Besluit van 8 juli 2026, houdende regels ter uitvoering van de Wet weerbaarheid kritieke entiteiten en tot vaststelling van het tijdstip van inwerkingtreding van de Wet weerbaarheid kritieke entiteiten (Besluit weerbaarheid kritieke entiteiten)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Justitie en Veiligheid van 22 mei 2026, directie Wetgeving en Juridische Zaken, nr. 7530399;

Gelet op de artikelen 10, derde lid, 14, zesde lid, 15, vijfde lid, 17, vijfde en zesde lid, 33 en 48 van de Wet weerbaarheid kritieke entiteiten;

De Afdeling advisering van de Raad van State gehoord (advies van 27 mei 2026, nr. W16.26.00142/II);

Gezien het nader rapport van Onze Minister van Justitie en Veiligheid van 29 juni 2026, directie Wetgeving en Juridische Zaken, nr. 7726316;

Hebben goedgevonden en verstaan:

HOOFDSTUK 1. BEGRIPSBEPALING

Artikel 1 (begripsbepaling)

In dit besluit en de daarop berustende bepalingen wordt verstaan onder wet: Wet weerbaarheid kritieke entiteiten.

HOOFDSTUK 2. ONDERSTEUNING AAN KRITIEKE ENTITEITEN

Artikel 2 (ondersteuning aan kritieke entiteiten)

Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister, kunnen regels worden gesteld over de samenwerking en ondersteuning, bedoeld in artikel 10, tweede lid, van de wet.

HOOFDSTUK 3. RISICOBEOORDELING DOOR DE KRITIEKE ENTITEIT

Artikel 3 (risicobeoordeling door de kritieke entiteit)

  • 1. De kritieke entiteit heeft vastgesteld beleid over het uitvoeren van de risicobeoordeling, bedoeld in artikel 14 van de wet. De entiteit legt dat beleid schriftelijk vast, past dat beleid aantoonbaar toe en monitort de uitvoering en effectiviteit van dat beleid.

  • 2. De kritieke entiteit houdt bij het uitvoeren van de risicobeoordeling, bedoeld in artikel 14 van de wet, rekening met de mate waarin de dienstverlening van haar rechtstreekse leveranciers en rechtstreekse dienstverleners een risico kan vormen voor haar eigen verlening van een essentiële dienst.

  • 3. De kritieke entiteit legt de uitgevoerde risicobeoordeling, bedoeld in artikel 14 van de wet, schriftelijk vast.

  • 4. De kritieke entiteit evalueert het beleid, bedoeld in het eerste lid, ten minste elke vier jaar na de eerste risicobeoordeling, of eerder, indien hiertoe aanleiding bestaat, en legt het resultaat daarvan schriftelijk vast. De entiteit past naar aanleiding van die evaluaties het beleid waar nodig aan.

HOOFDSTUK 4. ZORGPLICHT

Artikel 4 (uitvoering van artikel 15 van de wet)

Ter uitvoering van artikel 15 van de wet neemt de kritieke entiteit ten minste de maatregelen, bedoeld in de artikelen 5 tot en met 13.

Artikel 5 (identificatie kritieke infrastructuur)

  • 1. De kritieke entiteit heeft vastgesteld beleid over de identificatie van haar kritieke infrastructuur. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

  • 2. De kritieke entiteit heeft een actueel overzicht van haar kritieke infrastructuur. Dat overzicht omvat ten minste een beschrijving van de noodzakelijkheid van de desbetreffende voorziening, faciliteit, apparatuur, netwerk of systeem, of een onderdeel daarvan, voor de verlening van de essentiële dienst.

Artikel 6 (verwerving, ontwikkeling, onderhoud, herstel en beëindiging van kritieke infrastructuur)

De kritieke entiteit heeft vastgesteld beleid over het verwerven, ontwikkelen, onderhouden, herstellen en beëindigen van haar kritieke infrastructuur. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

Artikel 7 (rechtstreekse leveranciers en rechtstreekse dienstverleners)

De kritieke entiteit identificeert haar rechtstreekse leveranciers en rechtstreekse dienstverleners, voor zover zij gerelateerd zijn aan de essentiële dienst, en heeft vastgesteld beleid over de rol van deze rechtstreekse leveranciers en rechtstreekse dienstverleners ten aanzien van de weerbaarheid en instandhouding van de essentiële dienst. Die identificatie en vaststelling geschiedt op basis van de risicobeoordeling, bedoeld in artikel 14 van de wet, met inachtneming van het bepaalde in artikel 3, tweede lid. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

Artikel 8 (bescherming)

  • 1. De kritieke entiteit neemt maatregelen voor de adequate fysieke bescherming van haar gebouwen en haar kritieke infrastructuur. Daartoe neemt de entiteit in ieder geval de volgende maatregelen:

    • a. het instellen van beveiligingszones;

    • b. het inrichten van toegangsbeveiliging;

    • c. het beveiligen van kantoren, ruimten, faciliteiten, bedrijfsmiddelen buiten het terrein en nutsvoorzieningen, die van essentieel belang zijn voor de instandhouding van haar kritieke infrastructuur;

    • d. het monitoren van de beveiliging; en

    • e. het plaatsen van apparatuur op een veilige locatie en het treffen van beschermingsmaatregelen voor die apparatuur.

  • 2. Indien de kritieke entiteit risico’s heeft geïdentificeerd ten aanzien van natuurrampen en klimaatverandering, neemt zij in ieder geval maatregelen in het kader van die risico’s die op of rondom haar huidige en toekomstige locaties kunnen bestaan, zowel ondergronds als bovengronds.

  • 3. De kritieke entiteit legt de maatregelen, bedoeld in het eerste lid, schriftelijk vast.

Artikel 9 (crisismanagementplan en bedrijfscontinuïteitsplan)

  • 1. De kritieke entiteit heeft vastgestelde plannen voor het beheersen van crises en incidenten en voor het waarborgen van de bedrijfscontinuïteit. De entiteit legt die plannen schriftelijk vast, past deze plannen aantoonbaar toe in geval van een incident en beoefent deze plannen periodiek.

  • 2. Het plan voor het beheersen van crises en incidenten, bedoeld in het eerste lid, bestaat in ieder geval uit:

    • a. een beschrijving van de rollen, verantwoordelijkheden en bevoegdheden van het personeel ten tijde van een crisis of incident;

    • b. procedures en mogelijke maatregelen voor het bestrijden, beperken en herstellen van een incident of crisis en het daartegen bestand zijn, teneinde de gevolgen daarvan te beperken; en

    • c. indien van toepassing, procedures voor het gebruik van beveiligde noodcommunicatiesystemen binnen de entiteit.

  • 3. Het plan voor het waarborgen van de bedrijfscontinuïteit, bedoeld in het eerste lid, bestaat in ieder geval uit:

    • a. procedures en mogelijke maatregelen voor noodvoorzieningen;

    • b. procedures en mogelijke maatregelen om de essentiële dienst te beschermen voor uitval en zo spoedig mogelijk te herstellen na een incident; en

    • c. indien van toepassing, procedures voor het gebruik van beveiligde noodcommunicatiesystemen binnen de entiteit.

Artikel 10 (personeel)

  • 1. De kritieke entiteit heeft vastgesteld beleid over de rollen, bevoegdheden en verantwoordelijkheden van haar personeel dat verantwoordelijk is voor haar weerbaarheid of het beheer van haar kritieke infrastructuur. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

  • 2. Het beleid, bedoeld in het eerste lid, omvat in ieder geval de identificatie van categorieën personeelsleden die kritieke functies vervullen.

  • 3. Het beleid, bedoeld in het eerste lid, omvat in ieder geval de verzorging van periodieke bewustwordings- en opleidingsactiviteiten en oefeningen voor het personeel, gericht op het ontwikkelen en behouden van de kwalificaties, de kennis, het bewustzijn, de vaardigheden en het gedrag, welke noodzakelijk zijn voor de weerbaarheid van de kritieke entiteit. In die activiteiten en opleidingen worden in ieder geval de maatregelen die moeten worden genomen op grond van artikel 15, eerste lid, van de wet, behandeld.

Artikel 11 (toegang tot gevoelige informatie)

  • 1. De kritieke entiteit heeft vastgesteld beleid over de beveiliging, integriteit en vertrouwelijkheid van gevoelige informatie die van belang is voor haar weerbaarheid. De entiteit legt dat beleid schriftelijk vast en past dat beleid aantoonbaar toe.

  • 2. Het beleid, bedoeld in het eerste lid, omvat in ieder geval:

    • a. de rubricering van gevoelige informatie; en

    • b. de toegang tot gevoelige informatie.

Artikel 12 (attenderingen, adviezen en informatie)

  • 1. Indien de kritieke entiteit gericht wordt geattendeerd op de voor haar weerbaarheid relevante risico’s en dreigingen, beoordeelt zij of op basis daarvan aanpassingen of aanvullingen nodig zijn van de maatregelen ter uitvoering van artikel 15 van de wet. De entiteit legt de uitkomsten van die beoordeling schriftelijk vast.

  • 2. Het eerste lid is van overeenkomstige toepassing op gerichte adviezen en informatie, die relevant zijn voor de weerbaarheid van de kritieke entiteit, en zijn ontvangen van relevante organisaties, waaronder bevoegde autoriteiten, andere betrokken overheidsinstanties, rechtstreekse leveranciers en rechtstreekse dienstverleners.

Artikel 13 (evaluatie)

De kritieke entiteit evalueert de doeltreffendheid van de maatregelen die zij heeft genomen op grond van artikel 15, eerste lid, van de wet en de effecten ervan in de praktijk ten minste elke vier jaar, of eerder, indien hiertoe aanleiding bestaat, en legt het resultaat daarvan schriftelijk vast. De entiteit past naar aanleiding van de uitkomst van die evaluaties de maatregelen waar nodig aan.

Artikel 14 (nadere regels)

Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister, kunnen nadere regels worden gesteld over de maatregelen, bedoeld in artikel 15, eerste lid, van de wet, waarbij onderscheid kan worden gemaakt tussen sectoren, subsectoren, categorieën van entiteiten en entiteiten.

HOOFDSTUK 5. MELDPLICHT

Artikel 15 (aanzienlijke verstoring)

  • 1. Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister, kunnen aanvullende parameters als bedoeld in artikel 17, derde lid, onderdeel d, van de wet worden vastgesteld.

  • 2. Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister, kunnen de criteria worden vastgesteld op basis waarvan wordt bepaald of een verstoring aanzienlijk is als bedoeld in artikel 17, derde lid, van de wet, waarbij onderscheid kan worden gemaakt tussen sectoren, subsectoren, categorieën van entiteiten en entiteiten. In plaats van de vaststelling van die criteria bij regeling kan Onze Minister die het aangaat, na overleg met Onze Minister, die criteria ten aanzien van specifieke entiteiten vaststellen bij besluit.

  • 3. Onze Minister die het aangaat evalueert ten minste elke vier jaar de doeltreffendheid van de criteria, bedoeld in het tweede lid, en de effecten daarvan in de praktijk. Indien nodig past hij de criteria, na overleg met Onze Minister, aan.

Artikel 16 (gegevens waar een melding uit moet bestaan)

De melding, bedoeld in artikel 17, eerste lid, van de wet, omvat naast de gegevens, genoemd in artikel 17, tweede lid, van de wet, tevens de volgende gegevens:

  • a. het vermoedelijke tijdstip van de aanvang van het incident;

  • b. zo mogelijk, een prognose van de hersteltijd; en

  • c. zo mogelijk, de door de kritieke entiteit genomen of te nemen maatregelen om de gevolgen van het incident te beperken of herhaling hiervan te voorkomen.

Artikel 17 (wijze waarop een melding geschiedt)

De melding, bedoeld in artikel 17, eerste lid, van de wet, wordt door de kritieke entiteit gedaan bij een hiervoor door Onze Minister ingericht meldpunt.

HOOFDSTUK 6. PERSOONSGEGEVENS

Artikel 18 (bewaring van persoonsgegevens)

  • 1. De persoonsgegevens die door de bevoegde autoriteit, Onze Minister en het centrale contactpunt bij of krachtens de wet worden verwerkt, worden niet langer bewaard dan noodzakelijk is ter uitvoering van hun taken op grond van de wet, doch uiterlijk binnen 60 maanden na de eerste verwerking verwijderd.

  • 2. In afwijking van het eerste lid worden de persoonsgegevens die door de bevoegde autoriteit bij of krachtens de wet worden verwerkt met het oog op toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures, niet langer bewaard dan daarvoor noodzakelijk is, doch uiterlijk binnen 120 maanden na de eerste verwerking verwijderd.

  • 3. Het tweede lid is van overeenkomstige toepassing ten aanzien van de persoonsgegevens die door de bevoegde autoriteit worden verwerkt met het oog op het toezicht op de naleving van het bepaalde in de op grond van artikel 13, zesde lid, van de CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat van de Europese Unie.

HOOFDSTUK 7. SLOTBEPALINGEN

Artikel 19 (inwerkingtreding)

De Wet weerbaarheid kritieke entiteiten en dit besluit treden in werking met ingang van 15 augustus 2026.

Artikel 20 (citeertitel)

Dit besluit wordt aangehaald als: Besluit weerbaarheid kritieke entiteiten.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.

’s-Gravenhage, 8 juli 2026

Willem-Alexander

De Minister van Justitie en Veiligheid, D.M. van Weel

Uitgegeven de tiende juli 2026

De Minister van Justitie en Veiligheid, D.M. van Weel

NOTA VAN TOELICHTING

Algemeen deel

1. Inleiding

Dit besluit, het Besluit weerbaarheid kritieke entiteiten (hierna: Bwke), strekt ter uitwerking van de Wet weerbaarheid kritieke entiteiten (hierna: Wwke). De Wwke strekt op haar beurt tot de uitvoering van de Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad.1 Deze richtlijn wordt ook wel aangeduid als de CER-richtlijn.

2. De belangrijkste onderdelen van het Bwke

2.1 Inleiding

In dit hoofdstuk wordt ingegaan op de belangrijkste onderdelen van het Bwke. Voor een nadere en uitgebreide toelichting op alle artikelen uit het Bwke wordt verwezen naar de artikelsgewijze toelichting. Aan het eind van dit hoofdstuk wordt ook ingegaan op enkele overige zaken.

2.2 Risicobeoordeling

Voor kritieke entiteiten geldt op grond van artikel 14, eerste lid, Wwke de verplichting om een risicobeoordeling uit te voerenop basis van de relevante informatie uit de risicobeoordeling van de bevoegde autoriteit (vakminister).2 In artikel 3 Bwke worden nadere regels gesteld over het uitvoeren van de risicobeoordeling. Deze regels zien op het hebben van vastgesteld beleid over het uitvoeren van de risicobeoordeling, waar rekening mee te houden bij die uitvoering, de schriftelijke vastlegging van de uitgevoerde risicobeoordeling en het evalueren van dat beleid.

Een risicobeoordeling bestaat uit het proces om potentiële relevante dreigingen, kwetsbaarheden en gevaren die tot een incident kunnen leiden in kaart te brengen en te analyseren, en de impact die een incident zou kunnen hebben op de verlening van een essentiële dienst in te schatten. Hierdoor wordt inzichtelijk wat het huidige weerbaarheidsniveau van de kritieke entiteit is en welke aanvullende maatregelen nodig zijn. Kritieke entiteiten moeten beleid hierover vooraf schriftelijk vastleggen en dat beleid ook daadwerkelijk toepassen. Het doel hiervan is dat de kaders, methodieken en procedures voor het uitvoeren van de risicobeoordeling vooraf duidelijk en inzichtelijk zijn, zodat bijvoorbeeld tijdens de uitvoering van de risicobeoordeling vooral op de inhoud kan worden geconcentreerd.

Kritieke entiteiten moeten monitoren op de uitvoering en effectiviteit van dat beleid en het beleid ten minste elke vier jaar, of eerder als daar aanleiding toe is, evalueren. Aanleiding om eerder te evalueren kan bijvoorbeeld een verandering in het dreigingslandschap, nieuwe ontwikkelingen of voortschrijdend inzicht van de kritieke entiteit zijn. Door het beleid regelmatig te monitoren en te evalueren kunnen kritieke entiteiten nieuwe inzichten en bijvoorbeeld nieuwe methodieken meenemen in hun uitvoeringsbeleid.

