Onderstaande vragen gaan over de Wet weerbaarheid kritieke entiteiten (Wwke).
De concrete vertaling van de NIS2- en CER-richtlijnen in de Nederlandse wetgeving is volop in ontwikkeling en roept mogelijk vragen op. Hieronder geven we antwoord op de meest gestelde vragen. Staat uw vraag er nog niet bij? Neem dan contact met ons op via nis2-cer@minvws.nl.
Algemene vragen NIS2- en CER-richtlijnen
De omzetting van de NIS2-richtlijn naar de Cyberbeveiligingswet en van de CER-richtlijn naar de Wet weerbaarheid kritieke entiteiten is momenteel volop in ontwikkeling. Europese lidstaten hadden tot 17 oktober 2024 de tijd om de richtlijnen om te zetten naar nationale wetgeving. De minister van Justitie en Veiligheid heeft de Tweede Kamer en de Europese Commissie geïnformeerd dat Nederland, net als een groot aantal andere lidstaten, deze implementatiedeadline niet heeft gehaald. De gevolgen van het niet-tijdig implementeren van deze twee richtlijnen naar nationale wetgeving leest u hier.
Op de pagina's van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten worden de verplichtingen van deze wetten samengevat, inclusief de sectoren waarop ze van toepassing zijn. Dit biedt organisaties inzicht in de verplichtingen waar zij aan moeten voldoen.
Nadere invulling van deze wetgeving vindt plaats via een algemene maatregel van bestuur (AMvB) en een sectorspecifieke ministeriële regeling voor de zorg.
De richtlijnen verplichten lidstaten om kritieke, essentiële en belangrijke entiteiten te ondersteunen bij het versterken van hun weerbaarheid tegen zowel fysieke als digitale risico's. Zo schrijft de CER-richtlijn voor dat de overheid elke vier jaar per sector een sectorale risicobeoordeling uitvoert en deze deelt met kritieke entiteiten binnen die sector.
De NIS2-richtlijn schrijft voor dat essentiële en belangrijke entiteiten ondersteund worden met advies en bijstand in geval van een digitale hack of cyberincident door een CSIRT (Computer Security Incident Response Team), voor de zorg is dit Z-CERT.
De overheid kan verdere ondersteuning bieden in de vorm van informatie-uitwisseling, handreikingen, en instrumenten ter verhoging van de weerbaarheid, zoals bijvoorbeeld voor het uitvoeren van een risicobeoordeling.
Nee, er wordt geen geld beschikbaar gesteld voor individuele organisaties. Het ministerie van VWS kijkt wel hoe de zorgsector als geheel kan worden ondersteund, bijvoorbeeld door het ter beschikking stellen van kennisproducten en hulpmiddelen om te ondersteunen met de implementatie.
Weerbaarheid verwijst naar het vermogen om een incident te voorkomen, te beperken, of effectief te beheersen, en om bescherming te bieden of bestand te zijn tegen, te reageren op, of zich aan te passen aan en te herstellen van een incident. In het geval van de Wet weerbaarheid kritieke entiteiten kunnen hier zowel natuurrampen als door de mens veroorzaakte rampen onder vallen, zowel onbedoeld als opzettelijk. Denk hierbij aan ongevallen, overstromingen, terroristische misdrijven, criminele infiltratie, of sabotage. Wat betreft de Cyberbeveiligingswet omvat weerbaarheid bijvoorbeeld bescherming tegen gijzelsoftware, malware, of cyberaanvallen op de toeleveringsketen.
Wet weerbaarheid kritieke entiteiten / CER-richtlijn
De CER-richtlijn wordt in Nederland omgezet in de Wet weerbaarheid kritieke entiteiten. De inwerkingtreding van de wet en de bijbehorende algemene maatregel van bestuur en ministeriële regeling voor de zorgsector, is voorzien in het tweede kwartaal van 2026.
In de ministeriële regeling legt het ministerie van VWS sectorspecifieke bepalingen vast. Op basis hiervan wijst de minister van VWS organisaties in de zorgsector aan als kritieke entiteiten. Dit gebeurt uiterlijk op 17 juli 2026. Na deze aanwijzing hebben kritieke entiteiten tien maanden de tijd om te voldoen aan de verplichtingen uit de wet en de bijbehorende lagere regelgeving.
De Wet weerbaarheid kritieke entiteiten biedt de mogelijkheid om bestuurders van entiteiten in een uiterst geval aansprakelijk te stellen.
In de Wet weerbaarheid kritieke entiteiten zijn voorschriften vastgesteld met betrekking tot het opleggen van sancties. Het toezicht op de zorgsector zal worden uitgevoerd door de Inspectie Gezondheidszorg en Jeugd (IGJ). In geval van een overtreding van de zorgplicht of meldplicht kan de IGJ een geldboete opleggen met een maximumbedrag van 10 miljoen euro of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming, uitgaande van het hoogste bedrag. Bij overtreding van andere verplichtingen uit de wet geldt een boetemaximum van 1 miljoen euro.
De Europese CER-richtlijn bevat algemene criteria voor het aanwijzen van entiteiten, die van toepassing zijn op alle sectoren onder de Wet weerbaarheid kritieke entiteiten. VWS kan in de ministeriële regeling sectorspecifieke bepalingen opnemen voor de zorg,
Nee, dit is niet de insteek van de wet. De focus ligt op het identificeren van essentiële diensten waarvan de continuïteit zoveel mogelijk gewaarborgd moet worden. Organisaties die deze essentiële diensten leveren moeten daarom maatregelen treffen om voldoende weerbaar te zijn tegen alle mogelijke fysieke dreigingen.
De lijst van kritieke entiteiten wordt wanneer dat nodig is en ten minste elke vier jaar, geëvalueerd en geactualiseerd.
De vaststelling van de Wet weerbaarheid kritieke entiteiten en de bijbehorende algemene maatregel van bestuur en de ministeriële regeling voor de zorgsector, staan gepland in het tweede kwartaal van 2026. De minister van VWS wijst uiterlijk 17 juli 2026 de kritieke entiteiten in de zorgsector aan. De kritieke entiteiten hebben na aanwijzing 10 maanden om aan de verplichtingen uit de wet te voldoen.