Cyberbeveiligingsbesluit.

Bij Kabinetsmissive van 22 mei 2026, no.2026001155, heeft Uwe Majesteit, op voordracht van de Minister van Justitie en Veiligheid, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het ontwerpbesluit houdende regels ter uitvoering van de Cyberbeveiligingswet (Cyberbeveiligingsbesluit), met nota van toelichting.

Samenvatting

Het ontwerp-Cyberbeveiligingsbesluit (hierna: het ontwerpbesluit) geeft uitvoering aan de nieuwe Cyberbeveiligingswet (hierna: Cbw), die op haar beurt uitvoering geeft aan een Europese richtlijn ter verhoging van de digitale veiligheid van zogeheten "essentiële entiteiten" en "belangrijke entiteiten". (zie noot 1) Dit zijn overheidsorganisaties en (ICT-)ondernemingen die van cruciaal belang zijn voor kritieke maatschappelijke functies, economische activiteiten, de volksgezondheid of openbare veiligheid. Het ontwerpbesluit verplicht deze essentiële en belangrijke entiteiten om:

-     maatregelen te treffen om incidenten te voorkomen,
-     zich voor te bereiden op incidenten, en
-     incidenten te melden bij de verantwoordelijke minister.

Het ontwerpbesluit loopt gelijk op met het Ontwerpbesluit weerbaarheid kritieke entiteiten, dat een vergelijkbare regeling bevat voor het versterken van de fysieke weerbaarheid van kritieke entiteiten. (zie noot 2) De Afdeling brengt over beide ontwerpbesluiten gelijktijdig advies uit.

In het ontwerpbesluit is bepaald dat één categorie persoonsgegevens (gegevens die worden verwerkt door de verantwoordelijke  ministers) tien jaar lang bewaard blijft. De Afdeling merkt op dat het niet gewenst is om alle persoonsgegevens zo’n lange tijd te bewaren. Die lange termijn is alleen nodig voor gegevens die noodzakelijk zijn voor het voeren van toezichttrajecten en bestuursrechtelijke procedures. Bij een andere categorie persoonsgegevens (gegevens in het nationale register van essentiële entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen) geldt dat de vernietigingstermijn van vijf jaar telkens uitgesteld kan worden. De Afdeling adviseert een objectieve bewaartermijn vast te stellen.

Verder wordt in het ontwerpbesluit voorgesteld dat de vakminister kan voorschrijven in welke gevallen een essentiële of belangrijke entiteit een significant incident moet melden. Volgens de toelichting hoeven die regels niet openbaar te worden gemaakt. De Afdeling begrijpt het belang hiervan met het oog op de veiligheid. De vraag is echter hoe verzekerd kan worden dat de regels vertrouwelijk worden behandeld binnen de essentiële of belangrijke entiteit.

Het ontwerpbesluit voorziet erin dat de vakminister voor specifieke sectoren een apart Computer security incident response team (hierna: CSIRT) aanwijst. CSIRT’s spelen een belangrijke rol bij het ondersteunen van essentiële en belangrijke entiteiten. De Afdeling stelt de vraag of het aanwijzen van zo’n CSIRT niet zou moeten plaatsvinden bij algemene maatregel van bestuur of in overeenstemming met de minister van Justitie.

Tot slot adviseert de Afdeling in de toelichting aandacht te besteden aan de nafase nadat een significant incident heeft plaatsgevonden bij een belangrijke of essentiële entiteit.

In verband met deze opmerkingen is aanpassing wenselijk van het ontwerpbesluit en de toelichting.

1. De termijn voor het bewaren van persoonsgegevens

a. Noodzaak van een bewaartermijn van tien jaar
In het ontwerpbesluit worden verschillende onderdelen uit de Cbw nader ingevuld. Zo worden onder meer eisen gesteld waaraan CSIRT’s moeten voldoen. Ook wordt voorgeschreven welke maatregelen de essentiële of belangrijke entiteit ten minste moet nemen om aan de zorgplicht te voldoen. Daarnaast worden termijnen gesteld voor het bewaren van persoonsgegevens.

Persoonsgegevens die door de verantwoordelijke ministers worden verwerkt, hebben volgens het ontwerpbesluit een uiterste bewaartermijn van 120 maanden. (zie noot 3) De Autoriteit persoonsgegevens heeft opgemerkt dat de noodzaak van deze termijn onvoldoende is gemotiveerd. (zie noot 4) In de artikelsgewijze toelichting schrijft de regering dat deze termijn noodzakelijk is vanwege langlopende toezichtstrajecten en bijhorende bestuursrechtelijke procedures, waarvan niet uitgesloten is dat deze een kortere bewaartermijn zullen overschrijden. (zie noot 5)

De Afdeling merkt op dat niet aannemelijk is gemaakt dat het nodig is om alle gegevens tien jaar te bewaren, alleen omdat een klein deel van de gegevens noodzakelijk is voor langlopende toezichtstrajecten en bestuursrechtelijke procedures (beginsel van minimale gegevensverwerking). De meeste gegevens die bewaard moet worden zijn geen historische gegevens, maar actuele gegevens waarmee de betrokkenen elkaar moeten kunnen bereiken, zoals e-mailadressen en telefoonnummers. (zie noot 6) De bewaartermijn van tien jaar kan dan ook worden beperkt tot de kleine categorie van gegevens die noodzakelijk is voor toezichts- en bestuursrechtelijke procedures. (zie noot 7)

