Datum publicatie	Organisatie	Jaargang en nummer	Rubriek
13-06-2025 09:00	Ministerie van Justitie en Veiligheid	Staatscourant 2025, 19095	advies Raad van State

Advies Raad van State inzake het voorstel van wet, houdende regels ter implementatie van Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333) (Wet weerbaarheid kritieke entiteiten)

Nader Rapport

27 mei 2025,

Nr. 6397862,

Directie Wetgeving en Juridische Zaken,

Ministerie van Justitie en Veiligheid.

Aan de Koning

Nader rapport inzake het voorstel van wet, houdende regels ter implementatie van Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333) (Wet weerbaarheid kritieke entiteiten)

Blijkens de mededeling van de Directeur van Uw Kabinet van 6 december 2024, nr. 2024002834, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 19 februari 2025, nr. W16.24.00335/II, bied ik U hierbij aan.

De tekst van het advies treft U hieronder cursief aan, voorzien van mijn reactie.

Bij Kabinetsmissive van 6 december 2024, no.2024002834, heeft Uwe Majesteit, op voordracht van de Minister van Justitie en Veiligheid, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende regels ter implementatie van Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333) (Wet weerbaarheid kritieke entiteiten), met memorie van toelichting.

Het wetsvoorstel implementeert de CER-richtlijn betreffende de weerbaarheid van kritieke entiteiten. De verleners van essentiële diensten spelen een belangrijke rol bij het behoud van vitale maatschappelijke functies en economische activiteiten en vereisen daarom adequate bescherming. Het voorstel heeft tot doel deze functies en activiteiten te beschermen en roept hiertoe verplichtingen in het leven. Die verplichtingen omvatten onder meer het doen van een risicobeoordeling om alle relevante door de natuur en door de mens veroorzaakte risico’s in kaart te brengen, een zorgplicht om de weerbaarheid te vergroten en een meldplicht bij een incident dat de verlening van essentiële diensten verstoort of kan verstoren.

De implementatie van de richtlijn moet worden ingebed in bestaande structuren waarin verschillende partijen verantwoordelijkheden hebben op het gebied van de weerbaarheid van essentiële diensten. Het gaat daarbij om veel instanties omdat de reikwijdte van het voorstel zich uitstrekt over uiteenlopende maatschappelijke en economische activiteiten. Weerbaarheid is per definitie een sector-overstijgend onderwerp. Het is in die situatie van belang dat duidelijk is wie waarvoor verantwoordelijk is, zowel wat betreft de instanties die het voorstel moeten uitvoeren als de entiteiten die de activiteiten verrichten waarop de in het voorstel voorziene verplichtingen van toepassing zijn.

De diversiteit van de entiteiten waarop het voorstel van toepassing is brengt ook met zich mee dat per sector moet worden beoordeeld op welke wijze de fysieke weerbaarheid moet worden verhoogd. Dit vergt onder meer betrokkenheid van de vakministers, die worden aangewezen als bevoegde autoriteit. Tegelijkertijd kent het wetsvoorstel aan de minister van Justitie en Veiligheid een coördinerende taak toe. De Afdeling advisering van de Raad van State adviseert om nader in te gaan op de wijze waarop invulling wordt gegeven aan de coördinerende taak en de (mede)betrokkenheid van de minister van Justitie en Veiligheid.

De Afdeling wijst erop dat de aan de vakministers toegekende bevoegdheid om toezicht te houden op basis van dit wetsvoorstel kan raken aan bevoegdheden die aan zelfstandige bestuursorganen zijn toegekend om voor bepaalde entiteiten toe te zien op de veiligheid van de door die entiteiten verrichte activiteiten. Het is van belang om te zorgen voor een duidelijke taakafbakening tussen vakministers en deze zelfstandige bestuursorganen om problemen door overlapping van bevoegdheden te vermijden.

De Afdeling adviseert om in het wetsvoorstel zoveel mogelijk te verduidelijken welke overheidsinstanties zijn uitgezonderd van het voorstel omdat zij activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving. De Afdeling adviseert bovendien om te verduidelijken of, en zo dit het geval is, op welke wijze, ten aanzien van het toezicht op de sector overheid wordt voldaan aan het vereiste van voldoende onafhankelijk toezicht, en zo nodig het voorstel aan te passen.

In verband met deze opmerkingen is aanpassing wenselijk van het wetsvoorstel en de toelichting.

1. Achtergrond en inhoud voorstel Wet weerbaarheid kritieke entiteiten

a. Implementatie CER-richtlijn, fysieke weerbaarheid en samenhang met NIS2 richtlijn

Het voorstel voor de Wet weerbaarheid kritieke entiteiten (hierna: Wwke) is gericht op de instandhouding van vitale maatschappelijke functies of economische activiteiten en het versterken van de weerbaarheid van kritieke entiteiten en het vermogen van die entiteiten om essentiële diensten te verlenen.1 Deze weerbaarheid heeft betrekking op bijvoorbeeld terroristische dreigingen, sabotage, of risico’s op het gebied van natuurrampen en klimaatverandering.

Het wetsvoorstel strekt tot de implementatie van Richtlijn (EU) 2022/2557.2 Deze richtlijn wordt hierna aangeduid als de CER-richtlijn, ontleend aan de woorden ‘critical entities’ en ‘resilience’, die voorkomen in de Engelstalige titel ervan. De implementatietermijn is op 17 oktober 2024 verstreken.

De doelstelling en systematiek van de CER-richtlijn hangen nauw samen met die van de gelijktijdig vastgestelde NIS2-richtlijn.3 Het voorstel voor een Cyberbeveiligingswet (hierna: Cbw) implementeert de NIS2-richtlijn. De Afdeling brengt over beide implementatievoorstellen gelijktijdig advies uit. De Cbw heeft betrekking op cyberveiligheid. Het voorliggende wetsvoorstel heeft uitsluitend betrekking op de fysieke weerbaarheid van entiteiten. Het is niet van toepassing op aangelegenheden die onder de voorgestelde Cbw vallen en evenmin op de beveiliging van de fysieke omgeving van netwerk- en informatiesystemen.4 Indien een entiteit op basis van de Wwke een kritieke entiteit is, is die entiteit van rechtswege een essentiële entiteit waarop de Cbw van toepassing is.

b. Hoofdlijnen voorstel Wwke

Het wetsvoorstel vereist dat ten aanzien van kritieke entiteiten veiligheids- en beveiligingseisen van toepassing zijn om hun weerbaarheid tegen risico’s en dreigingen te vergroten. Kritieke entiteiten zijn publieke of private organisaties die diensten aanbieden die van cruciaal belang zijn voor de instandhouding van vitale maatschappelijke functies, economische activiteiten, de volksgezondheid en openbare veiligheid of het milieu.5 Entiteiten worden door de minister die het aangaat aangewezen als kritieke entiteit.6

Voor kritieke entiteiten geldt allereerst een zorgplicht.7 Deze plicht is erop gericht dat entiteiten maatregelen nemen om risico’s te beheersen en incidenten te voorkomen, of de gevolgen daarvan te beperken en herstel van hun operaties na incidenten te versnellen. Verdere invulling van de zorgplicht zal plaatsvinden door de kritieke entiteiten zelf, eventueel met behulp van sectorspecifieke voorschriften die worden gesteld in een EU-rechtshandeling, of bij of krachtens algemene maatregel van bestuur.8 Daarnaast rust op deze entiteiten een meldplicht.9 Op basis van deze plicht moeten kritieke entiteiten bij de bevoegde autoriteit (de verantwoordelijke minister) melding doen van een significant incident. Entiteiten hebben voorts een plicht om alle relevante door de natuur en door de mens veroorzaakte risico’s in kaart te brengen.10

2. Afbakening van de reikwijdte

De richtlijn is niet van toepassing op ‘overheidsinstanties die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten.’11 Deze bepaling uit de richtlijn is vrijwel letterlijk overgenomen in het wetsvoorstel. Om welke organisaties het precies gaat wordt echter niet verder uitgewerkt.12 Volgens de toelichting gaat het ‘in ieder geval om het ministerie van Defensie en de politie’.13 Overheidsinstanties waarvan de activiteiten slechts zijdelings verband houden met nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving zullen via ontheffingen van de eerstverantwoordelijke minister worden uitgezonderd van de verplichtingen voorzien in het wetsvoorstel.14

De woorden ‘in ieder geval’, die in de toelichting worden gebruikt, roepen de vraag op welke organisaties nog meer geacht worden onder deze uitzondering te vallen.15 Zo is onduidelijk of de inlichtingen- en veiligheidsdiensten onder deze uitzondering moeten worden begrepen. Daarnaast is de vraag of het de bedoeling is dat de diensten, bedoeld in de Wet op de bijzondere opsporingsdiensten, onder de uitzondering zullen vallen.

De reikwijdte van een wet dient in hoofdzaak in de wet zelf te worden geregeld, omdat het een van de hoofdelementen van de wet is.16 Het is niet bevorderlijk voor de duidelijkheid en de rechtszekerheid wanneer overheidsinstanties die over wezenlijke taken en bevoegdheden beschikken (zoals op het gebied van de nationale veiligheid), niet uitdrukkelijk in de wet worden uitgezonderd. Voor (onderdelen van) overheidsorganisaties waarvan de taken en bevoegdheden beperkter en minder indringend zijn, is nog voorstelbaar dat die – krachtens de wet – worden uitgezonderd bij algemene maatregel van bestuur.

De Afdeling adviseert deze uitzonderingen zo veel mogelijk te concretiseren in het wetsvoorstel.

Naar aanleiding van dit advies van de Afdeling is in het wetsvoorstel artikel 5 Wwke aangepast, zodat bij wet is bepaald dat de Wwke niet van toepassing is op het Ministerie van Defensie, de Militaire Inlichtingen- en Veiligheidsdienst, de Algemene Inlichtingen- en Veiligheidsdienst, het openbaar ministerie, de politie en de veiligheidsregio’s.

In artikel 5 Wwke is tevens voorzien in de grondslag om bij algemene maatregel van bestuur andere overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, van die toepasselijkheid uit te zonderen (onderdeel f). Van deze grondslag zal gebruik worden gemaakt indien na de inwerkingtreding van de Wwke onverhoopt tot het inzicht wordt gekomen dat een overheidsinstantie ontbreekt in de opsomming van artikel 5 Wwke. Hierbij wordt benadrukt dat het uitgangspunt is dat artikel 5 Wwke de complete opsomming betreft van overheidsinstanties die moeten worden uitgezonderd van het toepassingsbereik van de Wwke, omdat zij in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving.

Naar aanleiding van de wijzigingen in artikel 5 Wwke is ook in de memorie van toelichting de toelichting onder het kopje ‘Toepassingsbereik’ in paragraaf 5.2 en de artikelsgewijze toelichting op artikel 5 Wwke aangepast.

Voor de bijzondere opsporingsdiensten geldt dat zij ressorteren onder een minister, niet zijnde de Minister van Defensie (zie artikel 2 Wet op de bijzondere opsporingsdiensten). Voor deze diensten geldt dat zij onderdeel zijn van de betreffende ministeries (zie artikel 9, eerste lid, Wet op de bijzondere opsporingsdiensten). De ministeries waar de bijzondere opsporingsdiensten onder ressorteren voeren niet in hoofdzaak activiteiten uit op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten (artikel 1, zesde lid, CER-richtlijn in samenhang met overweging 11 van de CER-richtlijn). Als die ministeries op grond van de Wwke worden aangewezen als kritieke entiteit, heeft dat tot gevolg dat de verplichtingen uit de Wwke (waarvan sommige op grond van de Wwke een ingangsdatum hebben van enkele maanden na de aanwijzing) van toepassing zijn op deze ministeries en de onderliggende dienstonderdelen, waaronder dus ook de desbetreffende bijzondere opsporingsdiensten.

De bijzondere opsporingsdiensten voeren activiteiten uit op het gebied van rechtshandhaving, zie de opsomming van hun taken in artikel 3 Wet op de bijzondere opsporingsdiensten. Indien de desbetreffende ministeries worden aangewezen als kritieke entiteit, zullen tegelijkertijd bij die aanwijzing de activiteiten die de bijzondere opsporingsdiensten uitvoeren, op grond van artikel 24 Wwke worden ontheven van de verplichtingen uit de artikelen 14, 15, 17, 19, 20 en 22 Wwke.

3. Coördinerende taak minister van Justitie en Veiligheid

De minister van Justitie en Veiligheid is eerstverantwoordelijk bewindspersoon voor de fysieke weerbaarheid van Nederland. Tegelijkertijd is bij de implementatie van de CER-richtlijn ervoor gekozen om de verschillende vakministers aan te wijzen als bevoegde autoriteit.17 Hierdoor is de uitvoering van de wet en de handhaving daarvan gespreid belegd. Om die reden is het van belang dat de minister van Justitie en Veiligheid coördinerend kan optreden bij departementoverstijgende keuzes. Zo dient deze minister op basis van het voorstel betrokken te worden bij de nadere invulling van de samenwerking en ondersteuning die bevoegde autoriteiten bieden aan kritieke entiteiten18 en heeft hij een coördinerende rol bij het bepalen van de strategie inzake de weerbaarheid van kritieke entiteiten.19 Daarnaast bevat het voorstel bepalingen waarbij besluiten door vakministers worden genomen ‘in overeenstemming met’ of ‘na overleg met’ de minister van Justitie en Veiligheid.20 Dat is bijvoorbeeld het geval wanneer het gaat om het aanwijzen van kritieke entiteiten.21

In de toelichting ontbreekt een nadere uitwerking van de coördinerende taak van de minister van Justitie en Veiligheid op basis van het voorstel. In tegenstelling tot het voorstel voor de Cbw, is in het voorstel voor de Wwke bovendien niet opgenomen dat de minister van Justitie en Veiligheid tot taak heeft om te zorgen voor sectoroverschrijdende samenwerking tussen de bevoegde autoriteiten binnen Nederland.22 In dit verband is mede van belang dat de CER-richtlijn lidstaten opdraagt om ervoor te zorgen dat, indien er diverse bevoegde autoriteiten worden aangewezen, die autoriteiten doeltreffend samenwerken.23 Op basis van het voorstel en de toelichting is nog onvoldoende duidelijk op welke wijze aan deze taak invulling wordt gegeven, alsmede of de minister daarvoor in het voorliggende wetsvoorstel voldoende in positie wordt gebracht.

Verder is in de toelichting niet uiteengezet waarom in de voorbereiding van ministeriële regelingen of besluiten van vakministers de betrokkenheid van de minister van Justitie en Veiligheid beperkt blijft tot overleg en niet is bepaald dat hij met de regeling of het besluit moet instemmen.24 Deze regelingen of besluiten kunnen gevolgen hebben voor de nadere uitleg en goede werking van de wet en raken daarmee het te bereiken niveau van fysieke veiligheid in Nederland. In het licht van het voorgaande dient dan ook in de toelichting te worden gemotiveerd waarom bij regelingen of beslissingen van vakministers instemming van de minister van Justitie en Veiligheid niet is vereist.

De Afdeling adviseert om in de toelichting nader in te gaan op de wijze waarop invulling wordt gegeven aan de coördinerende taak en de (mede)betrokkenheid van de minister van Justitie en Veiligheid. In ieder geval is het van belang in het wetsvoorstel vast te leggen dat de minister van Justitie en Veiligheid tot taak heeft om te zorgen voor sectoroverschrijdende samenwerking tussen de bevoegde autoriteiten binnen Nederland.

In de Wwke is ervoor gekozen om de vakministers aan te wijzen als de bevoegde autoriteit voor de sectoren en subsectoren die onder hun beleidsverantwoordelijkheid vallen (zie artikel 8 Wwke). Door de vakministers aan te wijzen als bevoegde autoriteit wordt onder meer geborgd dat de in de Wwke opgenomen taken van de bevoegde autoriteit worden uitgevoerd met voldoende inzicht in sectorspecifieke eigenschappen en belangen. De vakministers hebben immers sectorale expertise en kennis en staan reeds in direct contact met de sectoren die onder hun beleidsverantwoordelijkheid vallen. Daarnaast gelden er eventuele sectorale wetten en normenkaders die verband kunnen houden met bepaalde aspecten van de Wwke, waar de vakminister het beste zicht op heeft. De primaire verantwoordelijkheid voor weerbaarheid ligt dan ook per sector bij de desbetreffende vakminister. Dit is ook in lijn met de huidige portefeuilleverdeling van het kabinet.

De Minister van Justitie en Veiligheid is, conform de portefeuilleverdeling van het kabinet, coördinerend bewindspersoon voor de bescherming van de weerbaarheid in Nederland en medeverantwoordelijk voor de nationale veiligheid. Om deze coördinerende taak in te vullen is in bepaalde onderdelen in de Wwke een rol voor de Minister van Justitie en Veiligheid opgenomen. Zo is de Minister van Justitie en Veiligheid aangewezen als het centrale contactpunt. Verder is de rol van de Minister van Justitie en Veiligheid gekoppeld aan bepaalde taken van de vakministers. Vanuit deze rol zorgt de Minister van Justitie en Veiligheid voor een goed functionerend en integraal weerbaarheidsstelsel en borgt hij dat de impact op de nationale veiligheid voldoende wordt meegewogen in de keuzes die de vakministers hierin maken. In de praktijk betekent dit dat wanneer de vakminister nadere regels of besluiten voor zijn sector ‘na overleg met’ of ‘in overeenstemming met’ de Minister van Justitie en Veiligheid vaststelt, de Minister van Justitie en Veiligheid zal toetsen en adviseren op onder meer sectoroverstijgende effecten, de druk op het weerbaarheidsstelsel en de bredere impact op de nationale veiligheid.

Het verschil tussen ‘na overleg met’ en ‘in overeenstemming met’ is dat bij ‘na overleg met’ eventueel verschil van inzicht kan worden opgelost via de gangbare afstemmings- en overlegstructuren, maar de vakminister uiteindelijk eigenstandig de eindbeslissing neemt. Bij ‘in overeenstemming met’ dient de Minister van Justitie en Veiligheid bij eventueel uiteenlopende inzichten alsnog mede te beslissen. Deze variant is gekozen bij de bepalingen waarbij de handelingen van de vakminister het integrale stelsel raken, en dus van invloed zijn op de stelselverantwoordelijkheid van de Minister van Justitie en Veiligheid.

Naar aanleiding van het advies van de Afdeling is artikel 12 Wwke, over de taken van het centrale contactpunt, aangevuld met de taak: het zorgen voor sectoroverstijgende en doeltreffende samenwerking tussen de bevoegde autoriteiten binnen Nederland. Dit is in lijn met artikel 9, eerste lid, CER-richtlijn. Dit is ook in lijn met artikel 14, onderdeel b, Cbw, waarin eveneens die taak is opgenomen, maar dan ten aanzien van het centrale contactpunt in het kader van de Cbw. Ook in de Cbw is de Minister van Justitie en Veiligheid aangewezen als het centrale contactpunt. Zo is de coördinerende en sectoroverstijgende rol van de Minister van Justitie en Veiligheid geborgd en kan worden bijgedragen aan de doeltreffende samenwerking tussen de bevoegde autoriteiten binnen Nederland.

4. Handhaving van bijzondere wetten door zelfstandige bestuursorganen

In het wetsvoorstel worden uitsluitend ministers aangewezen als bevoegde autoriteit.25 De ministers – of de door hen aangewezen ambtenaren – krijgen de bevoegdheid om toezicht te houden op de naleving van de wetten met gebruikmaking van de toezichthoudende bevoegdheden die in de Algemene wet bestuursrecht zijn geregeld. Ook krijgen zij handhavingsbevoegdheden, zoals bestuursdwang, dwangsom en bestuurlijke boete.26 Dat past bij het uitgangspunt dat het overheidsbeleid op rijksniveau zoveel mogelijk moet worden uitgeoefend onder ministeriële verantwoordelijkheid. Echter, in sommige gevallen vallen entiteiten reeds onder het toezicht op en de handhaving van specifieke wetten, opgedragen aan autoriteiten die hun bij wet toegekende taken in hoofdzaak uitoefenen buiten ministeriële verantwoordelijkheid. Zulke autoriteiten zijn ook bekend als zelfstandige bestuursorganen (zbo’s).

Zo vallen kerncentrales onder het wetsvoorstel en daarmee ook onder het toezicht van de minister van Infrastructuur en Waterstaat als de bevoegde autoriteit.27 Echter, in de Kernenergiewet zijn toezichts- en handhavingsbevoegdheden uitdrukkelijk toegekend aan de Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS).28 In 2016 is de ANVS bij wet aangewezen als zbo; zij verkreeg daarbij nog meer zelfstandigheid dan standaard is geregeld in de Kaderwet zelfstandige bestuursorganen. De regering was destijds van oordeel dat die ruime mate van onafhankelijkheid noodzakelijk was op grond van internationaal en Europees recht. De beslissingen van het regulerende lichaam over nucleaire veiligheid en stralingsbescherming moeten namelijk genomen kunnen worden zonder druk van belangen die kunnen conflicteren met het belang van veiligheid, zo meende de regering.29

Het wetsvoorstel zorgt ervoor dat het wettelijk toezicht op de veiligheid van kerncentrales, dat momenteel uitsluitend berust bij de ANVS, tevens komt te liggen bij de minister van Infrastructuur en Waterstaat. Daarmee kan overlapping van bevoegdheden ontstaan.

Het voorbeeld van de ANVS staat niet op zichzelf. Er zijn meer toezichthouders die de status van zelfstandig bestuursorgaan hebben, waarbij de ministeriële verantwoordelijkheid is beperkt, maar waarbij via het wetsvoorstel ook de minister wordt aangewezen als bevoegde autoriteit.30 Wanneer meer toezichthouders tegelijk bevoegd zijn, kan onduidelijk zijn voor de entiteiten wie het toezicht uitoefent, en het gevaar bestaat dat de toezichthouders met elkaar concurreren, óf dat geen van beide toezicht en handhaving uitoefent.

De Afdeling adviseert om in kaart te brengen welke zbo’s belast zijn met toezichts- en handhavingstaken gericht op veiligheid. Tevens adviseert zij in de toelichting aan te geven hoe wordt voorkomen dat de uitoefening van deze taken in de praktijk tot problemen leidt, doordat zij overlapt met taken die zijn toebedeeld via het wetsvoorstel.31

Entiteiten kunnen onder toezicht staan vanuit andere wettelijke kaders, uitgeoefend door bijvoorbeeld een zelfstandig bestuursorgaan. Het ligt in de rede dat de toezichthouders met raakvlakken hierover met elkaar in contact treden om samenwerkingsafspraken te maken, die de doeltreffendheid en doelmatigheid van het toezicht waarborgen. Hierbij wordt onder meer gedacht aan afspraken over samenloop van toezicht op eenzelfde entiteit, het voorkomen van onevenredige toezichtslasten en de uitwisseling van gegevens. Het heeft daarbij de voorkeur dat deze afspraken worden vastgelegd in een samenwerkafspraak of een vergelijkbaar instrument en dat deze wordt gepubliceerd. Dit zorgt voor transparantie over de gemaakte afspraken en maakt voor entiteiten die onder toezicht staan helder op welke wijze de toezichthouders invulling geven aan voorgenoemde aspecten.

Daarbij is het van belang om in die samenwerkingsafspraken voor ogen te houden dat de verschillende wetten in het veiligheidsdomein verschillende aspecten van veiligheid regelen, geredeneerd vanuit wettelijk verschillende gedefinieerde te beschermen belangen. De betreffende toezichthouders zullen derhalve elk op basis van hun eigen wettelijke grondslag hun taken uitvoeren en overlap in bevoegdheden doet geen afbreuk aan de bevoegdheden en verantwoordelijkheden van de respectievelijke toezichthouders.

5. Toezicht en handhaving ten aanzien van de sector overheid

Het wetsvoorstel wijst onder andere ministeries, met inbegrip van de daartoe behorende dienstonderdelen, aan als kritieke entiteiten.32 Voor de sector overheid is de minister van Binnenlandse Zaken en Koninkrijksrelaties de bevoegde autoriteit voor het toezicht op de naleving en de handhaving.33 De toelichting besteedt geen aandacht aan de vraag of een dergelijk ‘zelftoezicht’ in voldoende mate onafhankelijk is en welke voorzieningen daartoe zijn of worden getroffen.

De Afdeling adviseert om in de toelichting nader in te gaan op de vraag of, en zo ja hoe, ten aanzien van de sector overheid wordt voldaan aan het vereiste van voldoende onafhankelijk toezicht, en zo nodig het voorstel aan te passen.

De Afdeling wijst er terecht op dat het toezicht op de sector overheid voorzien moet zijn van de nodige waarborgen om voldoende onafhankelijkheid van de door de Minister van Binnenlandse Zaken en Koninkrijksrelaties aan te wijzen toezichthouder te garanderen. Om dit niveau van onafhankelijkheid te waarborgen, zal worden onderzocht welke operationele en organisatorische maatregelen getroffen zullen moeten worden. Hierbij kan in ieder geval worden gedacht aan het aanpassen van het organisatiebesluit van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, zodat de verantwoordelijkheden en bevoegdheden van de toezichthouder expliciet worden benoemd en de onafhankelijkheid van de onderzoeken van de toezichthouder wordt verzekerd.

6. Uitzonderingen op de Wet open overheid

Het wetsvoorstel bepaalt dat de bevoegde autoriteit, het centrale contactpunt en de minister van Justitie en Veiligheid onder bepaalde voorwaarden vertrouwelijke gegevens kunnen verstrekken. De Wet open overheid (Woo) is niet van toepassing op deze gegevens, tenzij het gaat om milieu-informatie.34

a. Afwijken van een algemene wet

De Woo is een algemene wet, waarvan alleen kan worden afgeweken als daarvoor de noodzaak is aangetoond.35 De Woo stelt openbaarheid van overheidsinformatie voorop, maar kent uitzonderingen in verband met, onder meer, de veiligheid van de Staat, bedrijfs- en fabricagegegevens en de eerbiediging van de persoonlijke levenssfeer.36 Deze wettelijk verankerde uitzonderingen roepen de vraag op of het noodzakelijk is om de Woo niet van toepassing te verklaren op gegevens die in het kader van dit wetsvoorstel worden verstrekt.

De Afdeling adviseert om nader te motiveren waarom een afwijking, gezien de beperkingen in de Woo, noodzakelijk is.

Er is aanleiding gezien voor de in artikel 34, tweede lid, Wwke (35, tweede lid, oud) opgenomen uitzondering op de toepasselijkheid van de Wet open overheid, omdat het van groot belang is dat de vertrouwelijkheid van gegevens die bijvoorbeeld door kritieke entiteiten als zodanig aan de bevoegde autoriteit worden verstrekt zo veel mogelijk wordt gewaarborgd. De door de Afdeling genoemde uitzonderingsgronden zijn niet toereikend, omdat deze niet de garantie bieden dat alle vertrouwelijke gegevens die in het kader van de Wwke worden verwerkt, niet openbaar kunnen worden gemaakt op grond van de Woo.

Voor de bevoegde autoriteit geldt dat zij ter uitvoering van haar toezichtsactiviteiten komt te beschikken over vertrouwelijke informatie over de stand van de weerbaarheid van kritieke entiteiten, evenals incidenten bij deze entiteiten. De vertrouwelijkheid van gegevens moet zo veel mogelijk worden geborgd om reputatieschade, benadeling van de concurrentiepositie en openbaarmaking van kwetsbaarheden te voorkomen. Artikel 34, tweede lid, Wwke (35, tweede lid, oud) biedt kritieke entiteiten op voorhand de zekerheid dat deze vertrouwelijke gegevens niet openbaar kunnen worden gemaakt door de bevoegde autoriteit op grond van de Wet open overheid. Hiermee is gekozen voor een gelijkluidend regime als voor de Cbw, aangezien de Cbw en Wwke nauw met elkaar verbonden zijn en de betreffende bevoegde autoriteiten onder de Cbw en Wwke nauw met elkaar dienen samen te werken en in dat kader informatie met elkaar uitwisselen. Het ligt daarmee niet in de rede om hiervoor een ander regime te hanteren.

b. Verduidelijking van de tekst

De voorgestelde bepalingen maken niet duidelijk aan wie de gegevens kunnen worden verstrekt. Uit de richtlijn blijkt dat het niet gaat om verstrekking aan derden, maar aan de Europese Commissie en aan andere betrokken autoriteiten.37

De Afdeling adviseert om in het voorstel te verduidelijken aan wie de gegevens kunnen worden verstrekt.

Het door de Afdeling in voetnoot 37 aangehaalde artikel 1, vierde lid, CER-richtlijn ziet op de voorwaarden waarbinnen de uitwisseling van vertrouwelijke informatie met de daarin genoemde actoren mogelijk is. De bepaling belet echter niet de uitwisseling van vertrouwelijke informatie met anderen dan de in de bepaling genoemde actoren. Er is ervoor gekozen om in het wetsvoorstel te voorzien in de mogelijkheid om vertrouwelijke gegevens ook te kunnen uit te wisselen met de inlichtingen- en veiligheidsdiensten en opsporingsdiensten. Dit kan nodig zijn voor een goede invulling van respons op incidenten of het nemen van maatregelen om incidenten te voorkomen.

7. Overige opmerkingen

a. Verplichtingen voor kritieke entiteiten in bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur

Het voorstel zondert entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur uit van de toepassing van enkele onderdelen van het voorstel.38 De uitzondering vindt dus plaats op wetsniveau en van rechtswege. De CER-richtlijn gaat ervan uit dat aan de kritieke entiteiten die onder de uitzonderingsgrond vallen, een mededeling wordt gedaan van de uitzondering die op hen van toepassing is.39

De Afdeling adviseert om het voorstel aan te passen door voor te schrijven dat aan kritieke entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur een mededeling wordt gedaan over de verplichtingen die op hen van toepassing zijn.

Naar aanleiding van dit advies van de Afdeling is artikel 6, vijfde lid, Wwke herschreven, zodat bij alle aanwijzingen van entiteiten als kritieke entiteit wordt vermeld welke verplichtingen bij of krachtens de Wwke van toepassing zijn op die entiteiten en vanaf wanneer deze verplichtingen gelden. Dat eerste (het vermelden welke verplichtingen van toepassing zijn op de aangewezen kritieke entiteit) ontbrak namelijk nog, terwijl artikel 6, derde lid, CER-richtlijn zulks wel vereist. Daarnaast is in artikel 6, vijfde lid, een volzin toegevoegd, waarin wordt geregeld dat indien de vakminister een entiteit als kritieke entiteit in de sector bankwezen, infrastructuur voor de financiële markt of digitale infrastructuur aanwijst, daarbij óók moet vermelden welke verplichtingen uit de Wwke niet van toepassing zijn op die entiteit. Ook dit ontbrak nog in het wetsvoorstel, terwijl artikel 6, derde lid, CER-richtlijn zulks wel vereist.

b. Aanwijzing van (sub)sectoren

De CER-richtlijn geeft in de bijlage een uitputtende lijst van sectoren, deelsectoren en categorieën van entiteiten waarop de CER-richtlijn van toepassing is. Het voorstel regelt de mogelijkheid voor de vakministers om, in aanvulling op de (deel)sectoren genoemd in de CER-richtlijn,40 bij regeling een sector en, daarbinnen, een subsector en categorie van entiteiten aan te wijzen (waarbinnen op zijn beurt ook kritieke entiteiten kunnen worden aangewezen).41

De toelichting gaat niet in op de vraag hoe de bevoegdheid om overige (sub)sectoren aan te kunnen wijzen zich verhoudt tot het uitputtend karakter van de bijlage van de CER-richtlijn.

De Afdeling adviseert in de toelichting op dit punt in te gaan, en zo nodig het voorstel aan te passen.

In de aan de Afdeling voorgelegde versie van de memorie van toelichting is in paragraaf 9.5, onder het kopje ‘Ingangsdatum verplichtingen’, hierover toegelicht dat in overweging 41 van de CER-richtlijn is opgenomen dat de lijst van essentiële diensten in de CER-richtlijn niet uitputtend is en dat lidstaten de lijst kunnen aanvullen met andere essentiële diensten op nationaal niveau, teneinde rekening te houden met nationale bijzonderheden bij de verlening van essentiële diensten. Gelet op het belang voor de nationale veiligheid acht de regering het wenselijk om voor deze mogelijkheid een grondslag op te nemen in de Wwke. De grondslag is opgenomen in artikel 7 Wwke.

Naar aanleiding van dit advies van de Afdeling komt de regering tot het inzicht dat de hiervoor bedoelde uitleg niet past in paragraaf 9.5 van de memorie van toelichting, welke over verplichtingen gaat. Daarom is de bedoelde uitleg verplaatst naar paragraaf 9.7, over overige opmerkingen die zijn gedaan in het kader van de consultatie, voorzien van het kopje ‘Aanwijzing aanvullende sectoren’. De regering komt ook tot het inzicht dat het niet volstaat om de hiervoor genoemde uitleg enkel in hoofdstuk 9, over de consultatie van het wetsvoorstel, op te nemen. Het opnemen van de bedoelde uitleg is ook passend en nodig bij de artikelsgewijze toelichting op artikel 7 Wwke. De artikelsgewijze toelichting op artikel 7 Wwke is dan ook, naar aanleiding van dit advies van de Afdeling, aangevuld met de hiervoor bedoelde uitleg.

De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.

De vice-president van de Raad van State

Van de gelegenheid is gebruik gemaakt om het wetsvoorstel op enkele punten te wijzigen. Hierna worden de belangrijkste wijzigingen toegelicht.

Eén van de wijzigingen betreft artikel 17 Wwke. De delegatiegrondslag in het vijfde lid is gesplitst in twee afzonderlijke grondslagen: een dwingende grondslag om bij of krachtens algemene maatregel van bestuur de criteria vast te stellen op basis waarvan wordt bepaald of een verstoring aanzienlijk is als bedoeld in artikel 17, derde lid, Wwke en een facultatieve grondslag voor het bij of krachtens algemene maatregel van bestuur kunnen stellen van regels over de wijze waarop een melding van een incident wordt gedaan en de gegevens die ter uitvoering van artikel 17, tweede lid, Wwke worden verstrekt. Ook is de bepaling zodanig gewijzigd, dat deze niet meer ziet op ‘aanvullende aspecten en drempelwaarden’, hetgeen onduidelijk is, maar ziet op ‘criteria’.

Een andere wijziging betreft de samenvoeging van de artikelen 18 en 19 Wwke. Deze samenvoeging heeft niet geleid tot inhoudelijke wijzigingen.

Voorts is de passage ‘via het centrale contactpunt’ in de artikelen 18, derde en vierde lid, en 21, eerste lid, Wwke (22, eerste lid, oud) vervangen door andere formuleringen, omdat de formulering ‘via het centrale contactpunt’ kan leiden tot onduidelijkheid over wat precies hiermee wordt bedoeld. De hiervoor genoemde bepalingen zijn gewijzigd, zodat duidelijk is dat de bevoegde autoriteit het centrale contactpunt op de hoogte moet stellen, waarna het vervolgens de taak van het centrale contactpunt is om andere partijen daarvan op de hoogte te stellen.

Ik verzoek U het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.

De Minister van Justitie en Veiligheid, D.M. van Weel.

Advies Raad van State

No. W16.24.00335/II

’s-Gravenhage, 19 februari 2025

Aan de Koning

In verband met deze opmerkingen is aanpassing wenselijk van het wetsvoorstel en de toelichting.

1. Achtergrond en inhoud voorstel Wet weerbaarheid kritieke entiteiten

a. Implementatie CER-richtlijn, fysieke weerbaarheid en samenhang met NIS2-richtlijn

Het wetsvoorstel strekt tot de implementatie van Richtlijn (EU) 2022/2557.2 Deze richtlijn wordt hierna aangeduid als de CER-richtlijn, ontleend aan de woorden ‘critical entities’ en ‘resilience’, die voorkomen in de Engelstalige titel ervan. De implementatietermijn is op 17 oktober 2024 verstreken.

b. Hoofdlijnen voorstel Wwke

2. Afbakening van de reikwijdte

De Afdeling adviseert deze uitzonderingen zo veel mogelijk te concretiseren in het wetsvoorstel.

3. Coördinerende taak minister van Justitie en Veiligheid

4. Handhaving van bijzondere wetten door zelfstandige bestuursorganen

5. Toezicht en handhaving ten aanzien van de sector overheid

6. Uitzonderingen op de Wet open overheid

a. Afwijken van een algemene wet

De Afdeling adviseert om nader te motiveren waarom een afwijking, gezien de beperkingen in de Woo, noodzakelijk is.

b. Verduidelijking van de tekst

De voorgestelde bepalingen maken niet duidelijk aan wie de gegevens kunnen worden verstrekt. Uit de richtlijn blijkt dat het niet gaat om verstrekking aan derden, maar aan de Europese Commissie en aan andere betrokken autoriteiten.37

De Afdeling adviseert om in het voorstel te verduidelijken aan wie de gegevens kunnen worden verstrekt.

7. Overige opmerkingen

a. Verplichtingen voor kritieke entiteiten in bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur

b. Aanwijzing van (sub)sectoren

De toelichting gaat niet in op de vraag hoe de bevoegdheid om overige (sub)sectoren aan te kunnen wijzen zich verhoudt tot het uitputtend karakter van de bijlage van de CER-richtlijn.

De Afdeling adviseert in de toelichting op dit punt in te gaan, en zo nodig het voorstel aan te passen.

De vice-president van de Raad van State, Th.C. de Graaf.

Tekst zoals toegezonden aan de Raad van State: Regels ter implementatie van Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333) (Wet weerbaarheid kritieke entiteiten)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Allen, die deze zullen zien of horen lezen, saluut! doen te weten:

Alzo Wij in overweging genomen hebben dat het gelet op Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333) noodzakelijk is om wettelijke bepalingen vast te stellen ter versterking van de weerbaarheid van kritieke entiteiten;

Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:

HOOFDSTUK 1. BEGRIPSBEPALING

Artikel 1 (begripsbepaling)

In deze wet en de daarop berustende bepalingen wordt verstaan onder:

– Aanbeveling 2003/361/EG:

Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (PbEU 2003, L 124);

– Besluit nr. 1313/2013/EU:

Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad van 17 december 2013 betreffende een Uniemechanisme voor civiele bescherming (PbEU 2013, L 347);

– bevoegde autoriteit:

de bevoegde autoriteit, bedoeld in artikel 9, eerste lid, van de CER-richtlijn en bedoeld in artikel 8;

– bevoegde autoriteit van een andere lidstaat van de Europese Unie:

een bevoegde autoriteit van een andere lidstaat van de Europese Unie als bedoeld in artikel 9, eerste lid, van de CER-richtlijn en die als zodanig is aangewezen in het nationale recht van die andere lidstaat;

– centrale contactpunt:

het centrale contactpunt, bedoeld in artikel 9, tweede lid, van de CER-richtlijn en bedoeld in artikel 12;

– centrale contactpunt van een andere lidstaat van de Europese Unie:

een centrale contactpunt als bedoeld in artikel 9, tweede lid, van de CER-richtlijn en die als zodanig is aangewezen in het nationale recht van die andere lidstaat;

– CER-richtlijn:

Richtlijn 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333);

– entiteit:

een natuurlijk persoon, een rechtspersoon, een overheidsinstantie, een maatschap als bedoeld in artikel 1655 van boek 7A van het Burgerlijk Wetboek, een vennootschap onder firma als bedoeld in artikel 16 van het Wetboek van Koophandel en een commanditaire vennootschap als bedoeld in artikel 19 van het Wetboek van Koophandel, alsmede een samenwerkingsverband naar buitenlands recht dat met één van deze rechtsvormen vergelijkbaar is;

– essentiële dienst:

een dienst die van cruciaal belang is voor de instandhouding van vitale maatschappelijke functies, economische activiteiten, de volksgezondheid en openbare veiligheid of het milieu;

– incident:

elke gebeurtenis die het verlenen van een essentiële dienst aanzienlijk kan verstoren of verstoort, ook wanneer de gebeurtenis gevolgen heeft voor de nationale systemen die de rechtsstaat waarborgen;

– kritieke entiteit:

entiteit als bedoeld in artikel 6, eerste lid;

– kritieke entiteit van bijzonder Europees belang:

entiteit als bedoeld in artikel 17, eerste lid, van de CER-richtlijn;

– kritieke infrastructuur:

een voorziening, een faciliteit, apparatuur, een netwerk of een systeem, of een onderdeel van een voorziening, een faciliteit, apparatuur, een netwerk of een systeem, hetgeen noodzakelijk is voor de verlening van een essentiële dienst;

– Onze Minister:

Onze Minister van Justitie en Veiligheid;

– overheidsinstantie:

een entiteit die overeenkomstig het nationale recht als zodanig in een lidstaat is erkend, met uitzondering van de rechterlijke macht, parlementen en centrale banken, en die aan de volgende criteria voldoet:

a. zij is opgericht om te voorzien in behoeften van algemeen belang en heeft geen industrieel of commercieel karakter;
b. zij heeft rechtspersoonlijkheid of mag volgens de wet namens een andere entiteit met rechtspersoonlijkheid optreden;
c. zij wordt grotendeels gefinancierd door staatsautoriteiten of door andere publiekrechtelijke centrale organen, is onderworpen aan beheerstoezicht door deze autoriteiten of organen, of heeft een bestuurs-, leidinggevend of toezichthoudend orgaan waarvan de leden voor meer dan de helft door staatsautoriteiten of door andere publiekrechtelijke centrale organen worden benoemd; en
d. zij heeft de bevoegdheid ten aanzien van natuurlijke personen of rechtspersonen administratieve of regelgevende besluiten te nemen die van invloed zijn op hun rechten bij het grensoverschrijdende verkeer van personen, goederen, diensten of kapitaal;

– Richtlijn 2007/60/EG:

Richtlijn 2007/60/EG van het Europees Parlement en de Raad van 23 oktober 2007 over beoordeling en beheer van overstromingsrisico’s (PbEU 2007, L 288);

– Richtlijn 2012/18/EU:

Richtlijn 2012/18/EU van het Europees Parlement en de Raad van 4 juli 2012 betreffende de beheersing van de gevaren van zware ongevallen waarbij gevaarlijke stoffen zijn betrokken, houdende wijziging en vervolgens intrekking van Richtlijn 96/82/EG van de Raad (PbEU 2012, L 197);

– Richtlijn (EU) 2017/541:

Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad van 15 maart 2017 inzake terrorismebestrĳding en ter vervanging van Kaderbesluit 2002/475/JBZ van de Raad en tot wijziging van Besluit 2005/671/JBZ van de Raad (PbEU 2017, L 88);

– risico:

de mogelijkheid van verlies of verstoring als gevolg van een incident; dat wordt uitgedrukt als een combinatie van de omvang van een dergelijk verlies of een dergelijke verstoring en de waarschijnlijkheid dat het incident zich voordoet;

– risicobeoordeling:

het gehele proces ter bepaling van de aard en omvang van een risico door potentiële relevante dreigingen, kwetsbaarheden en gevaren die tot een incident kunnen leiden, in kaart te brengen en te analyseren, en door het verlies of de verstoring van een essentiële dienst die dat incident zou kunnen veroorzaken in te schatten;

– Verordening (EU) 2017/1938:

Verordening (EU) 2017/1938 van het Europees Parlement en de Raad van 25 oktober 2017 betreffende maatregelen tot veiligstelling van de gasleveringszekerheid en houdende intrekking van Verordening (EU) nr. 994/2010 (PbEU 2017, L 280);

– Verordening (EU) 2019/941:

Verordening (EU) 2019/941 van het Europees Parlement en de Raad van 5 juni 2019 betreffende risicoparaatheid in de elektriciteitssector en tot intrekking van Richtlijn 2005/89/EG (PbEU 2019, L 158);

– weerbaarheid:

het vermogen van een kritieke entiteit om een incident te voorkomen, te beperken en te beheersen, en om bescherming te bieden en bestand te zijn tegen, te reageren op of, zich aan te passen aan en te herstellen van een incident.

HOOFDSTUK 2. ALGEMEEN

Artikel 2 (doel van deze wet)

Deze wet is, met het oog op het in stand houden van vitale maatschappelijke functies of economische activiteiten, gericht op het versterken van de weerbaarheid van kritieke entiteiten en het vermogen van die entiteiten om essentiële diensten te verlenen.

Artikel 3 (uitvoering uitvoeringshandelingen, gedelegeerde handelingen en richtsnoeren)

Bij of krachtens algemene maatregel van bestuur kunnen regels worden gesteld ter uitvoering van de op grond van de CER-richtlijn vastgestelde uitvoeringshandelingen, gedelegeerde handelingen en richtsnoeren.

HOOFDSTUK 3. TOEPASSINGSBEREIK

Artikel 4 (netwerk- en informatiesystemen en de fysieke componenten en omgevingen daarvan)

Deze wet is niet van toepassing op aangelegenheden waarop de Cyberbeveiligingswet van toepassing is.

Artikel 5 (overheidsinstanties die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving)

Deze wet is niet van toepassing op overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten.

HOOFDSTUK 4. KRITIEKE ENTITEITEN

Artikel 6 (aanwijzing kritieke entiteit)

1. Bij regeling of besluit van Onze Minister die het aangaat, na overleg met Onze Minister, wordt een entiteit in een sector als bedoeld in de bijlage van deze wet of, indien van toepassing, een sector als bedoeld in artikel 7, eerste lid, aangewezen als kritieke entiteit indien:
- a. zij één of meer essentiële diensten verleent;
- b. zij actief is op het grondgebied van Nederland;
- c. haar kritieke infrastructuur zich bevindt op het grondgebied van Nederland; en
- d. een incident aanzienlijke verstorende effecten zou hebben:
  - 1°. op haar verlening van één of meer essentiële diensten; of
  - 2°. op haar verlening van andere essentiële diensten in de sectoren, genoemd in de bijlage van deze wet, of, indien van toepassing, de sectoren die zijn aangewezen op grond van artikel 7, eerste lid, die afhankelijk zijn van die diensten.
2. Bij het bepalen of een verstorend effect aanzienlijk is als bedoeld in het eerste lid, onderdeel d, houdt Onze Minister die het aangaat rekening met de volgende criteria:
- a. het aantal gebruikers dat afhankelijk is van de door de betrokken entiteit verleende essentiële dienst;
- b. de mate waarin andere sectoren en subsectoren, genoemd in de bijlage van deze wet, en, indien van toepassing, andere sectoren en subsectoren die zijn aangewezen op grond van artikel 7, eerste lid, afhankelijk zijn van de betrokken essentiële dienst;
- c. de ernst en duur van de gevolgen die incidenten kunnen hebben voor economische en maatschappelijke activiteiten, het milieu, de openbare veiligheid en beveiliging, of de volksgezondheid;
- d. het marktaandeel van de entiteit op de markt voor de betrokken essentiële dienst;
- e. het geografische gebied dat door een incident kan worden getroffen, met inbegrip van eventuele grensoverschrijdende gevolgen, rekening houdend met de kwetsbaarheid die samenhangt met de mate van isolatie van bepaalde soorten geografische gebieden, zoals insulaire regio’s, afgelegen regio’s of bergachtige gebieden; en
- f. het belang van de entiteit om de essentiële dienst op een voldoende niveau te houden, rekening houdend met de beschikbare alternatieven voor het verlenen van die essentiële dienst.
3. Bij de toepassing van het eerste lid houdt Onze Minister die het aangaat rekening met de resultaten van de risicobeoordeling, bedoeld in artikel 9, en de strategie, bedoeld in artikel 13.
4. Bij regeling van Onze Minister die het aangaat, na overleg met Onze Minister, kunnen nadere regels worden gesteld over aanvullende aspecten en drempelwaarden die in aanmerking worden genomen om te bepalen of een verstoring aanzienlijk is als bedoeld in het tweede lid.
5. Onze Minister die het aangaat vermeldt bij de aanwijzing de datum waarop de verplichtingen bij of krachtens deze wet van toepassing zijn op die entiteit overeenkomstig de artikelen 14, derde lid, 15, vijfde lid, en 17, zesde lid.
6. De aanwijzing van een entiteit als kritieke entiteit geschiedt telkens indien hiertoe naar het oordeel van Onze Minister die het aangaat aanleiding bestaat.
7. Onze Minister die het aangaat trekt de aanwijzing in, indien de entiteit niet langer voldoet aan de voorwaarden, genoemd in het eerste lid.

Artikel 7 (aanwijzing sector, subsector en categorie van entiteiten)

1. Onze Minister die het aangaat kan, na overleg met Onze Minister, bij regeling een sector, en daarbinnen een subsector en categorie van entiteiten, aanwijzen waarvoor hij beleidsverantwoordelijk is, waarbinnen kritieke entiteiten op grond van artikel 6, eerste lid, kunnen worden aangewezen.
2. Bij het aanwijzen van een sector, subsector en categorie van entiteiten houdt Onze Minister die het aangaat rekening met de volgende criteria:
- a. de mate waarin andere sectoren en subsectoren, genoemd in de bijlage van deze wet, afhankelijk zijn van de essentiële dienst of diensten van entiteiten in de sector of subsector;
- b. de ernst en duur van de gevolgen die incidenten in de sector of subsector kunnen hebben voor economische en maatschappelijke activiteiten, het milieu, de openbare veiligheid en beveiliging, of de volksgezondheid; en
- c. het geografische gebied dat door een incident in de sector of subsector kan worden getroffen, met inbegrip van eventuele grensoverschrijdende gevolgen, rekening houdend met de kwetsbaarheid die samenhangt met de mate van isolatie van bepaalde soorten geografische gebieden, zoals insulaire regio’s, afgelegen regio’s of bergachtige gebieden.

HOOFDSTUK 5. AANWIJZING EN TAKEN BEVOEGDE AUTORITEIT

Artikel 8 (aanwijzing en taken bevoegde autoriteit)

1. De bevoegde autoriteit is voor de kritieke entiteiten in de sectoren en subsectoren, genoemd in de bijlage van deze wet:

Bevoegde autoriteit	Sector	Subsector (indien van toepassing)
Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties	overheid
Onze Minister van Economische Zaken	digitale infrastructuur
Onze Minister van Economische Zaken	ruimtevaart
Onze Minister van Financiën	bankwezen
Onze Minister van Financiën	infrastructuur voor de financiële markt
Onze Minister van Infrastructuur en Waterstaat	vervoer	lucht
		spoor
		water
		weg
		openbaar vervoer
	drinkwater
	afvalwater
Onze Minister van Klimaat en Groene Groei	energie	elektriciteit
		stadsverwarming en -koeling
		olie
		gas
		waterstof
Onze Minister van Landbouw, Visserij, Voedselzekerheid en Natuur	productie, verwerking en distributie van levensmiddelen
Onze Minister van Volksgezondheid, Welzijn en Sport	gezondheidszorg

2. Onze Minister die het aangaat die op grond van artikel 6, eerste lid, een entiteit in een sector als bedoeld in artikel 7, eerste lid, heeft aangewezen als kritieke entiteit, is voor die kritieke entiteit de bevoegde autoriteit.
3. De bevoegde autoriteit heeft de volgende taken:
- a. het zorgen voor de bestuursrechtelijke handhaving van het bepaalde bij of krachtens deze wet door kritieke entiteiten; en
- b. de overige in deze wet genoemde taken van de bevoegde autoriteit.

Artikel 9 (risicobeoordeling door de bevoegde autoriteit)

1. De bevoegde autoriteit voert een risicobeoordeling uit voor de betrokken sector en subsector, genoemd in de bijlage van deze wet en de op grond van artikel 7, eerste lid, aangewezen sector en subsector. De bevoegde autoriteit neemt daarbij alle relevante natuurlijke en door de mens veroorzaakte risico’s die tot een incident zouden kunnen leiden in aanmerking, waaronder in ieder geval:
- a. risico’s van sectoroverschrijdende of van grensoverschrijdende aard;
- b. ongevallen;
- c. natuurrampen;
- d. noodsituaties op het gebied van de volksgezondheid; en
- e. hybride dreigingen en andere antagonistische dreigingen, waaronder terroristische misdrijven als bedoeld in de Richtlijn (EU) 2017/541.
2. De bevoegde autoriteit houdt bij het uitvoeren van de risicobeoordeling ten minste rekening met:
- a. de algemene risicobeoordeling die wordt uitgevoerd op grond van artikel 6, eerste lid, van het Besluit nr. 1313/2013/EU en andere relevante risicobeoordelingen die worden uitgevoerd overeenkomstig de voorschriften van de relevante sectorspecifieke rechtshandelingen van de Europese Unie, waaronder de Verordening (EU) 2017/1938, de Verordening (EU) 2019/941, de Richtlijn 2007/60/EG en de Richtlijn 2012/18/EU;
- b. de relevante risico’s die voortvloeien uit de mate van afhankelijkheid tussen de sectoren, genoemd in de bijlage van deze wet, waaronder de mate van afhankelijkheid van deze sectoren ten aanzien van entiteiten met vestiging in andere lidstaten van de Europese Unie en derde landen, en de gevolgen die een aanzienlijke verstoring in één sector kan hebben voor andere sectoren, met inbegrip van eventuele significante risico’s voor burgers en de interne markt van de Europese Unie; en
- c. alle informatie over incidenten die overeenkomstig artikel 17 is kennisgegeven.
3. Voor de toepassing van het tweede lid, onderdeel b, werkt de bevoegde autoriteit samen met de bevoegde autoriteiten van andere lidstaten van de Europese Unie en de bevoegde autoriteiten van derde landen, al naargelang het geval.
4. De bevoegde autoriteit maakt bij het uitvoeren van de risicobeoordeling gebruik van de door de Europese Commissie op grond van artikel 5, eerste lid, van de CER-richtlijn vastgestelde lijst van essentiële diensten.
5. De risicobeoordeling geschiedt ten minste elke vier jaar na de eerste risicobeoordeling, of eerder, indien hiertoe aanleiding bestaat.
6. De bevoegde autoriteit verstrekt relevante informatie uit de risicobeoordeling aan de kritieke entiteit in de betrokken sector, die overeenkomstig artikel 6, eerste lid, is aangewezen, ten behoeve van de door die kritieke entiteit te verrichten risicobeoordeling, bedoeld in artikel 14, en het nemen van de maatregelen, bedoeld in artikel 15.

Artikel 10 (ondersteuning aan kritieke entiteiten)

1. De bevoegde autoriteit ondersteunt en werkt samen met kritieke entiteiten in de betrokken sector en subsector ten behoeve van het vergroten van hun weerbaarheid.
2. De samenwerking en ondersteuning bestaat in ieder geval uit het uitwisselen van informatie en beste praktijken, en kunnen na overleg met Onze Minister voorts bestaan uit:
- a. het ontwikkelen van richtsnoeren en methodologieën;
- b. het verlenen van bijstand in het geval van crisis- of noodsituaties;
- c. het helpen bij de organisatie van oefeningen om de weerbaarheid van kritieke entiteiten te testen;
- d. het verstrekken van advies aan het personeel van kritieke entiteiten; en
- e. het geven van opleidingen aan het personeel van kritieke entiteiten.
3. Bij of krachtens algemene maatregel van bestuur kunnen regels worden gesteld over de samenwerking en ondersteuning.

Artikel 11 (lijst van kritieke entiteiten)

1. De bevoegde autoriteit stelt een lijst op van kritieke entiteiten.
2. De bevoegde autoriteit evalueert de lijst en actualiseert de lijst ten minste elke vier jaar, of vaker, indien daartoe aanleiding bestaat.

HOOFDSTUK 6. AANWIJZING EN TAKEN CENTRALE CONTACTPUNT

Artikel 12 (aanwijzing en taken centrale contactpunt)

Onze Minister is het centrale contactpunt en heeft in die hoedanigheid de volgende taken:

a. het vervullen van een verbindingsfunctie in de samenwerking met de Europese Commissie;
b. het met het oog op grensoverschrijdende samenwerking vervullen van een verbindingsfunctie met de centrale contactpunten van andere lidstaten van de Europese Unie en met de Groep voor de weerbaarheid van kritieke entiteiten, genoemd in artikel 19 van de CER-richtlijn; en
c. de samenwerking met de bevoegde autoriteiten van derde landen.

HOOFDSTUK 7. STRATEGIE INZAKE DE WEERBAARHEID VAN KRITIEKE ENTITEITEN

Artikel 13 (strategie inzake de weerbaarheid van kritieke entiteiten)

1. Onze Minister stelt in overeenstemming met Onze Ministers die het aangaan een strategie vast om de weerbaarheid van kritieke entiteiten te verbeteren. De strategie bevat, voortbouwend op bestaande nationale en sectorale strategieën, plannen en soortgelijke documenten, strategische doelstellingen en beleidsmaatregelen die ervoor moeten zorgen dat kritieke entiteiten een hoge weerbaarheid hebben en behouden, en die ten minste betrekking hebben op de sectoren, genoemd in de bijlage van deze wet, en de op grond van artikel 7, eerste lid, aangewezen sectoren.
2. De strategie bevat ten minste de volgende elementen:
- a. strategische doelstellingen en prioriteiten ter vergroting van de algehele weerbaarheid van kritieke entiteiten met inachtneming van grensoverschrijdende en intersectorale afhankelijkheden en onderlinge afhankelijkheden;
- b. een governancekader ter verwezenlijking van de strategische doelstellingen en prioriteiten, met inbegrip van een beschrijving van de taken en verantwoordelijkheden van de verschillende autoriteiten, kritieke entiteiten en andere partijen die bij de uitvoering van de strategie betrokken zijn;
- c. een beschrijving van de maatregelen die nodig zijn om de algehele weerbaarheid van kritieke entiteiten te vergroten, inclusief een beschrijving van de risicobeoordelingen, bedoeld in artikel 9;
- d. een beschrijving van het proces waarmee kritieke entiteiten worden geïdentificeerd;
- e. een beschrijving van het proces waarmee kritieke entiteiten worden ondersteund, met inbegrip van de maatregelen ter verdieping van de samenwerking tussen de publieke sector enerzijds en de particuliere sector en publieke en particuliere entiteiten anderzijds;
- f. een lijst van de belangrijkste autoriteiten en belanghebbenden, met uitzondering van kritieke entiteiten, die betrokken zijn bij de uitvoering van de strategie;
- g. een beleidskader voor coördinatie tussen de bevoegde autoriteit, bedoeld in artikel 8, en de bevoegde autoriteit, bedoeld in artikel 15 van de Cyberbeveiligingswet, met het oog op het delen van informatie over cyberbeveiligingsrisico's, cyberdreigingen en cyberincidenten, en niet-cybergerelateerde risico's, dreigingen en incidenten en de uitoefening van toezichthoudende taken; en
- h. een beschrijving van de maatregelen die reeds genomen zijn om het voor kleine en middelgrote ondernemingen in de zin van de bijlage bij Aanbeveling 2003/361/EG die zijn geïdentificeerd als kritieke entiteit, gemakkelijker te maken om te voldoen aan de verplichtingen uit de artikelen 14, 15 en 17.
3. Onze Minister actualiseert in overeenstemming met Onze Ministers die het aangaan de strategie ten minste elke vier jaar na de eerste strategie.
4. Onze Minister consulteert in overeenstemming met Onze Ministers die het aangaan eerst de relevante betrokken partijen voordat hij de strategie vaststelt of actualiseert.

