wordt na âDeze wetâ ingevoegd â, met uitzondering van artikel 96,â.
C
In artikel 8, eerste lid, onderdeel h, wordt âgemeenschappelijke regelingen voor zover deze laatste kwalificeren als overheidsinstantieâ vervangen door âopenbare lichamen, gemeenschappelijke organen en bedrijfsvoeringsorganisaties als bedoeld in artikel 8, eerste, tweede, onderscheidenlijk derde lid, van de Wet gemeenschappelijke regelingen, voor zover deze openbare lichamen, gemeenschappelijke organen en bedrijfsvoeringsorganisaties kwalificeren als overheidsinstantieâ.
D
In artikel 14, onderdeel a, vervalt âbevoegdeâ.
E
Artikel 15, eerste lid, wordt als volgt gewijzigd:
1. De rij over Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties wordt vervangen door:
| Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties | overheid | centrale overheden |
|---|---|---|
| decentrale overheden, uitgezonderd de waterschappen |
2. In de rij over Onze Minister van Infrastructuur en Waterstaat wordt âwaterschappenâ vervangen door âdecentrale overheden, alleen voor wat betreft de waterschappenâ.
F
Artikel 25 wordt als volgt gewijzigd:
1. Het derde lid komt te luiden:
3. Bij of krachtens algemene maatregel van bestuur kunnen de criteria worden vastgesteld op basis waarvan wordt bepaald of sprake is van een significant incident als bedoeld in het tweede lid, waarbij onderscheid kan worden gemaakt tussen sectoren, subsectoren, soorten entiteiten en entiteiten.
2. Er wordt een lid toegevoegd, luidende:
4. Ten aanzien van de entiteiten waarvoor in uitvoeringshandelingen op grond van artikel 23, elfde lid, van de NIS2-richtlijn nader is gespecificeerd in welke gevallen een incident bij die entiteiten als significant wordt beschouwd, kunnen bij of krachtens algemene maatregel van bestuur naast de hiervoor bedoelde specificaties in uitvoeringshandelingen, aanvullende criteria worden vastgesteld op basis waarvan wordt bepaald of sprake is van een significant incident als bedoeld in het tweede lid, waarbij onderscheid kan worden gemaakt tussen sectoren, subsectoren, soorten entiteiten en entiteiten.
G
In artikel 96, derde lid, wordt âvierde lidâ vervangen door âderde lidâ.
H
In artikel 99, onderdeel D, subonderdeel 2, vervalt de komma in de zinsnede âHet vierde lid,â.
I
Artikel 101, onderdeel 2, komt te luiden:
2. De onderdelen met betrekking tot de Telecommunicatiewet en de Wet beveiliging netwerk- en informatiesystemen komen te vervallen.
J
Na artikel 103 worden twee artikelen ingevoegd, luidende:
Artikel 103a (wijziging Wet bekostiging financieel toezicht 2019)
In artikel 2, tweede lid, onderdeel d, van de Wet bekostiging financieel toezicht 2019 wordt âWet beveiliging netwerk- en informatiesystemenâ vervangen door âCyberbeveiligingswetâ.
Artikel 103b (wijziging Wet coördinatie terrorismebestrijding en nationale veiligheid)
In artikel 6, onderdeel e, van de Wet coördinatie terrorismebestrijding en nationale veiligheid wordt âWet beveiliging netwerk- en informatiesystemenâ vervangen door âCyberbeveiligingswetâ.
K
Bijlage 1 wordt als volgt gewijzigd:
1. In de rij over de sector gezondheidszorg wordt âEen zorgaanbieder als bedoeld in artikel 1 van de Wet kwaliteit, klachten en geschillen zorgâ vervangen door âEen zorgaanbieder als bedoeld in artikel 1, eerste lid, van de Wet kwaliteit, klachten en geschillen zorgâ.
2. In de rij over de sector drinkwater wordt âartikel 2, onderdeel 1, a),â vervangen door âartikel 2, onderdeel 1, subonderdeel a,â.
3. De rij over de sector overheid wordt vervangen door:
| Overheid | Centrale overheden | â Ministeries met inbegrip van de daartoe behorende dienstonderdelen doch met uitzondering van de inlichtingen- en veiligheidsdiensten, bedoeld in de Wet op de inlichtingen- en veiligheidsdiensten 2017 |
|---|---|---|
| â Zelfstandige bestuursorganen, voor zover zij kwalificeren als overheidsinstantie | ||
| Decentrale overheden | â Provincies | |
| â Gemeenten | ||
| â Waterschappen | ||
| â Openbare lichamen, gemeenschappelijke organen en bedrijfsvoeringsorganisaties als bedoeld in artikel 8, eerste, tweede, onderscheidenlijk derde lid, van de Wet gemeenschappelijke regelingen, voor zover deze openbare lichamen, gemeenschappelijke organen en bedrijfsvoeringsorganisaties kwalificeren als overheidsinstantie |
TOELICHTING
Deze nota van wijziging strekt tot het wijzigen van het wetsvoorstel Cyberbeveiligingswet (hierna: Cbw). De wijzigingen zien primair op technische correcties en verduidelijkingen en worden hierna per onderdeel toegelicht.
