Wet beveiliging netwerk- en informatiesystemen (Wbni)


Hoofdstuk 4

Beveiligingseisen en melding van incidenten

§ 3

Meldplicht voor incidenten

Artikel 10

(aangewezen vitale aanbieder)

1 De vitale aanbieder, aangewezen op grond van artikel 5, eerste lid, onder a of b, meldt onverwijld bij Onze Minister:
a. een incident met aanzienlijke gevolgen voor de continuïteit van de door hem verleende dienst;
b. een inbreuk op de beveiliging van netwerk- en informatiesystemen die aanzienlijke gevolgen kan hebben voor de continuïteit van de door hem verleende dienst.
2 De aanbieder van een essentiële dienst meldt een incident als bedoeld in het eerste lid, onder a, ook onverwijld bij de bevoegde autoriteit.
3 Onverminderd artikel 13 meldt de aanbieder van een essentiële dienst een incident bij een digitaledienstverlener onverwijld bij Onze Minister en bij de bevoegde autoriteit, als dat incident aanzienlijke gevolgen heeft voor de continuïteit van zijn essentiële dienst.
4 Om te bepalen of een incident aanzienlijke gevolgen heeft voor de continuïteit van de essentiële dienst, worden in elk geval in aanmerking genomen:
a. het aantal gebruikers dat door de verstoring van de dienst wordt getroffen;
b. de duur van het incident;
c. de omvang van het geografische gebied dat door het incident is getroffen.
5 In afwijking van artikel 1 wordt in het derde lid onder digitaledienstverlener tevens de digitaledienstverlener verstaan die niet valt onder de jurisdictie van Nederland.

Artikel 11

(bij de melding te verstrekken gegevens)

De in artikel 10 bedoelde melding omvat in ieder geval:
a. de aard en omvang van het incident;
b. het vermoedelijke tijdstip van de aanvang van het incident;
c. de mogelijke gevolgen in en buiten Nederland van het incident;
d. een prognose van de hersteltijd;
e. zo mogelijk, de door de aanbieder genomen of te nemen maatregelen om de gevolgen van het incident te beperken of herhaling hiervan te voorkomen;
f. de contactgegevens van de functionaris die verantwoordelijk is voor het doen van de melding.

Artikel 12

(verstrekking nadere gegevens door aangewezen vitale aanbieder)

1 Desgevraagd verstrekt de aanbieder die een melding als bedoeld in artikel 10, eerste of derde lid, bij Onze Minister heeft gedaan, Onze Minister onverwijld alle overige gegevens die noodzakelijk zijn om:
a. de aanbieder bij te staan bij het treffen van maatregelen om de continuïteit van zijn diensten te waarborgen of te herstellen;
b. de risico’s in te schatten voor de netwerk- en informatiesystemen, bedoeld in artikel 3, eerste lid, aanhef.
2 Het eerste lid is van overeenkomstige toepassing als de aanbieder een incident heeft gemeld bij de bevoegde autoriteit en deze de door haar ontvangen gegevens heeft verstrekt aan Onze Minister.

Artikel 13

(digitaledienstverlener)

1 Een digitaledienstverlener meldt een incident met aanzienlijke gevolgen voor de verlening van de door hem verleende dienst in de Europese Unie onverwijld bij:
a. het CSIRT voor digitale diensten, en
b. de bevoegde autoriteit.
2 Om te bepalen of een incident aanzienlijke gevolgen heeft als bedoeld in het eerste lid, worden in elk geval in aanmerking genomen:
a. het aantal gebruikers dat door de verstoring van de dienst wordt getroffen;
b. de duur van het incident;
c. de omvang van het geografische gebied dat door het incident is getroffen.
d. de omvang van de verstoring van de werking van de dienst;
e. de omvang van de gevolgen voor de economische en maatschappelijke activiteiten.
3 Het eerste lid geldt alleen als de digitaledienstverlener toegang heeft tot de informatie die nodig is om te beoordelen of het incident aanzienlijke gevolgen heeft als bedoeld in dat lid.

Artikel 14

(verstrekking nadere gegevens door digitaledienstverleners)

1 Desgevraagd verstrekt de digitaledienstverlener die een melding als bedoeld in artikel 13, eerste lid, onder a, bij het CSIRT voor digitale diensten heeft gedaan, het CSIRT voor digitale diensten onverwijld alle overige gegevens die noodzakelijk zijn om:
a. de digitaledienstverlener bij te staan bij het treffen van maatregelen om de continuïteit van zijn diensten te waarborgen of te herstellen;
b. de risico’s in te schatten voor de netwerk- en informatiesystemen van andere digitaledienstverleners.
2 Het eerste lid is van overeenkomstige toepassing als de digitaledienstverlener een incident heeft gemeld bij de bevoegde autoriteit en zij de door haar ontvangen gegevens heeft verstrekt aan het CSIRT voor digitale diensten.

Artikel 15

(nadere regels meldplicht)

Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gegeven over de artikelen 10 tot en met 13, waaronder regels over:
a. de gegevens die ter uitvoering van de artikelen 10, 11 en 13 worden verstrekt;
b. de wijze waarop een melding als bedoeld in artikel 10 of 13 wordt gedaan en waarop gegevens als bedoeld in artikel 12 worden verstrekt.