De Afdeling adviseert om voor gegevens die niet noodzakelijk zijn voor toezicht en bestuursrechtelijke procedures een kortere bewaartermijn vast te stellen.

b. Criterium bij de bewaartermijn
Het concept van het besluit zoals voorgelegd aan de Autoriteit Persoonsgegevens bepaalde dat persoonsgegevens in het nationale register van essentiële entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen maximaal 60 maanden na de laatste wijziging worden bewaard. De AP merkte over het criterium "na de laatste wijziging" op dat deze gegevens naar verwachting steeds aangepast of gewijzigd moeten worden, zodat deze gegevens in de praktijk oneindig bewaard kunnen worden. (zie noot 8) Om aan deze opmerking tegemoet te komen is de bewaartermijn gewijzigd in 60 maanden na de laatste bevestiging van de juistheid van de betreffende persoonsgegevens. (zie noot 9)

De vraag rijst of dit criterium wel voldoende waarborgen biedt. Met de gekozen constructie lijkt de peildatum van de bewaartermijn immers steeds opnieuw aan te kunnen vangen na een nieuwe bevestiging van de juistheid van de betreffende persoonsgegevens. De Afdeling merkt op dat dit het risico met zich brengt dat gegevens aanmerkelijk langer kunnen worden bewaard dan de beoogde maximale termijn van 60 maanden. Mede met het oog op de rechtszekerheid van alle betrokkenen dient een objectief vast te stellen bewaartermijn te worden geregeld. (zie noot 10)

De Afdeling adviseert de regeling van de bewaartermijn in het licht van het voorgaande aan te passen.

2. Bindende criteria die niet openbaar worden gemaakt

In de Cbw is een "significant incident" een centraal begrip. Een essentiële of belangrijke entiteit moet incidenten die de dienstverlening ernstig verstoren of financiële verliezen voor de entiteit veroorzaken, melden bij de verantwoordelijke minister. (zie noot 11) Als het incident niet "significant" is, hoeft dat niet. Bij of krachtens algemene maatregel van bestuur worden de criteria vastgesteld om te bepalen of een incident "significant" is. (zie noot 12)

Het ontwerpbesluit werkt deze criteria verder uit. De vakminister kan (na overleg met de minister van J&V) de criteria vaststellen bij ministeriële regeling. Voor specifieke entiteiten kan hij die criteria daarnaast vaststellen bij besluit. (zie noot 13) Dit laatste biedt de mogelijkheid om criteria vast te stellen die niet geopenbaard hoeven te worden wanneer dit voor specifieke entiteiten en voor de nationale veiligheid onaanvaardbare risico’s met zich kan meebrengen, zo stelt de toelichting. (zie noot 14)

Deze keuze van de regering is begrijpelijk. Algemeen verbindende voorschriften kunnen niet in werking treden als ze niet bekend, en daarmee openbaar, zijn gemaakt. (zie noot 15) Besluiten kunnen worden bekendgemaakt door toezending of uitreiking aan de belanghebbenden. (zie noot 16) Verdere verspreiding van zulke besluiten is geen voorwaarde voor inwerkingtreding. De entiteit kan de criteria, opgenomen in het besluit, dus vertrouwelijk behandelen.

Dit roept wel de vraag op hoe verzekerd is dat de entiteit en haar medewerkers het besluit inderdaad vertrouwelijk behandelen. Sommige entiteiten zijn bestuursorganen; voor hen geldt de algemene verplichting om gegevens die een vertrouwelijk karakter hebben geheim te houden. (zie noot 17) Andere entiteiten vallen niet onder de overheid en dus ook niet onder de algemene geheimhoudingsplicht.

De Afdeling adviseert in de toelichting in te gaan op de vraag hoe verzekerd is dat de hier bedoelde besluiten vertrouwelijk worden behandeld.

3. Niveau waarop CSIRT’s worden aangewezen

Het stelsel voor cyberbeveiliging kent een centrale rol toe aan zogeheten Computer security incident response teams (hierna: CSIRT’s). Een CSIRT heeft als taak om, kort gezegd,

-     cyberdreigingen, kwetsbaarheden en incidenten te monitoren,
-     de netwerk- en informatiesystemen van essentiële of belangrijke entiteiten te monitoren,
-     de entiteiten bij te staan, ook bij incidenten, en
-     het publiek te informeren over een significant incident. (zie noot 18)

Bij of krachtens algemene maatregel van bestuur wordt voor elke essentiële entiteit en elke belangrijke entiteit een CSIRT aangewezen. (zie noot 19)

In het ontwerpbesluit wordt alleen de minister van Justitie en Veiligheid aangewezen als CSIRT. Die taak zal worden uitgeoefend door het Nationaal Cyber Security Centrum, een onderdeel van het Ministerie. (zie noot 20) Wel kan ook een vakminister bij ministeriële regeling een andere organisatie als CSIRT aanwijzen voor entiteiten die actief zijn op het terrein van die minister. Hij doet dit na overleg met de minister van J&V; formele instemming van de minister van J&V is dus niet vereist. Wanneer een vakminister een organisatie aanwijst als CSIRT, beperkt dat het werkterrein van de minister van J&V als algemene CSIRT.

