Voorstel van wet : Voorstel van wet

HOOFDSTUK 1 ALGEMENE BEPALINGEN
Artikel 1 (begripsbepalingen)

HOOFDSTUK 2 NATIONALE CYBERBEVEILIGINGSCERTIFICERINGSAUTORITEIT
Artikel 2 (aanwijzing nationale cyberbeveiligingscertificeringsautoriteit)

HOOFDSTUK 3 CYBERBEVEILIGINGSCERTIFICERING ZEKERHEIDSNIVEAU HOOG
Artikel 3 (melding)
Artikel 4 (goedkeuring onderzoeksplan)
Artikel 5 (goedkeuring onderzoeksrapport en het bijbehorende Europese cyberbeveiligingscertificaat)
Artikel 6 (verlening Europees cyberbeveiligingscertificaat voor zekerheidsniveau «hoog»)
Artikel 7 (nadere regels uitvoering cyberbeveiligingsverordening en uitvoeringshandelingen)

HOOFDSTUK 4 HANDHAVING
Artikel 8 (verboden)
Artikel 9 (aanwijzing toezichthouders)
Artikel 10 (bindende aanwijzing)
Artikel 11 (intrekking goedkeuring Europese cyberbeveiligingscertificaten voor zekerheidsniveau
hoog)
Artikel 12 (last onder bestuursdwang)
Artikel 13 (bestuurlijke boete)
Artikel 14 (vergoedingen)

HOOFDSTUK 5 SLOTBEPALINGEN
Artikel 15 (mededeling bindende EU-rechtshandelingen)
Artikel 16 (wijziging Algemene wet bestuursrecht)
Artikel 17 (samenloop met wetsvoorstel Wet open overheid)
Artikel 18 (inwerkingtreding)
Artikel 19 (citeertitel)

Nr. 2 VOORSTEL VAN WET

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau,
enz. enz. enz.

Allen, die deze zullen zien of horen lezen, saluut! doen te weten:

Alzo Wij in overweging genomen hebben, dat het noodzakelijk is Verordening (EU) 2019/881
van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap
van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging
van informatie- en communicatietechnologie en tot intrekking van Verordening (EU)
nr. 526/2013 (de cyberbeveiligingsverordening) (PbEU 2019, L151) uit te voeren, en
dat het wenselijk is de hiervoor noodzakelijke bepalingen vast te stellen;

Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen
overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden
en verstaan bij deze:

HOOFDSTUK 1 ALGEMENE BEPALINGEN

Artikel 1 (begripsbepalingen)

In deze wet en de daarop berustende bepalingen wordt verstaan onder:

– conformiteitsbeoordeling:

conformiteitsbeoordeling als bedoeld in artikel 2, onderdeel 17, van de cyberbeveiligingsverordening;

– conformiteitsbeoordelingsinstantie:

conformiteitsbeoordelingsinstantie als bedoeld in artikel 2, onderdeel 18, van de cyberbeveiligingsverordening;

– cyberbeveiligingsverordening:

verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019
inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake
de certificering van de cyberbeveiliging van informatie- en communicatietechnologie
en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening
(PbEU 2019, L151);

– EU-conformiteitsverklaringen:

EU- conformiteitsverklaring afgegeven met inachtneming van artikel 53 van de cyberbeveiligingsverordening;

– Europees cyberbeveiligingscertificaat:

Europees cyberbeveiligingscertificaat als bedoeld in artikel 2, onderdeel 11, van
de cyberbeveiligingsverordening;

– Europese cyberbeveiligingscertificeringsregeling:

Europese cyberbeveiligingscertificeringsregeling als bedoeld in artikel 2, onderdeel 9,
van de cyberbeveiligingsverordening, die door de Europese Commissie is vastgesteld
op grond van artikel 49, zevende lid, van de cyberbeveiligingsverordening;

– ICT-dienst:

ICT-dienst als bedoeld in artikel 2, onderdeel 13, van de cyberbeveiligingsverordening;

– ICT-proces:

ICT-proces als bedoeld in artikel 2, onderdeel 14, van de cyberbeveiligingsverordening;

– ICT-product:

ICT-product als bedoeld in artikel 2, onderdeel 12, van de cyberbeveiligingsverordening;

– Onze Minister:

Onze Minister van Economische Zaken en Klimaat;

– zekerheidsniveau hoog:

zekerheidsniveau als bedoeld in artikel 2, onderdeel 21, in samenhang met artikel
52, zevende lid, van de cyberbeveiligingsverordening.