Onderdeel A
Deze wijziging betreft een nog nauwkeurigere afbakening van het begrip root-naamserver. In de memorie van toelichting op het wetsvoorstel is reeds toegelicht dat met het begrip de root-naamservers van het internet worden bedoeld waarvan er momenteel dertien in gebruik zijn. Deze zijn internationaal gekoppeld. Elke root-naamserver bestaat uit tientallen tot honderden wereldwijd verspreide zelfstandige servers, die elkaar in geval van verstoringen kunnen vervangen. Met deze wijziging wordt duidelijk gemaakt dat het begrip root-naamservers uitsluitend betrekking heeft op gezaghebbende naamservers en niet op andere naamservers waar gebruik wordt gemaakt van een kopie van de zogenaamde root-zonebestand (â.â zone), bijvoorbeeld conform RFC7706. Een gezaghebbende naamserver voor de root-zone bevat de authentieke DNS-records voor topleveldomeinnamen van het internet en zit op het hoogste niveau in de internet-DNS-hiĂ«rarchie.
De in artikel 6 Cbw geregelde uitzondering voor root-naamservers dient restrictief te worden uitgelegd en omvat alleen de netwerk- en informatiesystemen die uitsluitend voor het verlenen van de gezaghebbende domeinnaamomzettingsdiensten voor de root-zone gebruikt worden.
Onderdeel B
Deze wijziging regelt dat artikel 96 Cbw, anders dan de rest van de Cbw, wel van toepassing is op het Ministerie van Defensie, de inlichtingen- en veiligheidsdiensten, het openbaar ministerie, de politie, de veiligheidsregioâs en andere bij algemene maatregel van bestuur aangewezen overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving.
Artikel 96 Cbw regelt dat vitale aanbieders en andere aanbieders die onderdeel zijn van de rijksoverheid, die op grond van artikel 3, eerste lid, Wet beveiliging netwerk- en informatiesystemen recht hebben op bijstand, informatie en advies bij cyberdreigingen en -incidenten van de Minister van Justitie en Veiligheid (in de praktijk: het Nationaal Cyber Security Centrum), dat recht blijven behouden als zij niet als essentiële entiteit of belangrijke entiteit onder de toepasselijkheid van de Cbw vallen. Een strikte lezing van artikel 5, eerste lid, van het ingediende wetsvoorstel zou echter betekenen dat artikel 96 Cbw niet van toepassing is op de hiervoor genoemde organisaties en er dus ook geen recht is op de bijstand, de informatie en het advies zoals hiervoor bedoeld. Dat is geenszins de bedoeling geweest, de bedoeling is juist om dat recht te continueren. Met de wijziging van artikel 5, eerste lid, van het wetsvoorstel wordt deze omissie hersteld.
Voor de goede orde wordt hierbij het volgende benadrukt ten aanzien van de organisaties die in artikel 1 Cbw worden uitgezonderd van het begrip overheidsinstantie (onder meer de rechtbanken en de gerechtshoven). Voor die organisaties geldt dat, voor zover zij op dit moment vitale aanbieder of andere aanbieder die onderdeel is van de rijksoverheid zijn, en om die reden op grond van artikel 3, eerste lid, Wet beveiliging netwerk- en informatiesystemen recht hebben op de bijstand, de informatie en het advies zoals hiervoor bedoeld, zij uiteraard op grond van artikel 96 Cbw dat recht zullen blijven behouden.
Onderdeel C
Deze wijziging ziet op het vervangen van âgemeenschappelijke regelingenâ door âopenbare lichamen, gemeenschappelijke organen en bedrijfsvoeringsorganisaties als bedoeld in artikel 8, eerste, tweede, onderscheidenlijk derde lid, van de Wet gemeenschappelijke regelingenâ, zulks ter verduidelijking naar aanleiding van vragen hierover van de leden van de NSC-fractie in het verslag op het wetsvoorstel.1 Die leden hebben gevraagd of uit artikel 8, eerste lid, onderdeel h, Cbw voldoende duidelijk blijkt dat wordt gedoeld op gemeenschappelijke regelingen als bedoeld in de Wet gemeenschappelijke regelingen. Ook hebben zij gevraagd of het voldoende helder is dat niet de regeling zelf, maar de bij die regeling ingestelde openbare lichamen, bedrijfsvoeringsorganisaties en gemeenschappelijke organen als entiteiten onder de Cbw vallen. Zie ook de wijzigingen in onderdeel K, subonderdeel 3.
