Nota van wijziging : Nota van wijziging
36 764 Regels ter implementatie van Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (PbEU 2022, L 333) (Cyberbeveiligingswet)
Nr. 9 NOTA VAN WIJZIGING
Ontvangen 21 november 2025
Het voorstel van wet wordt als volgt gewijzigd:
A
In artikel 1 wordt de definitie van root-naamserver vervangen door «een gezaghebbende
naamserver voor de root-zone van het domeinnaamsysteem (DNS) van het internet».
B
In artikel 5, eerste lid, wordt na «Deze wet» ingevoegd «, met uitzondering van artikel 96,».
C
In artikel 8, eerste lid, onderdeel h, wordt «gemeenschappelijke regelingen voor zover
deze laatste kwalificeren als overheidsinstantie» vervangen door «openbare lichamen,
gemeenschappelijke organen en bedrijfsvoeringsorganisaties als bedoeld in artikel 8,
eerste, tweede, onderscheidenlijk derde lid, van de Wet gemeenschappelijke regelingen,
voor zover deze openbare lichamen, gemeenschappelijke organen en bedrijfsvoeringsorganisaties
kwalificeren als overheidsinstantie».
D
In artikel 14, onderdeel a, vervalt «bevoegde».
E
Artikel 15, eerste lid, wordt als volgt gewijzigd:
1. De rij over Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties wordt vervangen
door:
Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties
overheid
centrale overheden
decentrale overheden, uitgezonderd de waterschappen
2. In de rij over Onze Minister van Infrastructuur en Waterstaat wordt «waterschappen»
vervangen door «decentrale overheden, alleen voor wat betreft de waterschappen».
F
Artikel 25 wordt als volgt gewijzigd:
1. Het derde lid komt te luiden:
3. Bij of krachtens algemene maatregel van bestuur kunnen de criteria worden vastgesteld
op basis waarvan wordt bepaald of sprake is van een significant incident als bedoeld
in het tweede lid, waarbij onderscheid kan worden gemaakt tussen sectoren, subsectoren,
soorten entiteiten en entiteiten.
2. Er wordt een lid toegevoegd, luidende:
4. Ten aanzien van de entiteiten waarvoor in uitvoeringshandelingen op grond van artikel 23,
elfde lid, van de NIS2-richtlijn nader is gespecificeerd in welke gevallen een incident
bij die entiteiten als significant wordt beschouwd, kunnen bij of krachtens algemene
maatregel van bestuur naast de hiervoor bedoelde specificaties in uitvoeringshandelingen,
aanvullende criteria worden vastgesteld op basis waarvan wordt bepaald of sprake is
van een significant incident als bedoeld in het tweede lid, waarbij onderscheid kan
worden gemaakt tussen sectoren, subsectoren, soorten entiteiten en entiteiten.
G
In artikel 96, derde lid, wordt «vierde lid» vervangen door «derde lid».
H
In artikel 99, onderdeel D, subonderdeel 2, vervalt de komma in de zinsnede «Het vierde
lid,».
I
Artikel 101, onderdeel 2, komt te luiden:
2. De onderdelen met betrekking tot de Telecommunicatiewet en de Wet beveiliging netwerk-
en informatiesystemen komen te vervallen.
J
Na artikel 103 worden twee artikelen ingevoegd, luidende:
Artikel 103a (wijziging Wet bekostiging financieel toezicht 2019)
In artikel 2, tweede lid, onderdeel d, van de Wet bekostiging financieel toezicht
2019 wordt «Wet beveiliging netwerk- en informatiesystemen» vervangen door «Cyberbeveiligingswet».
Artikel 103b (wijziging Wet coördinatie terrorismebestrijding en nationale veiligheid)
In artikel 6, onderdeel e, van de Wet coördinatie terrorismebestrijding en nationale
veiligheid wordt «Wet beveiliging netwerk- en informatiesystemen» vervangen door «Cyberbeveiligingswet».
K
Bijlage 1 wordt als volgt gewijzigd:
1. In de rij over de sector gezondheidszorg wordt «Een zorgaanbieder als bedoeld in
artikel 1 van de Wet kwaliteit, klachten en geschillen zorg» vervangen door «Een zorgaanbieder
als bedoeld in artikel 1, eerste lid, van de Wet kwaliteit, klachten en geschillen
zorg».
2. In de rij over de sector drinkwater wordt «artikel 2, onderdeel 1, a),» vervangen
door «artikel 2, onderdeel 1, subonderdeel a,».
