Verwacht je aangewezen te worden als kritieke entiteit? Wacht niet af en begin alvast met de voorbereidingen die nodig zijn om jouw organisatie weerbaar te maken. Het is raadzaam hiermee te beginnen zodat je op tijd voldoet aan de Wet weerbaarheid kritieke entiteiten (Wwke). Nadat jouw organisatie formeel is aangewezen als kritieke entiteit heeft de organisatie 9 maanden om te voldoen aan de wet.

Met onder andere de volgende maatregelen kan je je alvast voorbereiden:

  • Maak een risicobeoordeling van de dreigingen die de dienstverlening van jouww organisatie kunnen verstoren.
  • Neem waar mogelijk maatregelen die jouw organisatie (beter) beschermen tegen deze risico’s. De onder Zorgplicht genoemde aspecten dienen hiervoor als basis te worden gebruikt.
  • Zorg voor procedures die jouw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden.

Als kritieke entiteit moet jouw organisatie een risicobeoordeling schrijven en moet deze voldoen aan een zorg- en een meldplicht. In enkele gevallen is jouw organisatie uitgezonderd van één of meerdere van deze plichten.

Voer een risicobeoordeling uit

Kritieke entiteiten moeten een eigen risicobeoordeling uitvoeren ten aanzien van alle relevante dreigingen die hun dienstverlening kunnen verstoren. Het doel is om potentiële dreigingen, kwetsbaarheden en gevaren die tot een incident kunnen leiden, in kaart te brengen en om in te schatten hoe groot de impact van een incident is op de essentiële dienstverlening. Denk daarbij aan de volgende dreigingen:

  • Risico’s van sectoroverstijgende of grensoverschrijdende aard
  • Ongevallen
  • Natuurrampen
  • Noodsituaties op het gebied van volksgezondheid
  • Hybride dreigingen en andere antagonistische dreigingen (zoals terroristische misdrijven)

Kritieke entiteiten moeten in ieder geval gebruikmaken van de informatie die in de sectorale risicobeoordeling naar voren komt. Naast deze informatie kunnen organisaties gebruikmaken van openbare bronnen. Voorbeelden hiervan zijn de Rijksbrede Risico analyse Nationale Veiligheid, Deltabeslissing Ruimtelijke Adaptatie, het Dreigingsbeeld Statelijke Actoren en het Dreigingsbeeld Terrorisme Nederland. Waar nodig en relevant kan de Rijksoverheid uiteraard ook meer specifieke informatie aanbieden. De kritieke entiteit moet de risicobeoordeling periodiek uitvoeren en herzien. De eerste risicobeoordeling moet uiterlijk negen maanden nadat een organisatie is aangewezen als kritieke entiteit plaatsvinden. Vanaf dat moment is de kritieke entiteit verplicht om de risicobeoordeling ten minste om de vier jaar uit te voeren, of eerder als daar aanleiding toe is. Bijvoorbeeld als gevolg van actualiteiten, ontwikkelingen of dreigingen.

Let op: de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur zijn uitgezonderd van de verplichting tot het uitvoeren van een risicobeoordeling.

Voldoe aan de Zorgplicht

Het doel van de zorgplicht is het vergroten van de weerbaarheid van kritieke entiteiten en het waarborgen van de continuïteit van essentiële diensten. Organisaties moeten binnen tien maanden na hun aanwijzing passende technische, organisatorische en fysieke maatregelen treffen om de weerbaarheid van hun essentiële diensten te versterken.

Daarbij gaat het onder meer om de volgende maatregelen:

  • Voorkomen dat incidenten zich voordoen. De organisatie houdt rekening met alle relevante dreigingen die hun dienstverlening kunnen verstoren en neemt maatregelen om het risico op rampen en gevolgen van klimaatverandering te beperken.
  • Zorgen voor adequate fysieke bescherming van gebouwen en kritieke infrastructuur. Zoals het inzetten van instrumenten en routines voor bewaking van de omgeving. De organisatie kan denken aan het plaatsen van barrières tegen schade door water of het op (brand)veilige locaties plaatsen van kwetsbare onderdelen voor de verlening van de essentiële dienst.
  • De gevolgen van incidenten bestrijden, beperken en tegengaan, door uitvoering van risico- en crisisbeheersingsprocedures, protocollen en waarschuwingsroutines.
  • Herstellen van incidenten, gebruikmakend van bedrijfscontinuïteitsmaatregelen. Denk hierbij aan het identificeren van alternatieve toeleveringsketens, zodat de dienstverlening van de betreffende organisatie kan worden hervat.
  • Zorgen voor de organisatie van personeelsbeveiliging. Voorbeelden van maat regelen zijn: het vaststellen van categorieën personeelsleden die kritieke functies bekleden; het instellen van procedures voor antecedentenonderzoeken. Het vaststellen van passende opleidingsvoorschriften en kwalificaties. Hierbij houden organisaties rekening met het personeel van externe dienstverleners die kritieke functies vervullen en treffen zij passende maatregelen om risico’s die daaruit kunnen voortvloeien te beperken. Het voorkomen van ongeautoriseerde toegang door het vaststellen van het recht van toegang tot gebouwen, kritieke infrastructuur en gevoelige informatie.
  • Personeel bewust maken van al deze genoemde maatregelen, onder meer door middel van opleidingen/trainingen, informatiemateriaal en oefeningen.

Let op: de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur zijn uitgezonderd van de zorgplicht voor de Wwke.

Voldoe aan de meldplicht

Kritieke entiteiten moeten incidenten die de verlening van hun essentiële diensten aanzienlijk verstoren of kunnen verstoren zo spoedig mogelijk (binnen 24 uur) melden bij de bevoegde autoriteit. Het doel van de melding is om de bevoegde autoriteit in staat te stellen om te reageren op incidenten en waar nodig en mogelijk ondersteuning te bieden. Daarom moet een melding een volledig overzicht van de impact, aard, oorzaak en de mogelijke gevolgen van een incident bieden.

Meldingen worden gedaan via het MijnNCSC-portaal. Dit is hetzelfde portaal dat wordt gebruikt voor meldingen onder de Cyberbeveiligingswet. Via dit centrale meldpunt kunnen kritieke entiteiten meldingen doen voor zowel de Cyberbeveiligingswet als de Wet Weerbaarheid kritieke entiteiten. Organisaties dienen zich te registreren voor dit portaal. Meer informatie kun je vinden op de website van het NCSC. Zolang organisaties deze registratie niet hebben voltooid, kunnen geen meldingen worden gedaan onder de Wet weerbaarheid kritieke entiteiten.   

Let op: de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur zijn uitgezonderd van de meldplicht voor de Wwke.

Meer informatie

Meer informatie is te vinden in de Wet weerbaarheid kritieke entiteiten en de algemene maatregel van bestuur.