Onderdeel D
Artikel 8, vierde lid, NIS2-richtlijn gaat over grensoverschrijdende samenwerking van de autoriteiten. In artikel 14, onderdeel a, van het ingediende wetsvoorstel, welke strekt tot de implementatie van artikel 8, vierde lid, NIS2-richtlijn, is dit per abuis geĂŻmplementeerd naar grensoverschrijdende samenwerking van de bevoegde autoriteiten. Deze fout wordt met de wijziging van artikel 14, onderdeel a, van het wetsvoorstel gecorrigeerd.
Onderdeel E, subonderdelen 1 en 2
Deze wijzigingen strekken tot het aanpassen van de benamingen van de subsectoren in de sector overheid, omdat deze benamingen slechts een herhaling zijn van de soorten entiteiten binnen de sector overheid. Met de nieuwe benamingen van de subsectoren in de sector overheid (te weten de subsector centrale overheden en de subsector decentrale overheden) zijn er overkoepelende termen die meer passend zijn als benaming voor een subsector. Zie ook de in onderdeel K, subonderdeel 3, geregelde wijziging van bijlage 1 van het ingediende wetsvoorstel.
Voor de goede orde wordt hierbij benadrukt dat deze wijzigingen (van de benamingen van de subsectoren in de sector overheid) geen verandering brengen in de bevoegde autoriteit voor de waterschappen. Dat betreft nog steeds de Minister van Infrastructuur en Waterstaat, zoals dat ook is geregeld in het ingediende wetsvoorstel.
Onderdeel F, subonderdeel 1
Artikel 25, derde lid, van het ingediende wetsvoorstel betreft een dwingende bepaling over het vaststellen van de criteria (die ook wel drempelwaarden worden genoemd) op basis waarvan wordt bepaald of sprake is van een significant incident, waarbij onderscheid kan worden gemaakt tussen sectoren, subsectoren en soorten entiteiten. Deze bepaling wordt op een tweetal punten aangepast.
Allereerst wordt deze dwingende bepaling veranderd naar een facultatieve bepaling, zodat het niet meer verplicht is om voor alle parameters, die zijn opgenomen in artikel 25, tweede lid, Cbw, de criteria (drempelwaarden) vast te stellen op basis waarvan wordt bepaald of sprake is van een significant incident. Er is besloten om het wetsvoorstel op dit punt te veranderen, omdat bij de uitwerking van de drempelwaarden is gebleken dat in sommige sectoren niet alle parameters te vervatten zijn in drempelwaarden, zoals de parameter over financiële schade ten aanzien van de sector overheid.
De andere wijziging regelt dat bij het vaststellen van de hiervoor bedoelde criteria (drempelwaarden) ook onderscheid kan worden gemaakt tussen entiteiten. Dit biedt de vakminister ruimte voor maatwerk ten aanzien van specifieke entiteiten.
Onderdeel F, subonderdeel 2
De toevoeging van een nieuw lid (vierde lid) aan artikel 25 Cbw betreft een verduidelijking. Het nieuwe lid gaat over entiteiten waarvoor in uitvoeringshandelingen op grond van artikel 23, elfde lid, NIS2-richtlijn al nader is gespecificeerd in welke gevallen een incident bij de daarin bepaalde entiteiten als significant wordt beschouwd. Het nieuwe lid verduidelijkt dat in die gevallen aanvullende criteria kunnen worden vastgesteld op basis waarvan wordt bepaald of sprake is van een significant incident, naast de in de hiervoor bedoelde uitvoeringshandelingen nader gespecificeerde gevallen.
Onderdeel G
Met deze wijziging wordt een verwijzingsfout gecorrigeerd.
Onderdeel H
Met deze wijziging wordt een abusievelijk opgenomen komma verwijderd.
Onderdeel I
Deze wijziging regelt dat niet alleen de vermelding van de Telecommunicatiewet uit de bijlage bij artikel 8.8 Wet open overheid wordt gehaald, maar ook de vermelding van de Wet beveiliging netwerk- en informatiesystemen. De laatstgenoemde wet komt immers met de inwerkingtreding van de Cbw te vervallen (zie artikel 106 Cbw).