2.3 Zorgplicht

Voor kritieke entiteiten geldt op grond van artikel 15, eerste lid, Wwke de verplichting om passende en evenredige technische, beveiligings- en organisatorische maatregelen te nemen om voor hun weerbaarheid te zorgen.3 Deze verplichting wordt de zorgplicht genoemd.

Kritieke entiteiten moeten in het kader van de zorgplicht ingevolge artikel 15, eerste lid, Wwke in ieder geval maatregelen nemen die nodig zijn om:

  • a. te voorkomen dat zich incidenten voordoen;

  • b. te zorgen voor adequate fysieke bescherming van hun gebouwen en de kritieke infrastructuur;

  • c. de gevolgen van incidenten te bestrijden, te beperken en ertegen bestand te zijn;

  • d. te herstellen van incidenten;

  • e. te zorgen voor adequaat beheer van personeelsbeveiliging; en

  • f. het relevante personeel bewust te maken van voornoemde maatregelen.

De maatregelen die kritieke entiteiten in het kader van de zorgplicht moeten nemen, zijn nader uitgewerkt in de artikelen 5 tot en met 13 Bwke. Deze artikelen zijn van toepassing op alle kritieke entiteiten uit alle sectoren waar de Wwke op van toepassing is, uitgezonderd van de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur (zie artikel 23 Wwke), en voor zover de kritieke entiteit niet op grond van artikel 24 Wwke is ontheven van de zorgplicht. Doordat de hiervoor genoemde artikelen van toepassing zijn op de meeste kritieke entiteiten, wordt daarmee een algemeen minimumniveau gecreëerd.

In diverse artikelen in het Bwke, zoals de artikelen 5 en 6, is bepaald dat kritieke entiteiten beleid over de in die artikelen genoemde onderwerpen schriftelijk moeten hebben vastgesteld en aantoonbaar moeten toepassen. Het doel van deze voorschriften is dat kritieke entiteiten weloverwogen beleid formuleren op de genoemde onderwerpen, dat beleid formeel vaststellen en dat beleid daadwerkelijk ten uitvoer brengen. Het doel is ook dat effectief toezicht mogelijk is op de uitvoering van de zorgplicht door kritieke entiteiten.

Artikel 14 Bwke biedt de mogelijkheid om de zorgplicht nader sectoraal in te vullen middels ministeriële regelingen van de vakministers voor de sectoren waar zij verantwoordelijk voor zijn. Dit biedt de mogelijkheid om ten aanzien van de zorgplicht onderscheid te maken tussen sectoren, subsectoren, categorieën van entiteiten en entiteiten, bijvoorbeeld vanwege de specifieke aard van een bepaalde sector, subsector, categorie van entiteiten of entiteit.

2.4 Meldplicht

Voor kritieke entiteiten geldt op grond van artikel 17, eerste lid, Wwke de verplichting om incidenten die de verlening van hun essentiële dienst aanzienlijk verstoren of kunnen verstoren, te melden bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie).4 Deze verplichting wordt de meldplicht genoemd.

Artikel 15 Bwke voorziet in regels over de vaststelling van aanvullende parameters die in aanmerking moeten worden genomen bij het bepalen of een verstoring aanzienlijk is, het vaststellen van criteria (ook wel drempelwaarden genoemd) op basis waarvan wordt bepaald of een verstoring als gevolg van een incident aanzienlijk is en de evaluatie van die criteria (drempelwaarden). Voor een nadere toelichting hierop wordt verwezen naar de artikelsgewijze toelichting op artikel 15 Bwke.

In dit besluit is voorts nader uitgewerkt uit welke gegevens een melding moet bestaan (artikel 16 Bwke) en op welke wijze een melding moet worden gedaan (artikel 17 Bwke).

2.5 Overige zaken
2.5.1 Na overleg met of in overeenstemming met de Minister van Justitie en Veiligheid

Waar er afstemming nodig is tussen de centraal verantwoordelijke minister, te weten de Minister van Justitie en Veiligheid, en de vakminister heeft dit er toe geleid dat in het Bwke per artikel is bepaald of dit geschiedt «na overleg met» of «in overeenstemming met» de Minister van Justitie en Veiligheid. Het verschil tussen «na overleg met» en «in overeenstemming met» is dat bij «na overleg met» eventueel verschil van inzicht kan worden opgelost via de gangbare afstemmings- en overlegstructuren, maar de vakminister uiteindelijk eigenstandig de eindbeslissing neemt. Bij «in overeenstemming met» dient de Minister van Justitie en Veiligheid bij eventueel uiteenlopende inzichten alsnog mede te beslissen. Deze variant is gekozen bij de bepalingen waarbij de handelingen van de vakminister het integrale stelsel raken, en dus van invloed zijn op de stelselverantwoordelijkheid van de Minister van Justitie en Veiligheid.

2.5.2 Notificatie

Technische voorschriften

Ter voldoening aan de Notificatierichtlijn5 is beoordeeld of de maatregelen ter uitwerking van de zorgplicht als nationale technische eisen genotificeerd moeten worden bij de Europese Commissie. Artikel 7, eerste lid, onderdeel a, Notificatierichtlijn bepaalt dat er niet genotificeerd hoeft te worden indien de lidstaten zich voegen naar bindende handelingen van de Europese Unie die de aanneming van technische voorschriften of regels betreffende diensten tot gevolg hebben. In het geval van minimumharmonisatie, waarvan sprake is voor wat betreft de implementatie van de CER-richtlijn, geldt dat nationale verdergaande maatregelen wel onder de notificatieplicht vallen. Van dergelijke verdergaande maatregelen is in dit verband geen sprake.

Diensten

Ter voldoening aan de Dienstenrichtlijn6 is beoordeeld of de maatregelen ter uitwerking van de zorgplicht als eis kwalificeren in de zin van genoemde richtlijn, welke genotificeerd moeten worden bij de Europese Commissie. De uitkomst van die beoordeling is dat de maatregelen ter uitwerking van de zorgplicht niet kwalificeren als een dergelijke eis en dat deze derhalve niet hoeven te worden genotificeerd.

3. Gevolgen

3.1 Gevolgen voor bedrijven
3.1.1 Inleiding

Het Ministerie van Justitie en Veiligheid heeft door een onafhankelijk onderzoeksbureau een regeldrukonderzoek laten uitvoeren. Het onderzoek naar de regeldruk van de Wwke en het Bwke is gecombineerd met het onderzoek naar de regeldruk van de Cyberbeveiligingswet (hierna: Cbw) en het Cyberbeveiligingsbesluit (hierna: Cbb). Aan de hand van interviews met het bedrijfsleven en een panelbijeenkomst met het mkb is een inschatting gemaakt van de regeldruk als gevolg van de Wwke en het Bwke (en de regeldruk als gevolg van de Cbw en het Cbb). Hieronder worden de belangrijkste uitkomsten daarvan ten aanzien van de Wwke en het Bwke beschreven.

3.1.2 Werkwijze regeldrukonderzoek

Bij het in kaart brengen van de regeldrukeffecten is gebruik gemaakt van de landelijke methodiek die is vastgelegd in de meest recente versie van het Handboek Meting Regeldrukkosten 2023, versie 2.1 d.d. 29 november 2023. De hierin beschreven methodiek wordt ook voorgeschreven door het Adviescollege Toetsing Regeldruk (hierna: ATR).

Er zijn interviews gehouden met verschillende bedrijven die naar verwachting regeldrukgevolgen zullen ervaren als gevolg van de Wwke en het Bwke. Tijdens de selectie van deelnemende bedrijven is rekening gehouden met de diversiteit aan bedrijven die tot de doelgroep behoren van de Cbw en Wwke. Zo is gepoogd een gevarieerde selectie samen te stellen van bedrijven uit diverse sectoren, van verschillende omvang en vallend binnen uiteenlopende wetgevende kaders. Er is met name gekeken naar eventuele kosten die voortkomen uit de verplichting tot het uitvoeren van een risicobeoordeling en de zorgplicht.

In het onderzoek is op twee vlakken onderscheid gemaakt, namelijk tussen de eenmalige en de structurele regeldrukeffecten en tussen bedrijfseigen en bedrijfsvreemde kosten. Indien bedrijfseigen kosten gekwantificeerd kunnen worden, tellen zij niet mee in de regeldrukberekening. Bedrijfsvreemde kosten zijn alle overige kosten die bedrijven niet uit eigen beweging zouden maken, voortkomend uit verplichtingen uit wet- en regelgeving. Bedrijfsvreemde regeldrukkosten worden meegenomen in de regeldrukberekening.

In het regeldrukonderzoek is voor de berekening, naast de uitkomsten van de interviews, gebruik gemaakt van standaardaantallen. Deze aantallen omvatten onder andere het totaal aantal bedrijven of ondernemingen dat naar verwachting onder de reikwijdte van de Wwke zal komen te vallen. Het toepassingsbereik van de Wwke wordt geschat op 500 ondernemingen.

Verder worden structurele tijdbestedingen geregeld uitgedrukt in fte’s in plaats van individuele uren. Omdat het aantal werkzame uren van een voltijds dienstverband significant kan verschillen tussen werkgevers en tussen cao’s, wordt gerekend met een standaardaantal uren. Gekozen is om het aantal van 1.720 werkzame uren op jaarbasis te hanteren. Dit aantal berust op een schatting van het Ministerie van Sociale Zaken en Werkgelegenheid.

Ook voor de uurtarieven van medewerkers van de bedrijven die activiteiten moeten verrichten om te voldoen aan wettelijke verplichtingen worden standaardaantallen gebruikt. Dit regeldrukonderzoek volgt hiervoor de methode uit het Handboek Meting Regeldrukkosten, versie 2.1 d.d. 29 november 2023. Onderdeel van deze methode is het aanhouden van standaard interne uurtarieven per type functie. Per activiteit die verricht wordt om te voldoen aan een verplichting is bepaald welk type functie de medewerkers die deze activiteit uitvoeren naar alle waarschijnlijkheid zullen hebben. Dit is afgestemd met de respondenten. Op basis hiervan is gerekend met het bijbehorende uurtarief.

3.1.3 Bevindingen regeldrukonderzoek

De verplichtingen die bij of krachtens de Wwke van toepassing zijn op kritieke entiteiten sluiten op veel punten aan bij de bestaande beleidskaders van de Aanpak vitaal. Met name het zogeheten vitaalinstrumentarium, bestaande uit de vitaalbeoordeling, de weerbaarheidsanalyse en het actieprogramma, sluit aan bij de hiervoor bedoelde verplichtingen, specifiek op het gebied van het in kaart brengen en beoordelen van risico’s. Vanwege de bijzondere relevantie van de dreigingen genoemd in de Wwke voor de sectoren waarin de geïnterviewde bedrijven actief zijn, hebben veel van hen al staand beleid op het gebied van de fysieke weerbaarheid van de organisatie.

Het Bwke werkt de verplichting tot het uitvoeren van een risicobeoordeling (artikel 14 Wwke) en de zorgplicht (artikel 15 Wwke) nader uit. Bedrijven verwachten voornamelijk regeldrukgevolgen te ervaren door de verplichting uit het Bwke om het beleid omtrent de risicobeoordelingen en de zorgplichtmaatregelen vast te leggen en te evalueren. Wel hebben de meeste bedrijven aangegeven dat zij hun gap assessments nog niet voltooid te hebben en nog onvoldoende inzicht te hebben in de implicaties van de Wwke op detailniveau.

Een ander terugkerend onderwerp in de interviews was de nadruk die de Wwke, de Cbw en de onderliggende regelgeving leggen op administratieverplichtingen. Veel bedrijven nemen al concrete maatregelen die worden voorgeschreven in het kader van de zorgplicht van de Cbw en de Wwke. Een significant aandeel van de regeldrukkosten verwachten bedrijven te ervaren door de administratieve lasten die worden voorgeschreven. Het vastleggen van beleid wordt evenwel noodzakelijk geacht om enerzijds te zorgen dat de entiteiten welbedacht en structureel hun maatregelen analyseren op het belang en noodzakelijkheid voor de verlening van de essentiële dienst en anderzijds dat entiteiten kunnen aantonen hoe zij tot de maatregelen zijn gekomen, zodat de toezichthoudende instantie daarin duidelijk inzicht krijgt.

De bevindingen met betrekking tot de artikelen 3, 5 tot en met 13 Bwke worden hieronder toegelicht. De uiteenzetting van de verwachte regeldrukgevolgen wordt hierna uitgesplitst in eenmalige en structurele regeldrukkosten.

Artikel 3 Bwke (risicobeoordeling door de kritieke entiteit)

Kritieke entiteiten moeten op grond van artikel 14 Wwke een risicobeoordeling uitvoeren. Periodieke risicobeoordelingen vormen al staand beleid voor alle geïnterviewde bedrijven, waarbij voor een deel van hen deze risicobeoordeling inhoudelijk al overeen komt met de risicobeoordeling die zij op grond van de Wwke moeten uitvoeren nadat zij zijn aangewezen als kritieke entiteit, waarbij enkel de frequentie in overeenstemming moet worden gebracht met de Wwke en het Bwke. Voor andere bedrijven geldt dat zij ook de focus en de diepgang van hun risicobeoordeling zullen moeten aanpassen. De all hazard-benadering van de risicobeoordeling uit de Wwke en het Bwke betekent dat sommige bedrijven risico’s waar zij tot dusverre geen inschatting van maakten, nu ook in de risicobeoordeling moeten opnemen.

Behalve de inhoudelijke vereisten aan de risicobeoordeling verwachten de meeste bedrijven ook meer tijd kwijt te zijn aan de administratieve verplichtingen die uit de Wwke voortkomen, bijvoorbeeld om bepaalde keuzes inzichtelijk te kunnen maken voor de toezichthoudende instantie. Waar bedrijven de risicobeoordeling vaak al uitvoeren, worden de resultaten ervan niet systematisch vastgelegd of gerapporteerd. Ook geven bedrijven aan verscheidene afzonderlijke risicobeoordelingen van verschillende afdelingen te zullen moeten bundelen tot één integrale risicobeoordeling voor de gehele organisatie.

Door vertegenwoordigers van het mkb werd een voorkeur voor een risk based approach naar voren gebracht tijdens het mkb-panel over het Bwke. Dit is in lijn met het ontwerp van de regelgeving, waarbij maatregelen gebaseerd zijn op risico’s die naar voren komen uit de risicobeoordeling van de kritieke entiteit.

De artikelen 5 tot en met 13 Bwke (zorgplichtmaatregelen)

Alle geïnterviewden geven aan dat zij in grote lijnen reeds voldoen aan de verplichtingen die zijn opgenomen in de artikelen 5 tot en met 13 Bwke. De beweegredenen hiervoor zijn niet enkel ingegeven door bestaande (sectorale) wetgeving, maar ook gezien de huidige geopolitieke dreigingen. Ook de inspanningen om de weerbaarheid tegen natuurrampen te vergroten zijn maar gedeeltelijk te verklaren als de naleving van de verplichtingen die uit bestaande (sectorale) wetgeving voortkomen. De bestaande sectorale wetgeving speelt desondanks een belangrijke rol.

In het onderzoek kwam naar voren dat de geïnterviewden nog onvoldoende inzicht te hebben in de verschillen op detailniveau tussen de huidige werkwijze enerzijds en de verplichtingen van de artikelen 5 tot en met 13 Bwke anderzijds. Wel kunnen additionele eenmalige regeldrukgevolgen aangewezen worden als gevolg van de specifieke verplichtingen uit het Bwke. Het Bwke specificeert dat bedrijven hun beleid ten aanzien van enkele te nemen maatregelen onder de zorgplicht moeten vaststellen, aantoonbaar toepassen en evalueren, waarbij dat beleid en de uitkomsten van de evaluaties schriftelijk moeten worden vastgelegd.

In de mkb-panelbijeenkomst kwam de wens naar voren dat de parallelle verplichtingen van de zorgplicht van het Cbb en het Bwke waar mogelijk worden samengevoegd, zodat niet voor overkoepelende aspecten hiervan apart beleid moet worden opgesteld. Om deze administratieve last te verminderen voor bedrijven, wordt de mogelijkheid geboden aan bedrijven om – waar mogelijk – aan de verplichtingen voor het uitvoeren van een risicobeoordeling op grond van de Wwke en de Cbw te voldoen in één en dezelfde risicobeoordeling.

Eenmalige regeldrukgevolgen

Bedrijven verwachten voor het uitvoeren van de risicobeoordeling (artikel 14 Wwke) te kunnen volstaan met het eenmalig inregelen van een nieuw proces. Zij verwachten ook hun rechtstreekse leveranciers en rechtstreekse dienstverleners hierbij te moeten betrekken, wat kan leiden tot extra tijdbesteding. In artikel 7 Bwke is nader gespecificeerd dat het alleen die leveranciers en dienstverleners betreft voor zover deze gerelateerd zijn aan de essentiële dienst.

De eenmalige verwachte kosten voor de uitvoering van de risicobeoordeling zullen volgens bedrijven het gevolg zijn van het inregelen van een nieuwe werkwijze en investeringen in externe expertise. Zij verwachten ook hun rechtstreekse leveranciers en rechtstreekse dienstverleners hierbij te moeten betrekken, wat kan leiden tot extra tijdbesteding. Voor de verplichting tot het uitvoeren van een risicobeoordeling verwacht een deel van de bedrijven te kunnen volstaan met het eenmalig inregelen van een nieuwe werkwijze voor de risicobeoordeling. Voor deze werkzaamheden wordt de inzet van intern personeel aangevuld met de inhuur van externen. De ingeschatte benodigde inzet van intern personeel loopt uiteen van één medewerker die hier voltijd mee bezig is voor enkele maanden, tot 15 medewerkers die hier 10% van hun tijd aan besteden gedurende een jaar. Gemiddeld genomen verwachten bedrijven 770 uur kwijt te zijn aan het uitvoeren van de risicobeoordeling. Dit zal het werk van hoogopgeleide medewerkers zijn tegen een uurtarief van € 54,–. Voor wat betreft externe ingehuurde experts geldt dat deze een hoger extern tarief in rekening brengen. Aangezien deze kosten niet bestaan uit tijdbesteding van de organisatie worden zij als out-of-pocket-investeringen beschouwd. Gemiddeld genomen verwachten bedrijven € 6.307,– kwijt te zijn aan de inhuur van externe professionals.

Bedrijven verwachten dat zij op hoofdlijnen reeds voldoen aan de eisen van de meeste onderdelen van de zorgplicht. Op detailniveau geven bedrijven echter aan nog onvoldoende inzicht te hebben in de verschillen tussen de huidige werkwijze enerzijds en zorgplicht uit de Wwke, die nader is uitgewerkt in het Bwke. De eenmalige kosten voor het voldoen aan de zorgplicht wordt verwacht met betrekking tot het uitvoeren van een gap analysis 7 en het schriftelijk vastleggen van het staande beleid. Voor wat betreft de naleving van de zorgplicht geven bedrijven aan dat ze maatregelen praktisch al uit te voeren, maar dat de administratieve verplichtingen desondanks leidt tot meerkosten. Bedrijven geven aan circa 2 tot 2,5 fte (gemiddeld 5.547 uur) incidenteel te moeten inzetten, gedurende 1 tot 4 jaar, voor de gap analysis en het opstellen van beleid. Deze werkzaamheden zullen worden verricht door een hoogopgeleide medewerker, met een gemiddeld (intern) uurtarief van € 54,–.

Tabel 1: eenmalige regeldrukgevolgen Wwke & Bwke

Artikelen

Tijdbesteding in uren

Uurtarief (€)

Out-of-pocket-kosten (€)

Totale kosten per bedrijf (P)

Aantal (Q)

Kosten (P×Q)

Artikel 14 Wwke en artikel 3 Bwke (verplichting tot het uitvoeren van een risicobeoordeling)

770

€ 54,–

€ 6.307,–

€ 47.887,–

500

€ 23.944.000,–

Artikel 15 Wwke en de artikelen 5 tot en met 13 Bwke (zorgplicht)

5.547

€ 54,–

€ 299.538,–

500

€ 149.769.000,–

Totaal

€ 173.713.000,–

Gemiddeld per bedrijf

€ 347.000,–

Structurele regeldrukgevolgen

Bedrijven verwachten structurele kosten voor het voldoen aan de verplichting tot het uitvoeren van een risicobeoordeling vanwege de inhoudelijke verdieping van de risicobeoordeling en de schriftelijke vastlegging van het beleid daaromtrent en de resultaten van de uitgevoerde risicobeoordeling. Daarnaast voorzien sommige bedrijven extra kosten omdat de voorgeschreven frequentie waarmee de risicobeoordeling plaats dient te vinden (minstens om de 4 jaar), hoger ligt dan onder het huidige beleid. Bedrijven hebben aangegeven dat onzekerheid over de manier waarop de toezichthoudende instanties de invulling van de risicobeoordeling op detailniveau zullen normeren, eraan bijdraagt dat het voor veel bedrijven lastig is om te voorzien welke kosten zij zullen moeten maken in het kader van de verplichting tot het uitvoeren van een risicobeoordeling.

Gemiddeld genomen verwachten bedrijven structureel 314 uur per jaar kwijt te zijn aan het voldoen aan de vereisten van artikel 14 Wwke en artikel 3 Bwke. Conform de Rijksbrede methodiek wordt in de berekening een gemiddeld (intern) uurtarief van € 54,– gehanteerd passend bij een uurtarief van een hoogopgeleide medewerker.

Eén van de geïnterviewde bedrijven heeft aangegeven te verwachten structureel gebruik te zullen maken van de diensten van externe experts om de risicobeoordeling uit te voeren, waarbij de verwachting is dat de jaarlijkse meerkosten van deze inhuur neerkomen op € 2.500,–. Een gemiddelde van de out-of-pocket-meerkosten van de bedrijven zou daarom geen goede afspiegeling vormen van de kosten voor ieder van deze bedrijven. In plaats daarvan wordt in de berekening de aanname gedaan dat 1/7 van de bedrijven structurele out-of-pocket-kosten zal maken die vergelijkbaar zijn met de hiervoor genoemde meerkosten voor een enkel bedrijf. Uitgaande van 500 bedrijven die naar verwachting onder het toepassingsbereik van de Wwke zullen komen te vallen, komt dit neer op 71 bedrijven.

De structurele kosten voor het voldoen aan de zorgplicht worden door bedrijven met name verwacht ten aanzien van de performance monitoring van de leveranciersketen. De structurele kosten zien bedrijven primair in de leveranciersketen, waarbij ze aangeven 0,25 tot 2 fte structureel te moeten inzetten voor performance monitoring van deze leveranciers, en ten behoeve van de bedrijfscontinuïteit. Het gemiddeld aantal uur aan tijdsbesteding betreft 3.386 uur. Het in te zetten personeel bestaat uit administratieve medewerkers en hoogopgeleide medewerkers, met een (gewogen) gemiddeld uurtarief van € 46,–.

Eén van de geïnterviewde bedrijven voorziet aanpassingen te moeten doen in de werkwijze omtrent voorraadbeheer. Dat bedrijf verwacht een grotere voorraad te moeten aanhouden om aan de verplichtingen op het gebied van bedrijfscontinuïteit en leveringszekerheid te voldoen (artikel 9 Bwke). Dit kan in theorie leiden tot aanzienlijke kosten. Het nemen van maatregelen in het kader van de Wwke en het Bwke heeft altijd als uitgangspunt dat deze passend en evenredig zijn. Het is daarom niet op voorhand evident dat grotere voorraden aanhouden noodzakelijk is en een schatting van deze kosten is derhalve niet opgenomen.

Tabel 2: structurele regeldrukgevolgen Wwke & Bwke

Artikelen

Tijdbesteding in uren

Uurtarief (€)

Out-of-pocket-kosten (€)

Totale kosten per bedrijf (P)

Aantal (Q)

Kosten (P×Q)

Artikel 14 Wwke en artikel 3 Bwke (verplichting tot het uitvoeren van een risicobeoordeling)

314

€ 54,–

€ 2.500,–

€ 17.311,–

500

€ 8.656.000,–

Artikel 15 Wwke en de artikelen 5 tot en met 13 Bwke (zorgplicht)

3.386

€ 46,–

€ 155.756,–

500

€ 77.878.000,–

Totaal

€ 86.534.000,–

Gemiddeld per bedrijf

€ 173.000,–

3.2 Gevolgen voor de uitvoering

Een versie van dit besluit is voorgelegd aan de Rijksinspectie Digitale Infrastructuur (RDI), het Staatstoezicht op de Mijnen (SodM), de Inspectie Gezondheidszorg en Jeugd (IGJ), de Inspectie Leefomgeving en Transport (ILT), de Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS), de Rijksdienst voor het Wegverkeer (RDW), de Beveiligingsautoriteit Rijk (BVA Rijk) en de Nederlandse Voedsel- en Warenautoriteit (NVWA). Door deze partijen is het voorgelegde concept van het Bwke beoordeeld op handhaafbaarheid, uitvoerbaarheid en fraudebestendigheid.

De reacties van deze organisaties en instanties zijn in samenhang bezien en beoordeeld. Als gevolg van de door hen uitgevoerde uitvoeringstoetsen zijn een aantal aanscherpingen gedaan in het concept van het Bwke, die met name gericht zijn op het vergroten van de doeltreffendheid van het beleid, de maatregelen die een entiteit moet hebben en de periodiciteit van evalueren.

In de toetsen hebben deze organisaties aandacht gevraagd voor de handhaafbaarheid van de risicogebaseerde aanpak en open normen. Daarbij wordt aandacht gevraagd voor enkele praktische uitdagingen die onder meer samenhangen met de informatiepositie, samenwerking met andere toezichthouders en buitenlandse bevoegde autoriteiten en de wijze waarop meldingen worden ontvangen. Wel geven zij aan dat in algemene zin helder is wat de opgedragen taak is, zijn de organisaties zich aan het voorbereiden op een doeltreffende uitvoering en is het hun verwachting dat het Bwke effectief uitvoerbaar is.

4. Advies en consultatie

4.1 Inleiding

Een eerdere versie van dit besluit is voor advies voorgelegd aan de Autoriteit persoonsgegevens (hierna: AP) en het ATR, opengesteld voor consultatie op www.internetconsultatie.nl en voor commentaar toegezonden aan belangenorganisaties en entiteiten. Hieronder volgt een globale bespreking van de adviezen en reacties.

4.2 Advies AP

De AP concludeert in haar advies, net als in haar advies van 20 juni 2024 op het wetsvoorstel voor de Wwke, dat bij voorkeur de te verwerken persoonsgegevens waar mogelijk in de wettekst gespecificeerd dienen te worden, of, indien niet mogelijk is, dat verduidelijking en onderbouwing in de toelichting nodig is. In lijn met hetgeen reeds is aangegeven in paragraaf 9.2 van de memorie van toelichting op de Wwke wordt het advies van de AP op dit punt wederom niet gevolgd. De redenen hiervoor zijn als volgt. Het is niet op voorhand duidelijk welke persoonsgegevens in het kader van de uitoefening van de taken uit de Wwke verwerkt zullen worden, vanwege de all hazard-benadering en het sectoroverstijgende karakter van deze regelgeving. Als op voorhand bepaalde categorieën van persoonsgegevens limitatief worden opgesomd, kan dit de verschillende instanties belemmeren in hun taakuitoefening op grond van de Wwke.

De AP wijst er daarnaast op dat de bewaartermijn van 120 maanden (10 jaren) voor toezichtsdoeleinden een erg lange termijn betreft. Volgens de AP geeft de nota van toelichting onvoldoende de noodzaak om persoonsgegevens voor 120 maanden (10 jaren) te bewaren, zodat aanvulling van de toelichting op zijn plaats is. De reactie hierop is als volgt. In artikel 18, tweede lid, Bwke is geregeld dat de persoonsgegevens die door de bevoegde autoriteit worden verwerkt met het oog op toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures, niet langer bewaard worden dan daarvoor noodzakelijk is, doch uiterlijk binnen 120 maanden (10 jaren) na de eerste verwerking verwijderd worden. Hierbij wordt aangetekend dat in het concept van het Bwke dat ter advies is voorgelegd aan de AP, artikel 18, tweede lid, Bwke de bewaartermijn bevat voor de persoonsgegevens «die worden verwerkt met het oog op het toezicht op de naleving van het bepaalde bij of krachtens de Wwke». Deze bepaling is naar aanleiding van het advies van de Afdeling advisering van de Raad van State hierover zodanig gewijzigd dat de daarin opgenomen bewaartermijn ziet op de persoonsgegevens «die worden verwerkt met het oog op toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures».

De genoemde bewaartermijn in artikel 18, tweede lid, Bwke van 120 maanden (10 jaren) is daarmee een uiterlijke bewaartermijn die begint te lopen vanaf het moment van de eerste verwerking. Persoonsgegevens moeten eerder (dan pas na 10 jaren) verwijderd worden als deze met het oog op toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures niet langer noodzakelijk zijn. Dit sluit aan bij het beginsel van gegevensminimalisatie uit de Algemene verordening gegevensbescherming (hierna: Avg). In de praktijk zal de bevoegde autoriteit derhalve voor persoonsgegevens die worden verwerkt met het oog op toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures een bewaartermijn hanteren die dit beginsel eerbiedigt doch die niet langer kan zijn dan 10 jaren, gerekend vanaf de eerste verwerking.

Voor wat betreft het standpunt van de AP dat de nota van toelichting onvoldoende de noodzaak geeft om persoonsgegevens voor toezichtsdoeleinden voor 10 jaren te bewaren, zodat aanvulling van de toelichting op zijn plaats is, is de reactie als volgt. Gezien de voorgaande toelichting wordt deze reactie gelezen als een verzoek om nadere onderbouwing voor de gekozen uiterlijke bewaartermijn van 10 jaren voor de bewaring van persoonsgegevens in het kader van het toezicht op de Wwke. Naar aanleiding van het advies van de AP is de artikelsgewijze toelichting op artikel 18, tweede lid, Bwke nader aangevuld en verduidelijkt. De kern hiervan is dat de gestelde uiterlijke termijn van 120 maanden (10 jaren) noodzakelijk is gezien de mogelijkheid van langlopende toezichtstrajecten en bijhorende bestuursrechtelijke procedures, waarvan niet uitgesloten is dat deze een kortere bewaartermijn zullen overschrijden. Dit levert het risico op dat persoonsgegevens vanwege de uiterlijke termijn gedurende een traject of procedure al verwijderd moeten worden, wat vanwege de daarmee gemoeide aantasting van bewijsmiddelen en processtukken ernstig afbreuk kan doen aan de doeltreffendheid van het toezicht. Ten overvloede wordt nogmaals opgemerkt dat voor de persoonsgegevens, die gezien lopende trajecten en procedures niet langer noodzakelijk zijn, geldt dat de bevoegde autoriteit conform het Bwke en de Avg gehouden is om deze niet langer dan noodzakelijk te bewaren en derhalve eerder dan de genoemde 10 jaren dient te verwijderen. Het 10 jaar lang bewaren van persoonsgegevens zal daarmee een uitzondering zijn en niet de regel.

De AP concludeert tot slot dat de in het concept opgenomen maximale bewaartermijn niet effectief is voor het tijdig verwijderen van persoonsgegevens, waardoor aanpassing van de tekst van artikel 18, eerste lid, Bwke nodig is. Het advies wordt op dit punt niet gevolgd. De in artikel 18, eerste lid, Bwke opgenomen maximale bewaartermijn van 60 maanden is noodzakelijk voor het goed kunnen uitvoeren van de vierjaarlijkse sectorale risicobeoordeling door de bevoegde autoriteit, voor het effectief bewaren en coördineren van de samenhang door de Minister van Justitie en Veiligheid en voor het zorgdragen voor een sectoroverstijgende en doeltreffende samenwerking tussen de bevoegde autoriteiten binnen Nederland door het centrale contactpunt. Omdat de cyclus van de risicobeoordeling en het aanwijzen van kritieke entiteiten elke vier jaar doorlopen wordt, is een bewaartermijn van 60 maanden noodzakelijk om hierin voort te kunnen bouwen op kennis, bijvoorbeeld door casuïstiek, die in een vorige iteratie is opgedaan.

4.3 Advies ATR
Nut en noodzaak

Het ATR vraagt in haar advies om een aanvullende toelichting op de vraag of (onderdelen van) bestaande wet- en regelgeving niet reeds volstaan in het bereiken van de doelstelling van de Wwke. De reactie hierop is als volgt. In hoofdstuk 4 van de memorie van toelichting op de Wwke zijn de implementatiekeuzes toegelicht. Daarin is toegelicht dat de CER-richtlijn wordt geïmplementeerd in één centrale wet (de Wwke) en niet in sectorale wetten. Eén van de redenen hiervoor is dat de CER-richtlijn onderwerpen bevat die alleen in de CER-richtlijn worden gereguleerd en daardoor niet in sectorale wetten zijn geregeld. Een voorbeeld van een dergelijk onderwerp betreft de risicobeoordeling specifiek op het terrein van alle relevante door de natuur en door de mens veroorzaakte risico’s die de verlening van een essentiële dienst kunnen verstoren, waaronder risico’s van sectoroverschrijdende of van grensoverschrijdende aard, natuurrampen en noodsituaties op het gebied van de volksgezondheid. In aanvulling op het voorgaande is tevens gewezen op het gegeven dat de sectorale wetgeving in veel gevallen niet geheel soortgelijk is aan de bepalingen hierover uit de CER-richtlijn. Het is wenselijk dat de verplichtingen uit de CER-richtlijn door de entiteiten uit de verschillende sectoren van de CER-richtlijn uniform worden toegepast.

Minder belastende alternatieven

Het ATR stelt in haar advies dat in het Bwke zoveel mogelijk gekozen moet worden voor de minst belastende invulling van de verplichtingen uit de CER-richtlijn en de daaruit volgende implementatiewetgeving, de Wwke. Het ATR stelt dat in de toelichting niet blijkt dat het Bwke dit uitgangspunt volgt en dat er in het Bwke geen heldere doelvoorschriften worden beschreven.

De reactie op het voorgaande is als volgt. Het uitgangspunt van de Wwke en het Bwke is dat maatregelen die kritieke entiteiten moeten nemen passend en evenredig zijn in relatie tot de risico’s die zij hebben vastgesteld op basis van de eigen risicobeoordeling en tegen het licht van de sectorale risicobeoordeling die uitgevoerd wordt door de bevoegde autoriteit (vakminister). Het is in eerste instantie aan kritieke entiteiten zelf om vast te stellen welke maatregelen passend en evenredig zijn om de risico’s, waarmee zij geconfronteerd worden, te kunnen beheersen. Wel wordt in dit besluit verdere invulling gegeven aan de zorgplicht, zoals in artikel 8 Bwke, over de specifieke maatregelen die kritieke entiteiten moeten nemen voor de adequate fysieke bescherming van hun gebouwen en hun kritieke infrastructuur.

Naar aanleiding van dit advies van het ATR is in de artikelsgewijze toelichting op enkele artikelen het doel van de voorgeschreven maatregelen nader omschreven.

In haar advies merkt het ATR ook op dat sommige entiteiten onder zowel de Cbw als de Wwke zullen vallen en dat duidelijk gemaakt moet worden hoe de samenwerking tussen autoriteiten zal leiden tot minder lastendruk. In paragraaf 2.3 van de memorie van toelichting op de Wwke is reeds toegelicht dat het uitgangspunt van beide wetten is dat deze zoveel mogelijk op elkaar aansluiten en dat de bevoegde autoriteiten van de Wwke en de Cbw nauw samenwerken en informatie uitwisselen, zodat entiteiten niet met (dubbele) administratieve lasten te maken krijgen die verder gaan dan nodig is om de doelstellingen van de Wwke en de Cbw te verwezenlijken. In deze nota van toelichting is naar aanleiding van de ontvangen consultatiereacties de toelichting toegevoegd dat de risicobeoordeling in beginsel vormvrij is en dus samengenomen mag worden, indien mogelijk, in hetzelfde document als de vereisten onder de Cbw. Ook mag het aansluiten bij gangbare (sectorale) methodieken hiervoor, zoals een Business Impact Analyse.

De artikelen 25 en 27 Wwke voorzien daarnaast in een nauwe samenwerking en gegevensuitwisseling tussen bevoegde autoriteiten. Zoals ook in de memorie van toelichting op de Wwke is toegelicht, kan worden gedacht aan onderlinge afspraken om zodoende vlot en effectief samen te werken en dubbel werk waar mogelijk te voorkomen, bijvoorbeeld bij het toezien op de toepassing van de verplichtingen op grond van de Wwke die raken aan andere bestaande sectorale regelingen. Ten behoeve van deze samenwerking wisselen de bevoegde autoriteiten de benodigde informatie uit, zoals de door een kritieke entiteit genomen maatregelen. Eenzelfde soort verduidelijking gaat ook op voor de samenwerking tussen de bevoegde autoriteiten onder zowel de Cbw als de Wwke. Daarnaast wordt gestreefd naar het inrichten van één meldportaal voor meldingen van incidenten onder de Cbw en de Wwke.

Daarnaast is in paragraaf 5.9.6 van de memorie van toelichting op de Wwke toegelicht dat het noodzakelijk is dat toezichthoudende instanties nauw met elkaar samenwerken in het belang van doelmatig en doeltreffend toezicht op de Wwke. Daarin is uiteengezet dat kan worden gedacht aan afspraken over samenloop van toezicht op eenzelfde entiteit, het voorkomen van onevenredige toezichtslasten, de uitwisseling van gegevens en een consistente uitleg van begrippen en normen uit de Wwke.

Werkbaarheid

Het ATR constateert dat het mkb is geraadpleegd, maar dat uit de nota van toelichting op het Bwke niet blijkt hoe omgegaan wordt met de zorgen die door het mkb zijn geuit. Naar aanleiding van dit advies van het ATR zijn in hoofdstuk 3 aanvullingen gedaan op dit punt.

Daarnaast vraagt het ATR of er voor mkb’ers dezelfde eisen worden gesteld als aan grotere entiteiten. De reactie hierop is als volgt. Het uitgangspunt van de Wwke en het Bwke is dat maatregelen die kritieke entiteiten moeten nemen passend en evenredig zijn in relatie tot de risico’s die zij hebben vastgesteld op basis van de eigen risicobeoordeling en tegen het licht van de sectorale risicobeoordeling. Gezien deze risicogebaseerde aanpak, zullen de eisen en maatregelen passend en evenredig zijn bij de risico’s en draagkracht van het bedrijf zelf. Om dit nog extra te benadrukken is in artikel 8 Bwke aangevuld dat de kritieke entiteit passende en evenredige maatregelen neemt, gebaseerd op de risicobeoordeling, voor de fysieke bescherming van haar gebouwen en kritieke infrastructuur. De risicogebaseerde aanpak van de Wwke en het Bwke geven bedrijven daarnaast de ruimte om aan te sluiten bij bestaande sectorale methodieken en praktijk, om zo ook lasten te verminderen. Bedrijven kunnen er bijvoorbeeld voor kiezen om de risicobeoordeling van de Cbw en de Wwke - waar mogelijk - in één document vatten.

Het ATR stelt voorts dat het niet duidelijk wordt of (gerichte) overheidsondersteuning aan het mkb geboden zal worden om de werkbaarheid van de verplichtingen voor het mkb te verbeteren. In paragraaf 5.8 van de memorie van toelichting op de Wwke is beschreven waar de ondersteuning aan kritieke entiteiten in ieder geval uit zal bestaan. Die ondersteuning is gericht op alle kritieke entiteiten, waaronder dus ook het mkb.

Gevolgen regeldruk

Het ATR heeft bij het wetsvoorstel voor de Wwke geadviseerd om meer inzicht te geven in de regeldrukgevolgen van de onderliggende algemene maatregel van bestuur (hierna: amvb). Conform het advies van het ATR is er een regeldrukonderzoek uitgevoerd door een onafhankelijk onderzoeksbureau voor het Bwke.

Het ATR adviseert om de regeldruk, overeenkomstig de daarvoor geldende Rijksbrede methodiek, ook in kaart te brengen voor de zorgplicht uit de Wwke en nader uitgewerkt in het Bwke, en om beter te onderbouwen hoe verschillende inschattingen (bijvoorbeeld de inschatting van de tijdsbesteding) tot stand zijn gekomen. In reactie hierop is het onderzoek uitgebreid en wordt er in hoofdstuk 3 nader ingegaan op de gehanteerde methodiek en de bevindingen van het regeldrukonderzoek.

4.4 Internetconsultatie
Doel van het beleid en risicogebaseerde aanpak

Uit een aantal consultatiereacties, waaronder die van het Verbond van Nederlandse Ondernemingen - Nederlands Christelijk Werkgeversverbond (hierna: VNO-NCW), de Koninklijke Vereniging MKB-Nederland (hierna: MKB-Nederland) en de Koninklijke Vereniging van de Nederlandse Chemische Industrie (hierna: VNCI), blijkt dat waarde wordt gehecht aan de risicogebaseerde aanpak, omdat dat de regeldruk kan verminderen en recht doet aan de mogelijk grote sectorale verschillen. De reactie hierop is als volgt. De risicogebaseerde aanpak wordt in het Bwke vormgegeven door kritieke entiteiten met name te verplichten beleid te hebben over aspecten die de zorgplicht raken.

In een aantal consultatiereacties, waaronder die van Port of Rotterdam, Groningen Airport Eelde, Energie-Nederland, Vewin, de Unie van Waterschappen en het Nederlands Normalisatie-Instituut (hierna: NEN), wordt aangekaart dat een duidelijkere verwoording van het doel van het gevraagde beleid bijdraagt aan het verhogen van de weerbaarheid van een kritieke entiteit, bijvoorbeeld omdat de te nemen maatregelen dan logischer volgen of omdat de bevoegde autoriteit (toezichthoudende instantie) dan gerichter kan toezien op de mate van weerbaarheid. Naar aanleiding van deze reacties is in de artikelsgewijze toelichting op diverse artikelen duidelijker omschreven wat het doel is van het gestelde beleid.

Groningen Airport Eelde stelt dat de hoeveelheid beleid die moet worden opgesteld nadrukkelijk moet worden afgewogen ten opzichte van het risico en proportionaliteit en vraagt om een lichte en zware variant van het Bwke, met oog op de lastendruk voor kleinere organisaties. De reactie hierop is als volgt. Het kader dat in het Bwke wordt gesteld is al de variant waarbij kritieke entiteiten primair zelf de ruimte krijgen om invulling te geven aan de te nemen maatregelen, waarbij de inschatting welke maatregelen proportioneel zijn ten opzichte van het risico nadrukkelijk primair bij de kritieke entiteit zelf ligt. Dit om zoveel mogelijk ruimte te geven aan kleinere entiteiten om naar gelang capaciteit en in navolging van de eigen risicobeoordeling invulling te geven aan de eisen die in de Wwke en het Bwke gesteld worden. De bevoegde autoriteit (toezichthoudende instantie) zal uiteindelijk toetsen of de door de kritieke entiteit uitgevoerde risicobeoordeling recht doet aan de risico’s en dreigingen en of de genomen maatregelen in verhouding zijn met de risicobeoordeling.

Het NEN benoemt daarnaast dat de nota van toelichting op een aantal punten verder gaat in de verplichte voorschriften dan het Bwke zelf. De reactie hierop is als volgt. De nota van toelichting gaat niet verder dan de vereisten uit het Bwke. De nota van toelichting geeft invulling en kleur aan hetgeen het Bwke voorschrijft.

Verder stelt het NEN dat het Cbb beter uitgewerkte eisen oplegt aan partijen en adviseert hiervan zaken over te nemen. De reactie hierop is als volgt. Waar mogelijk zijn het Cbb en het Bwke op elkaar afgestemd. De NIS2-richtlijn8 (welke wordt geïmplementeerd in de Cbw en het Cbb) kent echter andere uitgangspunten ten opzichte van de CER-richtlijn (welke wordt geïmplementeerd in de Wwke en het Bwke) en is op onderdelen ook gedetailleerder, wat niet altijd aansluit op of overeenkomt met de CER-richtlijn.

Risicobeoordeling

Onder meer door VNO-NCW, MKB-Nederland en het Centraal Bureau Levensmiddelenhandel wordt aangekaart dat zij het wenselijk achten dat kritieke entiteiten de risicobeoordeling en de daarop volgende maatregelen zoveel mogelijk met de vereiste risicoanalyse van de Cbw kunnen combineren. De reactie hierop is als volgt. Mits aan de aspecten van de Wwke en het Bwke wordt voldaan, is de risicobeoordeling in beginsel vormvrij. Het ligt dan ook voor de hand dat kritieke entiteiten beide risicobeoordelingen zo kunnen inrichten om dubbele lasten te voorkomen. Ter verduidelijking is de artikelsgewijze toelichting op artikel 3 Bwke op dit punt aangevuld.

Energie-Nederland stelt dat de formulering «periodiek», welke onder meer wordt gebruikt in de artikelen 3, eerste lid, 8, derde lid, en 9, eerste lid, Bwke, nog verder ingevuld kan worden. Naar aanleiding daarvan is het besluit op dit punt aangepast, en is bepaald dat evaluatie van beleid of maatregelen in de hierboven genoemde artikelen ten minste iedere vier jaar gebeurt, tenzij er aanleiding is om dit eerder te doen.

Artikel 3, tweede lid, Bwke, schrijft voor dat de kritieke entiteit in de risicobeoordeling ook de risico’s meeweegt die door de dienstverlening van haar rechtstreekse leveranciers en rechtstreekse dienstverleners kunnen ontstaan voor de levering van de essentiële dienst. Onder meer het NEN, RWE Generation NL en de Unie van Waterschappen stellen dat er meer vastgelegd moet worden door een kritieke entiteit over de afhankelijkheden van leveranciers en dienstverleners. De reactie hierop is als volgt. Het in kaart brengen van alle afhankelijkheden is een complex en tijdrovend proces. Om zorg te dragen voor een proportionele regeldruk en uitvoeringslast voor bijvoorbeeld kleinere bedrijven, is er in deze bepaling voor gekozen om dit in de risicobeoordeling op te nemen. Zo worden kritieke entiteiten wel verplicht om zich te verhouden tot deze mogelijke kwetsbaarheid, maar kan er een afweging gemaakt worden in de mate van detail en proportionaliteit ten aanzien van de risico’s.

In de consultatiereacties van Schiphol en Port of Rotterdam wordt gevraagd om een definitie van rechtstreekse leveranciers en rechtstreekse dienstverleners. Naar aanleiding hiervan is artikel 7 Bwke aangevuld met «voor zover die gerelateerd zijn aan de essentiële dienst».

In de consultatie geeft Schiphol aan dat het onduidelijk is waar de risicobeoordeling aan moet voldoen. De reactie hierop is als volgt. De risicobeoordeling is in beginsel vormvrij, maar wordt gevoed door de sectorale risicobeoordeling die door de bevoegde autoriteit (vakminister) gedaan wordt. De kritieke entiteit wordt hierbij ondersteund door de bevoegde autoriteit (vakminister). Door niet alle details van de risicobeoordeling vast te leggen in deze regelgeving, wordt ruimte gegeven aan de kritieke entiteit om bijvoorbeeld aansluiting te zoeken bij verplichtingen die vanuit sectorale wetgeving al bestaan.

VNCI stelt dat voor een goed geïnformeerde risicobeoordeling ook een sterke informatievoorziening noodzakelijk is. De reactie hierop is als volgt. Ook hierbij speelt de ondersteuning door de bevoegde autoriteit (vakminister) een belangrijke rol. VNCI stelt terecht dat voor het uitvoeren van de risicobeoordeling door kritieke entiteiten noodzakelijk is om gevoed te worden met de juiste actuele en relevante dreigingsinformatie. Vanuit de rijksoverheid worden hiertoe ook relevante informatiebronnen opgesteld, waaronder sectoroverstijgende documenten als de Rijksbrede Risicoanalyse Nationale Veiligheid en het Dreigingsbeeld Statelijke Actoren. Dit is onderdeel van de ondersteuning die de bevoegde autoriteit (vakminister) biedt aan een kritieke entiteit, zoals vastgelegd in artikel 10 Wwke.

Standaardnormen en methodieken

In onder meer de consultatiereacties van het NEN en de Unie van Waterschappen wordt gevraagd om het hanteren van standaardnormen, zoals ISO- of NEN-normeringen, bij het nader invullen van de zorgplicht. De reactie hierop is als volgt. Om recht te doen aan de verschillen tussen en soms ook binnen de sectoren en kritieke entiteiten onder de Wwke, is ervoor gekozen om dit niet vooraf vast te leggen. Europese en internationale standaarden en normen kunnen een goede indicatie geven van hoe technische en organisatorische veiligheids- en beveiligingsmaatregelen te treffen, maar het voldoen aan Europese of internationale standaarden betekent in zichzelf niet dat een entiteit aan de zorgplicht voldoet.

Ook wordt gesteld dat er naast een risicobeoordeling ook een Business Impact Analyse gedaan zou moeten worden door bedrijven, om de bedrijfscontinuïteit zo goed mogelijk te waarborgen. De reactie hierop is als volgt. De risicobeoordeling die op grond van de Wwke moet worden gedaan bevat voor een deel dezelfde elementen als die in een Business Impact Analyse meegenomen zouden worden, voor een goed geborgde bedrijfscontinuïteit. Naar aanleiding van deze reactie is in deze nota van toelichting nader toegelicht dat bij het opstellen van een risicobeoordeling gebruikgemaakt kan worden van (sectoraal) gangbare methodiek, zoals een Business Impact Analyse.

Regeldruk

Energie-Nederland, Groningen Airport Eelde en het NEN merken op dat de geschatte bedragen voor inhuur van een externe adviseur genoemd in de regeldrukparagraaf niet overeen komen met de tarieven die zij kennen. De reactie hierop is als volgt. De berekeningen zijn gedaan met de standaardtarieven genoemd in het Handboek Meting Regeldrukkosten, versie 2.1 d.d. 29 november 2023, en worden daarom gehandhaafd. Wel is het regeldrukonderzoek uitgebreid met meer interviews en naar aanleiding daarvan aangepast.

Daarnaast maken de Unie van Waterschappen en Energie-Nederland zich zorgen over de tijd die entiteiten krijgen om de wetgeving effectief te implementeren. In reactie hierop wordt gewezen naar de artikelen 14, derde lid, 15, zesde lid, 17, zevende lid, Wwke, waarin is geregeld dat de daarin bedoelde verplichtingen enkele maanden na de aanwijzing als kritieke entiteit van toepassing zijn op de aangewezen kritieke entiteit.

In de consultatiereacties van Netbeheer Nederland, Port of Rotterdam en RWE Generation NL worden zorgen geuit over de administratieve druk die artikel 12 Bwke (over attenderingen, adviezen en informatie) met zich mee brengt voor kritieke entiteiten. De reactie hierop is als volgt. In dit artikel wordt gespecificeerd dat alleen de uitkomsten van de beoordeling of aanpassing of aanvulling van de maatregelen die voortvloeien uit de zorgplicht noodzakelijk is, vastgelegd hoeven worden. Daarnaast ziet de bepaling alleen op attenderingen, adviezen of informatie die specifiek gericht zijn aan de kritieke entiteit, en alleen daar waar het ziet op risico’s en dreigingen die voor de weerbaarheid van de kritieke entiteit relevant zijn. Naar aanleiding van deze consultatiereacties is dit in de artikelsgewijze toelichting op artikel 12 Bwke nader verduidelijkt.

Verhouding Cbw en sectorale wet- en regelgeving

Energie-Nederland kaart aan dat er in de Cbw andere terminologie gehanteerd wordt dan in de Wwke. De reactie hierop is als volgt. De in de Cbw gehanteerde termen vloeien voort uit de NIS2-richtlijn en die uit de Wwke vloeien voort uit de CER-richtlijn. Lidstaten hebben geen ruimte om over te gaan tot andere termen.

RWE Generation NL, de Unie van Waterschappen en VNCI uiten zorgen over conflicterende eisen vanuit sectorale wetgeving of in combinatie met de Cbw. Met betrekking tot de Cbw wordt gewezen op artikel 4 Wwke. Met betrekking tot sectorale wetgeving wordt gewezen op de aandacht voor goede sectoroverstijgende samenwerking, bijvoorbeeld tussen toezichthoudende instanties.

Toezicht

Een aantal consultatiereacties, waaronder die van VNO-NCW, MKB-Nederland, Energie-Nederland, de Vereniging van Nederlandse Gemeenten en Netbeheer Nederland, zien op toezicht. In reactie hierop wordt allereerst aangegeven dat het toezicht op de verplichtingen uit de Wwke, die worden uitgewerkt in het Bwke, wordt geregeld in de Wwke. De door diverse partijen geuite wens om voor de Cbw en de Wwke met één toezichthouder te werken die integraal toezicht houdt, wordt meegenomen bij het inrichten van het toezichtlandschap, en zal in sommige gevallen wel en in andere gevallen niet mogelijk blijken - sterk afhankelijk van de sector en het bijbehorende toezichtlandschap. Er zal worden ingezet op duidelijke samenwerkingsafspraken tussen toezichthouders. Er wordt gestreefd naar het inrichten van één meldpunt voor meldingen van incidenten onder zowel de Wwke als de Cbw, waarmee ook de toezichtlasten voor kritieke entiteiten zoveel mogelijk worden beperkt.

Vertrouwelijkheid

In een aantal consultatiereacties, waaronder die van Energie-Nederland, Vewin, Netbeheer Nederland, VNCI, RWE Generation NL en Schiphol, wordt het belang van vertrouwelijkheid van gegevensuitwisseling in het kader van de Wwke benadrukt. De reactie hierop is als volgt. Bij de voorbereiding van de Wwke is nadrukkelijk aandacht geweest voor de vertrouwelijkheid van gegevens die worden uitgewisseld in het kader van de Wwke. Dit heeft onder meer geresulteerd in artikel 34, tweede lid, Wwke. Daarin is geregeld dat de Wet open overheid niet van toepassing is op vertrouwelijke gegevens die in het kader van de Wwke worden verwerkt door de bevoegde autoriteit, het centrale contactpunt en de Minister van Justitie en Veiligheid.

Onder meer Vewin, RWE Generation NL en Netbeheer Nederland vragen aandacht voor gegevens die bijvoorbeeld aan een toezichthouder verstrekt worden in het kader van de meldplicht, waarvan vertrouwelijkheid belangrijk is. De reactie hierop is als volgt. Allereerst wordt gewezen op artikel 34, tweede lid, Wwke. Dit aandachtspunt wordt daarnaast meegenomen bij het uitwerken van de samenwerkingsafspraken tussen toezichthouders en de inrichting van de meldfunctionaliteit. De kritieke entiteit heeft daarnaast ook een eigen verantwoordelijkheid voor het waarborgen van de vertrouwelijkheid, bijvoorbeeld bij het delen van informatie over genomen maatregelen in het kader van de zorgplicht.

In de consultatiereacties van VNO-NCW en MKB-Nederland, Vewin en het Centraal Bureau Levensmiddelenhandel wordt aangegeven dat een ministeriële regeling, welke wordt gepubliceerd, over de criteria (drempelwaarden) om te bepalen of een verstoring aanzienlijk is als bedoeld in artikel 17, derde lid, Wwke, mogelijk gevoelige informatie kan bevatten. Naar aanleiding van deze reactie is artikel 15, eerste lid, Bwke zodanig aangevuld, dat de vakminister de criteria (drempelwaarden) op basis waarvan wordt bepaald of een verstoring aanzienlijk is als bedoeld in artikel 17, derde lid, Wwke, ten aanzien van specifieke entiteiten bij besluit kunnen worden vastgesteld.

Invulling zorgplicht

Door VNO-NCW, MKB-Nederland, Vewin en het Centraal Bureau Levensmiddelenhandel is aangegeven dat het verplichten van de concrete maatregelen in artikel 8 Bwke niet past in de geest van de CER-richtlijn. Deze maatregelen zijn echter een minimumniveau aan beschermingsmaatregelen, en nog steeds in te vullen op de manier die past bij de sector en entiteit. Dit artikel wordt daarom gehandhaafd.

Wel is naar aanleiding van deze reacties in de artikelsgewijze toelichting op artikel 9 Bwke duidelijker toegelicht dat de vorm waarin bepaalde plannen opgesteld worden de kritieke entiteit vrij staat en kan worden ingevuld met bestaande (sectorale) methodieken.

Onder andere het NEN benoemt dat veel vereisten die vanuit de zorgplicht aan een kritieke entiteit gevraagd worden, mogelijk al gedekt worden door bestaande bedrijfscontinuïteitsmanagement normen. In artikel 15 Wwke wordt verwezen naar - onder meer - bedrijfscontinuïteitsplannen om invulling te geven aan de voorschriften van de zorgplicht. In artikel 9 Bwke wordt hier verdere uitwerking aan gegeven. Het opnemen van specifieke normen druist echter in tegen de risicogebaseerde benadering van de Wwke en het Bwke. Wel wordt in deze nota van toelichting benadrukt dat het invullen van de voorschriften van de zorgplicht vormvrij is, en dat daarbij dus ook gebruik kan worden gemaakt van bestaande (bedrijfscontinuïteitsmanagement)systemen en -normen.

Onder andere het NEN suggereert om in artikel 8 Bwke te spreken van kritieke «assets» in plaats van «kritieke infrastructuur en gebouwen», omdat dat laatste mogelijk verwarrend zijn. De reactie hierop is als volgt. Aangezien de term kritieke infrastructuur in de CER-richtlijn gedefinieerd is, wordt vastgehouden aan die term.

Personeel

In hun consultatiereacties pleiten VNO-NCW en MKB-Nederland, Energie-Nederland en VNCI ervoor om in artikel 10 Bwke de term «opleiding» te veranderen, omdat een opleiding vaak langdurig van aard is en impliceert dat er een erkend diploma behaald dient te worden. Naar aanleiding hiervan is in artikel 10 Bwke de term veranderd naar «opleidingsactiviteiten», zodat ook kortere activiteiten zoals cursussen of trainingen hieronder geschaard kunnen worden.

Schiphol, het NEN en Port of Rotterdam vragen in hun consultatiereacties naar verduidelijking van de categorieën personeelsleden. Naar aanleiding van deze reacties is in deze nota van toelichting verduidelijkt dat het kan gaan om personeelsleden die noodzakelijk zijn voor het in stand houden van de essentiële dienst, maar ook om personeelsleden die bijzondere kennis hiervan hebben.

Het NEN stipt ook de zwaarte van screening aan. De reactie hierop is als volgt. Een entiteit kan zelf de afweging maken of een Verklaring Omtrent het Gedrag voldoende is, of dat een zwaardere screening gepast is.

Meldplicht

In de consultatiereactie van Energie-Nederland wordt gevraagd om duidelijkheid over wie een melding moet doen. De reactie hierop is als volgt. In artikel 17 Wwke is bepaald dat een kritieke entiteit een incident die de verlening van haar essentiële dienst aanzienlijk verstoort of kan verstoren, moet melden. Als een incident meerdere kritieke entiteiten bij de instandhouding van hun essentiële diensten treft, dient elke getroffen kritieke entiteit hiervan zelfstandig melding te doen.

Energie-Nederland geeft aan dat het voor een kritieke entiteit mogelijk moet zijn om bij een gedane melding nog aanvullende details op een later moment toe te voegen, omdat deze niet altijd bij de eerste melding bekend zijn. Naar aanleiding hiervan is de artikelsgewijze toelichting op artikel 16 Bwke aangevuld met een nadere toelichting op dit punt.

VNG vraagt om de evaluatieperiode van de criteria (drempelwaarden) die bepalen wat een aanzienlijk verstorend incident is, te verkorten naar 2 jaar. De reactie hierop is als volgt. Een evaluatieperiode van 4 jaar is passend. Artikel 15, tweede lid, Bwke biedt de ruimte om ook eerder te evalueren als omstandigheden, zoals een verandering in het dreigingslandschap of doeltreffendheid van de criteria (drempelwaarden), daar aanleiding toe geven.

5. Overgangsrecht en inwerkingtreding

Het Bwke voorziet niet in overgangsrecht.

In artikel 19 Bwke is bepaald dat zowel de Wwke als het Bwke in werking treden met ingang van 15 augustus 2026. Hierbij wordt afgeweken van de vaste verandermomenten en de minimuminvoeringstermijn, omdat de Wwke en het Bwke strekken tot de implementatie van een bindende EU-rechtshandeling, te weten de CER-richtlijn.

Artikelsgewijze toelichting

Artikel 1 (begripsbepaling)

Artikel 1 Bwke bevat de definitie van één begrip uit het Bwke. Daar waar in het Bwke «de wet» wordt genoemd, wordt daaronder verstaan: de Wwke.

Het Bwke bevat ook andere begrippen, zoals «risico» en «incident», die ook voorkomen in de Wwke en al in artikel 1 Wwke zijn gedefinieerd. De in artikel 1 Wwke opgenomen definitie van die begrippen geldt ook als de definitie van diezelfde begrippen in het Bwke. In artikel 1 Wwke is namelijk bepaald dat de daarin opgenomen definities gelden voor de begrippen in de Wwke én in de daarop berustende bepalingen. Bij het Bwke is sprake van dat laatste; de bepalingen uit het Bwke berusten immers op de Wwke.

Artikel 2 (ondersteuning aan kritieke entiteiten)

In artikel 10, derde lid, Wwke is bepaald dat bij of krachtens amvb regels kunnen worden gesteld over de samenwerking met en ondersteuning aan kritieke entiteiten ten behoeve van het vergroten van hun weerbaarheid. Er is gekozen om in artikel 2 Bwke te regelen dat bij regeling van de vakminister de hiervoor bedoelde regels kunnen worden gesteld. De sectorale kennis en expertise ligt immers bij de vakminister. Het is ook de vakminister die de op grond van de Wwke verplichte risicobeoordeling uitvoert. Bovendien kan het per sector of subsector verschillen welke samenwerking of ondersteuning nodig is. Een sectorale invulling van de ondersteuning aan en samenwerking met kritieke entiteiten is dan ook wenselijk.

Artikel 3 (risicobeoordeling door de kritieke entiteit)

In artikel 14, zesde lid, Wwke is geregeld dat bij of krachtens amvb nadere regels kunnen worden gesteld over de uitvoering van de risicobeoordeling, bedoeld in artikel 14, eerste lid, Wwke. Op grond van dat artikel zijn in artikel 3 Bwke enkele regels opgenomen over het uitvoeren van de risicobeoordeling.

Eerste lid

Artikel 3, eerste lid, Bwke verplicht kritieke entiteiten om vastgesteld beleid te hebben over het uitvoeren van de risicobeoordeling. De risicobeoordeling is in beginsel vormvrij en kan bijvoorbeeld aansluiten op documenten waarin andere risicoanalyses zijn opgenomen, zoals die voor de Cbw. Ook mag de risicobeoordeling aansluiten bij gangbare (sectorale) methodieken hiervoor, zoals een Business Impact Analyse.

In het beleid worden de stappen en procedures voor de totstandkoming van de risicobeoordeling uiteengezet. Er kan bijvoorbeeld worden begonnen bij het in kaart brengen van de kritieke infrastructuur en de belangen of doelstellingen van de entiteit die verband houden met de noodzakelijke continuïteit, integriteit en vertrouwelijkheid van de verlening van de essentiële dienst door de kritieke entiteit. Na het in kaart brengen van deze aspecten kan de kritieke entiteit bijvoorbeeld bepalen welke dreigingen, kwetsbaarheden en risico’s zich kunnen voordoen en hoe groot de gevolgen daarvan kunnen zijn waardoor zij een adequate basis heeft voor het treffen van weerbaarheidsverhogende maatregelen. Hierbij is het van belang dat de kritieke entiteit als onderdeel van de risicobeoordeling nagaat of de overblijvende restrisico’s na het nemen van de maatregelen acceptabel zijn.

De kritieke entiteit evalueert het beleid ten aanzien van de risicobeoordeling ten minste elke vier jaar, of eerder als daartoe aanleiding bestaat. Aanleiding om eerder te evalueren kan bijvoorbeeld ontstaan door ontwikkelingen, veranderingen in de sector of binnen de entiteit, voortschrijdend inzicht of veranderingen in risico’s en dreigingen waarmee de entiteit geconfronteerd wordt.

