De sector gezondheidszorg onder de Wet weerbaarheid kritieke entiteiten

De Wet weerbaarheid kritieke entiteiten verdeelt de sector gezondheidszorg in de volgende categorieën:

  • Zorgaanbieders
  • EU-referentielaboratoria
  • Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen
  • Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen vervaardigen
  • Entiteiten die medische hulpmiddelen vervaardigen in noodsituaties
  • Entiteiten die houder zijn van een groothandelsvergunning

Daarnaast biedt de Wwke de mogelijkheid om aanvullende categorieën aan te wijzen binnen de gezondheidszorg. Voor deze categorieën voert het ministerie van VWS een risicobeoordeling uit en heeft het de mogelijkheid om kritieke entiteiten aan te wijzen. 

Wanneer moet je als organisatie voldoen aan de Wet weerbaarheid kritieke entiteiten?

De CER-richtlijn wordt omgezet in de hoofdwet Wet weerbaarheid kritieke entiteiten en wordt verder uitgewerkt in een algemene maatregel van bestuur. Vervolgens werkt het ministerie van VWS specifieke maatregelen voor de zorg uit in een ministeriële regeling. Deze regeling is op 23 april 2026 in internetconsultatie gegaan. 

In deze regeling zijn onder andere criteria opgenomen die bepalen welke zorgorganisaties als kritieke entiteit worden aangewezen. Zij worden  schriftelijk in vertrouwen over dit aanwijzingsbesluit geïnformeerd. De kritieke entiteiten hebben na aanwijzing 10 maanden om een risicobeoordeling uit te voeren en aan de verplichtingen uit de wet te voldoen.

Verantwoordelijkheden van aangewezen kritieke entiteiten

Zorgplicht
Kritieke entiteiten zijn verplicht om, nadat ze zijn aangewezen, een risicobeoordeling te doen. Op basis daarvan nemen ze passende maatregelen om fysieke incidenten te voorkomen, beperken en beheersen. Enkele voorbeelden van maatregelen die kritieke entiteiten moeten nemen:

  • rechtstreekse leveranciers en dienstverleners in kaart brengen (voor zover relevant voor de essentiële dienst) inclusief het hebben van beleid hiervoor;
  • zorgen voor adequate fysieke beveiliging, zoals toegangscontrole, beveiligingszones en bescherming tegen natuur- en klimaatgevaren;
  • beschikken over een crisis- en bedrijfscontinuïteitsplan, zodat er goed wordt gehandeld tijdens incidenten en de dienst snel hersteld wordt;
  • beleid hebben voor personeel dat verantwoordelijk is voor de weerbaarheid, inclusief periodieke trainingen en oefeningen.

Meldplicht
De Wet weerbaarheid kritieke entiteiten schrijft voor dat incidenten binnen 24 uur worden gemeld bij de bevoegde autoriteit. Voor de zorg is dit de Inspectie Gezondheidszorg en Jeugd (IGJ) en de minister van Volksgezondheid, Welzijn en Sport (VWS). Het gaat dan om incidenten die de verlening van de essentiële diensten aanzienlijk (kunnen) verstoren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring wordt getroffen, de tijdsduur van een verstoring en het door het incident getroffen geografische gebied en eventuele grensoverschrijdende gevolgen.

Toezicht en handhaving
De Inspectie Gezondheidszorg en Jeugd (IGJ) zal toezicht houden op naleving van de Wet weerbaarheid kritieke entiteiten in de zorgsector. De entiteiten zijn verplicht om alle medewerking te verlenen aan de IGJ bij de uitoefening van het toezicht.

Cyberbeveiligingswet
Organisaties die worden aangewezen als kritieke entiteit onder de Wet weerbaarheid kritieke entiteiten zijn ook een essentiële entiteit onder de Cyberbeveiligingswet. Deze wet gaat over de digitale weerbaarheid van organisaties.