Ga direct naar inhoud

Risicobeoordeling, zorgplicht en meldplicht

Risicobeoordeling

Kritieke entiteiten moeten een eigen risicobeoordeling uitvoeren ten aanzien van alle relevante dreigingen die hun dienstverlening kunnen verstoren. Het doel is om potentiële dreigingen, kwetsbaarheden en gevaren die tot een incident kunnen leiden, in kaart te brengen en om in te schatten hoe groot de impact van een incident is op de essentiële dienstverlening. Denk daarbij aan de volgende dreigingen:

  • Risico’s van sectoroverstijgende of grensoverschrijdende aard
  • Ongevallen
  • Natuurrampen
  • Noodsituaties op het gebied van volksgezondheid
  • Hybride dreigingen en andere antagonistische dreigingen (zoals terroristische misdrijven)

Kritieke entiteiten moeten in ieder geval gebruikmaken van de informatie die in de sectorale risicobeoordeling naar voren komt. Naast deze informatie kunnen organisaties gebruikmaken van openbare bronnen. Voorbeelden hiervan zijn de Rijksbrede Risico analyse Nationale Veiligheid, Deltabeslissing Ruimtelijke Adaptatie, het Dreigingsbeeld Statelijke Actoren en het Dreigingsbeeld Terrorisme Nederland. Waar nodig en relevant kan de Rijksoverheid uiteraard ook meer specifieke informatie aanbieden. De kritieke entiteit moet de risicobeoordeling periodiek uitvoeren en herzien. De eerste risicobeoordeling moet uiterlijk negen maanden nadat een organisatie is aangewezen als kritieke entiteit plaatsvinden. Vanaf dat moment is de kritieke entiteit verplicht om de risicobeoordeling ten minste om de vier jaar uit te voeren, of eerder als daar aanleiding toe is. Bijvoorbeeld als gevolg van actualiteiten, ontwikkelingen of dreigingen.

Zorgplicht

Kritieke entiteiten zijn primair zelf verantwoordelijk voor hun weerbaarheid. Op basis van de risicobeoordelingen moeten zij daarom passende en evenredige maatregelen nemen om incidenten, die de essentiële dienstverlening kunnen verstoren, te voorkomen, de gevolgen van incidenten te beperken en zo spoedig mogelijk te kunnen herstellen als er een incident plaatsvindt. Denk hierbij in ieder geval aan het volgende:

  • Voorkomen dat incidenten zich voordoen. De organisatie houdt rekening met alle relevante dreigingen die hun dienstverlening kunnen verstoren en neemt maatregelen om het risico op rampen en gevolgen van klimaatverandering te beperken.
  • Zorgen voor adequate fysieke bescherming van gebouwen en kritieke infrastructuur. Zoals het inzetten van instrumenten en routines voor bewaking van de omgeving. De organisatie kan denken aan het plaatsen van barrières tegen schade door water of het op (brand)veilige locaties plaatsen van kwetsbare onderdelen voor de verlening van de essentiële dienst.
  • De gevolgen van incidenten bestrijden, beperken en tegengaan, door uitvoering van risico- en crisisbeheersingsprocedures, protocollen en waarschuwingsroutines.
  • Herstellen van incidenten, gebruikmakend van bedrijfscontinuïteitsmaatregelen. Denk hierbij aan het identificeren van alternatieve toeleveringsketens, zodat de dienstverlening van de betreffende organisatie kan worden hervat.
  • Zorgen voor de organisatie van personeelsbeveiliging. Voorbeelden van maat regelen zijn: het vaststellen van categorieën personeelsleden die kritieke functies bekleden; het instellen van procedures voor antecedentenonderzoeken. Het vaststellen van passende opleidingsvoorschriften en kwalificaties. Hierbij houden organisaties rekening met het personeel van externe dienstverleners die kritieke functies vervullen en treffen zij passende maatregelen om risico’s die daaruit kunnen voortvloeien te beperken. Het voorkomen van ongeautoriseerde toegang door het vaststellen van het recht van toegang tot gebouwen, kritieke infrastructuur en gevoelige informatie.
  • Personeel bewust maken van al deze genoemde maatregelen, onder meer door middel van opleidingen/trainingen, informatiemateriaal en oefeningen.

Meldplicht

Kritieke entiteiten moeten incidenten die de verlening van hun essentiële diensten aanzienlijk verstoren of kunnen verstoren zo spoedig mogelijk (binnen 24 uur) melden bij de bevoegde autoriteit. Het doel van de melding is om de bevoegde autoriteit in staat te stellen om te reageren op incidenten en waar nodig en mogelijk ondersteuning te bieden. Daarom moet een melding een volledig overzicht van de impact, aard, oorzaak en de mogelijke gevolgen van een incident bieden.

Meer lezen over de belangrijkste onderdelen van de wet?