Op 27 december 2022 is de Richtlijn betreffende de weerbaarheid van kritieke entiteiten (CER-richtlijn) gepubliceerd. De CER vervangt de richtlijn betreffende Europese kritieke infrastructuur (ECI-richtlijn). De CER heeft als doel de werkzaamheden ter bescherming van kritieke entiteiten op drie gebieden te maximaliseren en te versnellen: paraatheid, respons en internationale samenwerking. Zo richt de richtlijn zich op de fysieke veiligheid en de beveiliging van vitale processen zoals de drinkwatervoorziening en energie.
De richtlijn bepaalt dat kritieke entiteiten de risico’s in kaart moeten brengen die de levering van essentiële diensten aanzienlijk kunnen verstoren. Kritieke entiteiten verlenen essentiële diensten die van cruciaal belang zijn voor vitale maatschappelijke functies en economische activiteiten. Op 25 juli 2023 heeft de Europese Commissie een gedelegeerde verordening gepubliceerd waarin deze essentiële diensten worden geïdentificeerd. Voorbeelden hiervan zijn het opslaan van energie en het voorzien van gezondheidszorg. De CER-richtlijn is bedoeld om te garanderen dat essentiële diensten zo veel mogelijk ongehinderd uitgevoerd kunnen worden binnen de Europese Unie.
De kritieke entiteiten moeten passende maatregelen nemen om hun weerbaarheid te waarborgen en verstorende incidenten melden aan de bevoegde autoriteiten. Weerbaarheid draait om het incasseren en herstellen van incidenten die het uitvoeren van een dienst verstoren. Zowel de diensten als de mogelijke verstoringen kunnen fysiek of digitaal zijn. Weerbaarheid vergroten vereist dan ook een hybride aanpak. Ook moet er rekening gehouden worden dat diensten steeds vaker sector overstijgend zijn. Zo zijn bijvoorbeeld de gezondheidszorg en de toevoer van elektriciteit onlosmakelijk verbonden.
Samenhang
De CER-richtlijn biedt samen met de NIS2-richtlijn een kader voor digitale en fysieke weerbaarheid van vitale aanbieders. Daarmee versterken de richtlijnen het fundament van fysieke en digitale veiligheid zowel in Nederland als de rest van de Europese Unie.
Decentrale relevantie en toepassingsgebied
Onder het toepassingsgebied van de richtlijn vallen entiteiten uit diverse sectoren, zoals energie, vervoer, gezondheid, drinkwater, afvalwater en ruimtevaart. Wie verantwoordelijk is, verschilt per sector. Lidstaten hebben in elk geval de verantwoordelijkheid om de kritieke entiteiten te identificeren en risicoanalyses uit te voeren. Bij deze risicoanalyses moet rekening gehouden worden met hybride en sector overstijgende elementen.
Sommige bepalingen van de richtlijn zullen ook gelden voor decentrale overheden. Zo moet er volgens de NIS2 en de CER een zorgplicht en meldplicht worden opgenomen, waaraan zowel publieke als private organisaties binnen bepaalde sectoren moeten voldoen. Het vergroten van een sectors weerbaarheid ligt voornamelijk bij de aanbieder van de essentiële dienst zelf. In sectoren waar decentrale overheden een grotere rol hebben, zullen zij dan ook pro-actiever moeten zijn. Bijvoorbeeld, de Commissie noemt het verzamelen en zuiveren van afvalwater als een essentiële dienst. Gemeentes zijn verantwoordelijk voor het inzamelen van afvalwater en waterschappen voor het verwerken. Hierbij is dus een relatief grote rol weggelegd voor decentrale overheden.
Stand van zaken
De lidstaten dienen uiterlijk op 17 oktober 2024 de regels uit de CER-richtlijn in nationale wetgeving te hebben geïmplementeerd. Naar aanleiding van deze richtlijn moeten lidstaten op 17 juli 2026 de kritieke entiteiten hebben geïdentificeerd. Hoe de CER in Nederland zal worden omgezet in nog niet bekend.