Vragen en antwoorden Wet weerbaarheid kritieke entiteiten

In de CER-richtlijn wordt de definitie weerbaarheid als volgt omschreven: het vermogen om een incident te voorkomen, te beperken of te beheersen, en om bescherming te bieden of bestand te zijn tegen, te reageren op of, zich aan te passen aan en te herstellen van een incident. Het gaat daarbij om de bescherming ten aanzien van alle risico’s, dat wil zeggen zowel klimaatrisico’s als incidenten die, onbedoeld of opzettelijk, door de mens veroorzaakt worden. Denk bijvoorbeeld aan ongevallen, overstromingen, noodsituaties op het gebied van de volksgezondheid zoals een pandemie, terroristische misdrijven, criminele infiltratie of sabotage.

De NIS2 en de CER zijn EU-richtlijnen die in alle EU-lidstaten worden geïmplementeerd. Beide richtlijnen zijn gericht op het weerbaar zijn van organisaties (organisational resilience). In Nederland worden deze richtlijnen omgezet in twee aparte conceptwetten die gelijktijdig in consultatie gaan en gelijktijdig naar de Tweede Kamer worden gestuurd. De CER-richtlijn wordt omgezet in de Wet weerbaarheid kritieke entiteiten (Wwke)  en de NIS2-richtlijn wordt omgezet in de Cyberbeveiligingswet (Cbw). Er wordt zoveel mogelijk samenhang tussen de twee wetten gezocht, zo vindt het toezicht op beide wetten bijvoorbeeld zoveel mogelijk in afstemming plaats.

Voor de Cbw geldt dat u er automatisch onder valt als u aan de in de wet beschreven criteria voor belangrijke of essentiële entiteit voldoet. Voor de Wwke moeten organisaties door de verantwoordelijke ministeries eerst worden aangewezen als kritieke entiteit. Pas dan is de Wwke van toepassing op uw organisatie. Organisaties die als kritieke entiteit worden aangewezen onder de Wwke zijn ook automatisch essentiële entiteit onder de Cbw. Andersom is dit verband er niet.

De planning voor de implementatie van de Wet weerbaarheid kritieke entiteiten (Wwke/CER) ziet er als volgt uit:

• De ontwerpwet en -memorie van toelichting zijn begin december voor advies naar de Raad van State gestuurd. De wetten zijn hier in te zien:
• Wet weerbaarheid kritieke entiteiten - Documenten bij Wet weerbaarheid kritieke entiteiten
• Het advies van de Raad van State is ontvangen en na verwerking van het advies gaat de wet naar de Tweede Kamer, naar verwachting in het voorjaar van 2025. De voortgang is dan afhankelijk van de behandeling van de wetsvoorstellen in de Tweede Kamer en Eerste Kamer.
• Sommige onderdelen van de Wwke (CER) worden gedetailleerder uitgewerkt in een Algemene Maatregel van Bestuur (amvb). De internetconsultatie van deze amvb heeft plaats gevonden van 21 februari tot 30 maart 2025. Zie ook https://www.internetconsultatie.nl/weerbaarheidkritiekeentiteiten/b1
• Daarna stellen de ministeries onder wiens verantwoordelijkheid een sector valt die in de Wwke wordt genoemd sectorspecifieke regelgeving op in de vorm van een ministeriële regeling of besluit. Te denken valt aan drempelwaarden voor het melden van een incident.
• Zodra de Wet weerbaarheid kritieke entiteiten in werking treedt, zullen ministeries per sector organisaties aanwijzen als kritieke entiteit. Wanneer ministeries een organisatie in de sector aanwijzen als kritieke entiteit, ontvangt deze organisatie hierover bericht. Na aanwijzing hebben organisaties nog 9 maanden om hun risicobeoordeling uit te voeren en 10 maanden om aan de zorg- en meldplicht te voldoen.

Alleen als uw organisatie wordt aangewezen als kritieke entiteit. Dat kan het geval zijn als uw organisatie, binnen de onderstaande sectoren, een essentiële dienst verleent die onmisbaar is voor het functioneren van maatschappelijke functies en/of economische activiteiten:

• Energie.
• Drinkwater.
• Afvalwater.
• Transport.
• Digitale infrastructuur.
• Levensmiddelenindustrie.
• Gezondheidszorg.
• Infrastructuur voor de financiële markt.
• Bankwezen.
• Ruimtevaart.
• Overheidsdiensten.

Het ministerie dat verantwoordelijk is voor een hierboven genoemde sector beoordeelt, aan de hand van een risicobeoordeling, welke organisaties als kritieke entiteit worden aangewezen. Voor organisaties die in het verleden al eerder door de overheid zijn aangemerkt als ‘vitale aanbieder’ is het aannemelijk dat deze onder de Wwke worden aangewezen als kritieke entiteit, als ze binnen één van de bovengenoemde sectoren actief zijn. Binnen 9 maanden na de aanwijzing moeten organisaties zelf een risicobeoordeling hebben uitgevoerd. Binnen 10 maanden na de aanwijzing moeten organisaties aan de zorgplicht en de meldplicht voldoen. De wet biedt de mogelijkheid om extra sectoren toe te voegen aan de hierboven opgesomde lijst. Als van die mogelijkheid gebruik wordt gemaakt, kan uw organisatie op een later moment door het ministerie dat voor die nieuwe sector verantwoordelijk is nog worden aangewezen als kritieke entiteit.

