Vragen en antwoorden Wet weerbaarheid kritieke entiteiten

In de CER-richtlijn wordt de definitie weerbaarheid als volgt omschreven: het vermogen om een incident te voorkomen, te beperken of te beheersen, en om bescherming te bieden of bestand te zijn tegen, te reageren op of, zich aan te passen aan en te herstellen van een incident. Het gaat daarbij om de bescherming ten aanzien van alle risico’s, dat wil zeggen zowel klimaatrisico’s als incidenten die, onbedoeld of opzettelijk, door de mens veroorzaakt worden. Denk bijvoorbeeld aan ongevallen, overstromingen, noodsituaties op het gebied van de volksgezondheid zoals een pandemie, terroristische misdrijven, criminele infiltratie of sabotage.

De NIS2 en de CER zijn EU-richtlijnen die in alle EU-lidstaten worden geïmplementeerd. Beide richtlijnen zijn gericht op het weerbaar zijn van organisaties (organisational resilience). In Nederland worden deze richtlijnen omgezet in twee aparte conceptwetten die gelijktijdig in consultatie gaan en gelijktijdig naar de Tweede Kamer worden gestuurd. De CER-richtlijn wordt omgezet in de Wet weerbaarheid kritieke entiteiten (Wwke)  en de NIS2-richtlijn wordt omgezet in de Cyberbeveiligingswet (Cbw). Er wordt zoveel mogelijk samenhang tussen de twee wetten gezocht, zo vindt het toezicht op beide wetten bijvoorbeeld zoveel mogelijk in afstemming plaats.

Voor de Cbw geldt dat u er automatisch onder valt als u aan de in de wet beschreven criteria voor belangrijke of essentiële entiteit voldoet. Voor de Wwke moeten organisaties door de verantwoordelijke ministeries eerst worden aangewezen als kritieke entiteit. Pas dan is de Wwke van toepassing op uw organisatie. Organisaties die als kritieke entiteit worden aangewezen onder de Wwke zijn ook automatisch essentiële entiteit onder de Cbw. Andersom is dit verband er niet.

• Een belangrijk verschil is dat in nationale context (bestaand beleid) wordt uitgegaan van vitale aanbieders. In deze wet wordt uitgegaan van kritieke entiteiten, dit volgt uit de Europese CER-richtlijn.
• Een belangrijke overeenkomst is dat in praktijk op min of meer dezelfde manier wordt beoordeeld of een organisatie een vitale aanbieder op basis van nationaal beleid of kritieke entiteit op basis van de Wwke is.
• Als blijkt dat een aanbieder vitaal is én actief is binnen één van de sectoren uit de CER-richtlijn dan is het aannemelijk dat een vitale aanbieder onder deze wet ook wordt aangewezen als kritieke entiteit.
• Gevolg van een aanwijzing als kritieke entiteit is dat moet worden voldaan aan de verplichtingen uit deze wet.
• Er zijn ook gevallen waarbij vitale aanbieders niet actief zijn binnen de sectoren uit de CER-richtlijn (en dus niet aangewezen kunnen worden als kritieke entiteit). Deze vitale aanbieders vallen in principe niet onder de reikwijdte van deze wet. Dit zou enkel anders zijn als een nieuwe sector aan de Wwke-sectoren wordt toegevoegd en een vitale aanbieder die actief is in die nieuwe sector wordt aangewezen als kritieke entiteit. Voor het aanwijzen van een nieuwe sector is een ministeriele regeling nodig.
• Sectoren uit de CER-richtlijn zijn: energie, drinkwater, transport, digitale infrastructuur, levensmiddelenindustrie, gezondheidszorg, infrastructuur voor de financiële markt, afvalwater, overheidsdiensten, bankwezen en ruimtevaart.

Er is geen koppeling tussen de Wwke en de Wet veiligheidstoets op investeringen, fusies en overnames (vifo). De Wet vifo is van toepassing op vitale aanbieders. Als een organisatie aan de definitie van vitale aanbieder van de Wet vifo voldoet, dan valt uw organisatie onder de Wet vifo. Het uitgangspunt is dat ten aanzien van iedere (private) vitale aanbieder het mogelijk moet zijn om te toetsen of bepaalde investeringen, fusies of overnames in dit soort ondernemingen kunnen leiden tot risico’s voor de nationale veiligheid. Dit kan door middel van een sectorale investeringstoets of via de Wet vifo. In elk geval is van belang dat uw organisatie onder de toepassing van een wet moet vallen om een investering, fusie of overname wettelijk te kunnen toetsen. Momenteel ziet de Wet vifo op specifiek aangewezen vitale aanbieders binnen de sectoren transport van warmte, kernenergie, luchtvervoer, ha­vengebied, bankwezen, infrastructuur financiële markt, winbare energie en gasopslag. Voor de overige vitale processen wordt onderzocht of, hoe en wanneer vitale aanbieders onder het toepassingsbereik worden gebracht.

Bij het aanwijzen van kritieke entiteit ligt de focus vooral op het vooraf identificeren van mogelijke kwetsbaarheden om voorbereid te zijn op een mogelijke crisis of ramp. De lijst van kritieke entiteiten wordt ten minste elke vier jaar en wanneer daar aanleiding toe bestaat, geëvalueerd en geactualiseerd.

De Wet weerbaarheid kritieke entiteiten biedt geen mogelijkheid om bestuurders van entiteiten aansprakelijk te stellen.

De ministeries wijzen toezichthouders aan die controleren op de naleving van de verplichtingen die gelden voor kritieke entiteiten, waarbij met name de zorgplicht een grote rol speelt. De Wwke geeft de toezichthouder daarnaast de mogelijkheid om handhavend op te treden indien blijkt dat verplichtingen niet worden nageleefd. De toezichthouder kan bijvoorbeeld een audit of een te verrichten handeling opleggen, en uiteindelijk ook een last onder bestuursdwang of een bestuurlijke boete opleggen.

Nee, in de Wet weerbaarheid kritieke entiteiten is geregeld dat de Wet open overheid niet van toepassing is op vertrouwelijke gegevens die onder andere de bevoegde autoriteit en het centrale contactpunt verwerken in het kader van de uitoefening van hun taken op grond van de  Wet weerbaarheid kritieke entiteiten.

De planning voor de implementatie van de Wet weerbaarheid kritieke entiteiten (Wwke/CER) ziet er als volgt uit:

• De ontwerpwet en -memorie van toelichting zijn begin december voor advies naar de Raad van State gestuurd. De wetten zijn hier in te zien:
• Wet weerbaarheid kritieke entiteiten - Documenten bij Wet weerbaarheid kritieke entiteiten
• Het advies van de Raad van State is ontvangen en na verwerking van het advies gaat de wet naar de Tweede Kamer, naar verwachting in het voorjaar van 2025. De voortgang is dan afhankelijk van de behandeling van de wetsvoorstellen in de Tweede Kamer en Eerste Kamer.
• Sommige onderdelen van de Wwke (CER) worden gedetailleerder uitgewerkt in een Algemene Maatregel van Bestuur (amvb). De internetconsultatie van deze amvb heeft plaats gevonden van 21 februari tot 30 maart 2025. Zie ook:
  • https://www.internetconsultatie.nl/weerbaarheidkritiekeentiteiten/b1
• Daarna stellen de ministeries onder wiens verantwoordelijkheid een sector valt die in de Wwke wordt genoemd sectorspecifieke regelgeving op in de vorm van een ministeriële regeling. Te denken valt aan drempelwaarden voor het melden van een incident.
• De ministeriële regelingen gaan op een later moment in consultatie.
• Zodra de Wet weerbaarheid kritieke entiteiten in werking treedt, zullen ministeries per sector organisaties aanwijzen als kritieke entiteit. Wanneer ministeries een organisatie in de sector aanwijzen als kritieke entiteit, ontvangt deze organisatie hierover bericht. Na aanwijzing hebben organisaties nog 9 dan wel 10 maanden (voor verschillende verplichtingen gelden verschillende termijnen) om aan de wet te voldoen.

De omzetting van de NIS2-richtlijn en de CER-richtlijn naar nationale wetgeving is een omvangrijk en complex traject, waarbij grote zorgvuldigheid is vereist. Dit omdat de wetten en lagere wetgeving waarin de NIS2-richtlijn en de CER-richtlijn worden omgezet aanzienlijke impact hebben op Nederlandse organisaties, zowel in de publieke als in de private sector. Er zijn ten opzichte van bestaande wetgeving/beleid meer en nieuwe sectoren en significant meer organisaties die moeten voldoen aan de nieuwe wetgeving. Bij de NIS2-richtlijn gaat het om 18 sectoren, bij de CER-richtlijn gaat het om 11 sectoren. De toepasselijkheid op vele sectoren heeft er ook toe geleid dat interdepartementale afstemming met bijna alle departementen vereist is.
 

Beide richtlijnen bevatten veel onderwerpen, zoals de zorgplicht, de opleidingsverplichting, de meldplicht, gegevensuitwisseling (waaronder persoonsgegevens en bijzondere persoonsgegevens), de verplichtingen om bepaalde gegevens te verstrekken, toezicht en handhaving. Binnen al die onderwerpen zijn er diverse subonderwerpen en vraagstukken. Vanwege de hiervoor genoemde impact op organisaties is ervoor gekozen om het implementatiewetsvoorstel Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten open te stellen voor internetconsultatie, hoewel dit bij implementatiewetgeving niet verplicht is. Naar aanleiding daarvan zijn de implementatiewetsvoorstellen op verschillende onderdelen aangepast en zijn de bijbehorende toelichtingen op punten aangevuld of verduidelijkt.

Alleen als uw organisatie wordt aangewezen als kritieke entiteit. Dat kan het geval zijn als uw organisatie, binnen de onderstaande sectoren, een essentiële dienst verleent die onmisbaar is voor het functioneren van maatschappelijke functies en/of economische activiteiten:

• Energie.
• Drinkwater.
• Afvalwater.
• Transport.
• Digitale infrastructuur.
• Levensmiddelenindustrie.
• Gezondheidszorg.
• Infrastructuur voor de financiële markt.
• Bankwezen.
• Ruimtevaart.
• Overheidsdiensten.

Het ministerie dat verantwoordelijk is voor een hierboven genoemde sector beoordeelt, aan de hand van een risicobeoordeling, welke organisaties als kritieke entiteit worden aangewezen. Voor organisaties die in het verleden al eerder door de overheid zijn aangemerkt als ‘vitale aanbieder’ is het aannemelijk dat deze onder de Wwke worden aangewezen als kritieke entiteit, als ze binnen één van de bovengenoemde sectoren actief zijn. Binnen 9 maanden na de aanwijzing moeten organisaties zelf een risicobeoordeling hebben uitgevoerd. Binnen 10 maanden na de aanwijzing moeten organisaties aan de zorgplicht en de meldplicht voldoen. De wet biedt de mogelijkheid om extra sectoren toe te voegen aan de hierboven opgesomde lijst. Als van die mogelijkheid gebruik wordt gemaakt, kan uw organisatie op een later moment door het ministerie dat voor die nieuwe sector verantwoordelijk is nog worden aangewezen als kritieke entiteit.

Indien uw organisatie is aangewezen als kritieke entiteit, dan wordt uw organisatie hierover geïnformeerd door het ministerie dat verantwoordelijk is voor de sector waarin uw organisatie actief is. Dit gebeurt zo snel mogelijk na de inwerkingtreding van de nationale wetgeving. Na aanwijzing heeft uw organisatie 9 maanden de tijd om een risicobeoordeling te hebben uitgevoerd. Binnen 10 maanden na aanwijzing moeten organisaties aan de zorgplicht en de meldplicht voldoen.

De CER-richtlijn stelt een aantal sectoren verplicht waarbinnen de lidstaten moeten kijken of daar organisaties zijn die in aanmerking komen om als ‘kritieke entiteit’ te identificeren. Zie de bijlage van de CER-Richtlijn. Deze bijlage staat ook in de Wwke. Op voorhand is niet te zeggen welke en hoeveel organisaties als kritieke entiteit worden aangemerkt, aangezien dit aan de hand van een actuele beoordeling door elk betrokken ministerie moet gebeuren nadat de Wwke in werking is getreden. Momenteel is de schatting dat de Wwke van toepassing zal zijn op ongeveer 500 entiteiten.

Binnen 10 maanden na de aanwijzing moeten de kritieke entiteiten aan zorgplicht en de meldplicht voldoen. binnen 9 maanden na de aanwijzing moet een kritieke entiteit een risicobeoordeling hebben uitgevoerd.