Tweede lid

Artikel 3, tweede lid, Bwke verplicht kritieke entiteiten om bij het uitvoeren van hun risicobeoordeling rekening te houden met de mate waarin de dienstverlening van hun rechtstreekse leveranciers en rechtstreekse dienstverleners risico’s kunnen vormen voor hun verlening van essentiële diensten. Met rechtstreeks wordt bedoeld die leveranciers en dienstverleners die direct leveren aan de kritieke entiteit. Er kunnen bijvoorbeeld risico’s ontstaan als er een afhankelijkheid van een rechtstreekse leverancier of rechtstreekse dienstverlener bestaat. Andere voorbeelden van risico’s zijn een zwakke weerbaarheid van een leverancier of dienstverlener of het hebben van ongereguleerde toegang van leveranciers tot kritieke infrastructuur.

Sectoren, leveranciers en dienstverleners zijn op steeds meer nationale, en ook internationale lagen en lijnen verbonden. Daardoor raken risico’s ook verbonden. Voor een individuele sector of entiteit is het lang niet altijd duidelijk welke afhankelijkheden, en dus mogelijke kwetsbaarheden er bestaan. Veelal blijkt pas bij een incident dat een groot aantal organisaties binnen een sector diensten afneemt van één partij. Incidenten bij een dergelijke partij, ongeacht de aard of oorzaak, heeft mogelijk grootschalige nationale of zelfs grensoverschrijdende impact tot gevolg.

Kritieke entiteiten moeten bij het uitvoeren van de risicobeoordeling ook nadrukkelijk oog hebben voor rechtstreekse leveranciers en rechtstreekse dienstverleners die doelbewust de weerbaarheid van de kritieke entiteit kunnen ondermijnen.

Derde lid

In artikel 3, derde lid, Bwke is bepaald dat kritieke entiteiten de uitgevoerde risicobeoordeling schriftelijk moeten vastleggen. Hiermee wordt voor de relevante organisatielagen van de kritieke entiteit en de bevoegde autoriteit (toezichthoudende instantie) inzichtelijk hoe de risicobeoordeling is uitgevoerd en waarom tot bepaalde conclusies is gekomen.

Vierde lid

Kritieke entiteiten moeten het beleid voor het uitvoeren van een risicobeoordeling ten minste elke vier jaar, of eerder als daar aanleiding toe is, evalueren. Dit is opgenomen in artikel 3, vierde lid, Bwke. Aanleiding om eerder te evalueren kan bijvoorbeeld een verandering in het dreigingslandschap, nieuwe ontwikkelingen of voortschrijdend inzicht van de kritieke entiteit zijn. Door het beleid regelmatig te monitoren en te evalueren kunnen kritieke entiteiten nieuwe inzichten en bijvoorbeeld nieuwe methodieken meenemen in hun uitvoeringsbeleid.

Artikel 4 (uitvoering van artikel 15 van de wet)

In artikel 4 Bwke is bepaald dat kritieke entiteiten in elk geval de maatregelen, bedoeld in de artikelen 5 tot en met 13 Bwke, moeten nemen, waarmee zij uitvoering geven aan de zorgplicht, bedoeld in artikel 15 Wwke.

Artikel 5 (identificatie kritieke infrastructuur)

Artikel 5, eerste lid, Bwke verplicht kritieke entiteiten om vastgesteld beleid te hebben over de identificatie van hun kritieke infrastructuur. Deze bepaling strekt ter uitvoering van artikel 15, eerste lid, onderdelen a, b, c, d en e, Wwke. Het doel van het hebben van beleid over de identificatie van kritieke infrastructuur is enerzijds dat de kritieke entiteit welbedacht en structureel haar infrastructuur analyseert op het belang en de noodzakelijkheid voor de verlening van een essentiële dienst en anderzijds dat de kritieke entiteit kan aantonen hoe zij komt tot de identificatie van haar kritieke infrastructuur zodat de bevoegde autoriteit (toezichthouder) inzicht krijgt in de manier van identificeren. Het identificeren van de kritieke infrastructuur dient ertoe om alle voorzieningen, faciliteiten, apparatuur of onderdelen hiervan die noodzakelijk zijn voor de verlening van essentiële dienst of diensten goed in beeld te hebben. Hiermee wordt inzichtelijk welke afhankelijkheden er bestaan tussen essentiële diensten en infrastructuur, waarna het mogelijk wordt om in de risicobeoordeling te kijken naar kwetsbaarheden en risico’s die zich kunnen voordoen en hoe groot de gevolgen daarvan kunnen zijn. Daarmee wordt het beter mogelijk om te bepalen welke maatregelen kritieke entiteiten kunnen nemen om deze risico’s te mitigeren. De kritieke entiteit moet motiveren hoe zij tot de identificatie is gekomen.

Artikel 5, tweede lid, Bwke verplicht kritieke entiteiten om een actueel overzicht te hebben van hun kritieke infrastructuur. Dit overzicht is nodig om te allen tijde snel en adequaat te kunnen handelen en maatregelen te kunnen nemen indien de weerbaarheid van de kritieke infrastructuur of de essentiële dienst of diensten in het geding is. Dit overzicht is niet alleen van belang voor de respons van de kritieke entiteit zelf, maar ook voor de respons van de bevoegde autoriteit (vakminister) en betrokken (overheids)instanties in het kader van ondersteuning als bedoeld in artikel 10 Wwke. Te denken valt aan een veiligheidsregio ten tijde van zware overstromingen of de politie in het kader van terroristische dreigingen.

Artikel 6 (verwerving, ontwikkeling, onderhoud, herstel en beëindiging van kritieke infrastructuur)

Artikel 6 Bwke verplicht kritieke entiteiten om vastgesteld beleid te hebben over het verwerven, ontwikkelen, onderhouden, herstellen en beëindigen van hun kritieke infrastructuur. Artikel 6 Bwke strekt ter uitvoering van artikel 15, eerste lid, onderdelen a, c en d, Wwke.

Het hiervoor bedoelde beleid dwingt kritieke entiteiten om te allen tijde na te denken over het gewenste weerbaarheidsniveau van hun kritieke infrastructuur en de eventuele maatregelen die genomen kunnen worden om dit niveau te handhaven. Dit draagt bij aan het kunnen voorkomen, bestrijden en beperken van incidenten en het herstellen van incidenten. Entiteiten kunnen vanaf de beginfase, bijvoorbeeld met behulp van het zogenoemde security and safety by design-principe, zorgen voor weerbaarheidsmaatregelen en zich beter beschermen tegen alle relevante door de natuur en door de mens veroorzaakte risico’s. Met het beleid kunnen zij ook wijzigingen van de kritieke infrastructuur bijhouden en controleren, zodat er een actueel beeld is van de weerbaarheid van de kritieke infrastructuur. Daarnaast kan het beleid bijdragen aan een goed beeld van de benodigde personele expertise en capaciteit die nodig zijn om de kritieke infrastructuur te ontwikkelen, onderhouden en herstellen.

Artikel 7 (rechtstreekse leveranciers en rechtstreekse dienstverleners)

Artikel 7, eerste lid, Bwke strekt ter uitvoering van artikel 15, eerste lid, onderdelen a, c, d en e, Wwke en verplicht kritieke entiteiten om hun rechtstreekse leveranciers en rechtstreekse dienstverleners te identificeren voor zover deze gerelateerd zijn aan de essentiële dienst en om vastgesteld beleid te hebben over de rol van de rechtstreekse leveranciers en rechtstreekse dienstverleners ten aanzien van de weerbaarheid en instandhouding van de essentiële dienst, op basis van de risicobeoordeling, bedoeld in artikel 3, tweede lid, Bwke. Rechtstreekse leveranciers zijn leveranciers waarmee een entiteit een contractuele relatie heeft. Dit zijn de leveranciers die direct goederen of diensten aan de entiteit leveren, zonder tussenpersonen.

Het is niet alleen van belang dat kritieke entiteiten hun rechtstreekse leveranciers en rechtstreekse dienstverleners die cruciaal zijn voor de instandhouding van de essentiële dienst identificeren, maar ook dat er middels beleid nagedacht is over hoe moet worden omgegaan met de mate waarin de dienstverlening van haar rechtstreekse leveranciers en rechtstreekse dienstverleners risico’s kan vormen voor de verlening van de essentiële dienst door de kritieke entiteit. Het doel van dit beleid is om de kritieke entiteit te laten nadenken over welke rol rechtstreekse leveranciers en rechtstreekse dienstverleners vervullen bij het instandhouden van haar essentiële dienst, zodat deze risico’s beperkt kunnen worden met beheersmaatregelen. Hierbij valt te denken aan eventuele risico’s die voortkomen uit de afhankelijkheid van één leverancier of de mate van toegang die een leverancier heeft tot bepaalde beveiligingszones. De rol die rechtstreekse leveranciers en rechtstreekse dienstverleners hebben kan immers verschillen en zo is het denkbaar dat er voor bepaalde (categorieën van) leveranciers en dienstverleners verschillende maatregelen nodig kunnen zijn om eventuele risico’s te mitigeren.

Artikel 8 (bescherming)

Artikel 8 Bwke gaat over de maatregelen die kritieke entiteiten moeten nemen voor de bescherming van hun gebouwen en kritieke infrastructuur. Deze bepaling strekt ter uitvoering van artikel 15, eerste lid, onderdelen a tot en met c, Wwke.

Artikel 8, eerste lid, Bwke verplicht kritieke entiteiten om maatregelen te nemen voor de adequate fysieke bescherming van hun gebouwen en hun kritieke infrastructuur. Het is belangrijk dat kritieke entiteiten maatregelen nemen over de toegang tot hun gebouwen en hun kritieke infrastructuur, onder meer ter voorkoming van ongeautoriseerde toegang. Ongeautoriseerde toegang tot bepaalde gebouwen, dan wel onderdelen hiervan, en de kritieke infrastructuur zou immers de weerbaarheid van entiteiten en de door hen verleende essentiële diensten kunnen schaden. Het is denkbaar dat kritieke entiteiten daarbij het uitgangspunt hanteren dat er zo min mogelijk toegang wordt verleend indien dat niet strikt noodzakelijk is. Anderzijds is het ook van belang om maatregelen te nemen die bereikbaarheid van kritieke infrastructuur in stand houden in geval crisis, zoals bij overstromingen of grootschalige wateroverlast.

In artikel 8, eerste lid, onderdelen a tot en met e, Bwke is neergelegd welke maatregelen kritieke entiteiten in ieder geval moeten nemen voor de adequate fysieke bescherming van hun gebouwen en hun kritieke infrastructuur. Zij moeten in ieder geval beveiligingszones instellen. Beveiligingszones dragen bij aan het voorkomen van onbevoegde toegang tot gebouwen. Deze dragen ook bij aan het voorkomen van schade aan en ongewenste beïnvloeding van kritieke infrastructuur. Kritieke entiteiten moeten ook in ieder geval maatregelen treffen die zien op toegangsbeveiliging. Hiermee wordt gewaarborgd dat alleen bevoegde fysieke toegang plaatsvindt. Om onbevoegde toegang te voorkomen, is het nodig om kantoren, ruimten, faciliteiten, bedrijfsmiddelen buiten het terrein en nutsvoorzieningen die van belang zijn voor de instandhouding van haar kritieke infrastructuur adequaat te beveiligen. Bij de overweging welke maatregelen nodig zijn voor de adequate fysieke bescherming kan worden gedacht aan het plaatsen van omheiningen, het oprichten van barrières, instrumenten en routines voor bewaking van de omgeving en toegangscontroles. Het monitoren van de beveiliging draagt hier ook aan bij en heeft tot doel onbevoegde toegang te detecteren en te voorkomen. Het plaatsen en beschermen van apparatuur draagt ten slotte bij aan de risico's op fysieke en omgevingsdreigingen en op toegang door onbevoegden en schade te beperken. Te denken valt ook aan elektronische en bouwkundige maatregelen, waar mogelijk afgestemd op de reactietijd van ondersteunende diensten zoals bewaking of politie.

In artikel 8, tweede lid, Bwke is bepaald dat wanneer kritieke entiteiten risico’s hebben geïdentificeerd ten aanzien van natuurrampen en klimaatverandering, zij in ieder geval maatregelen nemen in het kader van die risico’s die op of rondom hun huidige en toekomstige locaties kunnen bestaan, zowel ondergronds als bovengronds. Bij de hiervoor bedoelde gevolgen kan onder meer gedacht worden aan de gevolgen van gebeurtenissen op de essentiële dienstverlening die voortvloeien uit bijvoorbeeld mogelijke overstromingen, grootschalige wateroverlast, zeespiegelstijging, droogte en hitte. Dergelijke dreigingen kunnen acuut zijn, bijvoorbeeld bij een overstroming of grootschalige wateroverlast, maar ook chronisch van aard zijn wanneer bijvoorbeeld door toenemende droogte verzilting, zoetwaterbeschikbaarheid, verzakkingen en lage rivierstanden risico’s kunnen vormen voor de kritieke entiteit. Om de blootstelling en impact van fysieke natuurrampen en klimaatrisico’s op gebouwen en kritieke infrastructuur te bepalen, gebruiken kritieke entiteiten in ieder geval de Handreiking klimaatbestendige vitale infrastructuur. Hiermee kan tot nadere uitwerking van de maatregelen worden gekomen.

Artikel 9 (crisismanagementplan en bedrijfscontinuïteitsplan)

Artikel 9 Bwke verplicht kritieke entiteiten om plannen vast te stellen voor het beheersen van crisis en incidenten en voor het waarborgen van de bedrijfscontinuïteit. Deze bepaling strekt ter uitvoering van artikel 15, eerste lid, onderdelen c en d, Wwke.

Plan voor het beheersen van crisis en incidenten

Indien een crisis of incident zich voordoet zal er een vorm van crisis- of incidentrespons moeten plaatsvinden. Deze respons vindt plaats met behulp van een plan dat ziet op crisis- of incidentmanagement, hierna incident- of crisismanagementplan genoemd, en richt zich op het beperken van de schade van het incident. Een dergelijk plan is vormvrij en maatwerk en wordt afgestemd op de responsbehoeften van de kritieke entiteit en haar afnemers. De kritieke entiteit gaat hierbij ook na welke mogelijke maatregelen genomen zouden kunnen worden ten tijde van en na een incident. Welke maatregelen passend en evenredig zijn, hangt af van verschillende factoren zoals de omvang, de potentiële impact en de locatie van het incident. In het belang van een goede crisiscommunicatie en de beheersing van eventuele keteneffecten kan het ook van belang zijn om de status van de kritieke infrastructuur, bijvoorbeeld de beëindiging of het in onderhoud zijn als bedoeld in artikel 6 Bwke, met de relevante crisispartners te delen.

Een crisismanagementplan kan verder betrekking hebben op de taken en verantwoordelijkheden voor het personeel, en waar relevant, (rechtstreekse) leveranciers en dienstverleners, met vermelding van de taakverdeling in crisissituaties, specifiek te volgen stappen en passende maatregelen om de weerbaarheid van de kritieke infrastructuur te waarborgen.

Plan voor het waarborgen van de bedrijfscontinuïteit

Een dergelijk plan, hierna bedrijfscontinuïteitsplan genoemd, is een document met richtlijnen en benaderingen die beschrijven hoe de essentiële dienst of diensten beschermd kunnen worden tegen uitval (preventief) en hoe de essentiële dienst of diensten na een incident snel kunnen worden hervat (correctief). Een dergelijk plan is vormvrij en maatwerk en wordt afgestemd op de continuïteitsbehoeften van de kritieke entiteit en haar afnemers. Wel kan er bijvoorbeeld door een kritieke entiteit voor gekozen worden om hiervoor bestaande en/of gangbare bedrijfscontinuïteitsmanagementsystemen of -normen te gebruiken als hulpmiddel. De kritieke entiteit gaat hierbij ook na welke mogelijke maatregelen genomen zouden kunnen worden ten tijde van en na een incident.