HOOFDSTUK 8. RISICOBEOORDELING DOOR DE KRITIEKE ENTITEIT

Artikel 14 (risicobeoordeling door de kritieke entiteit)

1. De kritieke entiteit voert een risicobeoordeling uit op basis van de relevante informatie uit de risicobeoordeling van de bevoegde autoriteit, bedoeld in artikel 9, en andere relevante informatiebronnen. De kritieke entiteit beoordeelt in dat kader alle relevante door de natuur en door de mens veroorzaakte risico’s die de verlening van haar essentiële dienst of diensten kunnen verstoren, waaronder in ieder geval:
- a. risico’s van sectoroverschrijdende of van grensoverschrijdende aard;
- b. ongevallen;
- c. natuurrampen;
- d. noodsituaties op het gebied van de volksgezondheid; en
- e. hybride dreigingen en andere antagonistische dreigingen, waaronder terroristische misdrijven als bedoeld in de Richtlijn (EU) 2017/541.
2. De kritieke entiteit houdt bij het uitvoeren van de risicobeoordeling rekening met de mate waarin andere in de bijlage van deze wet genoemde sectoren afhankelijk zijn van de door de kritieke entiteit verleende essentiële dienst, en de mate waarin die kritieke entiteit afhankelijk is van essentiële diensten van andere entiteiten in dergelijke andere sectoren, in voorkomend geval tevens buiten Nederland.
3. De risicobeoordeling geschiedt binnen negen maanden na de aanwijzing als kritieke entiteit. De risicobeoordeling geschiedt vervolgens ten minste elke vier jaar, of eerder, indien hiertoe aanleiding bestaat.
4. Indien de kritieke entiteit reeds risicobeoordelingen heeft uitgevoerd of documenten heeft opgesteld op grond van verplichtingen die zijn opgenomen in andere wet- en regelgeving die relevant zijn voor de risicobeoordeling, kan zij die beoordelingen en documenten gebruiken om aan het eerste lid te voldoen.
5. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld over de risicobeoordeling.

HOOFDSTUK 9. ZORGPLICHT

Artikel 15 (zorgplicht)

1. De kritieke entiteit neemt passende en evenredige technische, beveiligings- en organisatorische maatregelen om voor haar weerbaarheid te zorgen, met inbegrip van maatregelen die nodig zijn om:
- a. te voorkomen dat zich incidenten voordoen, naar behoren rekening houdend met maatregelen ter beperking van het risico op rampen en maatregelen voor aanpassing aan de klimaatverandering;
- b. te zorgen voor adequate fysieke bescherming van haar gebouwen en de kritieke infrastructuur, terdege rekening houdend met bijvoorbeeld het plaatsen van omheiningen, het oprichten van barrières, instrumenten en routines voor de bewaking van de omgeving, detectieapparatuur en toegangscontroles;
- c. de gevolgen van incidenten te bestrijden, te beperken en ertegen bestand te zijn, naar behoren rekening houdend met de uitvoering van risico- en crisisbeheersingsprocedures en -protocollen en waarschuwingsroutines;
- d. te herstellen van incidenten, naar behoren rekening houdend met bedrijfscontinuïteitsmaatregelen en de identificatie van alternatieve toeleveringsketens, om de verlening van de essentiële dienst te hervatten;
- e. te zorgen voor adequaat beheer van personeelsbeveiliging, daarbij in ieder geval rekening houdend met de volgende maatregelen:
  - 1°. het vaststellen van categorieën personeelsleden die kritieke functies vervullen, daarbij rekening houdend met het personeel van externe dienstverleners;
  - 2°. het vaststellen van het recht van toegang tot gebouwen, kritieke infrastructuur en gevoelige informatie;
  - 3°. het instellen van procedures voor antecedentenonderzoek en het aanwijzen van categorieën van personen die aan antecedentenonderzoek moeten worden onderworpen; en
  - 4°. het vaststellen van passende opleidingsvoorschriften en kwalificaties; en
- f. het relevante personeel bewust te maken van de maatregelen, genoemd in de onderdelen a tot en met e, naar behoren rekening houdend met opleidingen, informatiemateriaal en oefeningen.
2. De kritieke entiteit neemt de maatregelen, bedoeld in het eerste lid, op basis van de door de bevoegde autoriteit verstrekte relevante informatie over de risicobeoordeling, bedoeld in artikel 9, en op basis van de resultaten van de risicobeoordeling van de kritieke entiteit, bedoeld in artikel 14.
3. De kritieke entiteit beschrijft de maatregelen, bedoeld in het eerste lid.
4. Bij of krachtens algemene maatregel van bestuur worden regels gesteld over de maatregelen, bedoeld in het eerste lid, waarbij onderscheid kan worden gemaakt tussen sectoren en subsectoren en categorieën van entiteiten.
5. Het bepaalde bij of krachtens het eerste tot en met vierde lid is van toepassing op de kritieke entiteit vanaf tien maanden na de aanwijzing als kritieke entiteit.

Artikel 16 (sectorspecifieke rechtshandelingen van de Europese Unie)

Onze Minister die het aangaat kan bij regeling of besluit, na overleg met Onze Minister, bepalen dat sectorspecifieke rechtshandelingen van de Europese Unie die voorschrijven dat kritieke entiteiten maatregelen moeten nemen om hun weerbaarheid te vergroten, voor de in die regeling of besluit bedoelde kritieke entiteiten ten minste gelijkwaardig zijn aan de maatregelen, bedoeld in artikel 15. In dat geval is artikel 15 niet van toepassing op de betreffende kritieke entiteiten.

HOOFDSTUK 10. MELDING VAN INCIDENTEN

Artikel 17 (meldplicht)

1. De kritieke entiteit meldt zonder onnodige vertraging een incident dat de verlening van haar essentiële dienst aanzienlijk verstoort of kan verstoren bij de bevoegde autoriteit. De kritieke entiteit doet die melding binnen 24 uur nadat zij kennis heeft genomen van dat incident. Indien dat operationeel niet mogelijk is, doet zij de melding zo snel mogelijk nadat zij kennis heeft genomen van dat incident.
2. De melding bevat alle op dat moment beschikbare informatie die de bevoegde autoriteit nodig heeft om te bepalen wat de aard, vermoedelijke oorzaak en mogelijke gevolgen van het incident zijn en of er grensoverschrijdende gevolgen zijn. De melding bevat tevens de contactgegevens van de functionaris die verantwoordelijk is voor de melding.
3. Bij het bepalen of een verstoring aanzienlijk is, wordt in elk geval in aanmerking genomen:
- a. het aantal door de verstoring getroffen gebruikers en hun aandeel daarin;
- b. de duur van de verstoring;
- c. het door de verstoring getroffen geografische gebied, rekening houdend met de vraag of het gebied geografisch geïsoleerd is.
4. De kritieke entiteit brengt binnen een maand na de melding een gedetailleerd verslag uit. Dit verslag bevat een aanvulling van de informatie, bedoeld in het tweede lid.
5. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld over de wijze waarop een melding als bedoeld in het eerste lid wordt gedaan, de gegevens die ter uitvoering van het tweede lid worden verstrekt en aanvullende aspecten en drempelwaarden die in aanmerking worden genomen om te bepalen of een verstoring aanzienlijk is als bedoeld in het derde lid.
6. Het bepaalde bij of krachtens het eerste tot en met vijfde lid is van toepassing op de kritieke entiteit vanaf tien maanden na de aanwijzing als kritieke entiteit.

Artikel 18 (taken bevoegde autoriteit na melding)

1. De bevoegde autoriteit verstrekt de kritieke entiteit zo spoedig mogelijk na de melding, bedoeld in artikel 17, eerste lid, een ontvangstbevestiging en relevante vervolginformatie, waaronder informatie die de kritieke entiteit kan helpen om doeltreffend te reageren op het incident.
2. De bevoegde autoriteit informeert, indien mogelijk na raadpleging van de betrokken entiteit, het publiek over het gemelde incident wanneer zij van oordeel is dat dit in het algemeen belang zou zijn.
3. Indien het gemelde incident aanzienlijke gevolgen heeft of kan hebben voor de continuïteit van de verlening van essentiële diensten aan of in zes of meer lidstaten van de Europese Unie, meldt de bevoegde autoriteit dat incident, via het centrale contactpunt, aan de Europese Commissie.
4. Indien het gemelde incident aanzienlijke gevolgen heeft of kan hebben voor kritieke entiteiten en voor de continuïteit van de verlening van essentiële diensten aan of in één of meer andere lidstaten van de Europese Unie, informeert de bevoegde autoriteit, via het centrale contactpunt, de centrale contactpunten van andere getroffen lidstaten van de Europese Unie. De bevoegde autoriteit doet dit op basis van de informatie die de kritieke entiteit bij de melding, bedoeld in artikel 17, eerste lid, heeft verstrekt.

Artikel 19 (taken centrale contactpunt na melding)

1. Bij de ontvangst van de informatie, bedoeld in artikel 18, vierde lid, en de verzending daarvan aan de centrale contactpunten van andere getroffen lidstaten van de Europese Unie behandelt het centrale contactpunt die informatie zodanig dat ze vertrouwelijk kan worden gehouden en de veiligheid en de commerciële belangen van de betrokken kritieke entiteit worden beschermd.
2. Als blijkt uit gegevens die het centrale contactpunt heeft ontvangen van een centrale contactpunt van een andere lidstaat van de Europese Unie dat een daar gemeld incident aanzienlijke gevolgen heeft of kan hebben voor de continuïteit van een essentiële dienst in Nederland, dan stelt het centrale contactpunt de betrokken bevoegde autoriteit en, indien van toepassing, de betrokken entiteit daarvan op de hoogte.

HOOFDSTUK 11. OVERIGE VERPLICHTINGEN VAN KRITIEKE ENTITEITEN

Artikel 20 (aanwijzing verbindingsfunctionaris)

De kritieke entiteit wijst een verbindingsfunctionaris of een gelijkwaardige functionaris aan als het contactpunt met de bevoegde autoriteiten.

Artikel 21 (kennisgeving verlening essentiële diensten aan of in zes of meer lidstaten)

Indien de kritieke entiteit essentiële diensten verleent aan of in zes of meer lidstaten van de Europese Unie, informeert zij de bevoegde autoriteit daarover. Daarbij maakt de kritieke entiteit kenbaar welke essentiële diensten en lidstaten het betreft.

HOOFDSTUK 12. KRITIEKE ENTITEITEN VAN BIJZONDER EUROPEES BELANG

Artikel 22 (taken bevoegde autoriteit ten aanzien van kritieke entiteit van bijzonder Europees belang)

1. De bevoegde autoriteit stelt, via het centrale contactpunt, de Europese Commissie zonder onnodige vertraging op de hoogte van de identiteit van de kritieke entiteit die een kennisgeving als bedoeld in artikel 21 heeft gedaan, alsmede van de gemelde essentiële diensten en lidstaten.
2. Zodra de Europese Commissie de bevoegde autoriteit in kennis heeft gesteld van het besluit om een kritieke entiteit te beschouwen als kritieke entiteit van bijzonder Europees belang, zendt de bevoegde autoriteit die kennisgeving zonder onnodige vertraging toe aan de kritieke entiteit.
3. De bevoegde autoriteit verstrekt aan de Europese Commissie en aan de centrale contactpunten van de lidstaten waaraan of waarin de essentiële dienst wordt verleend informatie over de maatregelen die zij heeft genomen naar aanleiding van het oordeel van de Europese Commissie, bedoeld in artikel 18, vierde lid, van de CER-richtlijn.

Artikel 23 (verplichtingen kritieke entiteit van bijzonder Europees belang)

1. Ter uitvoering van een adviesmissie als bedoeld in artikel 18 van de CER-richtlijn verleent de kritieke entiteit van bijzonder Europees belang de leden van de adviesmissie toegang tot haar informatie, systemen en faciliteiten die betrekking hebben op de verlening van haar essentiële diensten en die de betrokken adviesmissie nodig heeft voor de uitoefening van de taken.
2. Indien van toepassing houdt de kritieke entiteit van bijzonder Europees belang bij het nemen van de maatregelen, bedoeld in artikel 15, rekening met het oordeel van de Europese Commissie, bedoeld in artikel 18, vierde lid, van de CER-richtlijn.

HOOFDSTUK 13. TOEPASSINGSBEREIK EN ONTHEFFING VAN VERPLICHTINGEN

Artikel 24 (uitzondering sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur)

De artikelen 14, 15, 17, 20, 21 en 23 zijn niet van toepassing op kritieke entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur, genoemd in de bijlage van deze wet.

Artikel 25 (ontheffing van verplichtingen)

1. Onze Minister die het aangaat kan bij regeling of besluit, in overeenstemming met Onze Minister, een kritieke entiteit die activiteiten uitvoert op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving of die uitsluitend diensten verleent aan een overheidsinstantie als bedoeld in artikel 5, met betrekking tot die activiteiten of diensten ontheffen van de verplichtingen uit de artikelen 14, 15, 17, 20, 21 en 23.
2. Onze Minister die het aangaat kan bij regeling of besluit, in overeenstemming met Onze Minister, een kritieke entiteit die niet behoort tot een in de bijlage van deze wet genoemde sector ontheffen van de verplichtingen uit de artikelen 14, 15, 17, 20, 21 en 23.

HOOFDSTUK 14. SAMENWERKING EN INFORMATIE-UITWISSELING

Artikel 26 (samenwerking en informatie-uitwisseling tussen bevoegde autoriteiten)

De bevoegde autoriteiten werken met elkaar samen voor de doeltreffende en doelmatige uitvoering van hun taken uit hoofde van deze wet en wisselen daartoe onderling alle daarvoor noodzakelijke gegevens uit, waaronder persoonsgegevens.

Artikel 27 (samenwerking en informatie-uitwisseling tussen het centrale contactpunt en bevoegde autoriteiten)

Het centrale contactpunt en de bevoegde autoriteit werken met elkaar samen voor de doeltreffende en doelmatige uitvoering van hun taken uit hoofde van deze wet en wisselen daartoe onderling alle daarvoor noodzakelijke gegevens uit, waaronder persoonsgegevens.

Artikel 28 (samenwerking en informatie-uitwisseling tussen bevoegde autoriteiten en bevoegde autoriteiten Cyberbeveiligingswet)

1. De bevoegde autoriteiten, bedoeld in artikel 8, en de bevoegde autoriteiten, bedoeld in artikel 15 van de Cyberbeveiligingswet, werken met elkaar samen voor de doeltreffende en doelmatige uitvoering van hun taken uit hoofde van deze wet en de Cyberbeveiligingswet. Daartoe wisselen zij onderling alle daarvoor noodzakelijke gegevens uit, met inbegrip van persoonsgegevens, waaronder gegevens over:
- a. het aanmerken van entiteiten als kritieke entiteiten;
- b. cyberbeveiligingsrisico’s, cyberdreigingen, cyberincidenten en niet-cybergerelateerde risico’s, dreigingen en incidenten die negatieve gevolgen hebben voor kritieke entiteiten; en
- c. de maatregelen die zij in reactie op dergelijke risico’s, dreigingen en incidenten hebben genomen.
2. De betrokken bevoegde autoriteit, bedoeld in artikel 8, stelt de betrokken bevoegde autoriteit, bedoeld in artikel 15 van de Cyberbeveiligingswet, binnen één maand na de aanwijzing van een entiteit als kritieke entiteit in kennis van die aanwijzing. Indien van toepassing vermeldt de bevoegde autoriteit daarbij dat het een kritieke entiteit betreft in de sector bankwezen, infrastructuur voor de financiële markt of digitale infrastructuur, genoemd in de bijlage van deze wet, en welke verplichtingen niet op die entiteit van toepassing zijn.
3. De betrokken bevoegde autoriteit, bedoeld in artikel 8, stelt de betrokken bevoegde autoriteit, bedoeld in artikel 15 van de Cyberbeveiligingswet, op de hoogte van haar beoordeling van de naleving van het bepaalde bij of krachtens deze wet door een kritieke entiteit en van de uitoefening van toezichts- en handhavingsbevoegdheden om ervoor te zorgen dat die entiteit voldoet aan het bepaalde bij of krachtens deze wet.
4. De betrokken bevoegde autoriteit, bedoeld in artikel 8, kan de betrokken bevoegde autoriteit, bedoeld in artikel 15 van de Cyberbeveiligingswet, verzoeken om toezichts- en handhavingsbevoegdheden uit te oefenen of uit te laten oefenen voor de naleving van het bepaalde bij of krachtens de Cyberbeveiligingswet door een kritieke entiteit.

Artikel 29 (overleg, samenwerking en informatie-uitwisseling tussen bevoegde autoriteiten en andere nationale autoriteiten)

De bevoegde autoriteiten overleggen en werken samen met andere betrokken nationale autoriteiten, waaronder autoriteiten die belast zijn met civiele bescherming, rechtshandhaving en de bescherming van persoonsgegevens en met kritieke entiteiten en betrokken belanghebbende partijen en wisselen daartoe onderling alle daarvoor nodige gegevens uit, waaronder persoonsgegevens.

Artikel 30 (samenwerking en informatieverstrekking bevoegde autoriteiten en die van andere lidstaten en derde landen)

De bevoegde autoriteiten werken samen met bevoegde autoriteiten van andere lidstaten van de Europese Unie en van derde landen voor de doeltreffende en doelmatige uitvoering van hun taken uit hoofde van deze wet en kunnen daartoe alle daarvoor noodzakelijke gegevens verstrekken, waaronder persoonsgegevens.

Artikel 31 (informatie-uitwisseling bevoegde autoriteiten en kritieke entiteiten)

De bevoegde autoriteiten ontvangen van en verstrekken aan kritieke entiteiten informatie voor de doeltreffende en doelmatige uitvoering van hun taken uit hoofde van deze wet, waaronder persoonsgegevens.

Artikel 32 (informatieverstrekking door het centrale contactpunt)

Voor de doeltreffende en doelmatige uitvoering van zijn taken uit hoofde van deze wet kan het centrale contactpunt informatie, waaronder persoonsgegevens, verstrekken aan kritieke entiteiten, de centrale contactpunten van andere lidstaten van de Europese Unie, de Europese Commissie en de Groep voor de weerbaarheid van kritieke entiteiten, genoemd in artikel 19 van de CER-richtlijn, en bevoegde autoriteiten van derde landen.

HOOFDSTUK 15. VERWERKING VAN GEGEVENS

Artikel 33 (verwerkingsverantwoordelijkheid)

De bevoegde autoriteit, het centrale contactpunt en Onze Minister zijn de verwerkingsverantwoordelijken voor de verwerking van persoonsgegevens ten behoeve van de taken die op grond van deze wet aan hen zijn toegewezen.

Artikel 34 (bewaring van gegevens)

Bij of krachtens algemene maatregel van bestuur worden regels gesteld over de periode gedurende welke de persoonsgegevens die bij of krachtens deze wet zijn verwerkt, worden bewaard.

Artikel 35 (vertrouwelijke gegevens)

1. De bevoegde autoriteit, het centrale contactpunt en Onze Minister kunnen vertrouwelijke gegevens verstrekken, doch uitsluitend voor zover:
- a. dat noodzakelijk is ter uitvoering van hun taken uit hoofde van deze wet;
- b. de verstrekking beperkt blijft tot die vertrouwelijke gegevens die noodzakelijk zijn en verstrekking evenredig is aan het doel van die verstrekking;
- c. de vertrouwelijkheid van die vertrouwelijke gegevens is gewaarborgd; en
- d. de veiligheids- en commerciële belangen van de betrokken entiteit worden beschermd.
2. De Wet open overheid is niet van toepassing op vertrouwelijke gegevens als bedoeld in het eerste lid, behalve voor zover die gegevens milieu-informatie inhouden als bedoeld in artikel 19.1a van de Wet milieubeheer. De eerste volzin geldt ook als de gegevens bij een ander overheidsorgaan berusten na verstrekking op grond van dit artikel.

Artikel 36 (verstrekking van gegevens in relatie tot nationale veiligheid, openbare veiligheid en defensie)

Het bepaalde bij of krachtens deze wet omvat niet de verstrekking van informatie waarvan de bekendmaking strijdig is met de wezenlijke belangen van nationale veiligheid, openbare veiligheid of defensie.

HOOFDSTUK 16. HANDHAVING

Artikel 37 (toezichthouders)

1. Met het toezicht op de naleving van het bepaalde bij of krachtens deze wet zijn belast: de bij besluit van de bevoegde autoriteit aangewezen ambtenaren.
2. Van een besluit als bedoeld in het eerste lid wordt mededeling gedaan door plaatsing in de Staatscourant.

Artikel 38 (audit)

1. De bevoegde autoriteit kan een kritieke entiteit verplichten om:
- a. een onafhankelijke en gekwalificeerde deskundige te laten onderzoeken of de entiteit voldoet aan het bepaalde bij of krachtens deze wet, met uitzondering van artikel 23, tweede lid; of
- b. de resultaten van dat onderzoek binnen een bij het besluit gestelde redelijke termijn te verstrekken aan de bevoegde autoriteit.
2. Het onderzoek wordt uitgevoerd op een door de bevoegde autoriteit voorgeschreven wijze.
3. De kritieke entiteit draagt de kosten van het onderzoek, tenzij de kosten naar het oordeel van de bevoegde autoriteit redelijkerwijs moeten worden gedragen door de bevoegde autoriteit.
4. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld over het eerste en tweede lid.

Artikel 39 (aanwijzing)

De bevoegde autoriteit kan een kritieke entiteit die niet voldoet aan het bepaalde bij of krachtens artikel 15 een aanwijzing geven om binnen een daarbij gestelde redelijke termijn de daarin omschreven handelingen te verrichten of de daarin omschreven maatregelen te nemen ter naleving daarvan.

Artikel 40 (last onder bestuursdwang)

De bevoegde autoriteit is bevoegd tot oplegging van een last onder bestuursdwang aan een kritieke entiteit ter handhaving van het bepaalde bij of krachtens deze wet.

Artikel 41 (bestuurlijke boete)

1. De bevoegde autoriteit kan een kritieke entiteit een bestuurlijke boete opleggen in geval van:
- a. overtreding van het bepaalde bij of krachtens deze wet, met uitzondering van artikel 23, tweede lid;
- b. overtreding van artikel 5:20, eerste lid, van de Algemene wet bestuursrecht.
2. De boete bedraagt ten hoogste:
- a. in geval van overtreding van het bepaalde bij of krachtens de artikelen 15 en 17: € 10.000.000,– of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de kritieke entiteit behoort, indien het laatstbedoelde bedrag hoger is;
- b. in geval van een andere overtreding: € 1.000.000,–.
3. De werking van het besluit tot oplegging van de boete wordt opgeschort totdat het besluit onherroepelijk is.
4. Verzet schorst de tenuitvoerlegging van een dwangbevel dat strekt tot invordering van de boete.
5. Artikel 184 van het Wetboek van Strafrecht is niet van toepassing op de overtreding, bedoeld in het eerste lid, onder b.

HOOFDSTUK 17. SLOTBEPALINGEN

Artikel 42 (evaluatie)

Onze Minister zendt binnen vier jaar na de inwerkingtreding van deze wet aan de Staten-Generaal een verslag over de doeltreffendheid en de effecten van deze wet in de praktijk.

Artikel 43 (wijzigingen van bindende rechtshandelingen van de Europese Unie)

Een wijziging van een bepaling uit een bindende rechtshandeling van de Europese Unie waarnaar in deze wet en de bijlage van deze wet is verwezen geldt voor de toepassing van de bepaling uit deze wet en de bijlage van deze wet waarin de verwijzing is opgenomen met ingang van de dag waarop aan de betrokken wijziging uitvoering moet zijn gegeven, tenzij bij ministerieel besluit, dat in de Staatscourant wordt bekendgemaakt, een ander tijdstip wordt vastgesteld.

Artikel 44 (eerste aanwijzingen kritieke entiteiten)

De eerste aanwijzingen van entiteiten in de sectoren, genoemd in de bijlage van deze wet, als kritieke entiteit op grond van artikel 6 geschieden uiterlijk op 17 juli 2026.

Artikel 45 (eerste risicobeoordeling door de bevoegde autoriteit)

De eerste risicobeoordeling, bedoeld in artikel 9, geschiedt uiterlijk op 17 januari 2026.

Artikel 46 (eerste strategie inzake de weerbaarheid van kritieke entiteiten)

De eerste strategie, bedoeld in artikel 13, is uiterlijk op 17 januari 2026 vastgesteld.

Artikel 47 (wijziging Algemene wet bestuursrecht)

Bijlage 2 bij de Algemene wet bestuursrecht wordt als volgt gewijzigd:

1. In artikel 7 wordt in de alfabetische volgorde ingevoegd:

Wet weerbaarheid kritieke entiteiten, voor zover het een besluit betreft dat betrekking heeft op een kritieke entiteit in de sector energie, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, digitale infrastructuur of productie, verwerking en distributie van levensmiddelen of de subsector spoor

2. In artikel 11 wordt in de alfabetische volgorde ingevoegd:

Wet weerbaarheid kritieke entiteiten, voor zover het een besluit betreft dat betrekking heeft op een kritieke entiteit in de sector energie, bankwezen, infrastructuur voor de financiële markt, digitale infrastructuur of productie, verwerking en distributie van levensmiddelen of de subsector spoor

Artikel 48 (wijziging Wet open overheid)

In de bijlage bij artikel 8.8 van de Wet open overheid wordt in de alfabetische volgorde ingevoegd:

Wet weerbaarheid kritieke entiteiten: artikel 35

Artikel 49 (inwerkingtreding)

Deze wet treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.

Artikel 50 (citeertitel)

Deze wet wordt aangehaald als: Wet weerbaarheid kritieke entiteiten.

