Europees recht en beleid

Laatste update: 19 augustus 2025

Contact:

De Richtlijn betreffende de weerbaarheid van kritieke entiteiten (CER-richtlijn 2022/2557) bepaalt dat kritieke entiteiten de risico’s in kaart moeten brengen die de levering van essentiële diensten aanzienlijk kunnen verstoren. Ook moeten kritieke entiteiten passende maatregelen nemen om hun weerbaarheid te waarborgen (zorgplicht) en verstorende incidenten melden aan bevoegde autoriteiten (meldplicht).  

Welke sectoren en organisaties vallen onder de CER-richtlijn? 

De richtlijn is van toepassing op kritieke entiteiten die essentiële diensten verlenen in bepaalde sectoren. Een essentiële dienst is volgens de richtlijn een dienst die van cruciaal belang is voor de instandhouding van vitale maatschappelijke functies, economische activiteiten, de volksgezondheid, openbare veiligheid of het milieu. De sectoren staan omschreven in de bijlage van de richtlijn en zijn: 

  1. Energie: elektriciteit, stadsverwarming en koeling, olie, gas en waterstof 
  2. Vervoer: lucht, spoor, water, weg en openbaar vervoer
  3. Bankwezen
  4. Infrastructuur voor de financiële markt
  5. Volksgezondheid
  6. Drinkwater
  7. Afvalwater
  8. Digitale infrastructuur
  9. Overheidsdiensten
  10. Ruimtevaart
  11. Productie, verwerking en distributie van levensmiddelen

Organisaties: Kritieke entiteiten  

Organisaties die essentiële diensten leveren zijn volgens de richtlijn ‘kritieke entiteiten’. Volgens artikel 2, lid 1 en artikel 6, lid 1 kunnen publieke en particuliere entiteiten worden aangewezen als kritieke entiteiten door een lidstaat als zij voldoen aan de volgende voorwaarden: 

  • De organisatie verleent een of meer essentiële diensten; 
  • De organisatie is actief en haar kritieke infrastructuur bevindt zich op het grondgebied van de lidstaat en;
  • Wanneer een incident grote verstoringen kan veroorzaken in de essentiële diensten die een organisatie levert, evenals andere essentiële diensten die daarvan afhankelijk zijn. De richtlijn geeft in artikel 7, lid 1 verdere criteria waar lidstaten rekening mee moeten houden bij het bepalen of een verstorend effect aanzienlijk is. Hierbij dienen lidstaten onder andere te kijken naar het marktaandeel van de entiteit, het aantal gebruikers dat afhankelijk is van de diensten en de ernst en duur van de gevolgen van een incident. 

Aanwijzing kritieke entiteit en risicobeoordeling 

Bevoegde autoriteiten, waaronder relevante ministeries voeren een risicobeoordeling uit om kritieke entiteiten te identificeren en aan te wijzen in overeenkomst met de bovengenoemde voorwaarden. Uiterlijk 17 juli 2026 identificeert elke lidstaat de kritieke entiteiten binnen de verschillende sectoren. De overheid is vervolgens ook verplicht, volgens artikel 5, lid 1, iedere vier jaar voor iedere sector een risicobeoordeling uit te voeren. Deze moet de overheid ook delen met de kritieke entiteiten uit die sector. 

Zorgplicht 

Volgens de CER-richtlijn moeten kritieke entiteiten alle relevante risico’s voor hen in kaart brengen, ongeacht of deze door natuurlijke dan wel menselijke handelingen veroorzaakt zijn. Ook bevat de risicobeoordeling een beschrijving van de essentiële diensten die de entiteit levert, inclusief de middelen die mogelijk zijn voor de continuïteit van deze diensten. Daarnaast moet een kritieke entiteit kijken naar de mogelijke impact van de geïdentificeerde risico’s en rekening gehouden met risico’s van sector- of grensoverschrijdende aard. Deze moeten kritieke entiteiten negen maanden na hun aanwijzing uitvoeren.  

Op basis van hun eigen risicobeoordeling en die van de lidstaat moeten kritieke entiteiten passende maatregelen nemen om hun dienstverlening zoveel mogelijk te garanderen en hun informatie te beschermen. Deze maatregelen zijn gericht op fysieke dreigingen, waaronder: 

  • Het voorkomen van incidenten 
  • Te zorgen voor adequate fysieke bescherming van hun gebouwen en de kritieke infrastructuur  
  • Te kunnen herstellen van een incident 

Meldplicht  

Ook moeten kritieke entiteiten een incident melden die de verlening van essentiële diensten aanzienlijk verstoren of kunnen verstoren.  Lidstaten dienen ervoor te zorgen dat zij hun meldplicht kunnen voldoen zonder onnodige vertraging en dit binnen 24 uur nadat zij kennis hebben genomen van het incident. Om te kunnen bepalen of een verstoring aanzienlijk is, moeten kritieke entiteiten rekeningen houden met de volgende voorwaarden: 

  • Het aantal mensen die getroffen zijn door de storing; 
  • De duur van de storing;  
  • En het gebied dat getroffen is door de verstoring. Hierbij is het belangrijk om rekening te houden met de vraag of het gebied geografisch geïsoleerd is.  

Toezicht 

Lidstaten wijzen een bevoegde autoriteit aan die verantwoordelijk is voor de toepassing en naleving van de richtlijn. De toezichthouder controleert of kritieke entiteiten voldoen aan hun verplichtingen onder de wet, waaronder de meld en zorgplicht.  

Decentrale relevantie 

De sectoren die onder de CER-richtlijn vallen zijn ook relevant voor decentrale overheden. In Nederland wordt de CER-richtlijn geïmplementeerd in de Wet weerbaarheid Kritieke entiteiten (Wwke). De Wwke is leidend voor de implementatie en aanwijzing van entiteiten in Nederland. 

Waterschappen zijn door het ministerie van Infrastructuur en Waterstaat aangewezen als kritieke entiteiten in de sector Keren en beheren. Dat betekent dat waterschappen die zijn aangewezen door het ministerie moeten voldoen aan de meldplicht, zorgplicht en het uitvoeren van een risicobeoordeling. Ook gemeenten zijn actief in sectoren die onder de wet vallen, zoals hun taken bij afvalwater, waardoor zij ook mogelijk een aanwijzing kunnen krijgen. Volgens de handreiking van Interprovinciaal Overleg, is de Wwke vooralsnog niet van toepassing op provincies.  

Meer informatie