3. De rij over de sector overheid wordt vervangen door:
Overheid
Centrale overheden
– Ministeries met inbegrip van de daartoe behorende dienstonderdelen doch met uitzondering
van de inlichtingen- en veiligheidsdiensten, bedoeld in de Wet op de inlichtingen-
en veiligheidsdiensten 2017
– Zelfstandige bestuursorganen, voor zover zij kwalificeren als overheidsinstantie
Decentrale overheden
– Provincies
– Gemeenten
– Waterschappen
– Openbare lichamen, gemeenschappelijke organen en bedrijfsvoeringsorganisaties als
bedoeld in artikel 8, eerste, tweede, onderscheidenlijk derde lid, van de Wet gemeenschappelijke
regelingen, voor zover deze openbare lichamen, gemeenschappelijke organen en bedrijfsvoeringsorganisaties
kwalificeren als overheidsinstantie
Toelichting
Deze nota van wijziging strekt tot het wijzigen van het wetsvoorstel Cyberbeveiligingswet
(hierna: Cbw). De wijzigingen zien primair op technische correcties en verduidelijkingen
en worden hierna per onderdeel toegelicht.
Onderdeel A
Deze wijziging betreft een nog nauwkeurigere afbakening van het begrip root-naamserver.
In de memorie van toelichting op het wetsvoorstel is reeds toegelicht dat met het
begrip de root-naamservers van het internet worden bedoeld waarvan er momenteel dertien
in gebruik zijn. Deze zijn internationaal gekoppeld. Elke root-naamserver bestaat
uit tientallen tot honderden wereldwijd verspreide zelfstandige servers, die elkaar
in geval van verstoringen kunnen vervangen. Met deze wijziging wordt duidelijk gemaakt
dat het begrip root-naamservers uitsluitend betrekking heeft op gezaghebbende naamservers
en niet op andere naamservers waar gebruik wordt gemaakt van een kopie van de zogenaamde
root-zonebestand («.» zone), bijvoorbeeld conform RFC7706. Een gezaghebbende naamserver
voor de root-zone bevat de authentieke DNS-records voor topleveldomeinnamen van het
internet en zit op het hoogste niveau in de internet-DNS-hiërarchie.
De in artikel 6 Cbw geregelde uitzondering voor root-naamservers dient restrictief
te worden uitgelegd en omvat alleen de netwerk- en informatiesystemen die uitsluitend
voor het verlenen van de gezaghebbende domeinnaamomzettingsdiensten voor de root-zone
gebruikt worden.
Onderdeel B
Deze wijziging regelt dat artikel 96 Cbw, anders dan de rest van de Cbw, wel van toepassing
is op het Ministerie van Defensie, de inlichtingen- en veiligheidsdiensten, het openbaar
ministerie, de politie, de veiligheidsregio’s en andere bij algemene maatregel van
bestuur aangewezen overheidsinstanties die in hoofdzaak activiteiten uitvoeren op
het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving.
Artikel 96 Cbw regelt dat vitale aanbieders en andere aanbieders die onderdeel zijn
van de Rijksoverheid, die op grond van artikel 3, eerste lid, Wet beveiliging netwerk-
en informatiesystemen recht hebben op bijstand, informatie en advies bij cyberdreigingen
en -incidenten van de Minister van Justitie en Veiligheid (in de praktijk: het Nationaal
Cyber Security Centrum), dat recht blijven behouden als zij niet als essentiële entiteit
of belangrijke entiteit onder de toepasselijkheid van de Cbw vallen. Een strikte lezing
van artikel 5, eerste lid, van het ingediende wetsvoorstel zou echter betekenen dat
artikel 96 Cbw niet van toepassing is op de hiervoor genoemde organisaties en er dus
ook geen recht is op de bijstand, de informatie en het advies zoals hiervoor bedoeld.
Dat is geenszins de bedoeling geweest, de bedoeling is juist om dat recht te continueren.
Met de wijziging van artikel 5, eerste lid, van het wetsvoorstel wordt deze omissie
hersteld.
Voor de goede orde wordt hierbij het volgende benadrukt ten aanzien van de organisaties
die in artikel 1 Cbw worden uitgezonderd van het begrip overheidsinstantie (onder
meer de rechtbanken en de gerechtshoven). Voor die organisaties geldt dat, voor zover
zij op dit moment vitale aanbieder of andere aanbieder die onderdeel is van de Rijksoverheid
zijn, en om die reden op grond van artikel 3, eerste lid, Wet beveiliging netwerk-
en informatiesystemen recht hebben op de bijstand, de informatie en het advies zoals
hiervoor bedoeld, zij uiteraard op grond van artikel 96 Cbw dat recht zullen blijven
behouden.
