Deze website gebruikt cookies

We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.

Onze privacyverklaring:

Blogs / 

Hoe kun je je voorbereiden op de CER-richtlijn?

IT, Privacy & Cybersecurity

5 februari 2025

Geschreven door

Natascha van Duuren

Blog Image
De Critical Entities Resilience Directive (CER-richtlijn) en de Network and Information Security Directive (NIS2-richtlijn) zijn eind 2022 vastgesteld door de Europese Unie. De richtlijnen zijn gericht op een versterking van de fysieke, digitale en economische weerbaarheid van Europese lidstaten. Wat is nu het verschil tussen deze richtlijnen? De CER-richtlijn richt zich op de bescherming van organisaties tegen fysieke dreigingen, zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen. De NIS2-richtlijn richt zich daarentegen op digitale (cyber) risico’s voor netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer. Beide richtlijnen leggen een zorgplicht op aan organisaties om beveiligingsmaatregelen te nemen en een meldplicht om incidenten te rapporteren. In deze blog gaan wij nader in op de vraag hoe je je kunt voorbereiden op de CER-richtlijn.

Voor wie geldt de CER-richtlijn?

Allereerst de vraag: voor wie geldt de CER-richtlijn? De CER-richtlijn richt zich op zogenaamde ‘kritieke’ entiteiten, die essentiële diensten verlenen binnen de volgende sectoren: energie, drinkwater, vervoer, digitale infrastructuur, levensmiddelen, gezondheidszorg, infrastructuur voor de financiële markt, afvalwater, overheid, bankwezen en ruimtevaart.

Waarom is het belangrijk om nu actie te ondernemen?

De CER-richtlijn wordt geïmplementeerd in de Wet weerbaarheid kritieke entiteiten (Wwke). Deze wet is – evenals de Cyberbeveiligingswet - nog niet in werking getreden. De Nederlandse overheid adviseert organisaties echter om niet te wachten, maar nu al maatregelen te nemen. De risico's die organisaties en systemen lopen, zijn immers nu ook al aanwezig. Door vroegtijdig actie te ondernemen, kunnen organisaties zich beter beschermen tegen bestaande risico's en zijn ze beter voorbereid op de komst van de nieuwe wetgeving.

Hoe kan je je organisatie voorbereiden?

Het is van belang zo snel mogelijk te starten met de volgende maatregelen:

  1. Maak een risicoanalyse: Identificeer de fysieke risico's die de dienstverlening van jouw organisatie kunnen verstoren. Voor het in kaart brengen van risico’s kan gebruik gemaakt worden van de Rijksbrede Risicoanalyse (RbRa). Deze Risicoanalyse geeft een analyse van dreigingen die onze samenleving kunnen ontwrichten. In de RbRa 2022 worden relatief veel scenario’s als ‘zeer waarschijnlijk’ gezien. Het gaat om scenario’s samenhangend met zowel safety (natuurbranden, griepepidemie) als security dreigingen (hybride operaties, verstoringen internationale handel, collateral damage cyberaanvallen). Aangezien de waarschijnlijkheid van optreden van dit type dreigingen volgens het Analistennetwerk Nationale Veiligheid relatief groot is, is het dan ook zaak om voorbereid te zijn op het kunnen mitigeren van de impact van deze dreigingen. Als je de risico’s in kaart hebt gebracht is het van belang de genaamde kroonjuwelen van je organisatie in kaart te brengen. Het is zinvol te werken met scenario’s. Bedenk welke scenario’s zich kunnen voordoen en bedenk per scenario welke maatregelen nodig zijn om de weerbaarheid te verbeteren.
  2. Neem beveiligingsmaatregelen: Implementeer vervolgens maatregelen die jouw organisatie beter beschermen tegen de risico’s die je hebt geïdentificeerd.
  3. Zorg voor incidentmanagementprocedures: Stel procedures op om incidenten snel te detecteren, te reageren en schade te herstellen. Snel handelen is immers een absoluut vereiste. In een volgende blog zal worden ingegaan op het opstellen van een Incident Response Plan.

Actie gewenst

De CER-richtlijn vereist dat organisaties in actie komen om zich te beveiligen tegen fysieke dreigingen. Door nu al maatregelen te nemen, kunnen organisaties niet alleen voldoen aan de toekomstige wetgeving, maar ook hun weerbaarheid tegen deze dreigingen vergroten. De Rijksbrede Risicoanalyse geeft aan dat diverse dreigingen als ‘zeer waarschijnlijk’ worden gezien en dat er diverse scenario’s worden geschetst waarvan de impact ‘ernstig’ of hoger is. Reden temeer om nu al in actie te komen en niet af te wachten totdat de Wet weerbaarheid kritieke entiteiten in werking is getreden.

Vragen?

Neem voor vragen over de CER-richtlijn contact op met Natascha van Duuren, Partner & Advocaat IT, Privacy & Cybersecurity.

Nieuwsbrief

Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Klik dan hier om u in te schrijven voor de nieuwsbrief!