Indien uw organisatie is aangewezen als kritieke entiteit, dan wordt uw organisatie hierover geïnformeerd door het ministerie dat verantwoordelijk is voor de sector waarin uw organisatie actief is. Dit gebeurt zo snel mogelijk na de inwerkingtreding van de nationale wetgeving. Na aanwijzing heeft uw organisatie 9 maanden de tijd om een risicobeoordeling te hebben uitgevoerd. Binnen 10 maanden na aanwijzing moeten organisaties aan de zorgplicht en de meldplicht voldoen.

De CER-richtlijn stelt een aantal sectoren verplicht waarbinnen de lidstaten moeten kijken of daar organisaties zijn die in aanmerking komen om als ‘kritieke entiteit’ te identificeren. Zie de bijlage van de CER-Richtlijn. Deze bijlage staat ook in de Wwke. Op voorhand is niet te zeggen welke en hoeveel organisaties als kritieke entiteit worden aangemerkt, aangezien dit aan de hand van een actuele beoordeling door elk betrokken ministerie moet gebeuren nadat de Wwke in werking is getreden. Momenteel is de schatting dat de Wwke van toepassing zal zijn op ongeveer 500 entiteiten.

Entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur worden vanwege de grote digitale component van de essentiële diensten die zij leveren ontheven van een aantal verplichtingen onder de Wwke. De weerbaarheid van deze entiteiten wordt voldoende gewaarborgd door hun verplichtingen onder de Cyberbeveiligingswet. Entiteiten in deze sectoren hoeven onder de Wwke bijvoorbeeld geen risicobeoordeling te doen en vallen niet onder de zorgplicht en meldplicht.

De omzetting van de CER-richtlijn naar nationale wetgeving is een omvangrijk en complex traject, waarbij grote zorgvuldigheid is vereist. Het is belangrijk dat dit proces snel gebeurt, maar wel zorgvuldig. Dit omdat de wet waarin de CER-richtlijn wordt omgezet aanzienlijke impact hebben op Nederlandse organisaties, zowel in de publieke als in de private sector.

De toepasselijkheid op vele sectoren heeft er ook toe geleid dat interdepartementale afstemming met bijna alle departementen vereist is. Vanwege de hiervoor genoemde impact op organisaties is er bovendien voor gekozen om het implementatiewetsvoorstel Wet weerbaarheid kritieke entiteiten (en ook het voorstel Cyberbeveiligingswet) open te stellen voor internetconsultatie, hoewel dit bij implementatiewetgeving niet verplicht is. Naar aanleiding daarvan zijn de implementatiewetsvoorstellen op verschillende onderdelen aangepast en zijn de bijbehorende toelichtingen op punten aangevuld of verduidelijkt. 

• Een belangrijk verschil is dat in nationale context (bestaand beleid) wordt uitgegaan van vitale aanbieders. In deze wet wordt uitgegaan van kritieke entiteiten, dit volgt uit de Europese CER-richtlijn.
• Een belangrijke overeenkomst is dat in praktijk op min of meer dezelfde manier wordt beoordeeld of een organisatie een vitale aanbieder op basis van nationaal beleid of kritieke entiteit op basis van de Wwke is.
• Als blijkt dat een aanbieder vitaal is én actief is binnen één van de sectoren uit de CER-richtlijn dan is het aannemelijk dat een vitale aanbieder onder deze wet ook wordt aangewezen als kritieke entiteit.
• Gevolg van een aanwijzing als kritieke entiteit is dat moet worden voldaan aan de verplichtingen uit deze wet.
• Er zijn ook gevallen waarbij vitale aanbieders niet actief zijn binnen de sectoren uit de CER-richtlijn (en dus niet aangewezen kunnen worden als kritieke entiteit). Deze vitale aanbieders vallen in principe niet onder de reikwijdte van deze wet. Dit zou enkel anders zijn als een nieuwe sector aan de Wwke-sectoren wordt toegevoegd en een vitale aanbieder die actief is in die nieuwe sector wordt aangewezen als kritieke entiteit. Voor het aanwijzen van een nieuwe sector is een ministeriele regeling nodig.
• Sectoren uit de CER-richtlijn zijn: energie, drinkwater, transport, digitale infrastructuur, levensmiddelenindustrie, gezondheidszorg, infrastructuur voor de financiële markt, afvalwater, overheidsdiensten, bankwezen en ruimtevaart.