In artikel 9, derde lid, Bwke is bepaald dat een bedrijfscontinuïteitsplan in ieder geval moet bestaan uit procedures en mogelijke maatregelen voor noodvoorzieningen (onderdeel a), procedures en mogelijke maatregelen om de essentiële dienst te beschermen voor uitval en zo spoedig mogelijk te herstellen na een incident (onderdeel b) en (indien van toepassing) procedures voor het gebruik van beveiligde noodcommunicatiesystemen binnen de entiteit (onderdeel c). Ter uitvoering van artikel 9, derde lid, onderdelen a en b, Bwke moet een kritieke entiteit een back-upstrategie hebben en waar mogelijk redundant zijn.

Een back-upstrategie is een onderdeel van een bedrijfscontinuïteitsplan en is nodig in het geval een incident de beschikbaarheid, integriteit, toegankelijkheid of continuïteit van de essentiële dienst of diensten verstoort. De kritieke entiteit richt de back-upstrategie in aan de hand van de gedane risicobeoordelingen. Een door water ondergelopen ruimte vraagt immers om een ander type back-up dan een sabotageaanval. Een goede back-upstrategie houdt daarom rekening met diverse risico’s en mitigerende maatregelen.

Ook redundantie is een onderdeel van een bedrijfscontinuïteitsplan. Door te zorgen voor redundantie, beschikbare alternatieven (voor kritieke infrastructuur), personeel met de nodige verantwoordelijkheid, bevoegdheid en bekwaamheid en passende communicatiekanalen wordt gewaarborgd dat de essentiële dienst of diensten zo goed mogelijk doorgang kunnen vinden.

Voor bepaalde kritieke entiteiten kan het nodig zijn procedures op te stellen voor het gebruik van beveiligde noodcommunicatiesystemen binnen de entiteit, om continuïteit van de essentiële dienst te waarborgen of de gevolgen van een incident of crisis te beperken. Dit is denkbaar bij bijvoorbeeld kritieke entiteiten waarvan de kritieke infrastructuur is verspreid over verschillende (geografische) gebieden en het op verschillende locaties in contact kunnen staan ten tijde van uitval van de reguliere communicatiesystemen van cruciaal belang is voor de weerbaarheid van de kritieke infrastructuur of de te leveren essentiële dienst(en). Dit is zowel relevant voor een crisis- of incidentmanagementplan en een bedrijfscontinuïteitsplan.

Artikel 10 (personeel)

Artikel 10 Bwke gaat over het personeel van kritieke entiteiten en strekt ter uitvoering van artikel 15, eerste lid, onderdeel c, d, e en f, Wwke.

In artikel 10, eerste lid, Bwke is bepaald dat kritieke entiteiten beleid hebben over de taken, bevoegdheden en verantwoordelijkheden voor de weerbaarheid en het beheer van hun kritieke infrastructuur. Het doel van dit beleid is niet allen om de kritieke entiteit hierover te laten nadenken, maar ook zodat in geval van uitval van personeel of een crisis herleidbaar is welke (categorieën) personeelsleden onmisbaar zijn voor de instandhouding van de essentiële dienst. Daarnaast dient het op schrift stellen van dit beleid de navolgbaarheid van naleving, met het oog op toezicht. Op grond van artikel 10, tweede lid, Bwke moet dat beleid in elk geval de identificatie omvatten van categorieën personeelsleden die kritieke functies vervullen, daarbij rekening houdend met het personeel van externe dienstverleners. Dit kunnen bijvoorbeeld personeelsleden zijn die noodzakelijk zijn voor het in stand houden van de essentiële dienst, of die hierover kennis hebben. Doordat zij ten aanzien van de weerbaarheid van de kritieke infrastructuur duidelijk vastleggen wie waarvoor verantwoordelijk is en deze verantwoordelijkheden categoriseert, wordt voorkomen dat onduidelijk is wie actie moet ondernemen om de desbetreffende taken goed uit te voeren om de weerbaarheid te waarborgen. Het is bijvoorbeeld van belang dat het beleid en de categorisering van het personeel ook gekoppeld is aan de risicobeoordeling en bijvoorbeeld het beleid ten aanzien van de identificatie van de kritieke infrastructuur of het crisismanagementplan, zodat te allen tijde en voor alle situaties inzichtelijk is wie welke rol en bevoegdheden heeft.

Naast duidelijkheid in de rollen en verantwoordelijkheden, is de betrouwbaarheid van de personen die met de kritieke infrastructuur werken ook cruciaal voor de weerbaarheid van de kritieke entiteit. Als deze personen onbetrouwbaar zijn óf de maatregelen niet toepassen, dan hebben deze maatregelen beperkt effect. De kritieke entiteit moet daarom niet alleen de betrouwbaarheid van haar eigen personeel waarborgen, maar eveneens van het personeel van haar externe dienstverleners. Afhankelijk van de gedane risicobeoordelingen, kunnen door de daarvoor verantwoordelijke vakminister vertrouwensfuncties worden aangewezen en kan er voor bepaalde functionarissen een screening plaatsvinden op basis van de Wet veiligheidsonderzoeken. Hierbij kan onder meer worden gedacht aan functionarissen met uitgebreide rechten in kritieke omgevingen. Een andere mogelijkheid is het door de kritieke entiteit verplicht stellen van een Verklaring Omtrent het Gedrag (VOG) voor specifieke rollen. De toezichthoudende instantie kan de kritieke entiteit of de vakminister adviseren over het instellen van vertrouwensfuncties dan wel andere vormen van screeningsprofielen.

Artikel 10, derde lid, Bwke gaat over het verzorgen van periodieke bewustwordings-,oefenings- en opleidingsactiviteiten voor het personeel van kritieke entiteiten. De personen die verantwoordelijk zijn voor de weerbaarheid van kritieke infrastructuur moeten hun kennis en kunde actueel houden om zo nieuwe risico’s te kunnen doorgronden en te kunnen inspelen op nieuwe ontwikkelingen. Daarnaast is het van belang dat weerbaarheid een breed gedragen begrip wordt binnen de kritieke entiteit en dat elke organisatielaag zich bewust is van de risico’s voor de essentiële dienstverlening en kritieke infrastructuur en de noodzaak van voldoende weerbaarheid. De entiteit moet daarom bewustwordings-, oefenings- en opleidingsactiviteiten verzorgen voor haar personeel, passend bij de functies en rollen. Deze kunnen bijvoorbeeld betrekking hebben op de werking en beveiliging van bepaalde kritieke infrastructuur, briefing over bekende risico’s, crisismanagement, specifieke modus operandi en trainingen over incidentafhandeling.

Artikel 11 (toegang tot gevoelige informatie)

Artikel 11 Bwke gaat over de toegang tot gevoelige informatie en strekt ter uitvoering van artikel 15, eerste lid, onderdeel a en e, Wwke.

Artikel 11, eerste lid, Bwke verplicht kritieke entiteiten om beleid te hebben over de beveiliging, integriteit en vertrouwelijkheid van gevoelige informatie die van belang is voor de weerbaarheid van hun essentiële diensten en kritieke infrastructuur. Artikel 11, tweede lid, Bwke schrijft voor dat dat beleid in elk geval de rubricering van gevoelige informatie en de toegang tot gevoelige informatie moet omvatten. Het doel van dit beleid is om inzage in vertrouwelijke informatie alleen voor bevoegde personen mogelijk te maken en onbevoegde inzage te voorkomen. Onrechtmatige openbaarmaking of inzage in bepaalde informatie kan immers risico’s met zich meebrengen ten aanzien van beveiligingskwetsbaarheden binnen een kritieke entiteit. Ook kan het vastleggen van beleid over toegang tot gevoelige informatie willekeur voorkomen. Tot slot dient het op schrift stellen van dit beleid de navolgbaarheid van naleving, met het oog op toezicht.

Informatie behoort te worden geclassificeerd volgens de informatiebeveiligingsbehoeften van de entiteit, op basis van vertrouwelijkheid, integriteit en beveiliging. Classificaties en gerelateerde beschermende beheersmaatregelen voor informatie behoren rekening te houden met de bedrijfsbehoeften ten aanzien van het delen of beperken van informatie, het beschermen van de integriteit van informatie en het waarborgen van beschikbaarheid, alsmede wettelijke eisen met betrekking tot de vertrouwelijkheid, integriteit of beveiliging van de informatie. Denk hierbij aan sectorale wetgeving of voor overheidspartijen het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie.

Een gangbaar uitgangspunt hierbij is dat er zo min mogelijk inzage in gevoelige informatie wordt verleend aan personen indien het niet strikt noodzakelijk is. Bij gevoelige informatie kan bijvoorbeeld worden gedacht aan technische informatie over hoe bepaalde functionaliteiten van de essentiële dienst of kritieke infrastructuur worden uitgevoerd of bepaalde klantgegevens van belangrijke afnemers van de essentiële dienst of diensten. Gevoelige informatie kan vertrouwelijke gegevens als bedoeld in artikel 35 Wwke zijn.

Artikel 12 (attenderingen, adviezen en informatie)

Artikel 12 Bwke gaat over attenderingen, adviezen en informatie die relevant zijn voor de weerbaarheid van kritieke entiteiten. Wanneer zij zulke attenderingen, adviezen en informatie gericht ontvangen, moeten zij beoordelen of op basis daarvan aanpassingen of aanvullingen nodig zijn van de maatregelen die genomen moeten worden in het kader van de zorgplicht. Zij moeten de uitkomsten van die beoordeling ook schriftelijk vastleggen.

Het artikel betreft allereerst gerichte attenderingen over de voor de weerbaarheid van de betrokken kritieke entiteit relevante risico’s en dreigingen. Deze informatie kan onder andere afkomstig zijn van toezichthouders of andere betrokken overheidsinstanties, maar kan eveneens afkomstig zijn van het eigen personeel en klanten.

Het artikel ziet daarnaast op adviezen en informatie die afkomstig zijn van relevante organisaties. Het gaat hierbij om gerichte adviezen en informatie. Dit houdt in dat bijvoorbeeld reclame-uitingen hier niet onder vallen. Tot relevante organisaties behoren onder meer bevoegde autoriteiten, rechtstreekse leveranciers en rechtstreekse dienstverleners.

Artikel 13 (evaluatie)

In artikel 13 Bwke is geregeld dat kritieke entiteiten de maatregelen die zij hebben genomen in het kader van de zorgplicht ten minste elke vier jaar moeten evalueren, of eerder, indien daartoe aanleiding is. Met deze voorgeschreven periode van ten minste elke vier jaar wordt aangesloten bij de verplichting van kritieke entiteiten tot het uitvoeren van een risicobeoordeling, wat ook ten minste elke vier jaar moet gebeuren (of eerder, indien daartoe aanleiding is).

Er kan voor een kritieke entiteit aanleiding zijn om eerder dan vier jaar na de vorige evaluatie te evalueren, bijvoorbeeld vanwege ontwikkelingen, veranderingen in de sector of binnen de entiteit, voortschrijdend inzicht of veranderingen in risico’s en dreigingen waarmee de entiteit geconfronteerd wordt en die invloed hebben op de continue weerbaarheid van de entiteit. Gerichte attenderingen en adviezen van relevante partijen, zoals overheidsinstanties, kunnen ook aanleiding geven om over te gaan tot een (eerdere) evaluatie van de hiervoor bedoelde maatregelen. Ook een incident dat de essentiële dienstverlening aanzienlijk verstoort of kan verstoren kan aanleiding geven om tegen het licht te houden of de reeds genomen zorgplichtmaatregelen toereikend zijn om de geïdentificeerde risico’s afdoende af te dekken.

De evaluaties hebben tot doel om op basis daarvan te beoordelen of de maatregelen die zijn genomen in het kader van de zorgplicht aangepast moeten worden. Overigens is de aanpassing van de genomen maatregelen in het kader van de zorgplicht een continu proces. Niet alleen een evaluatie kan aanleiding geven tot het aanpassen van één of meerdere maatregelen, maar ook een uitgevoerde nieuwe risicobeoordeling of een gerichte attendering kan daar bijvoorbeeld aanleiding toe geven.

Artikel 14 (nadere regels)

In artikel 14 Bwke is een grondslag opgenomen om bij ministeriële regelingen van de vakministers nadere regels te stellen over de maatregelen die kritieke entiteiten moeten nemen in het kader van de zorgplicht. Hierbij kan onderscheid worden gemaakt tussen sectoren, subsectoren, categorieën van entiteiten en entiteiten. Het maken van onderscheid kan in sommige gevallen nodig zijn, bijvoorbeeld vanwege de (afwijkende) aard van een bepaalde sector ten opzichte van andere sectoren.

De grondslag in artikel 14 Bwke is niet enkel beperkt tot de maatregelen die worden genoemd in artikel 15, eerste lid, Wwke en die zijn uitgewerkt in het Bwke. De grondslag biedt de mogelijkheid om regels te stellen over alle maatregelen die nodig zijn om voor de weerbaarheid te zorgen en is dus niet enkel beperkt tot de maatregelen die in artikel 15, eerste lid, Wwke worden genoemd en die zijn uitgewerkt in het Bwke.

Artikel 15 (aanzienlijke verstoring)

Kritieke entiteiten moeten op grond van artikel 17, eerste lid, Wwke incidenten die de verlening van hun essentiële dienst aanzienlijk verstoren of kunnen verstoren, melden bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie). In artikel 17, derde lid, onderdelen a tot en met c, Wwke zijn drie parameters opgenomen die in aanmerking moeten worden genomen bij het bepalen of een verstoring aanzienlijk is. Deze drie parameters geven richting ten aanzien van wat in ieder geval in aanmerking dient te worden genomen bij het bepalen of een verstoring aanzienlijk is, maar zijn niet uitputtend bedoeld. Artikel 17, derde lid, onderdeel d, Wwke regelt dat bij of krachtens amvb aanvullende parameters kunnen worden vastgesteld die in aanmerking worden genomen om te bepalen of sprake is van een aanzienlijke verstoring. In artikel 15, eerste lid, Bwke is geregeld dat de hiervoor bedoelde aanvullende parameters door de vakministers kunnen worden vastgesteld bij ministeriële regeling.

Artikel 17, vijfde lid, Wwke regelt dat bij of krachtens amvb de criteria kunnen worden vastgesteld op basis waarvan wordt bepaald of sprake is van een aanzienlijke verstoring als bedoeld in artikel 17, derde lid, Wwke. Daarbij kan onderscheid worden gemaakt tussen sectoren, subsectoren, categorieën van entiteiten en entiteiten. De hiervoor bedoelde criteria worden ook wel drempelwaarden genoemd en geven concrete invulling aan de hiervoor bedoelde parameters. In artikel 15, tweede lid, Bwke is geregeld dat de vakministers de hiervoor bedoelde criteria (drempelwaarden) bij regeling kunnen vaststellen. De in ministeriële regelingen opgenomen criteria (drempelwaarden) zijn openbaar, aangezien ministeriële regelingen moeten worden gepubliceerd. Artikel 15, tweede lid, Bwke voorziet in de mogelijkheid om de criteria (drempelwaarden) - in plaats van het vaststellen hiervan bij ministeriële regeling - vast te stellen bij besluit. De vakminister kan hiertoe overgaan als de openbaarmaking van de criteria (drempelwaarden) ten aanzien van specifieke entiteiten onaanvaardbare risico’s met zich mee kan brengen voor de desbetreffende entiteit en gelet daarop mogelijk ook voor de nationale veiligheid. Hierbij kan bijvoorbeeld worden gedacht aan entiteiten die bij besluit worden aangewezen als kritieke entiteit omdat een aanwijzing bij ministeriële regeling ook de hiervoor genoemde onaanvaardbare risico’s met zich mee kan brengen.

Er is gekozen voor subdelegatie, omdat het vanwege de verschillen tussen sectoren en subsectoren en in sommige gevallen zelfs tussen categorieën van entiteiten of entiteiten binnen die (sub)sectoren het niet mogelijk is om de bedoelde aanvullende parameters en criteria (drempelwaarden) vast te stellen die sectorbreed en dus op alle kritieke entiteiten uit alle sectoren van toepassing kunnen zijn. Door subdelegatie kunnen de vakministers bij ministeriële regelingen voor de sectoren waar zij beleidsverantwoordelijk voor zijn, aanvullende parameters en criteria (drempelwaarden) vaststellen, aan de hand van de kennis die zij hebben over de sectoren en met consultatie van de betrokkenen binnen die sectoren. Door het overleg met de betrokken sector kan zoveel mogelijk maatwerk worden geleverd per sector, subsector, categorie van entiteiten of entiteit. Indien relevant kan zodoende ook rekening worden gehouden met andere sectorale meldplichten en de daarvoor geldende parameters en criteria (drempelwaarden), en de parameters en criteria (drempelwaarden) die andere vakministers hebben vastgesteld voor sectoren die raakvlakken hebben met essentiële diensten van andere departementen.