HOOFDSTUK 2 NATIONALE CYBERBEVEILIGINGSCERTIFICERINGSAUTORITEIT

Artikel 2 (aanwijzing nationale cyberbeveiligingscertificeringsautoriteit)

1. Onze Minister is de nationale cyberbeveiligingscertificeringsautoriteit, bedoeld
in artikel 58, eerste lid, van de cyberbeveiligingsverordening.

2. De Wet openbaarheid van bestuur is niet van toepassing op gegevens inzake cyberbeveiligingscertificaten
voor zekerheidsniveau hoog die de nationale cyberbeveiligingscertificeringsautoriteit
verkrijgt in het kader van de uitvoering van de in artikel 58, zevende lid, onderdelen a
en h, van de cyberbeveiligingsverordening aan de nationale cyberbeveiligingscertificeringsautoriteit
opgedragen taken, behalve voor zover die gegevens milieu-informatie inhouden als bedoeld
in artikel 19.1a van de Wet milieubeheer. De eerste volzin geldt ook als de gegevens
bij een ander overheidsorgaan berusten na verstrekking in het kader van deze taken.

HOOFDSTUK 3 CYBERBEVEILIGINGSCERTIFICERING ZEKERHEIDSNIVEAU HOOG

Artikel 3 (melding)

1. Een conformiteitsbeoordelingsinstantie die voornemens is een conformiteitsbeoordeling
van een ICT-product, ICT-dienst of een ICT-proces voor zekerheidsniveau hoog uit te
voeren, meldt dit aan Onze Minister bij het aangaan van de certificatieovereenkomst.

2. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld
ter uitvoering van het eerste lid, waaronder regels over:

a. de wijze waarop een melding als bedoeld in het eerste lid wordt gedaan;

b. de gegevens die ter uitvoering van het eerste lid worden verstrekt.

3. Artikel 2, tweede lid, is van overeenkomstige toepassing op gegevens als bedoeld
in het tweede lid, onderdeel b.

Artikel 4 (goedkeuring onderzoeksplan)

1. Een conformiteitsbeoordelingsinstantie die de conformiteitsbeoordeling van een ICT-product,
ICT-dienst of een ICT-proces voor zekerheidsniveau hoog uitvoert, stelt een onderzoeksplan
op waaruit blijkt op welke wijze wordt getoetst of het ICT-product, de ICT-dienst
of het ICT-proces voldoet aan de in een Europese cyberbeveiligingscertificeringsregeling
aan dat product, die dienst of dat proces gestelde eisen voor zekerheidsniveau hoog.

2. Het in het eerste lid bedoelde onderzoeksplan behoeft goedkeuring van Onze Minister,
behoudens in bij ministeriële regeling bepaalde gevallen.

3. Onze Minister verleent op aanvraag goedkeuring aan het onderzoeksplan indien het
in overeenstemming is met de in de cyberbeveiligingsverordening en in de desbetreffende
Europese cyberbeveiligingscertificeringsregeling gestelde eisen voor zekerheidsniveau
hoog.

4. Onze Minister beslist binnen acht weken na ontvangst van de aanvraag. Deze termijn
kan eenmaal met ten hoogste zes weken worden verlengd.

5. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld
ter uitvoering van het derde lid.

6. Artikel 2, tweede lid, is van overeenkomstige toepassing op gegevens verstrekt in
het kader van de in het derde lid bedoelde aanvraag.