De Minister van Justitie en Veiligheid,

Bijlage

Sector	Subsector	Categorie van entiteiten
Energie	Elektriciteit	– Elektriciteitsbedrijven als bedoeld in artikel 2, onderdeel 57, van Richtlijn (EU) 2019/9441, die de functie verrichten van ‘levering’ als bedoeld in artikel 2, onderdeel 12, van die richtlijn
		– Distributiesysteembeheerders als bedoeld in artikel 2, onderdeel 29, van Richtlijn (EU) 2019/944
		– Transmissiesysteembeheerders als bedoeld in artikel 2, onderdeel 35, van Richtlijn (EU) 2019/944
		– Producenten als bedoeld in artikel 2, onderdeel 38, van Richtlijn (EU) 2019/944
		– Benoemde elektriciteitsmarktbeheerders als bedoeld in artikel 2, onderdeel 8, van Verordening (EU) 2019/9432
		– Marktdeelnemers als bedoeld in artikel 2, onderdeel 25, van Verordening (EU) 2019/943, die diensten verlenen op het gebied van aggregatie, vraagrespons of energieopslag als bedoeld in artikel 2, onderdelen 18, 20 en 59, van Richtlijn (EU) 2019/944
	Stadsverwarming en -koeling	– Exploitanten van stadsverwarming of stadskoeling als bedoeld in artikel 2, onderdeel 19, van Richtlijn (EU) 2018/20013
	Olie	– Exploitanten van oliepijpleidingen
		– Exploitanten van voorzieningen voor de productie, raffinage, behandeling, opslag en transmissie van olie
		– Centrale entiteiten voor de voorraadvorming als bedoeld in artikel 2, onderdeel f, van Richtlijn 2009/119/EG4
	Gas	– Leveringsbedrijven als bedoeld in artikel 2, onderdeel 8, van Richtlijn 2009/73/EG5
		– Distributiesysteembeheerders als bedoeld in artikel 2, onderdeel 6, van Richtlijn 2009/73/EG
		– Transmissiesysteembeheerders als bedoeld in artikel 2, onderdeel 4, van Richtlijn 2009/73/EG
		– Opslagsysteembeheerders als bedoeld in artikel 2, onderdeel 10, van Richtlijn 2009/73/EG
		– LNG-systeembeheerders als bedoeld in artikel 2, onderdeel 12, van Richtlijn 2009/73/EG
		– Aardgasbedrijven als bedoeld in artikel 2, onderdeel 1, van Richtlijn 2009/73/EG
		– Exploitanten van voorzieningen voor de raffinage en behandeling van aardgas
	Waterstof	– Exploitanten van voorzieningen voor de productie, opslag en transmissie van waterstof
Vervoer	Lucht	– Luchtvaartmaatschappijen als bedoeld in artikel 3, onderdeel 4, van Verordening (EG) nr. 300/20086, die voor commerciële doeleinden worden gebruikt
		– Luchthavenbeheerders als bedoeld in artikel 2, onderdeel 2, van Richtlijn 2009/12/EG7; luchthavens als bedoeld in artikel 2, onderdeel 1, van die richtlijn, inclusief de tot het kernnetwerk behorende luchthavens die in afdeling 2 van bijlage II bij Verordening (EU) nr. 1315/20138 zijn opgenomen, alsook de entiteiten die bijbehorende installaties bedienen welke zich op luchthavens bevinden
		– Luchtverkeersleidingsdiensten als bedoeld in artikel 2, onderdeel 1, van Verordening (EG) nr. 549/20049
	Spoor	– Infrastructuurbeheerders als bedoeld in artikel 3, onderdeel 2, van Richtlijn 2012/34/EU10
	Spoor	– Spoorwegondernemingen als bedoeld in artikel 3, onderdeel 1, van Richtlijn 2012/34/EU, en exploitanten van dienstvoorzieningen als bedoeld in artikel 3, onderdeel 12, van die richtlijn
	Water	– Bedrijven voor vervoer over water (binnenvaart, kust- en zeevervoer) van passagiers en vracht zoals voor maritiem transport gedefinieerd in bijlage I bij Verordening (EG) nr. 725/200411, met uitzondering van de door deze bedrijven geëxploiteerde individuele vaartuigen
		– Beheerders van havens als bedoeld in artikel 3, onderdeel 1, van Richtlijn 2005/65/EG, inclusief hun havenfaciliteiten als bedoeld in artikel 2, onderdeel 11, van Verordening (EG) nr. 725/2004, alsook entiteiten die werken en uitrusting in havens beheren
		– Exploitanten van verkeersbegeleidingssystemen (VBS) als bedoeld in artikel 3, onderdeel o, van Richtlijn 2002/59/EG12
	Weg	– Wegenautoriteiten als bedoeld in artikel 2, onderdeel 12, van Gedelegeerde Verordening (EU) 2015/96213 die verantwoordelijk zijn voor het verkeersbeheer, met uitzondering van overheidsinstanties voor wie verkeersbeheer of de exploitatie van intelligente vervoerssystemen een niet-essentieel onderdeel van hun algemene activiteiten is
	Weg	– Exploitanten van intelligente vervoerssystemen als bedoeld in artikel 4, onderdeel 1, van Richtlijn 2010/40/EU14
	Openbaar vervoer	– Exploitanten van openbare diensten als bedoeld in artikel 2, onderdeel d, van Verordening (EG) nr. 1370/200715
Bankwezen		– Kredietinstellingen als bedoeld in artikel 4, onderdeel 1, van Verordening (EU) nr. 575/201316
Infrastructuur voor de financiële markt		– Exploitanten van handelsplatformen als bedoeld in artikel 4, eerste lid, onderdeel 24, van Richtlijn 2014/65/EU17
Infrastructuur voor de financiële markt		– Centrale tegenpartijen (CTP's) als bedoeld in artikel 2, onderdeel 1, van Verordening (EU) nr. 648/201218
Gezondheidszorg		– Een zorgaanbieder als bedoeld in artikel 1 van de Wet kwaliteit, klachten en geschillen zorg
		– EU-referentielaboratoria als bedoeld in artikel 15 van Verordening (EU) 2022/237119
		– Entiteiten die zich bezighouden met het onderzoek naar en de ontwikkeling van geneesmiddelen als bedoeld in artikel 1, onderdeel 2, van Richtlijn 2001/83/EG20
		– Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen als bedoeld in sectie C, afdeling 21, van NACE Rev. 2 vervaardigen
		– Entiteiten die medische hulpmiddelen vervaardigen die in het kader van een noodsituatie op het gebied van de volksgezondheid als kritiek worden beschouwd (‘lijst van in een noodsituatie op het gebied van de volksgezondheid kritieke hulpmiddelen’) in de zin van artikel 22 van Verordening (EU) 2022/12321
		– Entiteiten die houder zijn van een groothandelsvergunning als bedoeld in artikel 79 van Richtlijn 2001/83/EG
Drinkwater		– Leveranciers en distributeurs van voor menselijke consumptie bestemd water als bedoeld in artikel 2, onderdeel 1, a), van Richtlijn (EU) 2020/218422, maar met uitzondering van distributeurs voor wie de distributie van water voor menselijke consumptie een niet-essentieel onderdeel is van hun algemene activiteit van distributie van andere waren en goederen
Afvalwater		– Ondernemingen die stedelijk, huishoudelijk of industrieel afvalwater als bedoeld in artikel 2, onderdelen 1, 2 en 3, van Richtlijn 91/271/EEG23 opvangen, lozen of behandelen, met uitzondering van ondernemingen waarvoor het opvangen, lozen of behandelen van stedelijk, huishoudelijk of industrieel afvalwater een niet-essentieel onderdeel van hun algemene activiteit is
Digitale infrastructuur		– Aanbieders van internetknooppunten als bedoeld in artikel 6, onderdeel 18, van de NIS2-richtlijn
		– DNS-dienstverleners als bedoeld in artikel 6, onderdeel 20, van de NIS2-richtlijn, met uitzondering van exploitanten van root-naamservers
		– Registers voor topleveldomeinnamen als bedoeld in artikel 6, onderdeel 21, van de NIS2-richtlijn
		– Aanbieders van cloudcomputingdiensten als bedoeld in artikel 6, onderdeel 30, van de NIS2-richtlijn
		– Aanbieders van datacenterdiensten als bedoeld in artikel 6, onderdeel 31, van de NIS2-richtlijn
		– Aanbieders van netwerken voor content delivery als bedoeld in artikel 6, onderdeel 32, van de NIS2-richtlijn
		– Verleners van vertrouwensdiensten als bedoeld in artikel 3, onderdeel 19, van Verordening (EU) nr. 910/201424
		– Aanbieders van openbare elektronische communicatienetwerken als bedoeld in artikel 2, onderdeel 8, van Richtlijn (EU) 2018/197225
		– Aanbieders van elektronische communicatiediensten als bedoeld in artikel 2, onderdeel 4, van Richtlijn (EU) 2018/1972, voor zover hun diensten publiek beschikbaar zijn
Overheid		– Overheidsinstanties die behoren tot de centrale overheid
Ruimtevaart		– Exploitanten van grondfaciliteiten die in het bezit zijn van, beheerd of geëxploiteerd worden door de lidstaten of door particuliere partijen en die de verlening van vanuit de ruimte opererende diensten ondersteunen, met uitzondering van aanbieders van openbare elektronische communicatienetwerken als bedoeld in artikel 2, onderdeel 8, van Richtlijn (EU) 2018/1972
Productie, verwerking en distributie van levensmiddelen		– Levensmiddelenbedrijven als bedoeld in artikel 3, onderdeel 2; van Verordening (EG) nr. 178/200226 die zich uitsluitend bezighouden met logistiek en groothandel, en met grootschalige industriële productie en verwerking

X Noot

Richtlijn (EU) 2019/944 van het Europees Parlement en de Raad van 5 juni 2019 betreffende gemeenschappelijke regels voor de interne markt voor elektriciteit en tot wijziging van Richtlijn 2012/27/EU (PbEU 2019, L 158).

X Noot

Verordening (EU) 2019/943 van het Europees Parlement en de Raad van 5 juni 2019 betreffende de interne markt voor elektriciteit (PbEU 2019, L 158).

X Noot

Richtlijn (EU) 2018/2001 van het Europees Parlement en de Raad van 11 december 2018 ter bevordering van het gebruik van energie uit hernieuwbare bronnen (PbEU 2018, L 328).

X Noot

⁴

Richtlijn 2009/119/EG van de Raad van 14 september 2009 houdende verplichting voor de lidstaten om minimumvoorraden ruwe aardolie en/of aardolieproducten in opslag te houden (PbEU 2009, L 265).

X Noot

⁵

Richtlijn 2009/73/EG van het Europees Parlement en de Raad van 13 juli 2009 betreffende gemeenschappelijke regels voor de interne markt voor aardgas en tot intrekking van Richtlijn 2003/55/EG (PbEU 2009, L 211).

X Noot

⁶

Verordening (EG) nr. 300/2008: Verordening (EG) nr. 300/2008 van het Europees Parlement en de Raad van 11 maart 2008 inzake gemeenschappelijke regels op het gebied van de beveiliging van de burgerluchtvaart en tot intrekking van Verordening (EG) nr. 2320/2002 (PbEU 2008, L 97).

X Noot

⁷

Richtlijn 2009/12/EG van het Europees Parlement en de Raad van 11 maart 2009 inzake luchthavengelden (PbEU 2009, L 70).

X Noot

⁸

Verordening (EU) nr. 1315/2013 van het Europees Parlement en de Raad van 11 december 2013 betreffende richtsnoeren van de Unie voor de ontwikkeling van het trans-Europees vervoersnetwerk en tot intrekking van Besluit nr. 661/2010/EU (PbEU 2013, L 348).

X Noot

⁹

Verordening (EG) nr. 549/2004 van het Europees Parlement en de Raad van 10 maart 2004 tot vaststelling van het kader voor de totstandbrenging van het gemeenschappelijke Europese luchtruim (‘de kaderverordening’) (PbEU 2004, L 96).

X Noot

¹⁰

Richtlijn 2012/34/EU van het Europees Parlement en de Raad van 21 november 2012 tot instelling van één Europese spoorwegruimte (PbEU 2012, L 343).

X Noot

¹¹

Verordening (EG) nr. 725/2004 van het Europees Parlement en de Raad van 31 maart 2004 betreffende de verbetering van de beveiliging van schepen en havenfaciliteiten (PbEU 2004, L 129).

X Noot

¹²

Richtlijn 2002/59/EG van het Europees Parlement en de Raad van 27 juni 2002 betreffende de invoering van een communautair monitoring- en informatiesysteem voor de zeescheepvaart en tot intrekking van Richtlijn 93/75/EEG van de Raad (PbEU 2002, L 208).

X Noot

¹³

Gedelegeerde Verordening (EU) 2015/962 van de Commissie van 18 december 2014 ter aanvulling van Richtlijn 2010/40/EU van het Europees Parlement en de Raad wat de verlening van EU-wijde realtimeverkeersinformatiediensten betreft (PbEU 2015, L 157).

X Noot

¹⁴

Richtlijn 2010/40/EU van het Europees Parlement en de Raad van 7 juli 2010 betreffende het kader voor het invoeren van intelligente vervoerssystemen op het gebied van wegvervoer en voor interfaces met andere vervoerswijzen (PbEU 2010, L 207).

X Noot

¹⁵

Verordening (EG) nr. 1370/2007 van het Europees Parlement en de Raad van 23 oktober 2007 betreffende het openbaar personenvervoer per spoor en over de weg en tot intrekking van Verordening (EEG) nr. 1191/69 van de Raad en Verordening (EEG) nr. 1107/70 van de Raad (PbEU 2007, L 315).

X Noot

¹⁶

Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad van 26 juni 2013 betreffende prudentiële vereisten voor kredietinstellingen en tot wijziging van Verordening (EU) nr. 648/2012 (PbEU 2013, L 176).

X Noot

¹⁷

Richtlijn 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en tot wijziging van Richtlijn 2002/92/EG en Richtlijn 2011/61/EU (PbEU 2014, L 173).

X Noot

¹⁸

Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad van 4 juli 2012 betreffende otc-derivaten, centrale tegenpartijen en transactieregisters (PbEU 2012, L 201).

X Noot

¹⁹

Verordening (EU) 2022/2371 van het Europees Parlement en de Raad van 23 november 2022 inzake ernstige grensoverschrijdende gezondheidsbedreigingen en tot intrekking van Besluit nr. 1082/2013/EU (PbEU 2022, L 314).

X Noot

²⁰

Richtlijn 2001/83/EG van het Europees Parlement en de Raad van 6 november 2001 tot vaststelling van een communautair wetboek betreffende geneesmiddelen voor menselijk gebruik (PbEU 2001, L 311).

X Noot

²¹

Verordening (EU) 2022/123 van het Europees Parlement en de Raad van 25 januari 2022 betreffende een grotere rol van het Europees Geneesmiddelenbureau inzake crisisparaatheid en -beheersing op het gebied van geneesmiddelen en medische hulpmiddelen (PbEU 2022, L 20).

X Noot

²²

Richtlijn (EU) 2020/2184 van het Europees Parlement en de Raad van 16 december 2020 betreffende de kwaliteit van voor menselijke consumptie bestemd water (PbEU 2020, L 435).

X Noot

²³

Richtlijn 91/271/EEG van de Raad van 21 mei 1991 inzake de behandeling van stedelijk afvalwater (PbEG 1991, L 135).

X Noot

²⁴

Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PbEU 2014, L 257).

X Noot

²⁵

Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad van 11 december 2018 tot vaststelling van het Europees wetboek voor elektronische communicatie (PbEU 2018, L 321).

X Noot

²⁶

Verordening (EG) nr. 178/2002 van het Europees Parlement en de Raad van 28 januari 2002 tot vaststelling van de algemene beginselen en voorschriften van de levensmiddelenwetgeving, tot oprichting van een Europese Autoriteit voor voedselveiligheid en tot vaststelling van procedures voor voedselveiligheidsaangelegenheden (PbEU 2002, L 31).

MEMORIE VAN TOELICHTING

ALGEMEEN DEEL

INHOUDSOPGAVE

1.	Inleiding			33
2.	De CER-richtlijn			33
	2.1 Kern van de richtlijn			33
	2.2 Belangrijkste onderdelen van de richtlijn			33
	2.3 Verhouding tot de NIS2-richtlijn en de Cyberbeveiligingswet			35
	2.4 Verhouding tot de Verordening digitale operationele weerbaarheid			36
3.	Nationale context			37
4.	Gemaakte implementatiekeuzes op hoofdlijnen			38
5.	Hoofdlijnen van de Wwke			38
	5.1 Sectorale risicobeoordeling			38
	5.2 Aanwijzing kritieke entiteiten			39
	5.3 Risicobeoordeling door kritieke entiteiten			40
	5.4 Zorgplicht			41
	5.5 Meldplicht			42
	5.6 Centrale contactpunt			43
	5.7 Bevoegde autoriteit			43
	5.8 Ondersteuning aan kritieke entiteiten			43
	5.9 Handhaving			44
		5.9.1 Bestuursrechtelijke handhaving		44
		5.9.2 Handhavingsinstrumentarium		44
		5.9.3 Bestuurlijke boete		45
		5.9.4 Overtrederschap		46
		5.9.5 Samenwerking toezichthoudende instanties		46
		5.10 Toepassing in Caribisch deel van het Koninkrijk		47
		5.11 Rechtsbescherming en vereisten aan besluiten		47
6.	Verhouding tot hoger recht			48
	6.1 Inleiding			48
	6.2 Gegevensverwerkingen			48
	6.3 Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden			49
		6.3.1 Inmenging door openbaar gezag in recht op respect voor de persoonlijke levenssfeer		49
		6.3.2 Beperkende maatregel voorzien bij wet		49
		6.3.3 Beperking moet legitiem doel dienen en noodzakelijk zijn		50
			6.3.3.1 Dringende maatschappelijke behoefte	50
			6.3.3.2 Proportionaliteit	50
			6.3.3.3 Subsidiariteit	51
		6.3.4 Conclusie		51
	6.4 Algemene verordening gegevensbescherming			52
		6.4.1 Rechtmatigheid, behoorlijkheid en transparantie		52
		6.4.2 Doelbinding		52
		6.4.3 Minimale gegevensverwerking		52
		6.4.4 Juistheid		53
		6.4.5 Opslagbeperking		53
		6.4.6 Integriteit en vertrouwelijkheid		53
7.	Verhouding tot nationale regelgeving			53
	7.1 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties			53
	7.2 Ministerie van Economische Zaken			53
	7.3 Ministerie van Financiën			54
	7.4 Ministerie van Infrastructuur en Waterstaat			54
	7.5 Ministerie van Klimaat en Groene Groei			54
	7.6 Ministerie van Landbouw, Visserij, Voedselzekerheid en Natuur			56
	7.7 Ministerie van Volksgezondheid, Welzijn en Sport			56
	7.8 Ministerie van Klimaat en Groene Groei, Ministerie van Infrastructuur en Waterstaat en Ministerie van Volksgezondheid, Welzijn en Sport			57
8.	Gevolgen			58
	8.1 Gevolgen voor burgers en bedrijven			58
		8.1.1 Inleiding		58
		8.1.2 Zorgplicht		58
		8.1.3 Meldplicht		59
		8.1.4 Toezichtlasten		59
		8.1.5 Eenmalige kennisnamekosten		60
	8.2 Gevolgen voor de uitvoering			60
	8.3 Financiële gevolgen voor de overheid			60
	8.4 Gegevensbeschermingseffectbeoordeling			61
9.	Advies en consultatie			61
	9.1 Inleiding			61
	9.2 Advies Autoriteit persoonsgegevens			62
	9.3 Advies Adviescollege toetsing regeldruk			62
	9.4 Samenhang Wet weerbaarheid kritieke entiteiten en Cyberbeveiligingswet			63
	9.5 Verplichtingen			63
	9.6 Handhaving			64
	9.7 Overige opmerkingen			64
10.	Overgangsrecht en inwerkingtreding			65
11.	Transponeringstabel			65

1. Inleiding

Dit wetsvoorstel voor de Wet weerbaarheid kritieke entiteiten (hierna: Wwke) strekt tot de uitvoering van de Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad.1 Deze richtlijn wordt hierna aangeduid als de CER-richtlijn, ontleend aan de woorden critical entities en resilience die voorkomen in de Engelstalige titel van de richtlijn. De lidstaten van de Europese Unie (hierna: lidstaten) moeten uiterlijk op 17 oktober 2024 aan de CER-richtlijn voldoen door deze richtlijn waar nodig in hun nationale regelgeving om te zetten. Aan het eind van het algemeen deel van deze memorie van toelichting is een transponeringstabel opgenomen.

2. De CER-richtlijn

2.1 Kern van de richtlijn

De CER-richtlijn volgt op de zogeheten ECI-richtlijn.2 De ECI-richtlijn voorziet in een procedure voor het aanwijzen van Europese kritieke infrastructuren in de sectoren energie en vervoer, waarvan de ontwrichting of vernietiging aanzienlijke grensoverschrijdende gevolgen zou hebben voor ten minste twee lidstaten. De ECI-richtlijn is in 2019 geëvalueerd. Hieruit bleek dat beschermende maatregelen met betrekking tot louter individuele activa niet volstaan om alle verstoringen te voorkomen, door de steeds sterkere verwevenheid en grensoverschrijdende aard van activiteiten waarbij gebruik wordt gemaakt van kritieke infrastructuur. Het Europees Parlement en de Europese Raad hebben daarom besloten dat er een hernieuwde aanpak moet komen. Deze hernieuwde aanpak is uitgemond in de CER-richtlijn, die een minimumniveau introduceert waarmee de weerbaarheid van essentiële diensten in aangewezen sectoren tegen verschillende soorten risico’s en dreigingen wordt vergroot. Een essentiële dienst is een dienst die van cruciaal belang is voor de instandhouding van vitale maatschappelijke functies, economische activiteiten, de volksgezondheid en openbare veiligheid of het milieu.

Het doel van de CER-richtlijn is om, ter instandhouding van vitale maatschappelijke functies en de economische activiteiten in de Europese Unie (hierna: EU), de continuïteit van de levering van essentiële diensten binnen de EU zoveel mogelijk te borgen. Op deze manier wordt de werking van de interne markt verbeterd. De CER-richtlijn beoogt dit te bereiken door de verschillen weg te nemen die tussen lidstaten bestaan op het gebied van veiligheids- en beveiligingseisen die worden gesteld aan entiteiten die vitale maatschappelijke functies en economisch belangrijke activiteiten verrichten of diensten verlenen. Hiertoe worden in de CER-richtlijn geharmoniseerde voorschriften vastgesteld op het gebied van veiligheids- en beveiligingseisen waar aanbieders van essentiële diensten aan moeten voldoen. Deze aanbieders worden in de CER-richtlijn kritieke entiteiten genoemd. Verder wordt geregeld dat vanuit lidstaten op verschillende manieren ondersteuning moet worden geboden aan die kritieke entiteiten.3

2.2 Belangrijkste onderdelen van de richtlijn

Hierna wordt kort ingegaan op de belangrijkste onderdelen van de CER-richtlijn:

a. reikwijdte;
b. nationale risicobeoordeling;
c. aanwijzing kritieke entiteiten;
d. kritieke entiteiten van bijzonder Europees belang;
e. adviesmissies van de Europese Commissie;
f. risicobeoordeling door kritieke entiteiten;
g. verplichtingen;
h. toezicht en handhaving;
i. nationale strategie;
j. ondersteuning aan kritieke entiteiten;
k. aanwijzing centrale contactpunt en bevoegde autoriteiten;
l. samenwerking op nationaal, EU- en internationaal niveau.

a. reikwijdte

De CER-richtlijn is van toepassing op door de lidstaten aan te wijzen kritieke entiteiten binnen de in de bijlage van de CER-richtlijn genoemde sectoren. De sectoren betreffen: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, overheid, ruimtevaart en de productie, verwerking en distributie van levensmiddelen. Lidstaten kunnen op nationaal niveau aanvullende sectoren aanwijzen waarbinnen kritieke entiteiten aangewezen kunnen worden.

b. nationale risicobeoordeling

Lidstaten moeten een nationale risicobeoordeling uitvoeren om inzicht te krijgen in de risico’s die negatieve gevolgen kunnen hebben voor de verlening van essentiële diensten op hun grondgebied. Deze nationale risicobeoordeling richt zich in ieder geval op de door de Europese Commissie opgestelde (niet-limitatieve) lijst van essentiële diensten in de sectoren, genoemd in de bijlage van de CER-richtlijn. De resultaten van de risicobeoordeling moeten worden benut om kritieke entiteiten te identificeren en deze entiteiten te ondersteunen bij het uitvoeren van een eigen risicobeoordeling en het nemen van weerbaarheidsverhogende maatregelen.

c. aanwijzing kritieke entiteiten

Op grond van de CER-richtlijn moeten lidstaten aan de hand van de nationale risicobeoordeling beoordelen welke organisaties als kritieke entiteit worden aangewezen binnen de sectoren en subsectoren uit de bijlage van de CER-richtlijn, dan wel binnen de aanvullende geïdentificeerde sectoren en subsectoren. Daarbij wordt in ieder geval gekeken naar de mate waarin een organisatie een essentiële dienst verleent die onmisbaar is voor de uitvoering van maatschappelijke functies en economische activiteiten.

d. kritieke entiteiten van bijzonder Europees belang

Een kritieke entiteit is van bijzonder Europees belang als deze dezelfde of soortgelijke diensten verleent aan of in ten minste zes lidstaten. Het is aan de Europese Commissie om te beoordelen of sprake is van een dergelijke entiteit.

e. adviesmissies van de Europese Commissie

Ten aanzien van een kritieke entiteit van bijzonder Europees belang kan een zogeheten adviesmissie plaatsvinden. De Europese Commissie kan op verzoek van de lidstaat die een kritieke entiteit van bijzonder Europees belang heeft geïdentificeerd als kritieke entiteit, een adviesmissie organiseren ter beoordeling van de door die entiteit genomen weerbaarheidsverhogende maatregelen. De Europese Commissie kan dat ook doen op eigen initiatief of op verzoek van één of meer lidstaten waaraan of waarin de essentiële dienst wordt verleend, mits de lidstaat die een kritieke entiteit van bijzonder Europees belang heeft geïdentificeerd als een kritieke entiteit, hiermee instemt.

f. risicobeoordeling door kritieke entiteiten

Kritieke entiteiten moeten periodiek een risicobeoordeling uitvoeren. Deze risicobeoordeling is er op gericht om alle relevante risico’s in kaart te brengen die de dienstverlening van hun essentiële dienst(en) aanzienlijk kunnen verstoren.

g. verplichtingen

Naast de verplichting om een risicobeoordeling uit te voeren, bevat de CER-richtlijn ook andere verplichtingen voor kritieke entiteiten. Zo moeten zij, op basis van de eigen risicobeoordeling en de informatie uit de nationale risicobeoordeling, passende en evenredige technische, beveiligings- en organisatorische maatregelen nemen om hun dienstverlening zoveel mogelijk te beschermen tegen fysieke risico’s en dreigingen (zorgplicht). Indien er desalniettemin toch een incident plaatsvindt dat de verlening van de essentiële dienst aanzienlijk verstoort of kan verstoren, dan moeten entiteiten dat melden bij de bevoegde autoriteit (meldplicht).

h. toezicht en handhaving

Er wordt toezicht gehouden op de naleving van de verplichtingen die volgen uit de CER-richtlijn voor kritieke entiteiten. De bevoegde autoriteit kan overgaan tot het opleggen van een sanctie.

i. nationale strategie

Voor een integrale aanpak van de weerbaarheid van kritieke entiteiten verplicht de CER-richtlijn dat elke lidstaat beschikt over een nationale strategie. Die strategie moet zoveel mogelijk aansluiten bij en gebruik maken van bestaande (nationale en sectorale) strategieën. De nationale strategie moet de strategische doelstellingen en concrete beleidsmaatregelen bevatten voor de sectoren die in de bijlage van de CER-richtlijn genoemd worden.

j. ondersteuning aan kritieke entiteiten

Op grond van de CER-richtlijn moeten lidstaten ondersteuning bieden aan kritieke entiteiten bij het versterken van hun weerbaarheid. Die ondersteuning kan bestaan uit het ontwikkelen van richtsnoeren en methodologieën, hulp bij de organisatie van oefeningen om de weerbaarheid van kritieke entiteiten te versterken en het verstrekken van advies en opleiding aan personeel van kritieke entiteiten.

k. aanwijzing centrale contactpunt en bevoegde autoriteiten

Elke lidstaat moet één centrale contactpunt en één of meer bevoegde autoriteiten aanwijzen. Het centrale contactpunt heeft een verbindingsfunctie in de samenwerking tussen de lidstaten en met de Europese Commissie. De CER-richtlijn bevat diverse taken voor de bevoegde autoriteit. Zo heeft zij taken in het kader van meldingen van incidenten, maar ook de taak om te zorgen voor het toezicht op en de handhaving van verplichtingen.

l. samenwerking op nationaal, EU- en internationaal niveau

De CER-richtlijn schrijft samenwerking op nationaal, EU- en internationaal niveau voor. Op nationaal niveau geldt dat wanneer de bevoegde autoriteiten en het centrale contactpunt binnen een lidstaat afzonderlijk bestaan, zij met elkaar moeten samenwerken. Verder bepaalt de CER-richtlijn dat lidstaten bij de uitvoering van de nationale risicobeoordeling onder meer rekening moeten houden met de mate waarin essentiële diensten afhankelijkheid kennen van entiteiten met een vestiging in een andere lidstaat of een derde land. Van lidstaten wordt daarom verwacht dat zij samenwerken en informatie uitwisselen met de bevoegde autoriteiten van andere lidstaten en derde landen. Daarnaast moeten lidstaten elkaar raadplegen om een consistente toepassing van de CER-richtlijn te borgen bij kritieke entiteiten met een grensoverschrijdend karakter. Voorts wordt de zogenaamde Groep voor de weerbaarheid van kritieke entiteiten (Critical Entities Resilience Group) opgericht om de Europese Commissie te ondersteunen en om de samenwerking tussen de lidstaten en de onderlinge informatie-uitwisseling te faciliteren.4

2.3 Verhouding tot de NIS2-richtlijn en de Cyberbeveiligingswet

Gelijktijdig met de CER-richtlijn is de Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 vastgesteld.5 Die richtlijn wordt hierna aangeduid als de NIS2-richtlijn. Voor de NIS2-richtlijn geldt dezelfde termijn waarbinnen de richtlijn moet zijn omgezet in nationale regelgeving als voor de CER-richtlijn. De NIS2-richtlijn wordt in Nederland geïmplementeerd in de Cyberbeveiligingswet (hierna: Cbw).

De Cbw heeft tot doel om een hoog gemeenschappelijk niveau van cyberbeveiliging in de EU te bereiken, teneinde de werking van de interne markt te verbeteren. De Cbw beoogt dit doel te bereiken door de verschillen weg te nemen die tussen lidstaten bestaan. Het gaat om verschillen op het gebied van cyberbeveiligingseisen die worden gesteld aan entiteiten die economisch belangrijke activiteiten of diensten verrichten. De Cbw bevat, ter implementatie van de NIS2-richtlijn, diverse verplichtingen voor essentiële entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen. Zo gelden voor essentiële entiteiten en belangrijke entiteiten onder meer een zorgplicht en een meldplicht.

Alle kritieke entiteiten in de zin van de Wwke zijn van rechtswege ook essentiële entiteit in de zin van de Cbw (zie artikel 8, eerste lid, onderdeel i, Cbw). Andersom geldt dat niet: een essentiële entiteit kwalificeert niet automatisch als kritieke entiteit, omdat kritieke entiteiten eerst als zodanig onder de Wwke moeten worden aangewezen.

De Cbw kent een benadering die alle gevaren omvat (all hazard) en heeft tot doel om netwerk- en informatiesystemen en de fysieke omgeving daarvan te beschermen tegen gebeurtenissen die de beveiliging van die systemen kunnen aantasten. Het gaat hierbij niet alleen om de enkele bescherming tegen gebeurtenissen met kwade wil, zoals digitale aanvallen, diefstal of ongeoorloofde fysieke toegang. Het gaat ook om de bescherming van die systemen tegen andersoortige gebeurtenissen, zoals natuurrampen. Om de risico’s voor netwerk- en informatiesystemen te beheersen moeten entiteiten maatregelen treffen voor zowel de digitale beveiliging van die systemen als voor de bescherming van de fysieke omgeving en componenten van die systemen, zoals gebouwen en ruimtes waar die systemen zich bevinden. Het kan voorkomen dat een incident of bijna-incident gevolgen heeft die zowel de netwerk- en informatiesystemen als andere fysieke aspecten van de essentiële dienstverlening raken. In dat geval gelden de verplichtingen van beide wetten. De Wwke beschrijft dan de verplichtingen van de kritieke entiteit en de respons van de bevoegde autoriteit daarop, die zich niet uitstrekt over de netwerk- en informatiesystemen of de fysieke omgeving daarvan. Voor die systemen en de omgeving daarvan is de Cbw van toepassing.

