Het Ministerie van IenW werkt samen met andere ministeries aan nieuwe wetgeving om de fysieke weerbaarheid van vitale processen in Nederland te versterken. Een belangrijk middel daarvoor is de Wet weerbaarheid kritieke entiteiten (wwke).
Deze wet geeft uitvoering aan de Europese CER-richtlijn (Critical Entities Resilience). Het doel van de wet is te voorkomen dat incidenten leiden tot uitval van diensten die cruciaal zijn voor burgers en bedrijven. Waar de Cyberbeveiligingswet (Cbw) zich richt op digitale weerbaarheid, gaat de Wwke vooral over fysieke en organisatorische risico’s.
De wet is nog niet in werking getreden. De verwachting is dat dat in het tweede kwartaal van 2026 zal gebeuren. Wil je meer informatie over de Wwke? Bekijk dan ook de website van de NCTV.
Meer informatie
De Wwke geldt voor organisaties die door de minister van Infrastructuur en Waterstaat worden aangewezen als kritieke entiteit. Dit gebeurt als ze in bepaalde sectoren actief zijn en een verstoring van hun aandeel in een vitaal proces grote maatschappelijke impact kan hebben.
Veel kritieke organisaties kennen zowel fysieke als digitale risico’s. Als jouw organisatie aangewezen is als kritieke entiteit onder de Wwke, dan is jouw organisatie automatisch ook een essentiële entiteit onder de Cbw. Je moet dan aan beide wetten voldoen. Je dient zelf je organisatie als essentiële entiteit te registreren op MijnNCSC.
Naast de Wwke komt er ook het Besluit weerbaarheid kritieke entiteiten en een ministeriële regeling. Deze bevatten maatregelen die organisaties moeten nemen en bepalen meer concreet voor welke incidenten een meldplicht geldt. Bijvoorbeeld: bij een verstoring die langer dan enkele uren duurt, kan een meldplicht van toepassing zijn. De exacte drempelwaarden en criteria worden per sector vastgesteld.
Wacht niet af tot de Wwke in werking treedt. Je kan je nu al voorbereiden door:
- Risico’s en dreigingen te inventariseren: wat is de kans op verstoringen, zowel fysiek als organisatorisch?
- Afhankelijkheden te analyseren: welke leveranciers of ketenpartners zijn cruciaal voor jouw bedrijfsprocessen?
- Te werken aan continuïteitsplannen: zorg dat er noodscenario’s zijn voor uitval van processen of faciliteiten.
- Risicomanagement te integreren in je organisatie: betrek bestuur en toezichthouders actief bij besluiten over weerbaarheid en risico-acceptatie.
- Aansluiting te zoeken bij sectorale initiatieven: brancheorganisaties of toezichthouders kunnen ondersteuning bieden.
De Wwke scherpt de verantwoordelijkheid aan van organisaties in kritieke sectoren. Het doel is maatschappelijke ontwrichting voorkomen door versterkte weerbaarheid.
Bestuurders spelen hierbij een sleutelrol: zij dragen verantwoordelijkheid voor de naleving van de verplichtingen en zij creëren een organisatiecultuur waarin weerbaarheid centraal staat.
De Wwke vraagt een aantal zaken van organisaties die zijn aangewezen als kritieke entiteit:
- Risicobeoordeling: Risico’s op verstoringen van bedrijfsprocessen systematisch in kaart brengen. Daarbij gaat het om fysieke risico’s (bijvoorbeeld brand of sabotage), organisatorische risico’s (zoals onvoldoende noodplannen) en risico’s die voortkomen uit (te grote) afhankelijkheden van andere partijen. Vanaf het moment dat de Wwke geldt moeten kritieke entiteiten elke 4 jaar een risicobeoordeling uitvoeren.
- Zorgplicht: Passende maatregelen nemen om geïdentificeerde risico’s terug te brengen tot een aanvaardbaar niveau. Dit kan gaan om fysieke beveiligingsmaatregelen, redundantie in leveringsketens of verbeterde crisisplannen.
- Meldplicht: Er geldt een verplichting om incidenten die de dienstverlening ernstig verstoren of ernstig hadden kunnen verstoren te melden bij de bevoegde autoriteiten. De ministeriële regeling geeft nadere invulling aan de meldplicht, bijvoorbeeld door te bepalen wanneer een incident zo ernstig is dat het gemeld moet worden (zoals de duur van een verstoring).
- Leveranciersmanagement: Net als bij de Cbw, blijft jouw organisatie verantwoordelijk voor uitbestede activiteiten. In de risicobeoordeling moet je ook de risico’s meewegen die door de dienstverlening van jouw rechtstreekse leveranciers en rechtstreekse dienstverleners kunnen ontstaan voor de levering van de essentiële dienst.
Wanneer jouw organisatie door de Minister van IenW is aangewezen als kritieke entiteit houdt de ILT toezicht. Je organisatie kan binnen deze wetten onder meerdere sectoren vallen. Daardoor kun je met meerdere toezichthouders te maken krijgen. De toezichthouders werken samen om dat slim te doen.