Fysieke weerbaarheid van organisaties in de zorg
De Europese Unie heeft in 2022 de CER-richtlijn (Critical Entities Resilience) aangenomen, die van toepassing is op essentiële processen. Deze richtlijn heeft tot doel organisaties – waaronder zorginstellingen – voor te bereiden op scenario’s die de veiligheid van onze samenleving ernstig kunnen bedreigen, zoals terroristische misdrijven, sabotage en natuurrampen. Dit heeft directe gevolgen voor organisaties in de sector gezondheidszorg.
Waar is de Wet weerbaarheid kritieke entiteiten van toepassing?
De CER-richtlijn wordt omgezet in Wet weerbaarheid kritieke entiteiten (Wwke). Deze wet is van toepassing op vitale processen in Nederland, zoals de drinkwatervoorziening, energievoorziening en delen van de gezondheidszorg. Organisaties die als essentieel worden beschouwd voor het functioneren van maatschappelijke functies en activiteiten, worden aangeduid als 'kritieke entiteiten'. De ministers kunnen op basis van een sectorale risicobeoordeling en vooraf vastgestelde criteria die worden opgenomen in de ministeriele regeling organisaties aanwijzen. De minister van VWS zal deze kritieke entiteiten niet eerder dan het tweede kwartaal van 2026 aanwijzen. Na de aanwijzing heeft een kritieke entiteit 10 maanden de tijd om een eigen risicobeoordeling uit te voeren en te voldoen aan de vereisten in de Wwke.
De sector gezondheidszorg onder de Wet weerbaarheid kritieke entiteiten
Op dit moment beoordeelt het ministerie van VWS welke organisaties tot de sector gezondheidszorg behoren. De Wet weerbaarheid kritieke entiteiten verdeelt de sector gezondheidszorg in de volgende categorieën:
- Zorgaanbieders
- EU-referentielaboratoria
- Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen
- Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen vervaardigen
- Entiteiten die medische hulpmiddelen vervaardigen in noodsituaties
- Entiteiten die houder zijn van een groothandelsvergunning
Daarnaast biedt de Wwke de mogelijkheid om een categorie toe te voegen aan een sector.
Wanneer moet je als organisatie voldoen aan de Wet weerbaarheid kritieke entiteiten?
De CER-richtlijn wordt omgezet in de Wet weerbaarheid kritieke entiteiten en verder uitgewerkt in een algemene maatregel van bestuur. Vervolgens zal het ministerie van VWS specifieke maatregelen voor de zorg uitwerken in een ministeriële regeling.
In deze regeling worden onder andere criteria opgenomen die bepalen welke zorgorganisaties als kritieke entiteit worden aangewezen. Zij worden hierover schriftelijk geïnformeerd. De vaststelling van deze ministeriële regeling staat gepland voor het tweede kwartaal van 2026. De kritieke entiteiten hebben na aanwijzing 10 maanden om een risicobeoordeling uit te voeren en aan de verplichtingen uit de wet te voldoen.
Verantwoordelijkheden van aangewezen kritieke entiteiten
Zorgplicht
Kritieke entiteiten zijn verplicht om, nadat ze zijn aangewezen, een risicobeoordeling te doen. Op basis daarvan nemen ze passende maatregelen om fysieke incidenten te voorkomen, beperken en beheersen. Enkele voorbeelden van maatregelen die kritieke entiteiten moeten nemen:
- rechtstreekse leveranciers en dienstverleners in kaart brengen (voor zover relevant voor de essentiële dienst) inclusief het hebben van beleid hiervoor;
- zorgen voor adequate fysieke beveiliging, zoals toegangscontrole, beveiligingszones en bescherming tegen natuur- en klimaatgevaren;
- beschikken over een crisis- en bedrijfscontinuïteitsplan, zodat er goed wordt gehandeld tijdens incidenten en de dienst snel hersteld wordt;
- beleid hebben voor personeel dat verantwoordelijk is voor de weerbaarheid, inclusief periodieke trainingen en oefeningen.