Artikel 21 Cbw ziet op de zorgplicht voor essentiële entiteiten en belangrijke entiteiten. In artikel 21, derde lid, Cbw is geregeld dat de maatregelen die essentiële entiteiten en belangrijke entiteiten moeten nemen voor het beheer van cyberbeveiligingsrisico’s, gebaseerd moeten zijn op een benadering die alle gevaren omvat en tot doel heeft netwerk- en informatiesystemen en de fysieke omgeving van die systemen te beschermen. Daarom moet in het kader van de zorgplicht uit de Cbw ook aandacht worden besteed aan de fysieke en omgevingsbeveiliging van netwerk- en informatiesystemen, door maatregelen te nemen om dergelijke systemen te beschermen tegen systeemstoringen, menselijke fouten, kwaadwillige handelingen en natuurverschijnselen. Ten aanzien van de weerbaarheid van de fysieke omgeving van enkel netwerk- en informatiesystemen geldt dus de Cbw.

Het kan daarnaast voorkomen dat de verplichtingen uit zowel de Wwke als de Cbw gelden bij een incident of bijna-incident dat gevolgen heeft voor zowel de netwerk- en informatiesystemen en de fysieke omgeving daarvan, alsook andere fysieke omgevingen of fysieke aspecten die de essentiële dienstverlening raken. De Cbw beschrijft dan de verplichtingen van de entiteit ten aanzien van de netwerk- en informatiesystemen en de fysieke omgeving. Voor de overige (fysieke) aspecten die de essentiële dienstverlening raken is de Wwke van toepassing. Het uitgangspunt hierbij is dat beide wetten zoveel mogelijk op elkaar aansluiten (bijvoorbeeld wat betreft de zorgplicht en de meldplicht) en de bevoegde autoriteiten van de Wwke en de Cbw nauw samenwerken en informatie uitwisselen, zodat entiteiten niet met (dubbele) administratieve lasten te maken krijgen die verder gaan dan nodig is om de doelstellingen van de Wwke en de Cbw te verwezenlijken.

2.4 Verhouding tot de Verordening digitale operationele weerbaarheid

Het Unierecht over financiële diensten legt een groot aantal financiële entiteiten vergaande voorschriften op om alle risico’s waarmee zij te maken krijgen, waaronder operationele risico’s, te beheersen en de bedrijfscontinuïteit te waarborgen.6 Dat juridisch kader is aangevuld met de Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011.7 Deze verordening, die op een groot deel van de financiële sector van toepassing is, wordt hierna aangeduid als de Verordening digitale operationele weerbaarheid.

De Verordening digitale operationele weerbaarheid regelt dat een groot aantal financiële entiteiten informatie- en communicatietechnologierisico’s moeten beheersen, waaronder die over de bescherming van fysieke ICT-infrastructuur. Aangezien de weerbaarheid van die entiteiten op die manier volledig is gedekt en de verplichtingen uit de Verordening digitale operationele weerbaarheid rechtstreeks van toepassing zijn, zijn artikel 11 en de hoofdstukken III, IV en VI van de CER-richtlijn niet van toepassing op de financiële entiteiten, genoemd in artikel 8 CER-richtlijn. Daarom is ter implementatie van het voorgaande in de Wwke geregeld dat een aantal verplichtingen uit de Wwke niet van toepassing zijn op deze entiteiten. Het betreft de verplichting om een risicobeoordeling uit te voeren (artikel 14 Wwke), de zorgplicht (artikel 15 Wwke), de meldplicht (artikel 17 Wwke), de verplichting om een verbindingsfunctionaris aan te wijzen (artikel 20 Wwke), de verplichting om de bevoegde autoriteit te informeren over de verlening van essentiële diensten aan of in zes of meer lidstaten (artikel 21 Wwke) en de verplichtingen uit artikel 23 Wwke voor kritieke entiteiten van bijzonder Europees belang. Dat deze verplichtingen niet van toepassing zijn op de hiervoor bedoelde entiteiten heeft tot gevolg dat de handhavingsartikelen (artikelen 38 tot en met 41 Wwke) ten aanzien van die verplichtingen niet van toepassing zijn. De andere bepalingen uit de Wwke zijn wel van toepassing op de financiële entiteiten die als kritieke entiteit zijn geïdentificeerd en aangewezen in de zin van de Wwke. Zo is op hen wel artikel 10 Wwke, over de ondersteuning aan kritieke entiteiten, van toepassing.

3. Nationale context

Aanpak vitaal

De diensten die samen de vitale infrastructuur vormen, zijn het fundament waarop de Nederlandse samenleving draait. Uitval, verstoring of manipulatie van deze diensten kan grote gevolgen hebben voor het functioneren van de Nederlandse en Europese maatschappij en economie. In het uiterste geval kan verstoring zelfs een bedreiging vormen voor de nationale veiligheid.

Nederland kent al enige tijd de zogeheten Aanpak vitaal.8 Dit is beleid ter bescherming van de vitale infrastructuur. De overheid werkt binnen de Aanpak vitaal voortdurend samen met publieke en private organisaties, om de weerbaarheid van de vitale infrastructuur te versterken en te beschermen tegen bestaande en nieuwe bedreigingen en risico’s. De Wwke zal een integraal onderdeel vormen van de Aanpak vitaal, waarbij geldt dat een aantal aspecten van dit beleid wettelijk wordt verankerd. Meer specifiek geldt dat het onder dit beleid ontwikkelde vitaalinstrumentarium wordt ingezet bij het operationaliseren van een aantal verplichtingen uit de CER-richtlijn.

Het bestaand vitaalinstrumentarium

Het vitaalinstrumentarium is bestaand beleid binnen de Aanpak vitaal. Het beschermen en weerbaar maken van de (nationale) vitale infrastructuur kent een cyclische aanpak waarbij periodiek wordt beoordeeld of de zienswijze op en bescherming van de vitale infrastructuur moet worden herzien of aangescherpt (hierna: cyclus vitaal). In de cyclus vitaal worden de volgende instrumenten toegepast:

1. vitaalbeoordeling;
2. weerbaarheidsanalyse;
3. actieprogramma.

De cyclus vitaal wordt voor ieder vitaal proces uitgevoerd door de vakminister. Dat gebeurt minimaal vierjaarlijks middels een herbeoordeling of tussentijds middels een quickscan (toetsing effectiviteit en waar nodig bijstellen van maatregelen) wanneer de vakminister of de Minister van Justitie en Veiligheid constateert dat een ontwikkeling, actualiteit of dreigingsbeeld daartoe aanleiding geeft. De vakministers zijn primair verantwoordelijk voor de juiste toepassing van het vitaalinstrumentarium in hun sector(en). De Minister van Justitie en Veiligheid is verantwoordelijk voor het actueel houden van de instrumenten.

Het instrumentarium speelt een belangrijke rol in de vertaling van de CER-richtlijn naar de Wwke, bijvoorbeeld omdat de analyses behulpzaam zijn om inzicht te krijgen in de risico’s waar entiteiten die onder de Wwke vallen zich tegen dienen te beschermen.

Het doel van de vitaalbeoordeling is om inzichtelijk te maken welke diensten zo essentieel zijn voor de Nederlandse samenleving, dat uitval, verstoring of manipulatie daarvan kan leiden tot ernstige maatschappelijke ontwrichting, ernstige economische schade of – in het uiterste geval – een bedreiging van de nationale veiligheid. Vervolgens worden binnen die diensten de entiteiten geïdentificeerd die van belang zijn voor het leveren van de dienst. De vakminister merkt deze entiteiten in het kader van staand beleid aan als zogenoemde vitale aanbieder. De aanmerking als vitale aanbieder zal een goede indicatie geven van het belang van die entiteit, maar de bevoegde autoriteit (vakminister) zal in het kader van artikel 6 Wwke tot een nieuwe beoordeling moeten komen van het al dan niet aanwijzen van de entiteit als kritieke entiteit onder de Wwke.

De weerbaarheidsanalyse dient als instrument om de weerbaarheid van vitale diensten in kaart te brengen en te beoordelen. De vakminister voert in samenwerking met de sector een weerbaarheidsanalyse uit voor alle vitale diensten die onder zijn verantwoordelijkheid vallen. De weerbaarheidsanalyse kent een benadering die is gericht op alle gevaren en risico’s (all hazard) en is daarmee in lijn met de Wwke. De input hiervoor is onder andere afkomstig van periodieke risico- en dreigingsanalyses, zoals de Rijksbrede Risicoanalyse Nationale Veiligheid. Ook sectorale analyses en beelden bieden input voor de weerbaarheidsanalyse. Binnen de Aanpak vitaal wordt aan de hand van de resultaten uit de weerbaarheidsanalyse door de vakminister, gezamenlijk met de sector, een actieprogramma opgesteld met daarin concrete actielijnen om de weerbaarheid te versterken.

4. Gemaakte implementatiekeuzes op hoofdlijnen

In de Wwke zijn op hoofdlijnen de hierna volgende implementatiekeuzes gemaakt.

1. Implementatie in één centrale wet: De CER-richtlijn wordt geïmplementeerd in één centrale wet (de Wet weerbaarheid kritieke entiteiten) en niet in sectorale wetten, zoals de Wet op het financieel toezicht. Eén van de redenen hiervoor is dat de CER-richtlijn onderwerpen bevat die alleen in de CER-richtlijn worden gereguleerd en daardoor niet in sectorale wetten zijn geregeld, zoals de risicobeoordeling specifiek op het terrein van alle relevante door de natuur en door de mens veroorzaakte risico’s die de verlening van een essentiële dienst kunnen verstoren, waaronder risico’s van sectoroverschrijdende of van grensoverschrijdende aard, natuurrampen en noodsituaties op het gebied van de volksgezondheid. Bovendien is de sectorale wetgeving in veel gevallen niet geheel soortgelijk aan de bepalingen hierover uit de CER-richtlijn. Het is wenselijk dat de verplichtingen uit de CER-richtlijn door de entiteiten uit de verschillende sectoren van de CER-richtlijn uniform worden toegepast.
2. Verantwoordelijkheid vakminister bij aanwijzing van entiteiten, medeverantwoordelijkheid Minister van Justitie en Veiligheid: De vakminister is verantwoordelijk voor de toepassing van de Wwke binnen de sectoren die onder zijn beleidsverantwoordelijkheid vallen. De Minister van Justitie en Veiligheid is medeverantwoordelijk vanuit zijn rol als coördinerend bewindspersoon voor de weerbaarheid in Nederland en medeverantwoordelijk voor de nationale veiligheid. De aanwijzing van entiteiten als kritieke entiteit geschiedt daarom door de vakminister, na overleg met de Minister van Justitie en Veiligheid (zie artikel 6 Wwke).
3. Aanwijzing Minister van Justitie en Veiligheid als het centrale contactpunt: De Minister van Justitie en Veiligheid is coördinerend bewindspersoon voor de bescherming van de weerbaarheid in Nederland en medeverantwoordelijk voor de nationale veiligheid. De Minister van Justitie en Veiligheid wordt daarom aangewezen als het centrale contactpunt voor Nederland (zie artikel 12 Wwke).
4. Sectorale risicobeoordeling door vakminister: Artikel 5 CER-richtlijn verplicht lidstaten tot het uitvoeren van een nationale risicobeoordeling (‘lidstaat-risicobeoordeling’). In de Wwke is ervoor gekozen om deze nationale risicobeoordeling sectoraal uit te voeren. De verplichting wordt belegd bij de vakminister voor de sectoren en subsectoren die onder zijn beleidsverantwoordelijkheid vallen (zie artikel 9 Wwke). Door de risicobeoordeling sectoraal uit te voeren en bij de vakminister te beleggen wordt onder meer geborgd dat de beoordeling wordt uitgevoerd met voldoende inzicht in sectorspecifieke eigenschappen en belangen.
5. Aanwijzing bevoegde autoriteit: In de Wwke is ervoor gekozen om de vakministers aan te wijzen als de bevoegde autoriteit voor de sectoren en subsectoren die onder hun beleidsverantwoordelijkheid vallen (zie artikel 8 Wwke). Door de vakminister aan te wijzen als de bevoegde autoriteit wordt onder meer geborgd dat de in de Wwke opgenomen taken van de bevoegde autoriteit worden uitgevoerd met voldoende inzicht in sectorspecifieke eigenschappen en belangen.

Voor de duidelijkheid van deze toelichting wordt gebruik gemaakt van de terminologie ‘toezichthoudende instantie’ enerzijds, wanneer wordt gedoeld op de uitvoering van toezichtstaken van de bevoegde autoriteit, en ‘vakminister’ of ‘vakdepartement’ anderzijds, wanneer wordt gedoeld op de andere taken van de bevoegde autoriteit. In de gevallen dat bij de praktische uitvoering van de Wwke pas duidelijk zal worden wie de taak gaat uitvoeren, wordt gebruik gemaakt van de terminologie ‘vakminister en/of toezichthoudende instantie’.

5. Hoofdlijnen van de Wwke

In dit hoofdstuk wordt een toelichting gegeven op de belangrijkste onderdelen van de Wwke. Daarbij wordt ook ingegaan op de beleidskeuzes die daar aan ten grondslag liggen.

5.1 Sectorale risicobeoordeling

Verplichting uitvoering risicobeoordeling door bevoegde autoriteit

Artikel 9 Wwke verplicht de bevoegde autoriteit (vakminister) tot het uitvoeren van een risicobeoordeling voor de betrokken sector en subsector. Het doel van de risicobeoordeling is om in kaart te brengen waar risico’s bestaan of kunnen bestaan die negatieve gevolgen kunnen hebben voor de verlening van essentiële diensten. Deze resultaten worden (onder andere) benut om kritieke entiteiten te identificeren. Daarnaast geeft de informatie uit deze risicobeoordeling kritieke entiteiten richting en ondersteuning bij het uitvoeren van hun eigen risicobeoordeling en bij het voldoen aan de zorgplicht.

Lijst van essentiële diensten van de Europese Commissie

De basis voor de uitvoering van de sectorale risicobeoordeling is een door de Europese Commissie vastgestelde niet-limitatieve lijst van essentiële diensten.9 Lidstaten zijn verplicht om in ieder geval voor deze essentiële diensten een risicobeoordeling uit te voeren, maar kunnen dit ook doen voor andere essentiële diensten die niet worden genoemd maar door lidstaten nationaal worden aangewezen. Artikel 9, eerste lid, Wwke verplicht de bevoegde autoriteit (vakminister) om ook ten aanzien van de sectoren en subsectoren die op grond van artikel 7, eerste lid, Wwke aanvullend zijn aangewezen, een risicobeoordeling uit te voeren.

Verplichting van de vakminister

De verplichting tot het periodiek uitvoeren van een risicobeoordeling is in artikel 9 Wwke formeel belegd bij de bevoegde autoriteit en in de praktijk belegd bij de vakminister die beleidsverantwoordelijk is voor de betreffende sector of subsector. Deze verplichting wordt in Nederland dus sectoraal ingericht.

Uitvoering risicobeoordeling

De vakministers voeren de risicobeoordeling uit door de toepassing van het bestaand vitaalinstrumentarium uit de Aanpak vitaal. Meer specifiek gaat het om de vitaalbeoordeling en de weerbaarheidsanalyse. Dit instrumentarium is toegelicht in hoofdstuk 3.

De vitaalbeoordeling heeft als doel om essentiële diensten en kritieke entiteiten daarbinnen in kaart te brengen. De weerbaarheidsanalyse heeft als doel om de meest relevante dreigingen en risico’s voor de essentiële diensten in beeld te brengen en te analyseren hoe weerbaar deze diensten zijn. De vitaalbeoordeling en weerbaarheidsanalyse samen geven een beeld van de relevante risico’s voor de verlening van essentiële diensten en ondersteunen kritieke entiteiten bij het uitvoeren van hun risicobeoordeling.

Bij het uitvoeren van de risicobeoordeling moet de vakminister alle relevante natuurlijke en door de mens veroorzaakte risico’s die tot een incident zouden kunnen leiden in aanmerking nemen, zoals ongevallen, natuurrampen en terroristische misdrijven. Verder houdt de vakminister in ieder geval rekening met de reeds bestaande risicoanalyses en dreigingsbeelden, zoals de Rijksbrede Risicoanalyse Nationale Veiligheid, het Cybersecuritybeeld Nederland, het Dreigingsbeeld Statelijke Actoren en het Dreigingsbeeld Terrorisme Nederland.

5.2 Aanwijzing kritieke entiteiten

Inleiding

De Wwke bevat diverse rechten en plichten voor zogeheten kritieke entiteiten. Een entiteit is pas een kritieke entiteit in de zin van de Wwke als deze entiteit als zodanig is aangewezen. De aanwijzing geschiedt door de vakminister, na overleg met de Minister van Justitie en Veiligheid.

Identificatie en aanwijzing van kritieke entiteiten

Entiteiten worden aangewezen als kritieke entiteit als zij voldoen aan de criteria in artikel 6, eerste lid, Wwke. Het gaat om de volgende criteria: de entiteit verleent één of meer essentiële diensten, de entiteit is actief op het grondgebied van Nederland, de kritieke infrastructuur van de entiteit bevindt zich op het grondgebied van Nederland en een incident zou aanzienlijke verstorende effecten hebben.

Bij de identificatie en aanwijzing van een kritieke entiteit moet de vakminister rekening houden met de nationale strategie, bedoeld in artikel 13 Wwke en de resultaten van de sectorale risicobeoordeling, bedoeld in artikel 9 Wwke. In de nationale strategie staat een algemene beschrijving van het proces waarmee kritieke entiteiten, aanvullende sectoren, subsectoren of categorieën van entiteiten worden geïdentificeerd. De sectorale risicobeoordeling zal worden benut om te beoordelen welke entiteiten voldoen aan voornoemde criteria om als kritieke entiteit te worden aangewezen. De reeds bestaande vitaalbeoordeling zal gebruikt worden om dit onderdeel van de sectorale risicobeoordeling uit te voeren.

De invulling van de criteria om te beoordelen wat een aanzienlijk verstorend effect inhoudt (artikel 6, tweede lid, Wwke) kan per sector en subsector dermate verschillen dat het van belang is om de sectorspecifieke eigenschappen en belangen hierbij mee te wegen. De vakminister onderbouwt daarom bij de aanwijzing, al dan niet aan de hand van de vitaalbeoordeling, hoe de criteria zijn toegepast en hoe tot de identificatie van de kritieke entiteit is gekomen.

Indien uit de sectorale risicobeoordeling, of tussentijdse evaluaties, blijkt dat een kritieke entiteit niet meer voldoet aan de criteria om aangewezen te worden, zal de vakminister de aanwijzing intrekken.

Gevolgen van de aanwijzing

De aanwijzing als kritieke entiteit heeft tot gevolg dat het bepaalde bij of krachtens de Wwke over kritieke entiteiten van toepassing is op de aangewezen entiteit. Het is echter niet zo dat alle verplichtingen uit de Wwke direct na de aanwijzing van toepassing zijn op de betrokken entiteit. Voor de zorgplicht en de meldplicht geldt dat deze verplichtingen tien maanden na de aanwijzing als kritieke entiteit van toepassing zijn op de aangewezen entiteit (zie de artikelen 15, vijfde lid, en 17, zesde lid, Wwke). Voor de verplichting om een risicobeoordeling uit te voeren geldt dat deze verplichting negen maanden na de aanwijzing van toepassing is (zie artikel 14, derde lid, Wwke).

Kritieke entiteit is essentiële entiteit in de zin van de Cbw

Alle entiteiten die als kritieke entiteit in de zin van de Wwke zijn aangewezen, zijn van rechtswege essentiële entiteit in de zin van de Cbw. Dit is geregeld in artikel 8, eerste lid, onderdeel i, Cbw. Dit heeft tot gevolg dat vanaf de aanwijzing van een entiteit als kritieke entiteit, die daarmee tevens essentiële entiteit in de zin van de Cbw is, de rechten van en plichten voor essentiële entiteiten uit de Cbw van toepassing zijn op die kritieke entiteit.

Toepassingsbereik

Sommige entiteiten kunnen niet worden aangewezen als kritieke entiteit. Overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, zijn namelijk van rechtswege uitgesloten van het toepassingsbereik van de CER-richtlijn. Dit volgt uit artikel 1, zesde lid, CER-richtlijn. Deze overheidsinstanties vallen dus ook niet onder het toepassingsbereik van de Wwke (artikel 5 Wwke).

Het gaat hierbij in ieder geval om het Ministerie van Defensie en de politie. Deze overheidsinstanties kunnen dus niet worden aangewezen als kritieke entiteit. Dit neemt niet weg dat deze overheidsinstanties uiteraard worden geacht passende en evenredige technische, beveiligings- en organisatorische maatregelen te hebben genomen om voor hun weerbaarheid te zorgen.

Overheidsinstanties waarvan de activiteiten slechts zijdelings verband houden met nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving zijn niet uitgesloten van het toepassingsbereik van de CER-richtlijn en dus ook niet van het toepassingsbereik van de Wwke.

5.3 Risicobeoordeling door kritieke entiteiten

Kritieke entiteiten moeten een risicobeoordeling uitvoeren ten aanzien van alle relevante door de natuur en door de mens veroorzaakte risico’s die de verlening van hun essentiële dienst of diensten kunnen verstoren. Deze verplichting volgt uit artikel 12 CER-richtlijn en is geïmplementeerd in artikel 14 Wwke.

Artikel 14, eerste lid, Wwke bevat een opsomming van de risico’s die zij in ieder geval moeten beoordelen. Daarbij gaat het onder meer om risico’s van sectoroverschrijdende of van grensoverschrijdende aard, risico’s op ongevallen en risico’s op natuurrampen.

Een risicobeoordeling bestaat uit het proces om potentiële relevante dreigingen, kwetsbaarheden en gevaren die tot een incident kunnen leiden in kaart te brengen en te analyseren, en de impact die een incident zou kunnen hebben op de verstoring van een essentiële dienst in te schatten. Vervolgens moeten kritieke entiteiten indien nodig (aanvullende) maatregelen nemen in lijn met de risico’s waarmee zij geconfronteerd worden, om incidenten te voorkomen, te beperken of te beheersen, en om bescherming te bieden of bestand te zijn tegen, te reageren op of, zich aan te passen aan en te herstellen van een incident.

Voor het uitvoeren van de risicobeoordeling kan worden aangesloten bij de bestaande (sectorale) methodieken hiervoor. Zo kan de kritieke entiteit beginnen bij het verzamelen van informatie met als doel het identificeren van de risicocomponenten, te weten: 1. de te beschermen belangen; 2. de (potentiële) dreigingen; en 3. de huidige weerbaarheid. Door de geïdentificeerde risicocomponenten te analyseren, ontstaat zicht op risico’s. Hierbij kunnen de risico’s worden gekwantificeerd (uitgedrukt in numerieke waarden zoals financiële waardes) dan wel gekwalificeerd (uitgedrukt in kwalitatieve omschrijvingen zoals scenario’s). Vervolgens kan worden bepaald tot welk type impact elk risico kan leiden, en hoe groot deze impact is. Hierbij kan de impact worden beoordeeld op beschikbaarheid, integriteit en vertrouwelijkheid. Ten slotte kan dan de risicobepaling plaatsvinden om al dan niet aan de hand van risicoprofielen tot een rangschikking te komen van de (belangrijkste) risico’s voor de kritieke entiteit.

5.4 Zorgplicht

Inleiding

Kritieke entiteiten moeten passende en evenredige technische, beveiligings- en organisatorische maatregelen nemen om voor hun weerbaarheid te zorgen. Dit doen zij op basis van de door de vakminister verstrekte relevante informatie over de risicobeoordeling en op basis van de resultaten van hun eigen risicobeoordeling. Deze verplichting, ook wel de zorgplicht genoemd, is opgenomen in artikel 15 Wwke. Uit artikel 4 Wwke volgt dat de zorgplicht niet ziet op de netwerk- en informatiesystemen van kritieke entiteiten en de fysieke componenten en omgevingen daarvan. Daar ziet de zorgplicht uit artikel 21 Cbw op. Zie paragraaf 2.3 voor een nadere toelichting hierop.

De weerbaarheid van een kritieke entiteit is het vermogen om een incident te voorkomen, te beperken of te beheersen, en om bescherming te bieden of bestand te zijn tegen, te reageren op of, zich aan te passen aan en te herstellen van een incident. Hierbij gaat het om de bescherming van hun essentiële dienstverlening ten aanzien van alle dreigingen en gevaren die door mens en natuur veroorzaakt kunnen worden.

Passende en evenredige maatregelen

De maatregelen die kritieke entiteiten op grond van de Wwke moeten nemen, moeten passend en evenredig zijn in relatie tot de risico’s die zij hebben vastgesteld op basis van de eigen risicobeoordeling en tegen het licht van de nationale risicobeoordeling.

Bij de beoordeling of een maatregel of een combinatie van maatregelen passend is, wordt allereerst gekeken naar de effectiviteit. De maatregelen moeten één of meer van de volgende effecten bewerkstelligen: een incident voorkomen en als een incident zich toch voordoet, de gevolgen beperken door het incident te beheersen, zich aan te passen aan een incident of daarvan zo spoedig mogelijk te herstellen. In artikel 1 Wwke is een incident gedefinieerd als elke gebeurtenis die het verlenen van een essentiële dienst aanzienlijk verstoort of kan verstoren. De maatregelen moeten zijn afgestemd op de risico’s in relatie tot de entiteit en de specifieke context. Een passende maatregel kan dus per entiteit verschillen, onder meer door de specifieke kenmerken van de entiteit, de aard van de dienstverlening en de sector waarin de entiteit de dienst verleent.

Daarnaast geldt het vereiste van evenredigheid. Dit betekent dat een maatregel of coherente set van maatregelen in verhouding dient te staan tot het te beheersen risico. De entiteit dient daarbij naar behoren rekening te houden met de mate waarin zij aan risico’s is blootgesteld, evenals de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke en economische gevolgen. Ook de omvang van een entiteit kan een rol spelen bij de vraag of maatregelen evenredig zijn. Wat ook een rol kan spelen bij de evenredigheid van maatregelen, zijn de nadelige effecten of risico’s van maatregelen, zoals de verstoring van de continuïteit van de kritieke processen van een entiteit. In beginsel kan de omvang van een entiteit of de hoogte van uitvoeringskosten van invloed zijn op de keuze van de te nemen maatregelen, zoals het nemen van minder ingrijpende maatregelen. Hierbij wordt benadrukt dat een beperkte financiële capaciteit of een beperkte omvang van een entiteit een entiteit niet kan ontslaan van de verplichting om de weerbaarheid op orde te hebben. De evenredigheid houdt daarnaast in dat een maatregel of coherente set van maatregelen het minst belastend is voor de entiteit om het risico te beheersen.

Als gevolg van de afweging of een maatregel passend en evenredig is, is er een bepaald niveau van risico dat aanvaardbaar is. Het volledig uitsluiten van risico’s en het creëren van volledige bescherming is niet mogelijk. Kritieke entiteiten worden daarom geacht maatregelen te nemen om risico’s te beheersen en de mogelijke gevolgen van restrisico’s zoveel mogelijk tot een minimum te beperken.

Het is in eerste instantie aan kritieke entiteiten zelf om vast te stellen welke maatregelen passend en evenredig zijn om de risico’s, waarmee zij geconfronteerd worden, te kunnen beheersen. Entiteiten hebben immers zelf – mede op basis van onder meer de nationale risicobeoordeling en de eigen risicobeoordeling – inzicht in risico’s die hun dienstverlening kunnen raken en hebben de meeste kennis van hun eigen systemen en processen. Hoe risicogebaseerd maatregelen te treffen kan onder andere worden afgeleid uit wat daarover beschreven staat in Europese en internationale standaarden of normen, evenals door gebruik te maken van de laatste stand van de techniek voor het treffen van technische maatregelen. Europese en internationale standaarden en normen kunnen een goede indicatie geven van hoe technische en organisatorische veiligheids- en beveiligingsmaatregelen te treffen. Het voldoen aan Europese of internationale standaarden betekent in zichzelf niet dat een entiteit aan de zorgplicht van artikel 15 Wwke voldoet.

Technische, beveiligings- en organisatorische maatregelen

De technische, beveiligings- en organisatorische maatregelen die kritieke entiteiten op grond van de zorgplicht uit artikel 15 Wwke moeten nemen, zien zowel op de bescherming als op de beveiliging. Dit maakt dat, om te voldoen aan de zorgplicht, er sprake kan zijn van een combinatie van organisatorische, bouwkundige en elektronische maatregelen. Artikel 15, eerste lid, Wwke bevat een opsomming van de maatregelen die kritieke entiteiten in ieder geval moeten nemen.

Voor de concrete invulling van die maatregelen is ruimte voor een eigen afweging van kritieke entiteiten om te bepalen welke precieze maatregelen zij rederlijkwijs moeten nemen, onder meer op basis van de eigen risicobeoordeling en de afweging van de mate waarin een maatregel passend en evenredig is. De Europese Commissie zal, na raadpleging van de Groep voor de weerbaarheid van kritieke entiteiten (Critical Entities Resilience Group), niet-bindende richtsnoeren vaststellen die kunnen helpen bij het nader bepalen van geschikte technische, beveiligings- en organisatorische maatregelen.

5.5 Meldplicht

De meldplicht

Kritieke entiteiten moeten op grond van artikel 17 Wwke incidenten die de verlening van hun essentiële diensten aanzienlijk verstoren of kunnen verstoren zo spoedig mogelijk melden bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie), omdat deze diensten de vitale maatschappelijke functies en de economische activiteiten in Nederland en de EU in stand houden. Verstoring van een essentiële dienst kan de vitale maatschappelijke functies en de economische activiteiten negatief beïnvloeden. Daarom is de melding van incidenten die de verlening van een essentiële dienst aanzienlijk verstoren of kunnen verstoren, geboden.

De melding moet de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) in staat stellen om snel en adequaat te kunnen reageren op incidenten en om een volledig overzicht te krijgen van de impact, aard, oorzaak en mogelijke gevolgen van incidenten.

Een melding van een incident leidt niet tot een verhoogde aansprakelijkheid voor de kritieke entiteit. Dit volgt uit artikel 15, tweede lid, CER-richtlijn.

De fasen van een melding

De melding bestaat uit twee fasen, te weten een eerste melding en een gedetailleerd (eind)verslag. Kritieke entiteiten moeten zonder onnodige vertraging binnen 24 uur een eerste melding doen bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie), tenzij de kritieke entiteit hier operationeel niet toe in staat is.

Gegevens

De melding bevat alle op dat moment beschikbare informatie die de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) nodig heeft om te bepalen wat de aard, vermoedelijke oorzaak en mogelijke gevolgen van het incident zijn en of er grensoverschrijdende gevolgen zijn en de bevoegde autoriteit (vakminister) in staat stelt snel en adequaat te kunnen reageren op het incident. Daarnaast bevat de melding de contactgegevens van de functionaris die verantwoordelijk is voor de melding. Het gaat hierbij in elk geval om een naam, telefoonnummer en e-mailadres van de contactpersoon van de kritieke entiteit.

De melding zal dus in elk geval persoonsgegevens bevatten. De verwachting is dat veel meldingen ook vertrouwelijke gegevens zullen bevatten. Vertrouwelijke gegevens zijn onder meer bedrijfsgeheimen, zoals informatie over de technische bedrijfsvoering van een entiteit dan wel een essentieel proces, het functioneren van systemen en (productie)processen, propriëtaire technieken en financiële gegevens. Ten aanzien van vertrouwelijke gegevens kan ook worden gedacht aan concrete informatie over de entiteit die door een dreiging of incident is getroffen, waarbij verdere verspreiding van die informatie tot gevolg heeft dat die entiteit daarvan nadeel ondervindt, bijvoorbeeld omdat de commerciële belangen van de entiteit daardoor worden geschaad. Vertrouwelijke gegevens kunnen noodzakelijk zijn voor de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) om te bepalen wat de aard, vermoedelijke oorzaak en mogelijke gevolgen van het incident zijn en of er grensoverschrijdende gevolgen zijn. Voor de goede orde wordt hierbij gewezen op artikel 35 Wwke, waarin waarborgen zijn opgenomen ten aanzien van de verstrekking van vertrouwelijke gegevens.

Drempelwaarden

Of en wanneer een verstoring aanzienlijk is, moet worden bepaald aan de hand van de omstandigheden van het geval. Dit kan variëren per sector, subsector of zelfs categorie van entiteiten. De delegatiegrondslag in artikel 17, vijfde lid, Wwke biedt de mogelijkheid om regels te stellen over aanvullende aspecten en drempelwaarden die in aanmerking worden genomen om te bepalen of een verstoring aanzienlijk is. Van deze mogelijkheid zal gebruik worden gemaakt.

Deze aanvullende aspecten en drempelwaarden zullen worden vastgesteld door de vakminister, na overleg met de Minister van Justitie en Veiligheid en na overleg met de betrokken sector. Er is ervoor gekozen om de aanvullende aspecten en drempelwaarden over te laten aan de vakminister zodat zoveel mogelijk maatwerk kan worden geleverd per sector, subsector of categorie van entiteiten. Indien mogelijk kan zodoende ook rekening worden gehouden met andere sectorale meldplichten en de daarvoor geldende criteria.

Drempelwaarden kunnen per sector, subsector of categorie van entiteiten verschillen en kunnen bijvoorbeeld worden uitgedrukt in een bepaald bedrag aan financiële of economische schade, aantallen betrokken of getroffen personen, of de capaciteitsimpact op de levering van de essentiële dienst.

5.6 Centrale contactpunt

Artikel 9, tweede lid, CER-richtlijn verplicht lidstaten tot het aanwijzen van een nationaal centrale contactpunt. In de Wwke wordt de Minister van Justitie en Veiligheid aangewezen als het centrale contactpunt. Deze keuze sluit aan bij de gemaakte keuze in het kader van de implementatie van de NIS2-richtlijn. In de Cbw, waarin de laatstgenoemde richtlijn wordt geïmplementeerd, wordt namelijk ook de Minister van Justitie en Veiligheid aangewezen als het centrale contactpunt, bedoeld in de Cbw.

Het centrale contactpunt heeft verschillende taken. Zo heeft het centrale contactpunt taken in het kader van meldingen van incidenten. Het centrale contactpunt moet de informatie die zij van de bevoegde autoriteit (vakminister) heeft ontvangen over incidenten, die aanzienlijke gevolgen hebben of kunnen hebben voor kritieke entiteiten en voor de continuïteit van de verlening van essentiële diensten aan of in één of meer andere lidstaten, verstrekken aan de centrale contactpunten van andere lidstaten. Ook moet het centrale contactpunt de gegevens die zij van de bevoegde autoriteit (vakminister) heeft ontvangen over incidenten, die aanzienlijke gevolgen hebben of kunnen hebben voor de continuïteit van de verlening van essentiële diensten aan of in zes of meer lidstaten, doorzetten naar de Europese Commissie. Daarnaast heeft het centrale contactpunt ook taken die verband houden met de informatie die zij heeft ontvangen van een centraal contactpunt van een ander lidstaat over een aldaar gemeld incident dat mogelijk aanzienlijke gevolgen heeft of kan hebben voor kritieke entiteiten in Nederland. Als uit die gegevens blijkt dat dat incident aanzienlijke gevolgen heeft of kan hebben voor de continuïteit van een essentiële dienst in Nederland, dan moet het centrale contactpunt de betrokken bevoegde autoriteit (vakminister) en, indien van toepassing, de betrokken entiteit daarvan op de hoogte stellen.

5.7 Bevoegde autoriteit

Terminologie en uitvoering in de praktijk

In de Wwke is ervoor gekozen om de vakminister aan te wijzen als de bevoegde autoriteit voor de sectoren en subsectoren die onder zijn beleidsverantwoordelijkheid vallen. De bevoegde autoriteit heeft op grond van de Wwke diverse taken. Zo heeft zij onder meer taken in het kader van het aanwijzen van kritieke entiteiten en de meldingen van incidenten, maar ook de taak om te zorgen voor het toezicht op de naleving van verplichtingen.

In de praktijk worden de toezichtstaken van de bevoegde autoriteit uitgevoerd door een ondergeschikt organisatieonderdeel of een niet-ondergeschikte organisatie dat met toezichtstaken is belast. De andere taken van de bevoegde autoriteit worden in de praktijk uitgevoerd door de vakminister.

Lijst van kritieke entiteiten

Op grond van artikel 11 Wwke moet de bevoegde autoriteit een lijst van kritieke entiteiten opstellen. Wanneer dat nodig is en in ieder geval om de vier jaar wordt deze lijst door de bevoegde autoriteit geëvalueerd en indien nodig geactualiseerd. In de praktijk worden deze verplichtingen uitgevoerd door de vakminister.

Taken na meldingen van incidenten

Nadat een kritieke entiteit op grond van de Wwke melding heeft gedaan van een incident, heeft de bevoegde autoriteit (vakminister) op grond van artikel 18 Wwke verschillende taken. Het gaat hierbij om het sturen van een ontvangstbevestiging, het verstrekken van relevante vervolginformatie aan de getroffen entiteit, het informeren van de Europese Commissie en de centrale contactpunten van andere getroffen lidstaten (wanneer bepaalde ernstige incidenten hebben plaatsgevonden) en het waarschuwen van het publiek over het incident en de mogelijke gevolgen. De vakminister kan dat laatste alleen doen na raadpleging van de betrokken kritieke entiteit en als dat in het algemeen belang is.

5.8 Ondersteuning aan kritieke entiteiten

Artikel 10 Wwke verplicht, ter implementatie van artikel 10 CER-richtlijn, de bevoegde autoriteit (vakminister) om kritieke entiteiten te ondersteunen bij het vergroten van hun weerbaarheid en bij de naleving van de verplichtingen uit de Wwke. De bevoegde autoriteiten (vakministers) zijn primair verantwoordelijk voor het bieden van ondersteuning aan de kritieke entiteiten uit de onder hen vallende sectoren.

De ondersteuning zal in ieder geval bestaan uit het uitwisselen van informatie en beste praktijken tussen de overheid en kritieke entiteiten, en het faciliteren van het vrijwillig delen van informatie tussen kritieke entiteiten onderling, over aangelegenheden die onder de Wwke vallen.10 De ondersteuning kan hierbij bestaan uit het aanbieden van relevante informatie(bronnen) aan de betreffende entiteiten, het ontwikkelen van richtsnoeren en methodologieën (bijvoorbeeld voor het doen van een risicobeoordeling), het verlenen van bijstand in het geval van crisis- of noodsituaties, het helpen bij de organisatie van oefeningen om de weerbaarheid van de kritieke entiteiten te testen en het verstrekken van advies en opleiding aan het personeel van kritieke entiteiten.

Bij de aanbieding van informatie gaat het allereerst om relevante informatie die kritieke entiteiten moet ondersteunen bij het uitvoeren van de eigen risicobeoordeling. Daarnaast kan informatie worden aangeboden ter ondersteuning van het nemen van weerbaarheidsverhogende maatregelen als bedoeld in artikel 15 Wwke. Vanuit de rijksoverheid worden hiertoe ook relevante informatiebronnen opgesteld, waaronder sectoroverstijgende documenten als de Rijksbrede Risicoanalyse Nationale Veiligheid en het Dreigingsbeeld Statelijke Actoren. Deze documenten dragen eveneens bij aan het inzicht van kritieke entiteiten en de risico’s waarmee zij mogelijk geconfronteerd worden. Naast de cyclus vitaal gebeurt het uitwisselen van informatie bijvoorbeeld ook in overleggen tussen de betrokken vakministers en desbetreffende sectoren. Ten behoeve van ondersteuning en bijstand in het geval van crisis- en noodsituaties zal zoveel mogelijk worden aangesloten bij bestaande internationale, nationale, regionale, departementale en operationele (crisis)structuren.

5.9 Handhaving

De Wwke voorziet in de handhaving van de verplichtingen uit de Wwke die gelden voor kritieke entiteiten. Hiertoe verplicht artikel 21 CER-richtlijn.

5.9.1 Bestuursrechtelijke handhaving

De CER-richtlijn schrijft niet voor of de sanctionering van overtredingen van de verplichtingen die uit de CER-richtlijn voor kritieke entiteiten volgen bestuursrechtelijk of strafrechtelijk van aard moet zijn. In de Wwke is gekozen voor bestuursrechtelijke handhaving, die zowel reparatoir als punitief kan zijn (herstelsancties en bestraffende sancties). De handhaving heeft immers betrekking op kritieke entiteiten die op verschillende terreinen al te maken hebben met bestuursrechtelijke handhaving. De Wwke sluit aan bij de al bestaande bevoegdheden en instrumenten van de bestaande handhavende instanties. Daarnaast is omwille van een zo eenduidig en duidelijk mogelijk handhavingsregime voor de kritieke entiteit aansluiting gezocht bij de lijn van bestuursrechtelijke handhaving waarvoor is gekozen bij de implementatie van de NIS1-richtlijn. Die lijn wordt voortgezet bij de implementatie van de NIS2-richtlijn.

Het toezicht op de naleving van het bepaalde bij of krachtens de Wwke wordt opgedragen aan door de bevoegde autoriteit (vakminister) aangewezen ambtenaren. Die aangewezen ambtenaren zijn toezichthouders in de zin van artikel 5:11 Awb. Dit zijn personen die bij of krachtens wettelijk voorschrift belast zijn met het houden van toezicht op de naleving van het bepaalde bij of krachtens enig wettelijk voorschrift. Daarmee beschikken zij over de bevoegdheden die titel 5.2 Awb aan hen toekent. Het gaat meer in het bijzonder om de bevoegdheden geregeld in de artikelen 5:15 tot en met 5:19 Awb en de verplichting om mee te werken van artikel 5:20 Awb. De ambtenaren die zijn aangewezen voor het toezicht op de naleving van het bepaalde bij of krachtens de Wwke beschikken daarmee onder meer over de bevoegdheid om plaatsen te betreden (met uitzondering van woningen zonder toestemming van de bewoner), om identificatie van personen te vorderen, om inzage te vorderen van zakelijke gegevens en bescheiden en om daarvan kopieën te maken.

5.9.2 Handhavingsinstrumentarium

De Wwke voorziet, ter implementatie van hetgeen de CER-richtlijn hierover bepaalt, in instrumenten van de bevoegde autoriteit (toezichthoudende instantie) voor het toezicht op de naleving van de verplichtingen uit de Wwke. Het handhavingsinstrumentarium ten aanzien van kritieke entiteiten omvat het volgende:

• het verplichten van een audit;
• het opleggen van een aanwijzing;
• het opleggen van een last onder bestuursdwang;
• het opleggen van een bestuurlijke boete.

In de volgende paragraaf wordt specifiek ingegaan op de bestuurlijke boete. In de artikelsgewijze toelichting op de artikelen 38, 39 en 40 Wwke wordt achtereenvolgens ingegaan op de audit, aanwijzing en last onder bestuursdwang.

5.9.3 Bestuurlijke boete

Inleiding

De Wwke voorziet in de bevoegdheid voor de bevoegde autoriteit (toezichthoudende instantie) om een bestuurlijke boete op te leggen aan kritieke entiteiten die een verplichting uit de Wwke overtreden.

Boetemaximum overtreding zorgplicht en meldplicht

Voor de hoogte van de bestuurlijke boete schrijft de CER-richtlijn geen maximum voor. In de Wwke is gekozen voor de volgende maximale hoogte van een boete voor een overtreding van de zorgplicht of van de meldplicht door een kritieke entiteit: € 10.000.000,– of 2% van de totale wereldwijde jaaromzet als dat laatste leidt tot een hoger bedrag. Dit boetemaximum sluit aan op de maximale hoogte van een op te leggen bestuurlijke boete bij een overtreding van de zorgplicht of de meldplicht uit de Cbw door een essentiële entiteit als bedoeld in de Cbw. De aansluiting op de Cbw zorgt in dit kader voor uniformiteit tussen de nationale wetten waarin de CER-richtlijn en de NIS2-richtlijn zijn geïmplementeerd. Gelet op de integraliteit en de samenhang tussen de NIS2-richtlijn en de CER-richtlijn is geen aanleiding gezien om op dit punt te differentiëren. Hierbij speelt ook mee dat kritieke entiteiten als bedoeld in de Wwke van rechtswege essentiële entiteiten zijn als bedoeld in de Cbw. Daarnaast zorgt dit boetemaximum voor voldoende afschrikkende werking.

Boetemaximum overtreding medewerkingsplicht

Voor kritieke entiteiten geldt de verplichting uit artikel 5:20 Awb om aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden. Voor het boetemaximum van een bestuurlijke boete voor de overtreding van deze verplichting is gekozen voor het bedrag van € 1.000.000,–. De reden voor deze keuze is als volgt. Deze maximale hoogte zorgt ervoor dat de toezichthouder wegens overtreding van artikel 5:20 Awb een bestuurlijke boete kan opleggen die doeltreffend en afschrikkend is, en staat in verhouding tot de boetemaxima voor overtredingen van verplichtingen uit de Wwke. Dit boetemaximum (en dus niet een lager maximum) voorkomt dat een bestuurlijke boete kan worden opgelegd van slechts geringe hoogte, waardoor kritieke entiteiten bewust kiezen voor het accepteren van de boete en niet meewerken aan een vordering van de toezichthouder.

Er wordt niet aangesloten bij de maximale hoogte van de geldboete die op grond van het strafrecht kan worden opgelegd voor eenzelfde overtreding. Dat betreft een overtreding van artikel 184 Wetboek van Strafrecht (over het opzettelijk niet voldoen aan een bevel of vordering van een ambtenaar), waarvoor per 1 januari 2024 het bedrag van € 5.150,– geldt als maximum van de geldboete die voor een overtreding daarvan kan worden opgelegd. Deze hoogte is in het kader van de Wwke niet doeltreffend, niet afschrikkend en staat ook niet in verhouding tot de boetemaxima voor overtredingen van verplichtingen uit de Wwke.

Boetemaximum overtreding overige verplichtingen

Bij het bepalen van het maximum van een bestuurlijke boete voor de overtreding van andere verplichtingen uit de Wwke is ervoor gekozen om niet dezelfde hoogte te hanteren als bij de overtreding van de zorgplicht en de meldplicht. Dat is niet evenredig in verhouding tot de aard van die andere overtredingen. Daarom wordt ook in dit kader aangesloten bij de gekozen hoogte zoals die ook geldt in de Cbw. Dat betreft een voortzetting van de gekozen lijn in het kader van de implementatie van de NIS1-richtlijn in nationale wet- en regelgeving. Hierbij is toegelicht dat een boetemaximum van € 1.000.000,– de sectorale toezichthoudende instantie die uit hoofde van bestaande wetgeving al bevoegd is om een bestuurlijke boete op te leggen, de ruimte biedt om bij de bepaling van de boetebedragen aan te sluiten bij de boetehoogtes die in die sector passend zijn.11

Motivering bestuurlijke boete en hoogte daarvan

Voor de goede orde wordt benadrukt dat het gaat om maximale hoogten van de op te leggen bestuurlijke boeten; de bevoegde autoriteit (toezichthoudende instantie) kan uiteraard ook besluiten tot het opleggen van een bestuurlijke boete van een lager bedrag.

De bevoegde autoriteit (toezichthoudende instantie) moet de beslissing om over te gaan tot het opleggen van een bestuurlijke boete en de hoogte daarvan afstemmen op de ernst van de overtreding en de mate waarin deze aan de overtreder kan worden verweten en daarbij zo nodig rekening houden met de omstandigheden waaronder de overtreding is gepleegd (artikel 5:46, tweede lid, Awb). Artikel 5:41 Awb bepaalt dat er geen bestuurlijke boete wordt opgelegd voor zover de overtreding niet aan de overtreder kan worden verweten. Artikel 3:4 Awb is onverkort van toepassing bij het opleggen van de bestuurlijke boete door de bevoegde autoriteit (toezichthoudende instantie).

Geen bestuurlijke boete

Een overtreding van de verplichting voor kritieke entiteiten van bijzonder Europees belang om rekening te houden met een advies van een adviesmissie van de Europese Commissie bij het treffen van weerbaarheidsverhogende maatregelen, opgenomen in artikel 23, tweede lid, Wwke, kan niet worden gesanctioneerd met een bestuurlijke boete. De reden hiervoor is dat het sanctioneren van deze verplichting met een bestuurlijke boete enkel evenredig wordt geacht indien de bevoegde autoriteit (toezichthoudende instantie), net als de Europese Commissie, zelf tot het oordeel komt dat door het niet rekening houden met het advies van een adviesmissie, de weerbaarheid in het kader van de zorgplicht in het geding komt. Een dergelijke beoordeling zal de bevoegde autoriteit (toezichthoudende instantie) maken bij het toezien op de naleving van de zorgplicht. In dat kader kan via deze route een bestuurlijke boete worden opgelegd. Wel kan de bevoegde autoriteit (toezichthoudende instantie) een last onder bestuursdwang of een last onder dwangsom opleggen als een kritieke entiteit niet heeft aangetoond dat met het advies rekening is gehouden. De kritieke entiteit moet dus in elk geval motiveren waarom het advies al dan niet is nageleefd.

5.9.4 Overtrederschap

In artikel 5:1, eerste lid, Awb is bepaald dat in de Awb wordt verstaan onder een overtreding: een gedraging die in strijd is met het bepaalde bij of krachtens enig wettelijk voorschrift. In artikel 5:1, tweede lid, Awb is bepaald dat onder overtreder wordt verstaan: degene die de overtreding pleegt of medepleegt. Artikel 5:1, derde lid, Awb bepaalt dat overtredingen kunnen worden begaan door natuurlijke personen en rechtspersonen en dat artikel 51, tweede en derde lid, Wetboek van Strafrecht van overeenkomstige toepassing is. Artikel 51, tweede lid, Wetboek van Strafrecht bepaalt dat indien een strafbaar feit wordt begaan door een rechtspersoon, de strafvervolging kan worden ingesteld en de in de wet voorziene straffen en maatregelen kunnen worden uitgesproken tegen die rechtspersoon, dan wel tegen de opdrachtgever of feitelijk leidinggevende, dan wel tegen de hiervoor genoemden tezamen. In artikel 51, derde lid, Wetboek van Strafrecht wordt voor de toepassing van het tweede lid met de rechtspersonen gelijkgesteld: de vennootschap zonder rechtspersoonlijkheid, de maatschap, de rederij en het doelvermogen.

Door de schakelbepaling in artikel 5:1, derde lid, Awb is het mogelijk om in het geval dat een overtreding is gepleegd of medegepleegd door een rechtspersoon, een bestuurlijke boete of een last onder bestuursdwang of dwangsom op te leggen aan degenen die tot de door de rechtspersoon begane overtreding opdracht hebben gegeven of daaraan feitelijk leiding hebben gegeven. De bevoegde autoriteit (toezichthoudende instantie) kan bij een overtreding van een verplichting uit de Wwke dus handhavend optreden tegen de entiteit die de overtreding begaat, maar ook tegen degenen die worden aangemerkt als opdrachtgever van de door de entiteit begane overtreding en degenen die feitelijke leiding hebben gegeven aan de verboden gedraging.

5.9.5 Samenwerking toezichthoudende instanties

In de Wwke wordt het toezicht vormgegeven langs de lijnen van de ministeriële verantwoordelijkheden voor de sectoren. Het is niet uit te sluiten dat een kritieke entiteit actief is binnen meerdere sectoren en daarmee mogelijk te maken krijgt met meerdere toezichthoudende instanties. Het is noodzakelijk dat deze instanties met elkaar samenwerken in het belang van doelmatig en doeltreffend toezicht op de Wwke.

Om de doeltreffende en doelmatige uitvoering van de Wwke te borgen, moeten de toezichthoudende instanties onderling afspraken maken over gemeenschappelijke aangelegenheden. Hierbij wordt gedacht aan samenloop van toezicht op eenzelfde entiteit, het voorkomen van onevenredige toezichtslasten, de uitwisseling van gegevens en een consistente uitleg van begrippen en normen uit de Wwke. Deze afspraken worden vastgelegd in een samenwerkingsprotocol. Dit zorgt voor transparantie over de gemaakte afspraken en maakt voor entiteiten die onder toezicht staan helder op welke wijze de toezichthoudende instanties invulling geven aan voorgenoemde aspecten. Na initiële publicatie dient het samenwerkingsprotocol voor zover nodig geactualiseerd te worden, bijvoorbeeld als er aanvullende toezichthoudende instanties actief worden in (sub)sectoren waar voorheen nog geen toezicht op was ingericht.

5.10 Toepassing in Caribisch deel van het Koninkrijk

De CER-richtlijn is alleen van toepassing op Europees Nederland. De openbare lichamen Bonaire, Sint Eustatius en Saba (BES) hebben de zogeheten LGO-status (landen en gebieden overzee, artikel 299, derde lid, en bijlage II van het Verdrag tot oprichting van de Europese Economische Gemeenschap) en maken geen deel uit van de EU. Nu de CER-richtlijn wordt geïmplementeerd via een voor Europees Nederland geldende implementatiewet dient in het kader van het principe van comply or explain wel te worden bezien of en hoe de Wwke van toepassing moet worden verklaard voor Caribisch Nederland.

Hierna wordt toegelicht waarom er op dit moment nog geen wetgeving komt voor Caribisch Nederland vergelijkbaar met de Wwke. De onderwerpen die in de CER-richtlijn worden geregeld, zijn op dit moment nog niet uitvoerbaar in Caribisch Nederland voor onder meer de openbare lichamen. Er wordt op dit moment nog uitvoering gegeven aan een aantal randvoorwaarden voor het versterken van de weerbaarheid op de BES. In het kader van de Veiligheidsstrategie van het Koninkrijk wordt gewerkt aan het in kaart brengen welke processen op de BES mogelijk maatschappelijk ontwrichtende effecten hebben, zodat duidelijk is welke processen betere bescherming behoeven. Het is denkbaar dat vanuit de uitvoering van deze randvoorwaarden in de toekomst (sectorale) wetgeving voortvloeit waarmee de bescherming van bepaalde infrastructuur in Caribisch Nederland tegen fysieke risico’s wordt gewaarborgd.

5.11 Rechtsbescherming en vereisten aan besluiten

Besluiten in de zin van artikel 1:3 Awb

De Wwke voorziet in de grondslag voor diverse besluiten in de zin van artikel 1:3 Awb. Een voorbeeld van een dergelijk besluit is de aanwijzing, bij regeling of besluit, van een entiteit als kritieke entiteit. Een ander voorbeeld is een besluit van de bevoegde autoriteit (toezichthoudende instantie) inhoudende de oplegging van een bestuurlijke boete.

Awb en algemene beginselen van behoorlijk bestuur

Bij de voorbereiding van besluiten gelden de regels hierover in de Awb en de algemene beginselen van behoorlijk bestuur. Zo moet bij de voorbereiding van een besluit de nodige kennis worden vergaard over de relevante feiten en de af te wegen belangen (artikel 3:2 Awb). De bij het besluit betrokken belangen moeten worden afgewogen (artikel 3:4, eerste lid, Awb). Verder mogen de voor één of meer belanghebbenden nadelige gevolgen van het besluit niet onevenredig zijn in verhouding tot de met het besluit te dienen doelen (artikel 3:4, tweede lid, Awb). Het besluit moet berusten op een deugdelijke motivering (motiveringsbeginsel, artikel 3:46 Awb). Het voorgaande is een niet-limitatief overzicht van enkele regels uit de Awb.

Bestuursrechtelijke rechtsbescherming

Tegen de op grond van de Wwke genomen besluiten in de zin van artikel 1:3 Awb staat bestuursrechtelijke rechtsbescherming open. Belanghebbenden in de zin van artikel 1:2 Awb (zoals entiteiten die op grond van de Wwke een bestuurlijke boete opgelegd hebben gekregen) kunnen tegen die besluiten achtereenvolgens in bezwaar bij het bestuursorgaan dat het besluit heeft genomen en in beroep en hoger beroep bij de bestuursrechter.

Voorbeelden

Het voorgaande levert de volgende voorbeelden op (niet-limitatief):

Als de bevoegde autoriteit (toezichthoudende instantie) overweegt om aan een kritieke entiteit een aanwijzing op te leggen, moet zij daarbij alle bij dat besluit relevante belangen afwegen. Als de bevoegde autoriteit (toezichthoudende instantie) na afweging toch overgaat tot het opleggen van een aanwijzing, kan de betrokken kritieke entiteit daartegen in bezwaar bij de bevoegde autoriteit en in beroep en hoger beroep bij de bestuursrechter.

Als de bevoegde autoriteit (toezichthoudende instantie) overweegt om een last onder dwangsom op te leggen aan een kritieke entiteit, moet zij nagaan of de nadelige gevolgen van de last niet onevenredig zijn in verhouding tot de met het besluit te dienen doelen. Als wel sprake blijkt te zijn van onevenredigheid, moet de bevoegde autoriteit nagaan of een lichtere maatregel kan volstaan.

6. Verhouding tot hoger recht

6.1 Inleiding

De regels uit de Wwke kunnen raken aan in het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: EVRM), het Handvest van de grondrechten van de Europese Unie, het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR) en de Grondwet vastgelegde rechten en vrijheden. De gevolgen die de Wwke met zich meebrengen vloeien voort uit de CER-richtlijn waarbij de afwegingen ten aanzien van deze vrijheden door de Europese wetgever zijn gemaakt. Gelet op het belang van deze rechten en vrijheden wordt in dit hoofdstuk ingegaan op het in artikel 8 EVRM opgenomen recht op eerbiediging van de persoonlijke levenssfeer (paragraaf 6.3) en de verwerking van persoonsgegevens in het licht van de artikelen 5 (beginselen inzake verwerking van persoonsgegevens) en 6 (rechtmatigheid van de verwerking) Algemene verordening gegevensbescherming (paragraaf 6.4). Voordat die besprekingen plaatsvinden, volgt eerst in paragraaf 6.2 een overzicht van de gegevensverwerkingen door de bevoegde autoriteit en het centrale contactpunt.

6.2 Gegevensverwerkingen

Bevoegde autoriteit

Op grond van artikel 17 Wwke moeten kritieke entiteiten bepaalde incidenten melden bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie). Hierdoor krijgt de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) de beschikking over informatie die entiteiten verstrekken bij deze meldingen, waaronder persoonsgegevens. Meer concreet gaat het dan om de contactgegevens (zoals een e-mailadres en een telefoonnummer) van de medewerker die namens de entiteit een melding doet. Gelet op de aard van de incidenten die moeten worden gemeld (fysieke incidenten, zoals ongevallen en natuurrampen) gaat het naar verwachting niet om grote hoeveelheden persoonsgegevens die worden aangeboden bij meldingen door kritieke entiteiten.

De bevoegde autoriteit (vakminister en/of toezichthoudende instantie) verwerkt als gevolg van de Wwke ook via andere wegen (persoons)gegevens. Zo verwerkt zij contactgegevens van medewerkers van kritieke entiteiten die voor de bevoegde autoriteit (vakminister) als contactpersoon fungeren. Verder kan bij de aanwijzing van een entiteit als kritieke entiteit persoonsgegevensverwerking plaatsvinden. Meer concreet kan het dan gaan om contactgegevens van een medewerker van de aangewezen kritieke entiteit. Ook in het kader van het uitvoeren van een risicobeoordeling door de bevoegde autoriteit (vakminister) kan persoonsgegevensverwerking plaatsvinden. Artikel 9, zesde lid, Wwke bepaalt namelijk dat de bevoegde autoriteit (vakminister) relevante informatie uit de risicobeoordeling aan de kritieke entiteit in de betrokken sector moet verstrekken. Bij het delen van de resultaten van de risicobeoordeling door de bevoegde autoriteit (vakminister) worden naar verwachting persoonsgegevens verwerkt, in ieder geval de contactgegevens van de contactpersoon van de kritieke entiteit voor het delen van de resultaten van de risicobeoordeling, als mogelijk ook de contactgegevens van een ambtenaar van de bevoegde autoriteit (vakminister).

Verder volgt uit de artikelen 27 tot en met 29 Wwke dat de bevoegde autoriteiten samenwerken en gegevens uitwisselen met de bevoegde autoriteiten in de zin van de Cbw, het centrale contactpunt en andere nationale autoriteiten. Deze informatie kan voor zover noodzakelijk persoonsgegevens bevatten.

Daarnaast werken de bevoegde autoriteiten in de zin van de Wwke samen met de bevoegde autoriteiten van derde landen en kan er ook in dat kader informatie, waaronder persoonsgegevens, uitgewisseld worden (zie artikel 30 Wwke). Het zal dan voornamelijk gaan om contactgegevens van medewerkers. Over de verstrekking van persoonsgegevens aan de bevoegde autoriteiten van derde landen wordt opgemerkt dat hierbij uiteraard moet voldaan aan de nationale en internationale regels over de doorgifte van persoonsgegevens aan derde landen. Allereerst zal daarbij gekeken worden of er sprake is van een adequaatheidsbesluit. Mocht dit er niet zijn, dan zal gekeken worden naar standaardbepalingen en certificeringsmechanismen of bindende bedrijfsvoorschriften. In uitzonderlijke gevallen kan doorgifte plaatsvinden op basis van artikel 49 Algemene verordening gegevensbescherming (hierna: Avg).

Centrale contactpunt

Op grond van de Wwke heeft het centrale contactpunt onder meer de taak om een verbindingsfunctie te vervullen met de centrale contactpunten van andere lidstaten en om samen te werken met de bevoegde autoriteiten van derde landen. In dat kader kan het centrale contactpunt gegevens ontvangen en verstrekken, waaronder persoonsgegevens. Zo ontvangt het centrale contactpunt informatie van de bevoegde autoriteit (vakminister en/of toezichthoudende instantie), die het centrale contactpunt moet doorzetten naar de centrale contactpunten van andere lidstaten. Die informatie kan bijvoorbeeld gaan over gemelde incidenten met (mogelijke) aanzienlijke gevolgen voor kritieke entiteiten en voor de continuïteit van de verlening van essentiële diensten aan of in één of meer andere lidstaten. Zie artikel 18, vierde lid, Wwke. Over de verstrekking van persoonsgegevens aan de bevoegde autoriteiten van derde landen wordt opgemerkt dat hierbij uiteraard moet voldaan aan de nationale en internationale regels over de doorgifte van persoonsgegevens aan derde landen. Allereerst zal daarbij gekeken worden of er sprake is van een adequaatheidsbesluit. Mocht dit er niet zijn, dan zal gekeken worden naar standaardbepalingen en certificeringsmechanismen of bindende bedrijfsvoorschriften. In overige gevallen kan doorgifte plaatsvinden op basis van artikel 49 Avg.

Verder ontvangt het centrale contactpunt ook zulke gegevens van de centrale contactpunten van andere lidstaten. Als blijkt uit gegevens die het centrale contactpunt heeft ontvangen van een ander centraal contactpunt dat een daar gemeld incident aanzienlijke gevolgen heeft of kan hebben voor de kritieke entiteiten wordt de betrokken bevoegde autoriteit (vakminister) en kritieke entiteit daarvan op de hoogte gesteld (artikel 19, tweede lid, Wwke). Bij de uitoefening van deze taken worden gegevens, waaronder persoonsgegevens, verwerkt. Artikelen 27 en 32 Wwke bieden hiervoor de grondslagen. Meer concreet gaat het in elk geval om de contactgegevens van de medewerkers van de centrale contactpunten van andere lidstaten. Ook kan het gaan om de bij meldingen van incidenten bijgevoegde persoonsgegevens, zoals een naam, e-mailadres en telefoonnummer van de contactpersoon die de melding doet. Als het voor de samenwerking of taakuitoefening van het centrale contactpunt nodig is om informatie, waaronder persoonsgegevens, te verstrekken aan de Europese Commissie, dan is hiervoor een grondslag opgenomen in artikel 32 Wwke. Het zal dan voornamelijk gaan om het delen van contactgegevens van medewerkers.

Het centrale contactpunt kan ook met de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) informatie uitwisselen voor de doelmatige uitvoering van de taken uit hoofde van de Wwke. Die informatie kan ook bestaan uit persoonsgegevens. Artikel 27 Wwke biedt daarvoor een grondslag.

6.3 Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden

6.3.1 Inmenging door openbaar gezag in recht op respect voor de persoonlijke levenssfeer

De verwerking van persoonsgegevens door de bevoegde autoriteit (vakminister en toezichthoudende instantie) en het centrale contactpunt is een inmenging door het openbaar gezag in het recht op respect voor de persoonlijke levenssfeer. Dit recht is niet alleen gecodificeerd in het EVRM (artikel 8), maar ook in de artikelen 10 van de Grondwet, 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR) en 7 van het Handvest van de grondrechten van de Europese Unie (Handvest). Artikel 8 van het Handvest ziet specifiek op het recht van een ieder op de bescherming van zijn persoonsgegevens.

Artikel 8, eerste lid, EVRM bepaalt dat eenieder recht heeft op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. Het tweede lid van dat artikel staat inmenging in dit recht alleen toe voor zover die inmenging bij wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen. Het noodzaakcriterium wordt in de jurisprudentie van het Europese Hof voor de rechten van de mens (hierna: EHRM) nader ingevuld met de vereisten van een dringende maatschappelijke behoefte, en specifiek proportionaliteit en subsidiariteit.12

6.3.2 Beperkende maatregel voorzien bij wet

In artikel 8, tweede lid, EVRM is bepaald dat inmenging in het recht op respect voor de persoonlijke levenssfeer alleen toegestaan is voor zover die inmenging bij wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen. In dit verband wordt opgemerkt dat in artikel 10 Grondwet is bepaald dat het recht op eerbiediging van de persoonlijke levenssfeer alleen kan worden beperkt bij of krachtens de wet. De Grondwet vereist dus een formeel-wettelijke grondslag. Het EVRM vereist niet zozeer een formeel-wettelijke grondslag, maar een voorziening bij wet.

Ten aanzien van de Grondwet wordt tevens opgemerkt dat in artikel 10, tweede lid, Grondwet is bepaald dat de wet regels stelt ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. De vastlegging van persoonsgegevens wordt in vergaande mate gereguleerd door het Unierecht, in het bijzonder door de Avg. In paragraaf 6.3 wordt dit wetsvoorstel getoetst aan de Avg.

De Wwke bevat specifieke wettelijke grondslagen voor de verwerking van persoonsgegevens door het centrale contactpunt en de bevoegde autoriteit (vakminister en toezichthoudende instantie). Zie de artikelen 26 tot en met 32 Wwke.

6.3.3 Beperking moet legitiem doel dienen en noodzakelijk zijn

Artikel 8, tweede lid, EVRM, bepaalt dat inmenging in het recht op respect voor het privéleven uitsluitend is toegestaan binnen de kaders van de expliciet en limitatief in dat lid opgesomde belangen: de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.

De verwerking van persoonsgegevens door de bevoegde autoriteit (vakminister en toezichthoudende instantie) en het centrale contactpunt dient ter uitvoering van hun taken uit de Wwke, die volgen uit de CER-richtlijn. Deze taken hebben tot doel om de weerbaarheid van kritieke entiteiten en het vermogen van die entiteiten om essentiële diensten te verlenen te versterken, met het oog op het in stand houden van vitale maatschappelijke functies of economische activiteiten. Deze verwerkingen dienen dus onder meer de nationale veiligheid, de openbare veiligheid en het economisch welzijn van het land. Deze belangen zijn genoemd in artikel 8, tweede lid, EVRM.

De beperking dient bovendien noodzakelijk te zijn in een democratische samenleving. Het noodzaakcriterium wordt in de jurisprudentie van het EHRM nader ingevuld met de vereisten van een dringende maatschappelijke behoefte, proportionaliteit en subsidiariteit. Deze vereisten worden in de hierna volgende paragrafen nader behandeld. Staten moeten redenen aandragen die voldoende en relevant zijn en hebben daarbij een eigen beoordelingsruimte.

6.3.3.1 Dringende maatschappelijke behoefte

De dringende maatschappelijke behoefte van de verwerking van persoonsgegevens door de bevoegde autoriteit (vakminister en toezichthoudende instantie) en het centrale contactpunt is gelegen in de grote afhankelijkheid van de samenleving van essentiële diensten. Incidenten die de continuïteit van de verlening van essentiële diensten aantasten, kunnen een grote impact hebben op Nederland, maar ook daar buiten. Het waarborgen van de fysieke weerbaarheid van de entiteiten die deze essentiële diensten aanbieden is van groot belang voor het behoud van vitale maatschappelijke functies en het voorkomen van maatschappelijke ontwrichting. Door het verwerken van persoonsgegevens, zoals de verwerking door de bevoegde autoriteit (vakminister en toezichthoudende instantie) in het kader van aanzienlijke incidenten, kan grote maatschappelijke ontwrichting worden voorkomen. Door de verwerking kan de bevoegde autoriteit (vakminister en toezichthoudende instantie) immers de melder van een incident voorzien van relevante vervolginformatie. Ook kan de bevoegde autoriteit (vakminister en toezichthoudende instantie) andere lidstaten informeren en het publiek waarschuwen.

Ook ten aanzien van de verwerking van persoonsgegevens door het centrale contactpunt geldt dat daarmee grote maatschappelijke ontwrichting binnen en buiten Nederland kan worden voorkomen. Het centrale contactpunt kan zonder persoonsgegevens immers niet de verbindingsfunctie met andere lidstaten en de Europese Commissie vervullen. Het niet vervullen van die functie kan enerzijds ervoor zorgen dat Nederland geen informatie meer ontvangt van incidenten in andere lidstaten, maar andersom ook dat Nederland andere lidstaten en de Europese Commissie niet kan waarschuwen voor incidenten, met alle gevolgen van dien.

6.3.3.2 Proportionaliteit

Bevoegde autoriteit

De bevoegde autoriteit (vakminister en/of toezichthoudende instantie) zal in het kader van de in de Wwke opgenomen taken persoonsgegevens verwerken, maar gelet op de aard ervan (doorgaans contactgegevens van melders), het doel waarvoor zij worden verwerkt en de overige waarborgen waarmee deze gegevens zijn omkleed, is de inmenging in het recht op respect voor iemands privéleven beperkt. De betrokken gegevens worden door de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) bovendien verwerkt met inachtneming van de Avg (zie paragraaf 6.3), onder intern toezicht van de functionaris gegevensbescherming en onder extern toezicht van de Autoriteit persoonsgegevens.

De bevoegde autoriteit (vakminister en toezichthoudende instantie) verwerkt slechts gegevens voor zover dat noodzakelijk is voor het uitvoeren van de in artikel 8 Wwke bedoelde taken. Dit is in lijn met het doelbindingsbeginsel, waar het EHRM aan toetst in zijn rechtspraak.13 Doelbinding is ook een vereiste op grond van artikel 5, eerste lid, onderdeel b, Avg.

Persoonsgegevens die de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) verwerkt ten behoeve van haar taken worden bovendien niet langer bewaard dan noodzakelijk, in verband met het vereiste van opslagbeperking, waar het EHRM aan toetst in zijn rechtspraak14, dat bovendien ook een vereiste is op grond van artikel 5, eerste lid, onderdeel e, Avg. De contactgegevens van de melder worden na de afhandeling van de melding van het incident vernietigd. Ook na enige tijd moet nog contact kunnen worden gezocht met de melder, bijvoorbeeld voor de opvolging na de melding alsmede voor ondersteuning door de bevoegde autoriteit (vakminister). De contactgegevens van de verbindingsfunctionaris die kritieke entiteiten aanwijzen als contactpunt voor de bevoegde autoriteiten (vakminister en/of toezichthoudende instantie) worden bewaard gedurende de tijd dat betreffende functionaris is aangesteld. De verbindingsfunctionaris is niet noodzakelijkerwijs de melder. Indien er sprake is van een wijziging van de verbindingsfunctionaris, worden de persoonsgegevens door de bevoegde autoriteit (vakminister en toezichthoudende instantie) vernietigd.

Centrale contactpunt

Het centrale contactpunt zal bij het uitoefenen van zijn taken persoonsgegevens verwerken. Daarbij kan het gaan om het ontvangen van persoonsgegevens. Meer specifiek kan het gaan om de persoonsgegevens die door de bevoegde autoriteit (vakminister of toezichthoudende instantie) aan het centrale contactpunt zijn gestuurd in het kader van een bij de bevoegde autoriteit (vakminister of toezichthoudende instantie) gedane melding van een incident. Daarnaast betreft het de ontvangst van gegevens, waaronder persoonsgegevens, van de centrale contactpunten van andere lidstaten, zoals de contactgegevens van de medewerkers van die contactpunten. Bij die ontvangen persoonsgegevens zal het centrale contactpunt telkens bekijken of het, met het oog op de taken van het centrale contactpunt uit de Wwke, nodig is die te bewaren, en zo ja, voor hoe lang. Dit is in lijn met het vereiste van opslagbeperking, waar het EHRM aan toetst in zijn rechtspraak.15 Dit is ook een vereiste op grond van artikel 5, eerste lid, onderdeel e, Avg.

Het kan ook gaan om het verstrekken van persoonsgegevens, namelijk bij het verstrekken van die gegevens aan de centrale contactpunten van andere lidstaten. Het centrale contactpunt zal telkens de afweging maken of het nodig is om persoonsgegevens mee te sturen. Dit is in lijn met het vereiste van minimale gegevensverwerking, waar het EHRM aan toetst in zijn rechtspraak.16 Het vereiste van minimale gegevensverwerking is ook een vereiste op grond van artikel 5, eerste lid, onderdeel c, Avg.

6.3.3.3 Subsidiariteit

Bevoegde autoriteit

De bevoegde autoriteit (vakminister en/of toezichthoudende instantie) kan haar taken uit de Wwke niet uitoefenen wanneer zij niet zou beschikken over de persoonsgegevens die deel uitmaken van meldingen van incidenten. De bevoegde autoriteit kan deze gegevens, zoals e-mailadressen en telefoonnummers van melders, niet op een andere wijze verkrijgen, terwijl deze informatie wel noodzakelijk is om gevolg te kunnen geven aan een melding. Het gaat dan bijvoorbeeld om het voorzien van de melder van relevante vervolginformatie, het informeren van andere lidstaten in het geval van grensoverschrijdende gevolgen en het kunnen waarschuwen van het publiek.

Centrale contactpunt

Het centrale contactpunt kan de taken uit de Wwke niet uitvoeren zonder de verwerking van de persoonsgegevens die nodig zijn om contact te leggen met de centrale contactpunten van andere lidstaten. Dit geldt ook voor het doorsturen van meldingen van incidenten, inclusief de daarvan deel uitmakende persoonsgegevens, aan de centrale contactpunten van andere getroffen lidstaten.

6.3.4 Conclusie

De verwerking van persoonsgegevens door de bevoegde autoriteit (vakminister of toezichthoudende instantie) is een gerechtvaardigde beperking van de persoonlijke levenssfeer met het oog op het versterken van de weerbaarheid van kritieke entiteiten. De voorgestelde bevoegdheden zijn omkleed met voldoende waarborgen, zoals hierboven is uiteengezet.

6.4 Algemene verordening gegevensbescherming

De verwerking van persoonsgegevens door de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) en het centrale contactpunt moet in overeenstemming zijn met de Avg, meer in het bijzonder de artikelen 5 (beginselen inzake verwerking van persoonsgegevens) en 6 (rechtmatigheid van de verwerking) Avg. In deze paragraaf volgt een toetsing aan deze artikelen uit de Avg. Deze elementen vertonen overlap met de rechtspraak van het EHRM.

6.4.1 Rechtmatigheid, behoorlijkheid en transparantie

In artikel 5, eerste lid, onderdeel a, Avg is bepaald dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.

Rechtmatigheid

Artikel 6, eerste lid, Avg moet worden beschouwd als de uitwerking en nadere invulling van het beginsel van rechtmatigheid zoals genoemd in artikel 5, eerste lid, onderdeel a, Avg. Deze eerstgenoemde bepaling richt zich tot de verwerkingsverantwoordelijke en geeft de voorwaarden voor de rechtmatigheid van een verwerking. Voor de verwerkingen van persoonsgegevens door de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) en het centrale contactpunt kan de grondslag worden gevonden in artikel 6, eerste lid, onderdeel c, Avg. Die verwerkingen zijn immers noodzakelijk om te voldoen aan een wettelijke verplichting die op deze verwerkingsverantwoordelijken rust. Voorts kan ook de grondslag worden gevonden in artikel 6, eerste lid, onderdeel e, Avg, omdat deze verwerkingen noodzakelijk zijn voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.

Behoorlijkheid

Het vereiste van behoorlijkheid houdt in dat een betrokkene op de hoogte moet (kunnen) zijn van de verwerking van zijn persoonsgegevens, inclusief de wijze waarop deze gegevens worden verwerkt verzameld, bewaard en gebruikt. Hierop zijn een aantal uitzonderingen, zie de artikelen 13 en 14 Avg.

De bevoegde autoriteit (vakminister en/of toezichthoudende instantie) zal – gelet op de meldplicht van kritieke entiteiten – de gegevens rechtstreeks van betrokkene zelf ontvangen. Dit geldt ook voor de gegevens van de medewerkers van de centrale contactpunten van andere lidstaten, die door deze contactpunten worden verzonden aan het Nederlandse centrale contactpunt (Minister van Justitie en Veiligheid). Daarmee zijn deze betrokkenen op de hoogte van de verwerking en wordt voldaan aan het beginsel van behoorlijkheid.

Transparantie

Transparantie kent verschillende vormen. Enerzijds houdt dit in dat het verwerkingsproces transparant is. Het proces van de verwerking van persoonsgegevens zal door het centrale contactpunt en de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) in samenspraak met de functionaris gegevensbescherming worden ingericht. Daarmee wordt voldaan aan het element van transparantie.

6.4.2 Doelbinding

In artikel 5, eerste lid, onderdeel b, Avg is bepaald dat persoonsgegevens worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en vervolgens niet verder op een met die doeleinden onverenigbare wijze mogen worden verwerkt. Dit betreft het zogeheten doelbindingsbeginsel.

De verwerking van persoonsgegevens in het kader van de Wwke geschiedt in het kader van de in de Wwke opgenomen doelen. De algemene doelen van de Wwke zijn opgenomen in artikel 2 Wwke. In de diverse artikelen in de Wwke waarin de grondslag is geregeld voor het centrale contactpunt en de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) om gegevens, waaronder persoonsgegevens, uit te wisselen zijn ook de doelen van die gegevensverwerking omschreven.

6.4.3 Minimale gegevensverwerking

In artikel 5, eerste lid, onderdeel c, Avg is bepaald dat persoonsgegevens toereikend moeten zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Voor de bespreking hiervan wordt verwezen naar paragraaf 6.2.2, waarin is ingegaan op de dringende maatschappelijke behoefte voor de verwerking van persoonsgegevens en de noodzaak van die verwerking.

6.4.4 Juistheid

In artikel 5, eerste lid, onderdeel d, Avg is bepaald dat persoonsgegevens juist moeten zijn en zo nodig moeten worden geactualiseerd. Ook is hierin bepaald dat alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.

De bevoegde autoriteit en het centrale contactpunt moeten dus passende maatregelen nemen om de juistheid van de gegevens te borgen. Dit betekent dat er processen en procedures uitgewerkt moeten worden om fouten bij het verkrijgen van de gegevens te voorkomen en om de gegevens met enige regelmaat te controleren. Deze processen en procedures worden door de bevoegde autoriteit en het centrale contactpunt in samenspraak met de functionaris gegevensbescherming opgesteld.

6.4.5 Opslagbeperking

In artikel 5, eerste lid, onderdeel e, Avg is bepaald dat persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt. In artikel 34 Wwke is bepaald dat bij of krachtens algemene maatregel van bestuur (hierna: amvb) regels worden gesteld over de bewaarperiode van persoonsgegevens.

6.4.6 Integriteit en vertrouwelijkheid

In artikel 5, eerste lid, onderdeel f, Avg is bepaald dat persoonsgegevens, door het nemen van passende technische of organisatorische maatregelen, op een dusdanige manier moeten worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd moeten zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. De Minister van Justitie en Veiligheid (als het centrale contactpunt) en de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) hebben een passend beveiligingsbeleid om de integriteit en vertrouwelijkheid van de persoonsgegevens te borgen.

7. Verhouding tot nationale regelgeving

In deze paragraaf wordt beschreven welke verplichtingen er op grond van nationale wetgeving reeds gelden voor specifieke sectoren en wordt bezien hoe die verplichtingen zich verhouden tot de verplichtingen uit de Wwke. Daarbij wordt de wetgeving per ministerie bekeken.

7.1 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Voor de centrale overheid zijn er op dit moment verschillende voorschriften met betrekking tot de weerbaarheid. Het betreft vooral niet-wettelijke voorschriften, zoals het Normenkader beveiliging rijkskantoren 3.0 en de Baseline Informatiebeveiliging Overheid (BIO).

Voor archiefruimten en archiefbewaarplaatsen zijn eisen opgenomen in de Archiefwet 1995. In artikel 21, eerste lid, Archiefwet 1995 is bepaald dat bij of krachtens amvb regels worden gesteld met betrekking tot de duurzaamheid van door overheidsorganen op te maken archiefbescheiden, omtrent de bouw, verbouwing, inrichting en verandering van inrichting van archiefruimten en archiefbewaarplaatsen, alsmede omtrent de ingebruikneming van gebouwen of gedeelten van gebouwen als archiefruimte of archiefbewaarplaats. Artikel 13, eerste en tweede lid, Archiefbesluit 1995 verplicht de zorgdrager om zijn archiefruimten en -bewaarplaatsen zodanig te situeren, te bouwen, in te richten en te beveiligen dat ze toereikend beschermd worden tegen brand, inbraak en wateroverlast. Deze vereisten worden nader uitgewerkt in hoofdstuk 5 en 6 van de Archiefregeling. Deze vereisten hangen samen met de zorgplicht zoals die in de Wwke is opgenomen.

7.2 Ministerie van Economische Zaken

Op de entiteiten uit de sector energie, subsectoren elektriciteit en gas, is de Wet informatie-uitwisseling bovengrondse en ondergrondse netten en netwerken (hierna: WIBON) van toepassing. Aangezien alle risico’s die de dienstverlening kunnen verstoren tevens onderdeel zijn van de risicobeoordeling door de kritieke entiteit in de Wwke is er sprake van overlap met de WIBON. De risico’s volgens de WIBON zullen naar verwachting onderdeel zijn van de risicoanalyse door de kritieke entiteit op grond van de Wwke. De overlap wordt ondervangen wanneer een kritieke entiteit een document heeft opgesteld op grond van de WIBON, en dat document kan dienen ter voldoening aan de verplichting tot het uitvoeren van een risicobeoordeling (zie artikel 14, vierde lid, Wwke). Op deze manier worden de administratieve lasten voor kritieke entiteiten tot het minimale beperkt.

7.3 Ministerie van Financiën

De Wet op het financieel toezicht en de Pensioenwet, alsmede aan die wetten verwante regelgeving, beschrijven het toezicht op bijna de hele financiële sector in Nederland. Onderdeel hiervan is regelgeving inzake de bedrijfsvoering van onder toezicht staande ondernemingen. Het toezicht op de naleving van die regels is, afhankelijk van het type marktpartij, belegd bij hetzij de AFM, hetzij DNB.

De Verordening digitale operationele weerbaarheid bevat additionele regels op het terrein van digitale weerbaarheid, maar deze verordening is niet van toepassing op alle marktpartijen die actief zijn in de financiële sector. Wanneer de Verordening digitale operationele weerbaarheid niet van toepassing is op financiële entiteiten, kunnen de verplichtingen uit de Wwke gelden voor die marktpartijen die onder de Wwke worden aangewezen als kritieke entiteiten. Er zijn op dit moment geen concrete voorbeelden voorhanden.

7.4 Ministerie van Infrastructuur en Waterstaat

Luchtvaart, scheepvaart, spoor en weg

Voor de vervoerssector (luchtvaart, scheepvaart, spoor en weg) is er geen sprake van botsing van bestaande wetgeving met de verplichtingen uit de Wwke.

Drinkwater

De zogeheten Drinkwaterrichtlijn17 verplicht tot een all hazard-risicoanalyse en tot risicobeheer, (herstel)maatregelen, meldingen bij verstoringen en informatieplichten aan het publiek. Met de CER-richtlijn ontstaan zwaardere en meer uitgebreide verplichtingen voor kritieke entiteiten. Er is daarom aanleiding om de samenloop tussen beide richtlijnen te regelen. Naar de opvatting van de regering gaat de Drinkwaterrichtlijn niet voor op de CER-richtlijn (die in artikel 1, derde lid, een voorrangsbepaling voor sectorspecifieke EU-regels bevat ten aanzien van voorgeschreven maatregelen voor kritieke entiteiten om hun weerbaarheid te vergroten), omdat de Drinkwaterrichtlijn geen specifieke eisen kent voor fysieke beveiliging. De Drinkwaterrichtlijn heeft vooral betrekking op risico’s voor de drinkwaterkwaliteit en de beschikbaarheid van drinkwater in verband met risico’s in het watersysteem, klimaatverandering en dergelijke. De bepalingen over risicoanalyse en risicobeheer uit de Drinkwaterrichtlijn hebben weliswaar – zoals opgemerkt – een all hazard-karakter, maar omdat deze niet specifiek zien op fysieke beveiliging, kunnen zij niet als ten minste gelijkwaardig worden beschouwd aan de verplichtingen op grond van de CER-richtlijn (die zijn geïmplementeerd in de Wwke). De verplichtingen uit de CER-richtlijn (geïmplementeerd in de Wwke) zijn dus van toepassing naast die uit de Drinkwaterrichtlijn.

Afvalwater

Voor de sector afvalwater is er op dit moment geen wetgeving over een meldplicht, zorgplicht of risicobeoordeling ten aanzien van de fysieke veiligheid van toepassing. Er is voor wat betreft de verplichtingen uit de Wwke voor kritieke entiteiten dan ook geen sprake van botsing met bestaande verplichtingen.

Ruimtevaart/plaats- en tijdsbepaling

Voor wat betreft de sector ruimtevaart/plaats- en tijdsbepaling met behulp van satellieten vallen er geen entiteiten onder het toepassingsbereik van de Wwke.

7.5 Ministerie van Klimaat en Groene Groei

Elektriciteitswet 1998 en de Gaswet

Op de entiteiten uit de sector energie, subsectoren elektriciteit en gas, zijn de Elektriciteitswet 1998 en de Gaswet van toepassing. De Elektriciteitswet 1998 (artikel 16, eerste lid, onderdeel q) en de Gaswet (artikel 10, elfde lid) bevatten de taak voor netbeheerders om hun netten te beschermen tegen invloeden van buitenaf, waaronder fysieke invloeden inclusief weerbaarheid, van buitenaf. De zorgplicht die de Wwke regelt en de uitwerking daarvan bij amvb kunnen gezien worden als instructie aan de netbeheerders hoe zij op het gebied van fysieke invloeden inclusief weerbaarheid, van buitenaf invulling geven aan hun taak op grond van de Elektriciteitswet 1998 en de Gaswet. Een meldplicht op het punt van fysieke invloeden inclusief weerbaarheid, van buitenaf is niet geregeld in deze wetten. Er is dus geen sprake van botsende verplichtingen.

Na de zomer van 2024 is, ter vervanging van de Elektriciteitswet 1998 en de Gaswet, een voorstel van wet houdende regels over energiemarkten en energiesystemen (Energiewet)18 bij de Eerste Kamer ingediend om te komen tot een hernieuwd regelgevend kader met betrekking tot de productie, het transport en de levering van elektriciteit en gas. De verwachting is dat dit wetsvoorstel in 2025 in werking treedt. Artikel 3.18 van dat wetsvoorstel bevat een nieuwe grondslag voor nadere regels ten behoeve van de bescherming van vitale processen. Dat artikel draagt bij aan het vergroten van de weerbaarheid ten behoeven van de te leveren essentiële dienst. Gedelegeerde regelgeving op grond van artikel 3.18 van het wetsvoorstel Energiewet bevat specifieke regels voor systeembeheerders en kan worden betrokken bij de invulling van de zorgplicht en de beoordeling of een kritieke entiteit aan de zorgplicht voldoet. Er is geen sprake van botsende verplichtingen. Wel kan het in de praktijk voorkomen dat tussen verschillende toezichthoudende instanties samenwerkingsafspraken moeten worden gemaakt.

Artikel 3.74 van het voorstel Energiewet behandelt kwaliteitsborging en calamiteitenplan van transmissie- en distributiesysteembeheerders. In de onderliggende amvb, in artikel 3.74, zijn in concept nadere eisen gesteld aan het kwaliteitsborgingssysteem van de transmissie- en distributiesysteembeheerders. Risico’s voor de betrouwbaarheid worden in kaart gebracht inclusief kans en impact. De Wwke verplicht de bevoegde autoriteit (vakminister) een risicobeoordeling te maken en dit te communiceren met kritieke entiteiten. Transmissie- en distributiesysteembeheerders moeten als kritieken entiteit deze aangedragen risico’s meenemen in de risicobeoordeling die zij zelf moeten verrichten op grond van artikel 14 Wwke. Deze verplichting uit de Wwke is een aanvulling op het kwaliteitsplan in de Energiewet. Om dubbele lasten te voorkomen kunnen kritieke entiteiten de documenten die zij hebben opgesteld op grond van andere wet- en regelgeving, zoals de (concept) Energiewet, tevens gebruiken voor de uitvoering van de in artikel 14 Wwke opgenomen verplichting tot het uitvoeren van een risicobeoordeling, waarmee de administratieve lasten voor kritieke entiteiten tot het minimale worden beperkt.

