De Critical Entities Resilience Directive: de toekomst van veerkrachtige essentiële sectoren in Europa

    - / 13 March 2025

    In een wereld die steeds meer onderhevig is aan een dynamisch dreiglandschap, van cyberaanvallen tot natuurrampen en andere fysieke dreigingen, wordt de veerkracht van essentiële diensten belangrijker dan ooit tevoren. De Critical Entities Resilience Directive (CER)-richtlijn is een belangrijke stap in het versterken van de veiligheid en continuïteit van deze diensten binnen de Europese Unie (EU).

    Wat is de Critical Entities Resilience Directive (CER)?

    De CER-richtlijn is eind 2022 aangenomen door het Europees Parlement en de Raad van de Europese Unie om de veerkracht van cruciale infrastructuren te versterken. Naast de CER-richtlijn is ook de Network and Information Security Directive (NIS2-richtlijn) vastgesteld, die zich richt op het waarborgen en verhogen van de cyberweerbaarheid voor essentiële en belangrijke sectoren. Beide richtlijnen hebben als doel een versterking van de fysieke, digitale en economische weerbaarheid van Europese lidstaten. De CER-richtlijn verplicht EU-lidstaten om maatregelen te nemen ter bescherming van essentiële diensten tegen fysieke dreigingen zoals terrorisme, sabotage en natuurrampen. Het richt zich op organisaties die vitale diensten leveren, de zogenaamde ‘kritieke entiteiten’ zoals: energie, drinkwater, vervoer, digitale infrastructuur, levensmiddelenindustrie, volksgezondheid, infrastructuur voor de financiële markt, afvalwater, overheid, bankwezen en ruimtevaart.

    CER-richtlijn in Nederland: De wet weerbaarheid kritieke entiteiten

    De Wet Weerbaarheid Kritieke Entiteiten (Wwke) is de Nederlandse wet die de implementatie van de CER-richtlijn regelt. De Wwke heeft als doel om de weerbaarheid te verhogen van organisaties die essentiële diensten leveren in Nederland. Het doel van de Wwke is het waarborgen van de levering van essentiële diensten in de interne markt en daarmee het beschermen van de nationale veiligheid. Het gaat om de weerbaarheid tegen allerlei door de natuur of door de mens veroorzaakte dreigingen, die deze diensten ernstig kunnen verstoren of ontregelen.

    Als organisatie kan je niet zelf bepalen of je onder de Wwke valt, maar bepalen de verschillende ministeries welke organisaties essentiële diensten leveren die onder de wet vallen. Om dit vast te stellen wordt er door middel van een risicobeoordeling vastgesteld in hoeverre een organisatie een onmisbare dienst levert voor het functioneren van maatschappelijke functies en/of economische activiteiten. Wanneer een organisatie wordt aangemerkt als een kritieke entiteit dan wordt NIS2 een verplicht onderdeel van de naleving, zelfs als de organisatie niet voldoet aan de reguliere toepassingscriteria van NIS2. Dit komt doordat het belang van de digitale beveiliging van kritieke infrastructuren belangrijk is in het kader van zowel veerkracht als bescherming tegen cyberdreigingen.

    Verplichtingen van de CER – Wwke

    Waar NIS2 alleen verplichtingen heeft voor organisaties legt de CER ook verplichtingen aan de lidstaten. Dit maakt de CER-richtlijn breder in zijn aanpak en zorgt ervoor dat de bescherming van kritieke infrastructuren en diensten op zowel organisatorische als nationale niveau gewaarborgd worden. De Rijksoverheid is daarom verplicht om periodiek een nationale strategie te ontwikkelen die gericht is op het versterken van de weerbaarheid van kritieke entiteiten. Daarnaast voeren ze periodiek een (sectorale) risicobeoordeling uit. Het ministerie van Justitie en Veiligheid stelt samen met de betrokken ministeries de strategie vast en de vakminister voert de sectorale risicobeoordeling uit. Vervolgens wordt de strategie en risicobeoordeling gedeeld met de desbetreffende organisatie zodat zij deze kunnen gebruiken bij het uitvoeren van de eigen risicobeoordeling. Organisaties die vallen onder de CER-verplichtingen en daarmee onder de Wwke moeten onder andere rekening houden met de volgende verplichtingen:

    • Risicobeoordeling: Op basis van een risicobeoordeling moeten organisaties maatregelen treffen om hun dienstverlening te waarborgen en bescherming van hun informatie te garanderen. De eerste risicobeoordeling moet uiterlijk negen maanden nadat een organisatie is aangewezen als kritieke entiteit plaatsvinden en de risicobeoordelingen moeten periodiek uitgevoerd en herzien worden. Vanaf dat moment ben je als organisatie verplicht om de risicobeoordeling om de vier jaar uit te voeren, of eerder als daar aanleiding toe is. De CER-richtlijn stelt tevens dat indien een risicobeoordeling op basis van een andere wet, bijvoorbeeld de NIS2 is uitgevoerd, deze risicobeoordeling kan worden gebruikt om te voldoen aan de verplichtingen binnen de CER-richtlijn. De toezichthoudende autoriteit dient echter te bevestigen dat de risicobeoordeling al dan niet in volledige of gedeeltelijke mate voldoet aan de eisen van de CER-richtlijn.
    • Zorgplicht: Organisaties zijn verplicht om passende en evenredige technische, beveiligings- en organisatorische maatregelen te nemen om weerbaarheid te waarborgen. Om te voldoen aan de zorgplicht moeten in ieder geval de volgende maatregelen genomen worden:

    1.  Voorkomen dat incidenten zich voordoen: Een organisatie dient alle relevante dreigingen die de dienstverlening kunnen verstoren in overweging te nemen en de noodzakelijke maatregelen treffen om de risico's van rampen en klimaatveranderingsgevolgen te beperken. Door het implementeren van bijvoorbeeld een Incident Response Plan (IRP) kan een organisatie snel en gestructureerd reageren op beveiligingsincidenten.

    2. Adequate fysieke bescherming van gebouwen en kritieke infrastructuur: Bijvoorbeeld door het plaatsen van omheiningen, het plaatsen van barrières, bewaken van de omgeving door middel van het inzetten van instrumenten en routines, detectieapparatuur en toegangscontroles.

    3. De gevolgen van incidenten bestrijden, beperken en tegengaan: Door het uitvoeren van risico- en crisisbeheersingsprocedures, protocollen en waarschuwingsroutines kunnen incident geneutraliseerd worden

    4. Herstellen van incidenten: Aan de hand van bedrijfscontinuïteitsmaatregelen ervoor zorgen dat de dienstverlening kan worden hervat.

    5. Zorgen voor adequaat beheer van personeelsbeveiliging: Enkele voorbeelden van maatregelen zijn: het vaststellen van specifieke categorieën medewerkers die vitale functies bekleden, beleid voor antecedentenonderzoek, vaststellen van passende opleidings- en kwalificatie-eisen, het voorkomen van ongeautoriseerde toegang door het vaststellen van toegangsniveaus voor gebouwen, kritieke infrastructuren en gevoelige informatie.

    6. Bewustwording van personeel: Het relevante persoon bewust maken van al deze genoemde maatregelen door middel van opleidingen/trainingen, informatiemateriaal en oefeningen.
    • Meldplicht: Elk incident wat aanzienlijke gevolgen heeft, of kan hebben voor de continuïteit van de dienstverlening, moeten binnen 24 uur gemeld worden bij de bevoegde autoriteit. Het doel van de meldplicht is om tijdig bevoegde autoriteiten in kennis te stellen om mogelijk ondersteuning te bieden aan de benadeelde organisatie. Daarom moet een melding een volledig overzicht omvatten van de impact, aard, oorzaak en de mogelijke gevolgen van het incident. Na de eerste melding moet uiterlijk één maand na het oplossen van het incident een gedetailleerd verslag aangeleverd worden. Het verslag moet de eerste melding aanvullen om een meer volledig beeld te geven van het incident.
    • Toezicht: Organisaties zijn onderhevig aan toezicht door nationale autoriteiten om ervoor te zorgen dat ze voldoen aan de eisen van de Wwke. De ministeries wijzen de toezichthouders aan die controleren op de naleving van de verplichtingen die gelden voor kritieke entiteiten. Onder de Wwke kunnen toezichthouders handhavend optreden indien blijkt dat verplichtingen niet worden nageleefd. De toezichthouder kan bijvoorbeeld een audit of specifieke handeling verplichten, of zelfs een last onder bestuursdwang of bestuurlijke boete opleggen.

    Inwerkingtreding Wwke

    Het omzetten van de CER-richtlijn naar Wwke is vertraagd. In de periode tot de Wwke in werking treedt gelden er nog geen verplichtingen voor organisaties vanuit de CER-richtlijn, maar de risico’s bestaan al. Er wordt daarom aangeraden om niet af te wachten met voorbereidingen die nodig zijn om de organisatie weerbaar te maken. Door middel van het uitvoeren van een risicobeoordeling, het nemen van maatregelen tegen risico’s en het zorgen voor procedures die in staat stellen om incidenten efficiënt op te pakken, kunnen organisaties ervoor zorgen dat ze op tijd aan de verplichtingen van de Wwke voldoen en de veiligheid en continuïteit van hun vitale diensten waarborgen. 

    Wil je een sleutelrol spelen om jouw organisatie cyberweerbaarder te maken en wil jij de brug slaan tussen de wet- en regelgeving en de praktische implementatie? Schrijf je dan in voor onze opleiding tot Certified Cybersecurity Compliance Officer (CCCO®).

    Meer informatie CCCO opleiding
    Terug naar overzicht

    Ghazya Tanwir

    Compliance Consultant
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Advies
    Professionals inhuren
    Documenten
    Tech/Software
    Ons team
    Vacatures
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram