Welke sectoren en organisaties vallen onder de CER-richtlijn?

De CER-richtlijn richt zich op het verhogen van de fysieke weerbaarheid van zogenaamde ‘kritieke’ entiteiten die essentiële diensten verlenen binnen de volgende sectoren: energie, drinkwater, transport, digitale infrastructuur, levensmiddelenindustrie, gezondheidszorg, infrastructuur voor de financiële markt, afvalwater, overheidsdiensten, bankwezen en ruimtevaart.

De ministeries die verantwoordelijk zijn voor deze sectoren beoordelen aan de hand van een risicobeoordeling welke organisaties als kritieke entiteit worden aangewezen. Daarbij wordt in ieder geval gekeken naar de mate waarin een organisatie een dienst verleent die onmisbaar is voor het functioneren van maatschappelijke functies en/of economische activiteiten. Organisaties die in het verleden al eerder door de overheid zijn aangemerkt als ‘vitale aanbieder’ worden onder de CER-richtlijn in elk geval aangewezen als kritieke entiteit, als ze binnen één van de bovengenoemde sectoren actief zijn

Indien een organisatie is aangewezen als kritieke entiteit, dan wordt de organisatie hierover geïnformeerd door het verantwoordelijke ministerie. Dit gebeurt zo snel mogelijk na de inwerkingtreding van de wet (eind 2024). Na aanwijzing hebben organisaties nog 10 maanden om aan de wet te voldoen.

Welke verplichtingen schrijft de CER- richtlijn voor?

De belangrijke onderdelen van de verplichtingen van de richtlijn zijn:

• Zorgplicht - Beide richtlijnen bevatten een zorgplicht die entiteiten verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Bij de CER-richtlijn zijn deze maatregelen gericht op fysieke dreigingen, bij de NIS2-richtlijn op digitale dreigingen.

• Meldplicht - Beide richtlijnen schrijven voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat. vervolgens hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

• Toezicht - Organisaties die onder één of beide richtlijnen vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.

Wat doet de overheid?

De CER-richtlijn verplicht de landen van de EU om kritieke, essentiële en belangrijke organisaties te helpen bij het verbeteren van hun weerbaarheid tegen fysieke risico’s. De overheid moet elke 4 jaar voor iedere sector een risicobeoordeling uitvoeren en die delen met kritieke entiteiten in die sector. De overheid kan verder ondersteuning geven door informatie-uitwisseling, het maken van richtlijnen en het aanbieden van instrumenten om de weerbaarheid van organisaties te verhogen, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.

Wat kunnen organisaties doen om zich voor te bereiden?

Voordat de nationale wetgeving er is, kunnen organisaties zich alvast voorbereiden op hun zorgplicht. Dat kunnen zij doen door maatregelen te nemen die de veiligheid en weerbaarheid van hun processen en diensten verbeteren. Bijvoorbeeld:

• Risico’s inventariseren en analyseren.

• Bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing schrijven en incident response organiseren.

• Alternatieve toeleveringsketens identificeren.

• Personeel bewust maken van de risico’s en de te nemen maatregelen.

• Budget en capaciteit reserveren die nodig zijn om aan de richtlijn te voldoen.

Voor wie?

• organisaties – de zogenoemde ‘kritieke’ entiteiten, die essentiële diensten verlenen

Wanneer?

• In het najaar van 2023 start een 

• internetconsultatie

•  periode van 6 weken.

• De nieuwe wet gaan naar verwachting eind 2024 in.

• Vanaf eind 2024 wijzen de ministeries bedrijven aan die onder de CER-richtlijn vallen.