Meldplicht
De Wet weerbaarheid kritieke entiteiten schrijft voor dat incidenten binnen 24 uur worden gemeld bij de bevoegde autoriteit. Voor de zorg is dit de Inspectie Gezondheidszorg en Jeugd (IGJ) en de minister van Volksgezondheid, Welzijn en Sport (VWS). Het gaat dan om incidenten die de verlening van de essentiële diensten aanzienlijk (kunnen) verstoren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring wordt getroffen, de tijdsduur van een verstoring en het door het incident getroffen geografische gebied en eventuele grensoverschrijdende gevolgen.
Toezicht en handhaving
De Inspectie Gezondheidszorg en Jeugd (IGJ) zal toezicht houden op naleving van de Wet weerbaarheid kritieke entiteiten in de zorgsector. De entiteiten zijn verplicht om alle medewerking te verlenen aan de IGJ bij de uitoefening van het toezicht.
Cyberbeveiligingswet
Organisaties die worden aangewezen als kritieke entiteit onder de Wet weerbaarheid kritieke entiteiten zijn ook een essentiële entiteit onder de Cyberbeveiligingswet. Deze wet gaat over de digitale weerbaarheid van organisaties.
Wet weerbaarheid kritieke entiteiten, de Wwke.
Sommige diensten zijn onmisbaar voor het
goed functioneren van onze maatschappij.
Zoals energie, drinkwater en de gezondheidszorg.
Organisaties die cruciaal zijn voor deze dienstverlening
moeten weerbaar zijn tegen fysieke dreigingen.
Denk aan terrorisme, sabotage en natuurrampen.
Daarom heeft de Europese Unie de CER,
richtlijn Critical Entities Resilience, aangenomen.
In Nederland zetten we deze richtlijn om
in de Wet weerbaarheid kritieke entiteiten, de Wwke.
Het ministerie van Volksgezondheid, Welzijn en Sport
wijst kritieke entiteiten aan op basis van
de Wet weerbaarheid kritieke entiteiten in de gezondheidszorg.
Kritieke entiteiten zijn organisaties
die onmisbaar zijn voor de diensten in de zorg.
Denk aan diensten van zorgaanbieders, EU-referentielaboratoria,
organisaties die geneesmiddelen onderzoeken, farmaceuten,
fabrikanten van belangrijke medische hulpmiddelen voor noodsituaties...
en organisaties met een groot- handelsvergunning voor medicijnen.
Als eerste stap voert het ministerie een risicobeoordeling
uit voor de gezondheidssector.
Het ministerie bepaalt ook welke criteria worden gebruikt
voor het aanwijzen van kritieke entiteiten.
De kritieke entiteiten worden aangewezen zodra de wet geldt,
medio 2026 tot uiterlijk 17 juli 2026.
Is een organisatie aangewezen als een kritieke entiteit,
dan hebben ze na aanwijzing 10 maanden de tijd
om aan de verplichtingen van de wet te voldoen.
Kritieke entiteiten hebben een zorgplicht.
Dat betekent dat ze een risicobeoordeling moeten doen.
Op basis van de risico’s moet een organisatie maatregelen nemen
om fysieke incidenten te voorkomen, beperken en beheersen.
Denk aan plannen maken voor crisisbeheersing
of maatregelen nemen voor toegangsbeveiliging.
Daarnaast hebben ze een meldplicht.
Serieuze incidenten moeten binnen 24 uur
gemeld worden in het NCSC-meldportaal.
De Inspectie Gezondheidszorg en Jeugd
houdt toezicht op de kritieke entiteiten uit de zorg.
Daarnaast moeten kritieke entiteiten
zich weren tegen digitale dreigingen.
Daarom zijn ze ook verplicht
om te voldoen aan de Cyberbeveiligingswet.
Zo is de gezondheidszorg in
de toekomst meer weerbaar tegen dreigingen.
Wil je meer weten over de Wet weerbaarheid kritieke entiteiten?
Ga naar datavoorgezondheid.nl/wwke
Don't speak Dutch?
There's also an English version of the animation.