Artikel 15, derde lid, Bwke bepaalt dat de doeltreffendheid van de criteria (drempelwaarden) en de effecten daarvan ten minste elke vier jaar moeten worden geëvalueerd door de betrokken vakminister. Hierbij wordt ook de effectiviteit van de meldingen in ogenschouw genomen en zal worden bezien of voldoende relevante meldingen worden gedaan en of irrelevante meldingen beperkt blijven. Met het evalueren kan worden bewerkstelligd dat de criteria (drempelwaarden) actueel blijven en aansluiten op de gevaren en dreigingen die voor een sector relevant zijn. Denk daarbij bijvoorbeeld aan zeer snelle technologische, klimatologische of geopolitieke ontwikkelingen. Indien nodig past de vakminister, na overleg met de Minister van Justitie en Veiligheid, de criteria (drempelwaarden) aan.

Artikel 16 (gegevens waar een melding uit moet bestaan)

In artikel 16 Bwke wordt voorgeschreven welke gegevens een melding van een incident moet omvatten, aanvullend op de gegevens waarvan al bij wet (artikel 17 Wwke) is bepaald dat deze door de betrokken kritieke entiteit moeten worden verstrekt. Het is in het kader van meldingen van incidenten van belang dat ook het vermoedelijke tijdstip van de aanvang van het incident en, zo mogelijk, een prognose van de hersteltijd wordt gemeld. Hiermee kan onder meer beter worden ingeschat of en hoe respons mogelijk is, en kan ook beter worden ingeschat wat mogelijke cascade-effecten zijn op bijvoorbeeld andere essentiële diensten en daarmee op kritieke entiteiten. In het verlengde hiervan, en in het kader van nazorg nadat een incident heeft plaatsgevonden, is het ook relevant dat de kritieke entiteit, zo mogelijk, melding maakt van de door haar genomen of te nemen maatregelen om de gevolgen van het incident te beperken of herhaling hiervan te voorkomen. Op grond van artikel 17 Wwke is de kritieke entiteit verplicht om de melding te doen binnen 24 uur of zo snel mogelijk, nadat zij kennisgenomen heeft van het incident en hierover informatie beschikbaar is. De kritieke entiteit kan de melding echter aanvullen als er op een later moment meer informatie beschikbaar is, bijvoorbeeld met meer details over hersteltijd en mitigatiemaatregelen, en brengt in ieder geval binnen een maand na de melding een gedetailleerd verslag uit met deze aanvullende gegevens.

Artikel 17 (wijze waarop een melding geschiedt)

In artikel 17 Bwke is geregeld dat een melding, bedoeld in artikel 17, eerste lid, Wwke, geschiedt via een door de Minister van Justitie en Veiligheid ingericht meldpunt. In de praktijk wordt het beheer van dit meldpunt (ook wel meldportaal genoemd) uitgevoerd door twee onderdelen van het Ministerie van Justitie en Veiligheid, te weten de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) ten behoeve van de coördinerende verantwoordelijkheid van het beheer van het meldportaal - wat in het verlengde ligt van de taken van de Minister van Justitie en Veiligheid als centrale contactpunt op grond van de Wwke - en het Nationaal Cyber Security Centrum (NCSC) ten behoeve van het technisch beheer van het meldportaal. Beide dienstonderdelen kunnen ten behoeve van de uitvoering van de specifieke taak op grond van artikel 17 Bwke persoonsgegevens verwerken. Volledigheidshalve wordt opgemerkt dat de hierboven genoemde taken ten behoeve van het beheer van het meldportaal worden opgenomen in de artikelen 50 en 63h1 van het Organisatiebesluit Ministerie van Justitie en Veiligheid.

Artikel 18 (bewaring van persoonsgegevens)

In artikel 34 Wwke is bepaald dat bij of krachtens amvb regels worden gesteld over de periode gedurende welke de persoonsgegevens die bij of krachtens de Wwke zijn verwerkt, worden bewaard. In artikel 18 Bwke zijn deze maximale bewaartermijnen bepaald.

Artikel 18 Bwke maakt onderscheid tussen enerzijds de verwerking van persoonsgegevens door de bevoegde autoriteit (toezichthoudende instantie) met het oog op toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures en anderzijds de verwerking van persoonsgegevens door de bevoegde autoriteit (vakminister) voor de uitvoering van haar andere taken op grond van de Wwke. Dit kan gaan om dezelfde persoonsgegevens, die met een ander doel verwerkt worden.

In artikel 18, tweede lid, Bwke is geregeld dat de persoonsgegevens die door de bevoegde autoriteit worden verwerkt met het oog op toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures, niet langer bewaard worden dan daarvoor noodzakelijk is, doch uiterlijk binnen 120 maanden (10 jaren) na de eerste verwerking verwijderd worden. De genoemde bewaartermijn van 120 maanden (10 jaren) is daarmee een uiterlijke bewaartermijn die begint te lopen vanaf het moment van de eerste verwerking. Persoonsgegevens moeten eerder (dan pas na 10 jaren) verwijderd worden als deze met het oog op toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures niet langer noodzakelijk zijn. Dit sluit aan bij het beginsel van gegevensminimalisatie uit de Avg. In de praktijk zal de bevoegde autoriteit derhalve voor persoonsgegevens die in het kader van toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures worden verwerkt een bewaartermijn hanteren die dit beginsel eerbiedigt doch die niet langer kan zijn dan 10 jaren, gerekend vanaf de eerste verwerking.

Deze langere bewaartermijn is noodzakelijk aangezien toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures een lange doorlooptijd kunnen hebben. De kortere bewaartermijn van 60 maanden levert het risico op dat persoonsgegevens vanwege de uiterlijke termijn gedurende een traject of procedure al verwijderd moeten worden, wat vanwege de daarmee gemoeide aantasting van bewijsmiddelen en processtukken ernstig afbreuk kan doen aan de doeltreffendheid van het toezicht. Voorbeelden hiervan zijn persoonsgegevens als onderdeel van besluiten, gespreksverslagen of opgevraagde documentatie. Het gaat daarbij met name om namen, e-mailadressen en telefoonnummers van werknemers van entiteiten en van betrokken ambtenaren die met het toezicht zijn belast. Van een toezichtstraject en bestuursrechtelijke procedure met lange doorlooptijd kan bijvoorbeeld sprake zijn als bij een kritieke entiteit tekortkomingen in de naleving van de zorgplicht worden geconstateerd. In dat geval is in het kader van toezicht daarover bewijs verzameld. In gevallen kan het zo zijn dat met het structureel oplossen van de tekortkomingen door de kritieke entiteit meerdere jaren gemoeid zijn waarover de voortgang en bijhorende gegevens zoals gespreksverslagen en documentatie worden bijgehouden. Als een dergelijk toezichtstraject vervolgens uitmondt in een bestuursrechtelijk sanctietraject kan in uitzonderlijke gevallen, wanneer er bezwaar, beroep en hoger beroep tegen het sanctiebesluit worden ingesteld, vele jaren verstrijken totdat het geschil finaal beslecht is. Een verplichting die in de praktijk ertoe leidt dat gedurende deze procedure de voor de procedure relevante persoonsgegevens dienen te worden verwijderd, zou een ernstige afbreuk doen aan de doeltreffendheid van het toezicht. Daarom is ervoor gekozen om een uiterlijke bewaartermijn voor persoonsgegevens van 120 maanden aan te houden voor zover het gaat om de verwerking van persoonsgegevens in het kader van toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures. Dit zorgt voor een uitvoerbare toezichtspraktijk en zorgt tegelijkertijd voor rechtszekerheid dat die persoonsgegevens uiterlijk na 120 maanden verwijderd worden. Ten overvloede wordt opgemerkt dat deze termijn de uiterlijke termijn betreft en dat de bevoegde autoriteit op grond van het Bwke en de Avg eraan gehouden is om deze persoonsgegevens eerder te verwijderen indien deze niet langer noodzakelijk zijn voor een goede uitvoering van haar taken.

Voor de uitvoering van andere taken op grond van de Wwke door de bevoegde autoriteit (de vakminister) is een dergelijk lange bewaartermijn niet nodig. In artikel 18, eerste lid, Bwke is bepaald dat voor de bevoegde autoriteit (vakminister) voor de uitvoering van die andere taken de maximale bewaartermijn van persoonsgegevens 60 maanden is. Die bewaartermijn is ook vastgesteld voor de verwerking van persoonsgegevens door de Minister van Justitie en Veiligheid. De maximale termijn voor deze taken is ingegeven door de noodzaak voor de bevoegde autoriteiten (vakminister) om onderling, met de Minister van Justitie en Veiligheid en met de kritieke entiteiten in contact te staan om voor de weerbaarheid van de essentiële diensten te kunnen zorgen. Zo moeten de bevoegde autoriteit (vakminister) en de kritieke entiteit in ieder geval met elkaar staan in contact en persoonsgegevens van contactpersonen bewaren om informatie uit de sectorale risicobeoordeling uit te wisselen voor de risicobeoordeling van de kritieke entiteit. Aangezien er tussen het uitvoeren van de risicobeoordeling door de bevoegde autoriteit (vakminister) en het uitvoeren van de risicobeoordeling door de kritieke entiteit enige tijd kan zitten, is het nodig om hiervoor een werkbare maximale bewaartermijn te hanteren. Verder is voor bijvoorbeeld het bieden van ondersteuning, als bedoeld in artikel 10 Wwke, of het ontvangen van en reageren op meldingen, als bedoeld in artikel 17 Wwke, het van belang om snel met elkaar in contact te kunnen staan. Daarbij vormen de risicobeoordelingen door zowel de bevoegde autoriteit (vakminister) als de kritieke entiteit voor deze taken ook een belangrijke basis, aangezien informatie hieruit van belang kan zijn voor adequate uitoefening van die taken. Ook hier kan bijvoorbeeld enige tijd zitten tussen wanneer een incident wordt gemeld en wanneer de risicobeoordelingen zijn uitgevoerd. Het is ook hier dus nodig om een werkbare maximale bewaartermijn te hanteren voor de persoonsgegevens van de contactpersonen die hierbij betrokken zijn. Hetzelfde geldt voor het opstellen van de strategie, als bedoeld in artikel 13 Wwke, aangezien ook hier informatie uit de risicobeoordelingen van belang kan zijn, en er enige tijd kan zitten tussen wanneer de strategie wordt opgesteld en wanneer de risicobeoordelingen zijn uitgevoerd.

Aangezien de risicobeoordelingen door zowel de kritieke entiteit als de bevoegde autoriteit (vakminister) (alsook het opstellen van de strategie) maximaal om de vier jaar moet worden uitgevoerd, wordt een termijn vier jaar (48 maanden) als vertrekpunt gehanteerd voor het vaststellen van de maximale bewaartermijn. Hierbij wordt een additionele 12 maanden meegenomen zodat er ook ruimte is voor enige overlap tussen de periode van de nieuwe risicobeoordelingen en de voorgaande risicobeoordelingen indien nadere informatie-uitwisseling daarover nog noodzakelijk is. In artikel 18, eerste lid, Bwke is daarom de maximale bewaartermijn van persoonsgegevens vastgesteld op 60 maanden.

Hierbij wordt opgemerkt dat, zoals boven uiteengezet, het met elkaar in contact kunnen staan cruciaal is om de (weerbaarheidsverhogende) taken die nodig zijn in het kader van de Wwke adequaat te kunnen uitvoeren. Indien de persoonsgegevens van contactpersonen (in verband met het verstrijken van de maximale bewaartermijn) worden verwijderd, ligt het in de rede om opnieuw de persoonsgegevens van contactpersonen op te vragen en te bewaren om de wettelijke taken te kunnen uitvoeren, uiteraard met inachtneming van de dan nieuwe (maximale) bewaartermijn.

Het centrale contactpunt vervult een verbindingsfunctie voor grensoverschrijdende samenwerking met de centrale contactpunten van andere lidstaten van de Europese Unie en met de Groep voor de weerbaarheid van kritieke entiteiten. Het is wenselijk dat het centrale contactpunt e-mailadressen en contactgegevens langere tijd kan bewaren om zo een goede samenwerking mogelijk te maken. Het is daarbij een te grote administratieve last om de contactgegevens en e-mailadressen telkens opnieuw te moeten verzamelen. Daarom is gekozen voor een maximale bewaartermijn van 60 maanden voor de verwerking van persoonsgegevens bij of krachtens de Wwke door het centrale contactpunt.

Er wordt benadrukt dat de termijnen die in artikel 18 Bwke worden genoemd, maximumtermijnen zijn. Persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk is ter uitvoering van de taken op grond van de Wwke.

Artikel 19 (inwerkingtreding)

Artikel 19 Bwke bepaalt dat de Wwke en het Bwke in werking treden op 15 augustus 2026. Hierbij wordt afgeweken van de vaste verandermomenten en de minimuminvoeringstermijn, omdat de Wwke en het Bwke strekken tot de implementatie van een bindende EU-rechtshandeling, te weten de CER-richtlijn.

Artikel 20 (citeertitel)

Artikel 20 Bwke bepaalt dat de citeertitel van dit besluit luidt: Besluit weerbaarheid kritieke entiteiten.

De Minister van Justitie en Veiligheid, D.M. van Weel


X Noot
1

PbEU 2022, L 333.

X Noot
2

Op grond van artikel 23 Wwke is deze verplichting niet van toepassing op kritieke entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur. Bovendien voorziet artikel 24 Wwke in de mogelijkheid om kritieke entiteiten te ontheffen van deze verplichting.

X Noot
3

Op grond van artikel 23 Wwke is deze verplichting niet van toepassing op kritieke entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur. Bovendien voorziet artikel 24 Wwke in de mogelijkheid om kritieke entiteiten te ontheffen van deze verplichting.

X Noot
4

Op grond van artikel 23 Wwke is deze verplichting niet van toepassing op kritieke entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur. Bovendien voorziet artikel 24 Wwke in de mogelijkheid om kritieke entiteiten te ontheffen van deze verplichting.

X Noot
5

Richtlijn 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (codificatie) (PbEU 2015, L 241).

X Noot
6

Richtlijn 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 betreffende diensten op de interne markt (PbEU 2006, L 376).

X Noot
7

Met een gap assessment of gap analyse vergelijkt een organisatie de huidige situatie met de gewenste situatie. In het geval van de Cbw en de Wwke wordt het huidige beleid dus vergeleken met het beleid dat nodig is om te voldoen aan deze wetten.

X Noot
8

Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (PbEU 2022, L 333).


X Noot
1

PbEU 2022, L 333.

X Noot
2

Op grond van artikel 23 Wwke is deze verplichting niet van toepassing op kritieke entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur. Bovendien voorziet artikel 24 Wwke in de mogelijkheid om kritieke entiteiten te ontheffen van deze verplichting.

X Noot
3

Op grond van artikel 23 Wwke is deze verplichting niet van toepassing op kritieke entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur. Bovendien voorziet artikel 24 Wwke in de mogelijkheid om kritieke entiteiten te ontheffen van deze verplichting.

X Noot
4

Op grond van artikel 23 Wwke is deze verplichting niet van toepassing op kritieke entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur. Bovendien voorziet artikel 24 Wwke in de mogelijkheid om kritieke entiteiten te ontheffen van deze verplichting.

X Noot
5

Richtlijn 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (codificatie) (PbEU 2015, L 241).

X Noot
6

Richtlijn 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 betreffende diensten op de interne markt (PbEU 2006, L 376).

X Noot
7

Met een gap assessment of gap analyse vergelijkt een organisatie de huidige situatie met de gewenste situatie. In het geval van de Cbw en de Wwke wordt het huidige beleid dus vergeleken met het beleid dat nodig is om te voldoen aan deze wetten.

X Noot
8

Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (PbEU 2022, L 333).

Naar boven