Er is geen koppeling tussen de Wwke en de Wet veiligheidstoets op investeringen, fusies en overnames (vifo). De Wet vifo is van toepassing op vitale aanbieders. Als een organisatie aan de definitie van vitale aanbieder van de Wet vifo voldoet, dan valt uw organisatie onder de Wet vifo. Het uitgangspunt is dat ten aanzien van iedere (private) vitale aanbieder het mogelijk moet zijn om te toetsen of bepaalde investeringen, fusies of overnames in dit soort ondernemingen kunnen leiden tot risico’s voor de nationale veiligheid. Dit kan door middel van een sectorale investeringstoets of via de Wet vifo. In elk geval is van belang dat uw organisatie onder de toepassing van een wet moet vallen om een investering, fusie of overname wettelijk te kunnen toetsen. Momenteel ziet de Wet vifo op specifiek aangewezen vitale aanbieders binnen de sectoren transport van warmte, kernenergie, luchtvervoer, ha­vengebied, bankwezen, infrastructuur financiële markt, winbare energie en gasopslag. Voor de overige vitale processen wordt onderzocht of, hoe en wanneer vitale aanbieders onder het toepassingsbereik worden gebracht.

Binnen 10 maanden na de aanwijzing moeten de kritieke entiteiten aan zorgplicht en de meldplicht voldoen. binnen 9 maanden na de aanwijzing moet een kritieke entiteit een risicobeoordeling hebben uitgevoerd.

Kritieke entiteiten zijn automatisch ook essentiële entiteiten in de zin van de Cyberbeveiligingswet en moeten direct na aanwijzing als kritieke entiteit aan de verplichtingen uit die wet voldoen.

Bij het aanwijzen van kritieke entiteit ligt de focus vooral op het vooraf identificeren van mogelijke kwetsbaarheden om voorbereid te zijn op een mogelijke crisis of ramp. De lijst van kritieke entiteiten wordt ten minste elke vier jaar en wanneer daar aanleiding toe bestaat, geëvalueerd en geactualiseerd.

De Wet weerbaarheid kritieke entiteiten biedt geen mogelijkheid om bestuurders van entiteiten aansprakelijk te stellen.

De ministeries wijzen toezichthouders aan die controleren op de naleving van de verplichtingen die gelden voor kritieke entiteiten, waarbij met name de zorgplicht een grote rol speelt. De Wwke geeft de toezichthouder daarnaast de mogelijkheid om handhavend op te treden indien blijkt dat verplichtingen niet worden nageleefd. De toezichthouder kan bijvoorbeeld een audit of een te verrichten handeling opleggen, en uiteindelijk ook een last onder bestuursdwang of een bestuurlijke boete opleggen.

De geopolitieke spanningen vragen om een flinke stap extra te zetten om de continuïteit van de maatschappij zeker te stellen (Kamerbrief Weerbaarheid tegen Militaire en Hybride Dreigingen van 6 december jl.). Extra bescherming van de vitale infrastructuur is daar een belangrijk onderdeel van. De ontwikkeling van nationale wetgeving is daarvoor belangrijk. Op dit moment vormt veelal sectorale wetgeving hiervoor de juridische verplichtende basis, bijvoorbeeld de Wet beveiliging netwerk- en informatiesystemen, Drinkwaterwet, Telecommunicatiewet, enz. Met de Wwke wordt hier een wettelijke basis onder gelegd, en wordt daardoor van organisaties verlangt dat zij een minimumniveau aan weerbaarheid hebben. Wetgeving is onderdeel van een breder instrumentarium om de vitale infrastructuur weerbaarder te maken. De Aanpak vitaal vormt hiervoor de basis. Die aanpak heeft de afgelopen tijd zelf ook een versterking doorgemaakt (zie hiervoor ook de Kamerbrief Versterkte aanpak vitale infrastructuur). Een cyclus van risicoanalyses en actieprogramma’s voor het nemen van weerbaarheidsverhogende maatregelen (de zogenaamde cyclus vitaal) zijn vast onderdeel geworden van dit beleid. Dit zorgt voor een constant proces waarin belangen, dreigingen en weerbaarheid van de vitale processen worden gewogen en waar nodig verbeterprogramma’s worden opgezet ter verhoging van de weerbaarheid.
 

Om bedrijven van al deze ontwikkelingen en hun rol daarin bewust te maken wordt in bestaande overleggen met het bedrijfsleven en koepelorganisaties aandacht gevraagd voor nationale veiligheid en maatschappelijke weerbaarheid. Er zijn bijvoorbeeld presentaties over maatschappelijke weerbaarheid verzorgd door EZ, NCTV en Defensie bij bedrijven en bij VNO-NCW. Ook worden netwerkdagen georganiseerd met het bedrijfsleven en zijn instrumenten ontwikkelt, zoals een toolbox voor veilig inkopen en aanbesteden en een gesprekstool maatschappelijke weerbaarheid. Afgelopen tijd heeft laten zien dat het vanuit de toegenomen dreiging soms nodig is om deze processen sneller te doorlopen, bijvoorbeeld via versnelde risicoanalyses of quickscans. In het verleden waren bijvoorbeeld COVID-19, de Russische inval in Oekraïne en de explosies bij Nord­stream 1 en 2 hiervoor een aanleiding. Informatie-uitwisseling tussen overheden en vitale aanbieders over belangen, dreigingen, weerbaarheid en maatregelen om deze risico’s te mitigeren vormt hierbij de sleutel.