Volgens de toelichting zullen langs deze route in ieder geval drie bestaande organisaties als CSIRT worden aangewezen: (zie noot 21)

-     voor de zorgsector: Z-CERT,
-     voor de gemeenten: de Informatiebeveiligingsdienst, onderdeel van VNG Realisatie BV,
-     voor de waterschappen: het CERT Watermanagement, dat nu nog een onderdeel is van de gemeenschappelijke regeling van waterschappen.

Een CSIRT heeft geen dwingende overheidsbevoegdheden, maar speelt wel een centrale rol bij het uitwisselen en openbaar maken van informatie rond situaties waarin essentiële veiligheid in het geding is. De vraag kan gesteld worden of de ministeriële regeling het meest passende instrument is om een CSIRT aan te wijzen en daarmee de bevoegdheid van de minister van J&V te beperken. De ministeriële regeling is immers bedoeld voor administratieve voorschriften, details of bepalingen die snel gewijzigd moeten kunnen worden, (zie noot 22) maar niet voor belangrijke beleidsbeslissingen.

De Afdeling adviseert daarom alle CSIRT’s aan te wijzen bij algemene maatregel van bestuur.

4. Fase na de aanzienlijke verstoring

In de wet en het ontwerpbesluit is geregeld dat de belangrijke of essentiële entiteit maatregelen moet nemen om een significant incident te voorkomen, zoals het opstellen van een plan hoe met een incident moet worden omgegaan. De toelichting gaat echter niet in op wat verwacht wordt van een belangrijke of essentiële entiteit in de fase na een significant incident heeft plaatsgevonden. Hierbij kan gedacht worden aan het wettelijk verplichte evalueren van de maatregelen die voortvloeien uit de zorgplicht. (zie noot 23) Maar ook aan niet-verplichte stappen die een belangrijke of essentiële entiteit kan nemen in de fase nadat een significant incident is afgesloten, zoals het bieden van nazorg aan personeel, klanten en aanvullende trainingen. (zie noot 24)

De Afdeling adviseert in de toelichting aandacht te besteden aan de nafase nadat een significant incident heeft plaatsgevonden bij een belangrijke of essentiële entiteit.

De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het ontwerpbesluit en adviseert daarmee rekening te houden voordat een besluit wordt genomen.

De vice-president van de Raad van State

Voetnoten

(1) Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (PbEU 2022, L 333).
(2) Zaak W16.26.00142.
(3) Artikel 29, derde lid, Cbb.
(4) Advies van 10 april 2025, kenmerk gelakt, blz. 3.
(5) Toelichting op artikel 29, zesde tekstblok.
(6) Toelichting op artikel 29, vierde tekstblok.
(7) Zo’n uitzondering komt vaker voor in wetgeving, bijvoorbeeld artikel 1.8, zevende lid, van de Wet gegevensverwerking door samenwerkingsverbanden.
(8) Advies AP van 20 februari 2025, kenmerk 005745.
(9) Artikel 29, tweede lid; paragraaf 4.2 (Advies AP) van de toelichting.
(10) Zie in dit verband ook het advies van 10 december 2025, W16.25.00308, over het Besluit bestuursrechtelijke aanpak online kinderpornografisch materiaal, punt 2, en het advies van 4 januari 2024, W16.23.00391, over de Wet gemeentelijk toezicht seksbedrijven, nog geen nader rapport.
(11) Artikel 25, eerste tot en met tweede lid, Cbw.
(12) Artikel 25, derde lid, Cbw.
(13) Artikel 23, eerste lid, Cbb.
(14) Toelichting op artikel 23, tweede tekstblok.
(15) Artikelen 88 en 89 van de Grondwet; artikel 8 van de Bekendmakingswet.
(16) Artikel 3:41, eerste ld, van de Algemene wet bestuursrecht.
(17) Artikel 2:5 van de Algemene wet bestuursrecht. Tegen deze verplichting kan overigens niet handhavend worden opgetreden.
(18) Artikelen 16, tweede lid, 36 en 37 Cbw.
(19) Artikel 16, eerste lid, Cbw.
(20) Toelichting op artikel 2, eerste lid. Artikelen 2, derde lid, onderdeel a, onder 3, en 63h1 van het Organisatiebesluit Ministerie van Justitie en Veiligheid.
(21) Toelichting op artikel 2, tweede lid.
(22) Aanwijzing 2.24 van de Aanwijzingen voor de regelgeving.
(23) Artikel 18 Cbb.
(24) Zie bijvoorbeeld ook de thema’s uit de Themalijst Nafase en herstel uit het Nationaal Handboek Crisisbeheersing van het Ministerie van Justitie en Veiligheid.