Kritieke entiteiten zijn automatisch ook essentiële entiteiten in de zin van de Cyberbeveiligingswet en moeten direct na aanwijzing als kritieke entiteit aan de verplichtingen uit die wet voldoen.

De Rijksoverheid roept organisaties op om zich voor te bereiden op de inwerkingtreding van de wet- en regelgeving. De risico’s die organisaties lopen, doen zich immers nu al voor. Bekijk meer informatie over hoe organisaties zich kunnen voorbereiden op de komst van de Cyberbeveiligingswet, de Wet weerbaarheid kritieke entiteiten en onderliggende regelgeving.

Organisaties die nu al in actie komen beveiligen zich niet alleen tegen bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Zo kunnen zij analyses uitvoeren naar de digitale en fysieke risico’s, het bewustzijn onder het personeel ten aanzien van risico’s en veiligheidsmaatregelen vergroten en de procedures bij incidenten verder aanscherpen.

Tot de inwerkingtreding van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten gelden er geen verplichtingen voor organisaties vanuit de CER-richtlijn en de NIS2-richtlijn. Met betrekking tot de Cyberbeveiligingswet hebben organisaties al wel in bepaalde gevallen bepaalde rechten, vanwege rechtstreekse werking van sommige bepalingen in de NIS2-richtlijn. Zoals het ontvangen van bijstand bij een incident door een Computer security incident response team (CSIRT). 

De geopolitieke spanningen vragen om een flinke stap extra te zetten om de continuïteit van de maatschappij zeker te stellen (Kamerbrief Weerbaarheid tegen Militaire en Hybride Dreigingen van 6 december jl.). Extra bescherming van de vitale infrastructuur is daar een belangrijk onderdeel van. De ontwikkeling van nationale wetgeving is daarvoor belangrijk. Op dit moment vormt veelal sectorale wetgeving hiervoor de juridische verplichtende basis, bijvoorbeeld de Wet beveiliging netwerk- en informatiesystemen, Drinkwaterwet, Telecommunicatiewet, enz. Met de Wwke wordt hier een wettelijke basis onder gelegd, en wordt daardoor van organisaties verlangt dat zij een minimumniveau aan weerbaarheid hebben. Wetgeving is onderdeel van een breder instrumentarium om de vitale infrastructuur weerbaarder te maken. De Aanpak vitaal vormt hiervoor de basis. Die aanpak heeft de afgelopen tijd zelf ook een versterking doorgemaakt (zie hiervoor ook de Kamerbrief Versterkte aanpak vitale infrastructuur). Een cyclus van risicoanalyses en actieprogramma’s voor het nemen van weerbaarheidsverhogende maatregelen (de zogenaamde cyclus vitaal) zijn vast onderdeel geworden van dit beleid. Dit zorgt voor een constant proces waarin belangen, dreigingen en weerbaarheid van de vitale processen worden gewogen en waar nodig verbeterprogramma’s worden opgezet ter verhoging van de weerbaarheid.
 

Om bedrijven van al deze ontwikkelingen en hun rol daarin bewust te maken wordt in bestaande overleggen met het bedrijfsleven en koepelorganisaties aandacht gevraagd voor nationale veiligheid en maatschappelijke weerbaarheid. Er zijn bijvoorbeeld presentaties over maatschappelijke weerbaarheid verzorgd door EZ, NCTV en Defensie bij bedrijven en bij VNO-NCW. Ook worden netwerkdagen georganiseerd met het bedrijfsleven en zijn instrumenten ontwikkeld, zoals een toolbox voor veilig inkopen en aanbesteden en een gesprekstool maatschappelijke weerbaarheid. Afgelopen tijd heeft laten zien dat het vanuit de toegenomen dreiging soms nodig is om deze processen sneller te doorlopen, bijvoorbeeld via versnelde risicoanalyses of quickscans. In het verleden waren bijvoorbeeld COVID-19, de Russische inval in Oekraïne en de explosies bij Nord­stream 1 en 2 hiervoor een aanleiding. Informatie-uitwisseling tussen overheden en vitale aanbieders over belangen, dreigingen, weerbaarheid en maatregelen om deze risico’s te mitigeren vormt hierbij de sleutel.