Artikel 5 (goedkeuring onderzoeksrapport en het bijbehorende Europese cyberbeveiligingscertificaat)

1. Een conformiteitsbeoordelingsinstantie die op grond van artikel 4, derde lid, goedkeuring
van het onderzoeksplan heeft verkregen, voert certificering overeenkomstig het onderzoeksplan
uit.

2. Een conformiteitsbeoordelingsinstantie stelt een onderzoeksrapport op waaruit volgt
dat het ICT-product, de ICT-dienst of het ICT-proces voldoet aan de in een Europese
cyberbeveiligingscertificeringsregeling aan dat product, die dienst of dat proces
op zekerheidsniveau hoog gestelde eisen voor zekerheidsniveau hoog.

3. Het in het tweede lid bedoelde onderzoeksrapport alsmede het bijbehorende Europese
cyberbeveiligingscertificaat behoeft goedkeuring van Onze Minister.

4. Onze Minister verleent op aanvraag de in het derde lid bedoelde goedkeuring indien
het onderzoeksrapport en het bijbehorende Europese cyberbeveiligingscertificaat in
overeenstemming zijn met de in de cyberbeveiligingsverordening en in de desbetreffende
Europese cyberbeveiligingscertificeringsregeling gestelde eisen voor zekerheidsniveau
hoog.

5. Onze Minister beslist binnen acht weken na ontvangst van de aanvraag. Deze termijn
kan eenmaal met ten hoogste zes weken worden verlengd.

6. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld
ter uitvoering van het vierde lid.

7. Artikel 2, tweede lid, is van overeenkomstige toepassing op gegevens verstrekt in
het kader van de in het vierde lid bedoelde aanvraag.

Artikel 6 (verlening Europees cyberbeveiligingscertificaat voor zekerheidsniveau «hoog»)

Een conformiteitsbeoordelingsinstantie geeft een Europees cyberbeveiligingscertificaat
voor zekerheidsniveau hoog niet eerder af dan nadat Onze Minister de in artikel 5,
vierde lid, bedoelde goedkeuring heeft verleend.

Artikel 7 (nadere regels uitvoering cyberbeveiligingsverordening en uitvoeringshandelingen)

Onze Minister kan bij ministeriële regeling regels stellen indien en voor zover dat
nodig is voor een goede uitvoering van de cyberbeveiligingsverordening, de Europese
cyberbeveiligingscertificeringsregelingen en de door de Europese Commissie op grond
van artikel 61, vijfde lid, van de cyberbeveiligingsverordening vastgestelde uitvoeringshandelingen.

HOOFDSTUK 4 HANDHAVING

Artikel 8 (verboden)

Het is verboden in strijd te handelen met bij ministeriële regeling aangewezen voorschriften
van de cyberbeveiligingsverordening en de Europese cyberbeveiligingscertificeringsregelingen.

Artikel 9 (aanwijzing toezichthouders)

1. Met het toezicht op de naleving van het bepaalde bij of krachtens deze wet zijn belast
de bij besluit van Onze Minister aangewezen personen.

2. Van een besluit als bedoeld in het eerste lid wordt mededeling gedaan door plaatsing
in de Staatscourant.

Artikel 10 (bindende aanwijzing)

Onze Minister kan degene die niet voldoet aan het bepaalde bij of krachtens deze wet,
de cyberbeveiligingsverordening, of de Europese cyberbeveiligingscertificeringsregelingen,
door middel van het geven van een aanwijzing verplichten om binnen een daarbij gestelde
redelijke termijn de daarbij omschreven maatregelen te nemen.

Artikel 11 (intrekking goedkeuring Europese cyberbeveiligingscertificaten voor zekerheidsniveau
hoog)

Onze Minister kan de in artikel 5, derde lid, bedoelde goedkeuring intrekken indien
het cyberbeveiligingscertificaat niet voldoet aan de cyberbeveiligingsverordening
of een Europese cyberbeveiligingscertificeringsregeling.