Onderdeel C
Deze wijziging ziet op het vervangen van «gemeenschappelijke regelingen» door «openbare
lichamen, gemeenschappelijke organen en bedrijfsvoeringsorganisaties als bedoeld in
artikel 8, eerste, tweede, onderscheidenlijk derde lid, van de Wet gemeenschappelijke
regelingen», zulks ter verduidelijking naar aanleiding van vragen hierover van de
leden van de NSC-fractie in het verslag op het wetsvoorstel.1 Die leden hebben gevraagd of uit artikel 8, eerste lid, onderdeel h, Cbw voldoende
duidelijk blijkt dat wordt gedoeld op gemeenschappelijke regelingen als bedoeld in
de Wet gemeenschappelijke regelingen. Ook hebben zij gevraagd of het voldoende helder
is dat niet de regeling zelf, maar de bij die regeling ingestelde openbare lichamen,
bedrijfsvoeringsorganisaties en gemeenschappelijke organen als entiteiten onder de
Cbw vallen. Zie ook de wijzigingen in onderdeel K, subonderdeel 3.
Onderdeel D
Artikel 8, vierde lid, NIS2-richtlijn gaat over grensoverschrijdende samenwerking
van de autoriteiten. In artikel 14, onderdeel a, van het ingediende wetsvoorstel,
welke strekt tot de implementatie van artikel 8, vierde lid, NIS2-richtlijn, is dit
per abuis geïmplementeerd naar grensoverschrijdende samenwerking van de bevoegde autoriteiten.
Deze fout wordt met de wijziging van artikel 14, onderdeel a, van het wetsvoorstel
gecorrigeerd.
Onderdeel E, subonderdelen 1 en 2
Deze wijzigingen strekken tot het aanpassen van de benamingen van de subsectoren in
de sector overheid, omdat deze benamingen slechts een herhaling zijn van de soorten
entiteiten binnen de sector overheid. Met de nieuwe benamingen van de subsectoren
in de sector overheid (te weten de subsector centrale overheden en de subsector decentrale
overheden) zijn er overkoepelende termen die meer passend zijn als benaming voor een
subsector. Zie ook de in onderdeel K, subonderdeel 3, geregelde wijziging van bijlage
1 van het ingediende wetsvoorstel.
Voor de goede orde wordt hierbij benadrukt dat deze wijzigingen (van de benamingen
van de subsectoren in de sector overheid) geen verandering brengen in de bevoegde
autoriteit voor de waterschappen. Dat betreft nog steeds de Minister van Infrastructuur
en Waterstaat, zoals dat ook is geregeld in het ingediende wetsvoorstel.
Onderdeel F, subonderdeel 1
Artikel 25, derde lid, van het ingediende wetsvoorstel betreft een dwingende bepaling
over het vaststellen van de criteria (die ook wel drempelwaarden worden genoemd) op
basis waarvan wordt bepaald of sprake is van een significant incident, waarbij onderscheid
kan worden gemaakt tussen sectoren, subsectoren en soorten entiteiten. Deze bepaling
wordt op een tweetal punten aangepast.
Allereerst wordt deze dwingende bepaling veranderd naar een facultatieve bepaling,
zodat het niet meer verplicht is om voor alle parameters, die zijn opgenomen in artikel 25,
tweede lid, Cbw, de criteria (drempelwaarden) vast te stellen op basis waarvan wordt
bepaald of sprake is van een significant incident. Er is besloten om het wetsvoorstel
op dit punt te veranderen, omdat bij de uitwerking van de drempelwaarden is gebleken
dat in sommige sectoren niet alle parameters te vervatten zijn in drempelwaarden,
zoals de parameter over financiële schade ten aanzien van de sector overheid.
De andere wijziging regelt dat bij het vaststellen van de hiervoor bedoelde criteria
(drempelwaarden) ook onderscheid kan worden gemaakt tussen entiteiten. Dit biedt de
vakminister ruimte voor maatwerk ten aanzien van specifieke entiteiten.
Onderdeel F, subonderdeel 2
De toevoeging van een nieuw lid (vierde lid) aan artikel 25 Cbw betreft een verduidelijking.
Het nieuwe lid gaat over entiteiten waarvoor in uitvoeringshandelingen op grond van
artikel 23, elfde lid, NIS2-richtlijn al nader is gespecificeerd in welke gevallen
een incident bij de daarin bepaalde entiteiten als significant wordt beschouwd. Het
nieuwe lid verduidelijkt dat in die gevallen aanvullende criteria kunnen worden vastgesteld
op basis waarvan wordt bepaald of sprake is van een significant incident, naast de
in de hiervoor bedoelde uitvoeringshandelingen nader gespecificeerde gevallen.
Onderdeel G
Met deze wijziging wordt een verwijzingsfout gecorrigeerd.
Onderdeel H
Met deze wijziging wordt een abusievelijk opgenomen komma verwijderd.
Onderdeel I
Deze wijziging regelt dat niet alleen de vermelding van de Telecommunicatiewet uit
de bijlage bij artikel 8.8 Wet open overheid wordt gehaald, maar ook de vermelding
van de Wet beveiliging netwerk- en informatiesystemen. De laatstgenoemde wet komt
immers met de inwerkingtreding van de Cbw te vervallen (zie artikel 106 Cbw).
