CER-richtlijn beschermt kritieke infrastructuur tegen fysieke risico’s

Wat gaat er veranderen?

Steeds vaker staat de veiligheid van onze samenleving en economie onder druk. Daarom wordt er door de Europese Unie gewerkt aan twee richtlijnen:

• de Critical Entities Resilience directive (CER-richtlijn)
• de Network and Information Security directive (NIS2-richtlijn)

Deze richtlijnen hebben als doel om de fysieke, digitale en economische weerbaarheid van de landen van de EU te verbeteren.

De CER-richtlijn is bedoeld om publieke en private organisaties te beschermen tegen fysieke risico’s, zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen.

Welke sectoren en organisaties vallen onder de CER-richtlijn?

De CER-richtlijn richt zich op het verhogen van de fysieke weerbaarheid van organisaties die essentiële diensten verlenen, zogenaamde ‘kritieke entiteiten’, binnen de volgende sectoren:

• energie
• drinkwater
• transport
• digitale infrastructuur
• levensmiddelenindustrie
• gezondheidszorg
• infrastructuur voor de financiële markt
• afvalwater
• overheidsdiensten
• bankwezen
• ruimtevaart

De ministeries die verantwoordelijk zijn voor deze sectoren bepalen welke organisaties als kritieke entiteit worden aangewezen. Dat gebeurt met een risicobeoordeling. Daarbij kijken zij onder meer in welke mate een organisatie een dienst verleent die onmisbaar is voor het functioneren van maatschappelijke functies en/of economische activiteiten. Heeft de overheid uw bedrijf in het verleden al aangemerkt als ‘vitale aanbieder’? Dan wordt uw bedrijf in elk geval aangewezen als kritieke entiteit, als u binnen 1 van de bovengenoemde sectoren actief bent.

Is uw bedrijf aangewezen als kritieke entiteit? Dan krijgt u hierover bericht van het verantwoordelijke ministerie. Dit gebeurt zo snel mogelijk na de inwerkingtreding van de wet. Dat is naar verwachting eind 2024. Na aanwijzing hebben organisaties nog 10 maanden om aan de wet te voldoen.

Welke verplichtingen schrijft de CER-richtlijn voor?

De CER-richtlijn schrijft een aantal belangrijke verplichtingen voor, zoals:

• Zorgplicht – Ondernemingen moeten zelf een risicobeoordeling uitvoeren. Op basis van die risicobeoordeling moeten zij maatregelen nemen om hun dienstverlening zoveel mogelijk te garanderen en hun informatie te beschermen. Deze maatregelen zijn gericht op fysieke dreigingen.
• Meldplicht - Ondernemingen moeten incidenten binnen 24 uur melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT). Daarna kan het CSIRT hulp- en bijstand leveren. Of voor een incident de meldplicht geldt, hangt af van verschillende factoren. Bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
• Toezicht - Organisaties die onder de CER-richtlijn vallen komen onder toezicht te staan. Bij het toezicht wordt gekeken of de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht, worden nageleefd. Op dit moment wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.

Wat doet de overheid?

De CER-richtlijn verplicht de landen van de EU om kritieke, essentiële en belangrijke organisaties te helpen bij het verbeteren van hun weerbaarheid tegen fysieke risico’s. De overheid moet elke 4 jaar voor iedere sector een risicobeoordeling uitvoeren en die delen met kritieke entiteiten in die sector. De overheid kan verder ondersteuning geven door informatie-uitwisseling, het maken van richtlijnen en het aanbieden van instrumenten om de weerbaarheid van organisaties te verhogen, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.

Wat kunnen organisaties doen om zich voor te bereiden?

Voordat de nationale wetgeving er is, kunnen organisaties zich alvast voorbereiden op hun zorgplicht. Dat kunnen zij doen door maatregelen te nemen die de veiligheid en weerbaarheid van hun processen en diensten verbeteren. Bijvoorbeeld:

• Risico’s inventariseren en analyseren.
• Bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing schrijven en incident response organiseren.
• Alternatieve toeleveringsketens identificeren.
• Personeel bewust maken van de risico’s en de te nemen maatregelen.
• Budget en capaciteit reserveren die nodig zijn om aan de richtlijn te voldoen.

Voor wie?

• organisaties – de zogenoemde ‘kritieke’ entiteiten, die essentiële diensten verlenen

Wanneer?

• In het eerste kwartaal van 2024 begint de internetconsultatie.
• De nieuwe wet gaan naar verwachting eind 2024 in.
• Vanaf eind 2024 wijzen de ministeries bedrijven aan die onder de CER-richtlijn vallen.

Vragen?

Op veel vragen is nu nog geen goed antwoord mogelijk. Toch hoort de Rijksoverheid graag welke vragen uw organisatie heeft. Stel uw vraag dan ook aan het ministerie dat verantwoordelijk is voor de sector waarbinnen uw organisatie actief is. Zo weet de Rijksoverheid welke vragen er leven en beantwoord moeten worden.

Let op: De ingangsdatum van deze (wets)wijziging is nog niet definitief. Inwerkingtreding is afhankelijk van goedkeuring door de Tweede en Eerste Kamer of afkondiging van de Algemene Maatregel van Bestuur (AMvB) of ministeriële regeling én publicatie in het Staatsblad of de Staatscourant.