Onderdeel J
De Wet coördinatie terrorismebestrijding en nationale veiligheid en de Wet bekostiging financieel toezicht 2019 bevatten een verwijzing naar de Wet beveiliging netwerk- en informatiesystemen. De laatstgenoemde wet zal echter met de inwerkingtreding van de Cbw komen te vervallen (zie artikel 106 Cbw). Met de in dit onderdeel geregelde invoeging van twee artikelen worden de in de Wet coördinatie terrorismebestrijding en nationale veiligheid en de Wet bekostiging financieel toezicht 2019 opgenomen verwijzingen naar de Wet beveiliging netwerk- en informatiesystemen gewijzigd naar verwijzingen naar de Cbw.
Onderdeel K, subonderdeel 1
Deze wijziging ziet op het veranderen van de verwijzing naar het hele artikel 1 Wet kwaliteit, klachten en geschillen in de zorg (hierna: Wkkgz) naar een verwijzing naar artikel 1, eerste lid, Wkkgz.
In bijlage I van de NIS2-richtlijn is in de sector gezondheidszorg als soort entiteit opgenomen: zorgaanbieders zoals gedefinieerd in artikel 3, punt g, van Richtlijn 2011/24/EU.2 Ter implementatie hiervan is in bijlage 1 bij het ingediende wetsvoorstel in de sector gezondheidszorg opgenomen: zorgaanbieders als bedoeld in artikel 1 Wkkgz. Artikel 1, zesde lid, Wkkgz bepaalt echter dat een instelling die in het kader van de door een andere instelling verleende zorg een deel van die zorg uitvoert, niet als zorgaanbieder in de zin van de Wkkgz wordt aangemerkt. Hierbij kan het bijvoorbeeld gaan om een laboratorium, dat enkel in opdracht van een ziekenhuis werkt. Door de verwijzing naar het hele artikel 1 Wkkgz te veranderen naar een verwijzing naar artikel 1, eerste lid, Wkkgz, vallen de hiervoor bedoelde instellingen, voor zover zij essentiële entiteit of belangrijke entiteit zijn, ook onder de Cbw. Deze verandering zorgt voor een definitie van zorgaanbieder die meer passend en correct is in relatie tot de definitie hiervan in de NIS2-richtlijn.
Onderdeel K, subonderdeel 2
Deze wijziging verandert de wijze waarop naar een subonderdeel wordt verwezen en zorgt voor consistentie met andere verwijzingen in de Cbw naar (sub)onderdelen.
Onderdeel K, subonderdeel 3
De rij over de sector overheid in bijlage 1 van het ingediende wetsvoorstel wordt op een drietal punten veranderd.
Allereerst worden de benamingen van de subsectoren in de sector overheid aangepast, omdat deze benamingen slechts een herhaling zijn van de soorten entiteiten binnen de sector overheid. Met de nieuwe benamingen van de subsectoren in de sector overheid (te weten de subsector centrale overheden en de subsector decentrale overheden) zijn er overkoepelende termen die meer passend zijn als benaming voor een subsector. Zie ook de in onderdeel E geregelde wijzigingen.
De tweede wijziging ziet op het vervangen van âgemeenschappelijke regelingenâ door âopenbare lichamen, gemeenschappelijke organen en bedrijfsvoeringsorganisaties als bedoeld in artikel 8, eerste, tweede, onderscheidenlijk derde lid, van de Wet gemeenschappelijke regelingenâ, zulks ter verduidelijking naar aanleiding van vragen hierover van de leden van de NSC-fractie in het verslag op het wetsvoorstel.3 Die leden hebben gevraagd of uit artikel 8, eerste lid, onderdeel h, Cbw voldoende duidelijk blijkt dat wordt gedoeld op gemeenschappelijke regelingen als bedoeld in de Wet gemeenschappelijke regelingen. Ook hebben zij gevraagd of het voldoende helder is dat niet de regeling zelf, maar de bij die regeling ingestelde openbare lichamen, bedrijfsvoeringsorganisaties en gemeenschappelijke organen als entiteiten onder de Cbw vallen. Zie ook de wijziging in onderdeel C.
De laatste wijziging ziet op het opsommen van alle soorten entiteiten binnen de sector overheid, zodat dit in lijn is met de weergave van de soorten entiteiten in andere sectoren.
De Minister van Justitie en Veiligheid,
Kamerstukken II 2024/25, 36764, nr. 7, onder paragraaf 8.1.1.â©ïž
Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiĂ«nten bij grensoverschrijdende gezondheidszorg (PbEU 2011, L 88).â©ïž
Kamerstukken II 2024/25, 36764, nr. 7, onder paragraaf 8.1.1.â©ïž