Artikel 12 (last onder bestuursdwang)

Onze Minister is bevoegd tot oplegging van een last onder bestuursdwang ter handhaving
van het bepaalde bij of krachtens deze wet, artikel 5:20, eerste lid, van de Algemene
wet bestuursrecht, de cyberbeveiligingsverordening, en de Europese cyberbeveiligingscertificeringsregelingen.

Artikel 13 (bestuurlijke boete)

1. Onze Minister kan aan de overtreder een bestuurlijke boete opleggen in geval van
overtreding van het bepaalde bij of krachtens deze wet, de cyberbeveiligingsverordening,
de Europese cyberbeveiligingscertificeringsregelingen en artikel 5:20, eerste lid,
van de Algemene wet bestuursrecht.

2. De boete bedraagt ten hoogste € 900.000 per overtreding.

Artikel 14 (vergoedingen)

1. De kosten samenhangend met de werkzaamheden of diensten die Onze Minister verricht
ingevolge het bepaalde bij of krachtens deze wet, de cyberbeveiligingsverordening
of de Europese cyberbeveiligingscertificeringsregelingen kunnen door Onze Minister
ten laste worden gebracht van degene ten behoeve van wie deze werkzaamheden worden
verricht. Bij of krachtens algemene maatregel van bestuur worden hierover regels gesteld.

2. Bij het vaststellen van de vergoeding kunnen mede worden betrokken kosten, verband
houdend met het toezicht op de naleving van het bepaalde bij of krachtens deze wet
of van de cyberbeveiligingsverordening ten aanzien van de desbetreffende werkzaamheden
of diensten.

HOOFDSTUK 5 SLOTBEPALINGEN

Artikel 15 (mededeling bindende EU-rechtshandelingen)

Onze Minister doet in de Staatscourant mededeling van de titel, de vindplaats en de
datum van inwerkingtreding van de Europese cyberbeveiligingscertificeringsregelingen,
alsmede van wijzigingen daarvan.

Artikel 16 (wijziging Algemene wet bestuursrecht)

Bijlage 2 bij de Algemene wet bestuursrecht wordt als volgt gewijzigd:

a. In artikel 7 wordt in de alfabetische volgorde ingevoegd Uitvoeringswet cyberbeveiligingsverordening;

b. In artikel 11 wordt in de alfabetische volgorde ingevoegd: Uitvoeringswet cyberbeveiligingsverordening.

Artikel 17 (samenloop met wetsvoorstel Wet open overheid)

1. Als het bij geleidende brief van 5 juli 2012 aanhangig gemaakte voorstel van wet
van de leden Snels en Van Weyenberg houdende regels over de toegankelijkheid van informatie
van publiek belang (Wet open overheid) (Kamerstukken 33 328) tot wet is of wordt verheven, wordt in de alfabetische rangschikking van de bijlage
bij artikel 8.8 van die wet ingevoegd

• Uitvoeringswet cyberbeveiligingsverordening: de artikelen2, tweede lid, 3, derde lid,
4, zesde lid, en 5, zevende lid.

2. Als het in het eerste lid genoemde voorstel van wet tot wet is of wordt verheven
en artikel 10.1 van die wet in werking treedt, wordt in artikel 2, tweede lid, van
deze wet «Wet openbaarheid van bestuur» vervangen door «Wet open overheid».

Artikel 18 (inwerkingtreding)

De artikelen van deze wet treden in werking op een bij koninklijk besluit te bepalen
tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan
worden vastgesteld.

Artikel 19 (citeertitel)

Deze wet wordt aangehaald als: Uitvoeringswet cyberbeveiligingsverordening.

Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en dat alle ministeries,
autoriteiten, colleges en ambtenaren die zulks aangaat, aan de nauwkeurige uitvoering
de hand zullen houden.

Gegeven

De Staatssecretaris van Economische Zaken en Klimaat,