Valt uw organisatie onder de CER en NIS2-richtlijnen?

De CER-richtlijn richt zich op het verhogen van de fysieke weerbaarheid van zogenaamde ‘kritieke’ entiteiten, die essentiële diensten verlenen binnen de volgende sectoren: energie, drinkwater, vervoer, digitale infrastructuur, levensmiddelen, gezondheidszorg, infrastructuur voor de financiële markt, afvalwater, overheid, bankwezen en ruimtevaart.

Organisaties die onder de CER-richtlijn vallen worden aangewezen.

Aan de hand van een risicobeoordeling, bepalen de ministeries die verantwoordelijk zijn voor deze sectoren welke organisaties als kritieke entiteit worden aangewezen. Organisaties die in het verleden al eerder door de overheid zijn aangemerkt als ‘vitale aanbieder’ worden onder de CER-richtlijn in elk geval aangewezen als kritieke entiteit, als ze binnen één van de bovengenoemde sectoren actief zijn.

Indien een organisatie is aangewezen als kritieke entiteit, dan wordt de organisatie hierover geïnformeerd door het verantwoordelijke ministerie. Dit gebeurt zo snel mogelijk na de inwerkingtreding van de wet. De verwachting is dat de Wet weerbaarheid kritieke entiteiten (Wwke) in het derde kwartaal van 2025 in werking treedt. Na aanwijzing hebben organisaties nog 10 maanden om aan de wet te voldoen.

De criteria waar een organisatie in ieder geval aan moet voldoen om als kritieke entiteiten te kunnen worden aangewezen zijn de volgende: 

  • De organisatie verleent één of meer essentiële diensten. Het gaat om diensten die van cruciaal belang zijn voor de instandhouding van vitale maatschappelijke functies, vitale economische activiteiten, de volksgezondheid en openbare veiligheid of het milieu;
  • De organisatie is actief in Nederland en haar kritieke infrastructuur bevindt zich in Nederland. Dat houdt ten eerste in dat de organisatie met haar kritieke infrastructuur geheel of gedeeltelijk actief is op het grondgebied van Nederland (inclusief het luchtruim en de maritieme binnenwateren en territoriale zee), en ten tweede dat de activiteiten van de organisatie noodzakelijk zijn om essentiële dienst of diensten te verlenen.
  • Een incident binnen deze entiteit zou aanzienlijke verstorende effecten hebben op de verlening van de essentiële dienst(en) of via cascade-effecten op andere essentiële diensten (een onvoorziene reeks van gebeurtenissen die zich voordoet wanneer een gebeurtenis in een systeem een negatief effect heeft op andere, verwante systemen).

De NIS2 richtlijn gaat automatisch gelden voor bepaalde organisaties.

In nauwe afstemming met betrokken ministeries en toezichthouders, heeft de Rijksinspectie Digitale Infrastructuur (RDI) een vragenlijst ontwikkeld, waarmee organisaties zelf kunnen evalueren of ze onder de NIS2-richtlijn, en dus de Cyberbeveiligingswet, vallen en of ze gekenmerkt worden als essentieel of belangrijk. U kunt de vragenlijst hier vinden en invullen.

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit. Welke sectoren dat zijn kunt u hier vinden. Daar kunt ook meer lezen over de criteria die bepalen of een organisatie essentieel of belangrijk is volgens de NIS2-richtlijn.

Automatisch wil zeggen dat essentiële en belangrijke entiteiten niet noodzakelijk worden aangewezen en de verplichtingen van de NIS2-richtlijnen voor deze organisaties direct gaan gelden zodra de nationale wetgeving in werking treedt.

Welke rechten en plichten zijn beschreven in de CER en NIS2-richtlijnen?

U kunt hier meer informatie vinden over rechten en plichten die zijn beschreven in de CER- en NIS2-richtlijnen en die momenteel worden omgezet naar nationale wetgeving: de Wet weerbaarheid kritieke entiteiten en de Cyberbeveiligingswet.

Hoe kan uw organisatie zich voorbereiden?

U kunt hier meer informatie vinden over de wijze waarop uw organisatie zich nu al kan voorbereiden op de nieuwe wetgeving.