Onderdeel J
De Wet coördinatie terrorismebestrijding en nationale veiligheid en de Wet bekostiging
financieel toezicht 2019 bevatten een verwijzing naar de Wet beveiliging netwerk-
en informatiesystemen. De laatstgenoemde wet zal echter met de inwerkingtreding van
de Cbw komen te vervallen (zie artikel 106 Cbw). Met de in dit onderdeel geregelde
invoeging van twee artikelen worden de in de Wet coördinatie terrorismebestrijding
en nationale veiligheid en de Wet bekostiging financieel toezicht 2019 opgenomen verwijzingen
naar de Wet beveiliging netwerk- en informatiesystemen gewijzigd naar verwijzingen
naar de Cbw.
Onderdeel K, subonderdeel 1
Deze wijziging ziet op het veranderen van de verwijzing naar het hele artikel 1 Wet
kwaliteit, klachten en geschillen in de zorg (hierna: Wkkgz) naar een verwijzing naar
artikel 1, eerste lid, Wkkgz.
In bijlage I van de NIS2-richtlijn is in de sector gezondheidszorg als soort entiteit
opgenomen: zorgaanbieders zoals gedefinieerd in artikel 3, punt g, van Richtlijn 2011/24/EU.2Ter implementatie hiervan is in bijlage 1 bij het ingediende wetsvoorstel in de sector
gezondheidszorg opgenomen: zorgaanbieders als bedoeld in artikel 1 Wkkgz. Artikel 1,
zesde lid, Wkkgz bepaalt echter dat een instelling die in het kader van de door een
andere instelling verleende zorg een deel van die zorg uitvoert, niet als zorgaanbieder
in de zin van de Wkkgz wordt aangemerkt. Hierbij kan het bijvoorbeeld gaan om een
laboratorium, dat enkel in opdracht van een ziekenhuis werkt. Door de verwijzing naar
het hele artikel 1 Wkkgz te veranderen naar een verwijzing naar artikel 1, eerste
lid, Wkkgz, vallen de hiervoor bedoelde instellingen, voor zover zij essentiële entiteit
of belangrijke entiteit zijn, ook onder de Cbw. Deze verandering zorgt voor een definitie
van zorgaanbieder die meer passend en correct is in relatie tot de definitie hiervan
in de NIS2-richtlijn.
Onderdeel K, subonderdeel 2
Deze wijziging verandert de wijze waarop naar een subonderdeel wordt verwezen en zorgt
voor consistentie met andere verwijzingen in de Cbw naar (sub)onderdelen.
Onderdeel K, subonderdeel 3
De rij over de sector overheid in bijlage 1 van het ingediende wetsvoorstel wordt
op een drietal punten veranderd.
Allereerst worden de benamingen van de subsectoren in de sector overheid aangepast,
omdat deze benamingen slechts een herhaling zijn van de soorten entiteiten binnen
de sector overheid. Met de nieuwe benamingen van de subsectoren in de sector overheid
(te weten de subsector centrale overheden en de subsector decentrale overheden) zijn
er overkoepelende termen die meer passend zijn als benaming voor een subsector. Zie
ook de in onderdeel E geregelde wijzigingen.
De tweede wijziging ziet op het vervangen van «gemeenschappelijke regelingen» door
«openbare lichamen, gemeenschappelijke organen en bedrijfsvoeringsorganisaties als
bedoeld in artikel 8, eerste, tweede, onderscheidenlijk derde lid, van de Wet gemeenschappelijke
regelingen», zulks ter verduidelijking naar aanleiding van vragen hierover van de
leden van de NSC-fractie in het verslag op het wetsvoorstel.3 Die leden hebben gevraagd of uit artikel 8, eerste lid, onderdeel h, Cbw voldoende
duidelijk blijkt dat wordt gedoeld op gemeenschappelijke regelingen als bedoeld in
de Wet gemeenschappelijke regelingen. Ook hebben zij gevraagd of het voldoende helder
is dat niet de regeling zelf, maar de bij die regeling ingestelde openbare lichamen,
bedrijfsvoeringsorganisaties en gemeenschappelijke organen als entiteiten onder de
Cbw vallen. Zie ook de wijziging in onderdeel C.
De laatste wijziging ziet op het opsommen van alle soorten entiteiten binnen de sector
overheid, zodat dit in lijn is met de weergave van de soorten entiteiten in andere
sectoren.
De Minister van Justitie en Veiligheid, F. van Oosten
Ondertekenaars
-
Eerste ondertekenaar
F. van Oosten, minister van Justitie en Veiligheid
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.