Warmtewet

Op de entiteiten uit de sector energie, subsector stadsverwarming- en koeling, is de Warmtewet van toepassing. De Warmtewet is summier in het kader van de weerbaarheidsverplichting. Op basis van artikel 2, eerste lid, Warmtewet zijn warmteleveranciers gehouden tot zorg voor een betrouwbare levering. De zorgplicht in de Wwke kan gezien worden als instructie aan de warmteleveranciers hoe zij op het gebied van fysieke veiligheid invulling geven aan hun taak op grond van artikel 2, eerste lid, Warmtewet.

Wet collectieve warmtevoorziening

De Wet collectieve warmtevoorziening (hierna: Wcw) in voorbereiding is voor advies ingediend bij de Afdeling advisering van de Raad van State en zal naar verwachting op termijn de Warmtewet gaan vervangen. In de Wcw wordt een bepaling opgenomen die beheerders van collectieve warmtevoorzieningen verplicht de veiligheid van de collectieve warmtevoorziening op een doelmatige wijze te waarborgen. De meldplicht en de zorgplicht uit de Wwke kunnen worden gezien als instructie aan de beheerders van collectieve warmtevoorzieningen hoe zij op het gebied van fysieke veiligheid invulling geven aan hun taak op grond van de toekomstige Wcw. Een meldplicht ten behoeve van de fysieke weerbaarheid is niet geregeld in de Wcw.

Mijnbouwwet

Op grond van artikel 33 Mijnbouwwet rust er een zorgplicht op houders van een vergunning voor opsporing en winning van koolwaterstoffen, het opslaan van stoffen, het opsporen van CO₂-complexen en het opsporen en winnen van aardwarmte. Deze vergunninghouders zijn entiteiten die in sommige gevallen voldoen aan de beschrijving van kritieke entiteiten in de zin van de Wwke in de sector energie. Het gaat in dit verband om exploitanten van voorzieningen voor productie van olie, leveringsbedrijven van gas, aardgasbedrijven en opslagsysteembeheerders van gas.

De zorgplicht uit de Mijnbouwwet is gericht op domeinen zoals procesveiligheid en omgevingsveiligheid. De zorgplicht uit de Mijnbouwwet is vooral gericht op de veiligheid van de omgeving, het milieu en de medewerkers van een mijnbouwwerk. Zorg en toezicht op de veiligheid in de Mijnbouwwet is daarmee niet uitsluitend gericht op de continuïteit van de verlening van de essentiële dienst(en) door de kritieke entiteit en op bijvoorbeeld ongewenste intenties van actoren. Daarmee verschilt de doelstelling van de Wwke met die van de Mijnbouwwet, maar er is wel een overlap in de aandachtsgebieden tussen deze wetten.

Waar nodig kunnen verschillende toezichthoudende instanties het toezicht afstemmen om onnodige overlap of feitelijke dubbelingen te voorkomen. Om dubbele lasten te voorkomen kunnen kritieke entiteiten de documenten die zij hebben opgesteld op grond van andere wet- en regelgeving, tevens gebruiken voor de uitvoering van verplichtingen op grond van de Wwke, waarmee de administratieve lasten voor kritieke entiteiten tot het minimale worden beperkt.

7.6 Ministerie van Landbouw, Visserij, Voedselzekerheid en Natuur

Artikel 19 van de Verordening (EG) Nr. 178/2002,19 over levensmiddelen, verplicht exploitanten van een levensmiddelenbedrijf melding te doen bij de bevoegde autoriteit (de Nederlandse Voedsel- en Warenautoriteit) als hij van mening is of redenen heeft om aan te nemen dat een levensmiddel dat hij ingevoerd, geproduceerd, verwerkt, vervaardigd of gedistribueerd heeft niet aan de voedselveiligheidsvoorschriften voldoet. Voor zover een hiervoor bedoelde exploitant is aangewezen als kritieke entiteit in de zin van de Wwke, geldt op die exploitant ook de meldplicht uit de Wwke. Hierbij wordt opgemerkt dat de meldplicht uit de Wwke ziet op een incident dat de verlening van de essentiële dienst van de kritieke entiteit aanzienlijk verstoort of kan verstoren, en dus niet op een melding in het kader van de voedselveiligheid, waar artikel 19 van de Verordening (EG) Nr. 178/2002 op ziet.

Artikel 5 van de Verordening (EG) Nr. 852/2004,20 over levensmiddelenhygiëne, verplicht exploitanten van levensmiddelenbedrijven zorg te dragen voor de invoering, uitvoering en handhaving van een of meer permanente procedures die gebaseerd zijn op de HACCP-beginselen. HACCP staat voor Hazard Analysis and Critical Control Points en is een risico-inventarisatie voor voedingsmiddelen. In de praktijk kunnen entiteiten onder die verplichting al passende en evenredige technische, beveiligings-, en organisatorische maatregelen ten behoeve van een aantal processen hebben genomen, die ook moeten worden genomen op grond van de Wwke (voor zover de hiervoor bedoelde exploitanten tevens zijn aangewezen als kritieke entiteit in de zin van de Wwke).

7.7 Ministerie van Volksgezondheid, Welzijn en Sport

Sector gezondheidszorg

Op de sector gezondheidszorg bestaat geen wetgeving die direct ziet op het voorkomen, beperken of beheersen van fysieke incidenten, of om bescherming te bieden of bestand te zijn tegen, te reageren op of, zich aan te passen aan en te herstellen van fysieke incidenten. Met de Wwke komt hier verandering in voor de aangewezen kritieke entiteiten in de sector gezondheidszorg. De Inspectie Gezondheidszorg en Jeugd (hierna: IGJ) ziet toe op de naleving van de verplichtingen uit de Wwke waar de kritieke entiteiten uit de sector gezondheidszorg aan dienen te voldoen.

In de sector gezondheidszorg zijn er wel diverse sectorspecifieke wetgeving die zien op de kwaliteit van diensten en producten (zorgplicht) en op het melden van incidenten of onvolkomenheden (meldplicht) aan de IGJ.

Zorgaanbieder

Op grond van de Wet kwaliteit, klachten en geschillen zorg geldt voor zorgaanbieders een verplichting om kwalitatief goede zorg te leveren en bij de IGJ melding te maken van calamiteiten die gerelateerd zijn aan de kwaliteit van zorg.

Geneesmiddelen

In de Geneesmiddelenwet is de definitie van een geneesmiddel vastgesteld en is opgenomen hoe een geneesmiddel mag worden geproduceerd en verhandeld. Onder een geneesmiddel worden ook medische isotopen gedefinieerd, namelijk een radiofarmaceuticum, generator van radionucliden, een kit met radionucliden tot radiofarmaceuticum en de uitgangsstof van radionucliden. Geneesmiddelen worden door de fabrikant slechts afgeleverd aan andere fabrikanten, groothandelaren en aan degenen die bevoegd zijn de desbetreffende geneesmiddelen ter hand te stellen. De IGJ houdt toezicht op naleving van deze wet.

De Geneesmiddelenwet bevat verplichtingen voor vergunninghouders rondom het aanleggen van kritische voorraden. Daarnaast dient een tekort van een geneesmiddel aan de IGJ gemeld te worden. Als de oorzaak van een tekort of onvolkomenheid een incident is dat de verlening van de essentiële dienst aanzienlijk verstoort of kan verstoren, moet dit zowel gemeld worden onder de Wwke als onder andere wetgeving met betrekking tot incidenten of tekorten. Hierdoor kan er voor de aangewezen kritieke entiteit sprake zijn van een dubbele meldplicht.

Onderzoek naar en de ontwikkeling van geneesmiddelen

In de sector gezondheidszorg, genoemd in de bijlage van de Wwke, betreft een categorie van entiteiten: entiteiten die zich bezig houden met het onderzoek naar en de ontwikkeling van geneesmiddelen, onder verwijzing naar Richtlijn 2001/83/EG21. De laatstgenoemde richtlijn is in Nederland geïmplementeerd in de Wet medische wetenschappelijk onderzoek met mensen. De IGJ ziet toe op de naleving van het bepaalde bij of krachtens die wet.

Medische hulpmiddelen

Voor entiteiten die medische hulpmiddelen vervaardigen geldt op dit moment sectorspecifieke regelgeving die ziet op de kwaliteit en de werking van medische hulpmiddelen en het melden van incidenten. Dit is vastgelegd in de Verordening (EU) 2017/74522, over medische hulpmiddelen. Deze verordening stelt eisen aan de marktdeelnemers (fabrikanten, distributeurs, importeurs, Europees gemachtigden, aangemelde instanties en zorginstellingen die zelf hulpmiddelen maken). Meldingen van incidenten met medische hulpmiddelen dienen door een fabrikant gemeld te worden bij de IGJ. De verordening bevat ook verplichtingen voor marktdeelnemers rondom schaarste en het melden daarvan aan het Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG).

In het kader van de Wwke gaat het specifiek over de entiteiten die medische hulpmiddelen vervaardigen in het kader van noodsituaties.

7.8 Ministerie van Klimaat en Groene Groei, Ministerie van Infrastructuur en Waterstaat en Ministerie van Volksgezondheid, Welzijn en Sport

Voor entiteiten die opereren binnen de sectoren energie (subsector elektriciteit) en/of gezondheidszorg, zoals gedefinieerd in de Wwke, kan het zijn dat zij ook diensten leveren die onder internationale regelgeving op het gebied van nucleaire veiligheid, beveiliging en stralingsbescherming vallen. Voorbeelden van deze regelgeving zijn het Verdrag inzake de fysieke beveiliging van kernmateriaal23, de Richtlijn 2014/87/Euratom24 en het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie (EURATOM)25. Deze entiteiten, ook wel nucleaire installaties genoemd, vallen onder het toezicht van de Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS), die dit toezicht in onafhankelijkheid uitvoert. De Minister van Infrastructuur en Waterstaat is hiervoor beleidsverantwoordelijk.

Wanneer een nucleaire installatie onder de Wwke wordt aangemerkt als kritieke entiteit binnen de sector energie en/of gezondheidszorg, is er een goede balans nodig tussen verschillende ministeriële verantwoordelijkheden. Aan de ene kant is er de verantwoordelijkheid van het Ministerie van Klimaat en Groene Groei voor de leveringszekerheid van elektriciteit. Aan de andere kant is er de verantwoordelijkheid van het Ministerie van Infrastructuur en Waterstaat voor de veiligheid van nucleaire installaties.

Gezien het zwaarwegende belang van stralingsveiligheid bij nucleaire installaties, heeft de verantwoordelijkheid van de Minister van Infrastructuur en Waterstaat, ondersteund door de inzet van de ANVS, prioriteit boven andere belangen, zoals de continuïteit van de elektriciteitsvoorziening of de productie van medische hulpmiddelen. De ANVS vervult een leidende rol in het toezicht op nucleaire installaties. Toezichthoudende instanties binnen de Wwke moeten daarom ruimte hebben om te vertrouwen op de beoordelingen van de ANVS en deze als afdoende te beschouwen voor het toezicht op de naleving van de zorgplicht door kritieke entiteiten onder de Wwke, voor zover het gaat om nucleaire veiligheid.

Indien nodig moeten toezichthoudende instanties ook de mogelijkheid hebben om in hun toezicht gebruik te maken van standaarden en eisen die voortvloeien uit de kernenergiewetgeving. Dit geldt ook in een situatie waarin de Minister van Infrastructuur en Waterstaat, op basis van artikel 7 Wwke, een risicobeoordeling uitvoert en één of meerdere kritieke entiteiten binnen de nucleaire sector vaststelt.

8. Gevolgen

8.1 Gevolgen voor burgers en bedrijven

8.1.1 Inleiding

De Wwke bevat verplichtingen voor entiteiten die zijn aangewezen als kritieke entiteit. Deze entiteiten krijgen te maken met een stijging van de regeldruk. De door de Wwke veroorzaakte regeldruk bestaat uit een stijging van administratieve lasten en inhoudelijke nalevingskosten voor deze entiteiten. Momenteel is de schatting dat de Wwke van toepassing zal zijn op 500 entiteiten. Overheidsinstanties zijn hierbij niet meegerekend, want zij vallen niet onder de regeldruktoets.

Een deel van de entiteiten die onder het toepassingsbereik van de Wwke vallen zijn nu al beleidsmatig aangemerkt als vitale aanbieder in de zin van de Wet beveiliging netwerk- en informatiesystemen (Wbni). De inschatting is dat de stijging van de regeldruk die uit de Wwke voortvloeit voor deze organisaties beperkter is dan voor organisaties die nog niet onder het reeds bestaande vitaalstelsel vallen. Bestaande (beleids)afspraken voor vitale aanbieders, gericht op risicomanagement en bedrijfscontinuïteit, zullen namelijk gedeeltelijk overeenkomen met de verplichtingen die voortvloeien uit de Wwke. Er zal echter ook voor deze organisaties sprake zijn van een intensivering van de bestaande praktijken.

De Wwke heeft geen gevolgen voor de regeldruk voor burgers, evenmin voor organisaties die niet als kritieke entiteit worden aangemerkt. De gevolgen van het eventueel wegvallen van kritieke entiteiten zullen wel zeer groot zijn voor burgers die veelal afhankelijk zijn van de vitale processen die kritieke entiteiten beheren.

In de volgende paragrafen wordt ingegaan op de regeldruk van de zorgplicht en de meldplicht, de toezichtlasten en de eenmalige kennisnamekosten.

8.1.2 Zorgplicht

Op grond van artikel 15 Wwke moeten kritieke entiteiten passende en evenredige technische, beveiligings-, en organisatorische maatregelen nemen om voor hun weerbaarheid te zorgen. Ook zonder deze wettelijke verplichting hebben kritieke entiteiten veelal al de nodige beveiligingsmaatregelen getroffen, die kunnen bestaan uit een combinatie van technische, operationele en organisatorische maatregelen. Dit is immers cruciaal voor de continuïteit van hun bedrijfsvoering. Een deel van deze entiteiten heeft dus reeds de nodige investeringen gedaan op het gebied van de veiligheid en beveiliging om zodoende verstoringen van de continuïteit te voorkomen, zo snel mogelijk van verstoringen te herstellen en mogelijk grote schadeposten als gevolg van verstoringen zoveel mogelijk te mitigeren.

De maatregelen die kritieke entiteiten in ieder geval moeten nemen in het kader van de zorgplicht zijn opgenomen in artikel 15, eerste lid, Wwke. Bij amvb zullen regels worden gesteld ter nadere invulling van de maatregelen die kritieke entiteiten in het kader van de zorgplicht moeten nemen. Om die reden zal in die amvb eveneens worden ingegaan op de nalevingskosten die voortvloeien uit de uitwerking van de zorgplicht. Dit zal afhankelijk zijn van de mate waarin de maatregelen overeenkomen met de maatregelen die kritieke entiteiten al toepassen. Bij het nader invullen van de maatregelen zal nadrukkelijk rekening worden gehouden met bestaande normenkaders en richtsnoeren.

Kritieke entiteiten die reeds passende en evenredige maatregelen hebben genomen, zullen naar verwachting weinig tot geen inhoudelijke nalevingskosten ervaren. Kritieke entiteiten die deze maatregelen (deels) nog niet hebben genomen, kunnen een aanzienlijke regeldruk ervaren bij het implementeren van de zorgplichtmaatregelen. Deze ervaren regeldruk zal echter, voortvloeiende het doel van de Wwke, in verhouding staan tot de ervaren lasten van eventuele incidenten die met deze maatregelen voorkomen hadden kunnen worden.

8.1.3 Meldplicht

Op grond van artikel 17 Wwke moeten kritieke entiteiten incidenten die de verlening van hun essentiële dienst aanzienlijk verstoren of kan verstoren, melden bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie). De meldplicht is een informatieverplichting en daarmee een administratieve last.

Per sector kan nadere invulling worden gegeven aan de parameters die bepalen wanneer incidenten meldplichtig zijn. Daarmee beïnvloeden deze parameters ook de regeldruk voor entiteiten. Naar verwachting zal de meldplicht niet leiden tot een groot aantal meldingen voor entiteiten, omdat alleen incidenten die de essentiële dienstverlening verstoren of kunnen verstoren dienen te worden gemeld. Momenteel is de schatting dat de Wwke van toepassing zal zijn op 500 entiteiten.

Het uitgangspunt is dat het meldportaal op een lastenluwe manier wordt ingericht. In dat kader wordt er naar gestreefd het meldportaal technisch zó in te richten, dat het verspreiden van de benodigde informatie maar één handeling vergt, hetgeen de administratieve lasten reduceert. De inrichting van het meldportaal wordt in overleg met betrokken departementen, toezichthoudende instanties en de sectoren nader uitgewerkt. Tot die tijd zal het doen van een melding bestaan uit de handelingen die hieronder worden toegelicht.

Voor het verrichten van een melding zal het veelal gaan om de volgende handelingen. Nadat de kritieke entiteit kennis heeft genomen van het incident dat gemeld moet worden, zal een schriftelijke en eventueel telefonische melding moeten worden gedaan. Ook moet informatie, bedoeld in artikel 17, tweede lid, Wwke worden verzameld en worden verstrekt aan de bevoegde autoriteit (vakminister en/of toezichthoudende instantie). Een maand na de melding moet een gedetailleerd verslag worden uitgebracht.

De tijd die het kritieke entiteiten zal kosten om een melding en vervolghandelingen te doen onder de meldplicht zal verschillen per incident en zal onder andere afhankelijk zijn van de ernst en complexiteit van het incident. De meldplicht geldt alleen voor incidenten die de essentiële dienstverlening verstoren of kunnen verstoren. Omdat dat gaat om incidenten met (potentieel) grootschalige gevolgen wordt ingeschat dat de melding en vervolghandelingen gemiddeld 300 minuten kosten per incident. Dit omvat 260 minuten voor het doen van de melding (inclusief het opstellen van een gedetailleerd verslag) en 40 minuten voor extra handelingen op het verzoek van de bevoegde autoriteit (vakminister en/of toezichthoudende instantie). Als uurtarief wordt € 54 gehanteerd, een gangbaar tarief voor theoretisch opgeleide kenniswerkers.26

Op dit moment wordt geschat dat jaarlijks 5% van de kritieke entiteiten een melding moet doen. Dit is op basis van het aantal gedane meldingen op grond van de Wbni (10%). Dit percentage is verlaagd voor de Wwke, omdat veel meldingen naar verwachting ook een digitale component zullen hebben en dus onder de meldplicht van de Cbw zullen worden gedaan. Bij 25 (500 entiteiten × 5%) meldingen per jaar komt dit neer op structurele jaarlijkse regeldrukkosten van (25 × (300 minuten / 60 x € 54) =) € 6.750.

8.1.4 Toezichtlasten

Op de naleving van het bepaalde bij of krachtens de Wwke wordt toegezien door de toezichthoudende instantie. Dit levert regeldruk op in de vorm van toezichtlasten.

Om een indicatie van mogelijke toezichtslasten te schetsen wordt hieronder een aannemelijke minimumvariant uitgewerkt. Een reguliere audit zal ten minste eens in de vier jaar uitgevoerd worden. Bij deze berekeningen wordt gebruikgemaakt van de standaard tijdsbestedingen en uurtarieven uit het Handboek Meting Regeldrukkosten (versie 2023). In dit geval kan uitgegaan worden van een gemiddelde audit van complex moeilijkheidsniveau door een toezichthoudende instantie. Hiervoor wordt standaard 540 minuten gerekend. Uitgaande van een uurtarief van € 54 komt dit uit op een minimale toezichtlast van (€ 54 × (540 minuten / 60) = ) € 486,– per vier jaar per kritieke entiteit. Uitgaande van een inspectiecyclus van vier jaar (125 entiteiten per jaar) zou dit jaarlijks op een totaal van € 60.750,– uitkomen. Als kritieke entiteiten reeds passende weerbaarheidsmaatregelen hebben genomen zal dit het meest voorkomende scenario zijn.

Ook kan er extra informatie opgevraagd worden door de toezichthoudende instantie als bewijs van uitvoering van beveiligingsbeleid. Hiervoor wordt 120 minuten gerekend. Ook kan er van een entiteit gevraagd worden om naar aanleiding van een inspectie aanpassingen te doen. Hiervoor wordt standaard 480 minuten gerekend. Uitgaande van een uurtarief van € 54 komt dit uit op een mogelijke toezichtslast van (€ 54 × ((540 + 120 + 480 minuten) / 60) = ) € 1.026,– per entiteit.

De toezichthoudende instantie kan een kritieke entiteit daarnaast verplichten om een audit uit te voeren door een onafhankelijke deskundige, op basis van risicobeoordelingen of andere risicogerelateerde informatie, om inzicht te krijgen in de effectiviteit van genomen beheersmaatregelen. In dit geval staat het een kritieke entiteit vrij om zelf de auditor te selecteren. Het is daarom niet op voorhand mogelijk om een inschatting van de toezichtslasten op dit aspect te maken, dit is onder andere sterk afhankelijk van de sector waarin de kritieke entiteit opereert en de scope van de audit.

8.1.5 Eenmalige kennisnamekosten

Alle kritieke entiteiten zullen eenmalig tijd moeten besteden aan het verdiepen in en kennisnemen van de Wwke. Entiteiten zullen hier naar schatting 16 uur (2 werkdagen) voor nodig hebben. Uitgaande van een uurtarief van € 54 komt dit uit op (16 × € 54 =) € 864,– per kritieke entiteit aan eenmalige kennisnamekosten. Vermenigvuldigd met het aantal betrokken organisaties (500) komt dit uit op een totaal van € 432.000,–.

8.2 Gevolgen voor de uitvoering

Een versie van dit wetsvoorstel is voorgelegd aan de IGJ, de Rijksinspectie Digitale Infrastructuur, het Staatstoezicht op de Mijnen, de Inspectie Leefomgeving en transport, de Rijksdienst voor het Wegverkeer en de Nederlandse Voedsel- en Warenautoriteit. De reacties van deze organisaties en instanties zijn in samenhang bezien en beoordeeld. Daarbij zijn geen noemenswaardige aspecten naar voren gekomen die dit wetsvoorstel in de weg staan. In algemene zin is helder wat de opgedragen taak is, zijn de organisaties voldoende toegerust voor een doeltreffende uitvoering en is het de verwachting dat de Wwke effectief is uit te voeren.

8.3 Financiële gevolgen voor de overheid

Een belangrijk deel van de verplichtingen uit de Wwke zijn in lijn met het bestaande beleid ter bescherming van de vitale infrastructuur (de Aanpak vitaal). Wel wordt extra inspanning gevraagd ten aanzien van het takenpakket. De Wwke leidt daarom naar verwachting tot geringe extra financiële uitgaven voor de overheid. De belangrijkste taken voor de rijksoverheid houden verband met de verplichtingen om een nationale strategie te ontwikkelen, het uitvoeren van sectorale risicobeoordelingen, het identificeren en aanwijzen van kritieke entiteiten, het ondersteunen van deze entiteiten en het inrichten van het toezicht. Het vervullen van deze verplichtingen zal veelal een intensivering zijn van het huidige beleid ter bescherming van de vitale infrastructuur zoals ook beschreven in hoofdstuk 3. Dit zal apparaatskosten met zich meebrengen.

De kosten vallen grotendeels neer bij de verantwoordelijke departementen. Zij hebben op basis van hun sectorverantwoordelijkheid een coördinerende rol richting kritieke entiteiten om samenwerking, informatiedeling, de identificatie van risico’s en de handhaving van de voorschriften van de Wwke te bevorderen. Hier zijn consequenties aan verbonden met betrekking tot capaciteit en middelen, zowel voor de departementen als de sectorale toezichthoudende instanties. Wegens variatie in sectorale omvang en diepgang, wisselende specificiteit van complementaire sectorale wetgeving en uiteenlopende kosten voor capaciteitsvergroting verschillen de budgettaire gevolgen sterk per departement.

Conform de regels van de budgetdiscipline dienen de budgettaire gevolgen te worden ingepast op de begrotingen van de verantwoordelijke departementen. In onderstaande tabel zijn de budgettaire gevolgen geraamd zoals verwerkt in de Miljoenennota 2025. Gezien de nauwe samenhang met en gelijktijdige implementatie van de NIS2-richtlijn zijn onder meer de beleidscapaciteit en ondersteuning van de Cbw en Wwke binnen de departementen nauw met elkaar verweven. De kosten die worden ingeregeld zijn daarom vaak niet uitsluitend voor één van de wetten waardoor de financiële gevolgen van de Wwke gezamenlijk in beeld is gebracht met de Cbw. De genoemde bedragen hieronder zijn daarom inclusief de budgettaire gevolgen horende bij de Cbw.

Tabel 1: budgettaire gevolgen per departement
(in mln. €)	2024	2025	2026	2027	2028	Structureel
EZK	7,30
EZ		9,30	12,33	12,39	12,91	12,91
KGG		7,02	9,84	9,78	9,26	9,26
IenW	0,00	11,90	13,40	15,00	16,50	18,00
VWS	5,07	8,11	8,11	8,04	8,04	8,04
BZK	2,54	7,06	7,26	7,46	7,56	7,56
OCW	2,14	PM	PM	PM	PM	PM
LNV	0,70	5,10	5,80	6,80	6,80	6,80
JenV	3,64	6,37	9,00	10,68	13,92	15,17
Fin	0,00	1,20	1,30	1,40	1,50	1,50
Totaal	21,39	56,06	67,04	71,55	76,49	79,24

De kosten voor het Ministerie van Infrastructuur en Waterstaat zijn in de Miljoenennota 2025 binnen de begroting opgenomen.

Voor het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties geldt dat de kosten van de Cbw en van de Binnenlandse Zaken en Koninkrijksrelaties-gerelateerde kosten voor Wwke worden gedekt binnen de beleidsartikelen 6 en 7 van de begroting van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties als onderdeel van hoofdstuk 7 van de Rijksbegroting.

Voor het Ministerie van Onderwijs, Cultuur en Wetenschap geldt dat nader onderzocht wordt wat de kosten na 2024 zijn. Het Ministerie van Onderwijs, Cultuur en Wetenschap brengt de budgettaire gevolgen op dit moment in kaart en verwerkt dit bij Voorjaarsnota 2025 conform de regels van budgetdiscipline op de begroting van het Ministerie van Onderwijs, Cultuur en Wetenschap.

Daarnaast voert de Minister van Justitie en Veiligheid de sectoroverstijgende regie op de uitvoering van de Wwke. De Minister van Justitie en Veiligheid is verantwoordelijk voor het opstellen van de nationale strategie en de werkzaamheden die voortkomen uit de aanwijzing als het centrale contactpunt. Ook voor deze taken geldt dat ze grotendeels al onderdeel uitmaken van het bestaande nationale beleid. De minimale extra belasting wordt opgevangen binnen de huidige formatie en de lopende begroting van het Ministerie van Justitie en Veiligheid.

Hierbij dient opgemerkt te worden dat de ingeschatte apparaatsuitgaven voor de uitvoering van de Wwke gebaseerd zijn op het op dit moment verwachte aantal kritieke entiteiten dat onder het toepassingsbereik van de Wwke komt te vallen. Op basis hiervan hebben de verantwoordelijke departementen een raming opgenomen in hun begrotingen. Naar gelang de implementatie van de Wwke vordert kunnen meer betrouwbare ramingen worden gemaakt en bijstellingen nodig blijken te zijn. Bijvoorbeeld door voorgestelde wijzingen vanuit de consultatie op de amvb of een uitvoeringstoets. Tot slot kunnen ook overheidsorganisaties of -onderdelen als kritieke entiteit worden aangewezen. In dat geval krijgen zij te maken met de regeldrukkosten zoals beschreven in paragraaf 8.1.

8.4 Gegevensbeschermingseffectbeoordeling

Zoals vereist door artikel 35 Avg is bij de voorbereiding van dit wetsvoorstel een Gegevensbeschermingseffectbeoordeling, ook wel data privacy impact assessment (hierna: DPIA), uitgevoerd. De verwerkingsverantwoordelijke voert vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Uit de Avg volgt overigens dat het uitvoeren van een DPIA een voortdurend proces is, dat niet stopt na de voorbereiding van een voorstel. De DPIA bestaat uit verschillende onderdelen: een beschrijving van de voorgenomen gegevensverwerkingen en verwerkingsdoeleinden (onderdeel A), de beoordeling van de onder A verzamelde informatie aan het juridische kader (onderdeel B), de risico’s voor betrokkenen (onderdeel C) en de beoogde maatregelen om die risico’s aan te pakken (onderdeel D). Op basis van het wetsvoorstel zijn de risico’s met betrekking tot gegevensverwerking onderzocht. Hieruit blijken slechts lage risico’s voorzien voor betrokkenen. De resultaten van de DPIA zijn verwerkt in hoofdstuk 6.

9. Advies en consultatie

9.1 Inleiding

Een eerdere versie van dit wetsvoorstel is voor advies voorgelegd aan de Autoriteit persoonsgegevens (hierna: AP) en het Adviescollege toetsing regeldruk (hierna: ATR), opengesteld voor consultatie op www.internetconsultatie.nl en voor commentaar toegezonden aan belangenorganisaties en entiteiten. Hieronder volgt een globale bespreking van de adviezen en reacties.

Waar de nummers van de besproken artikelen verschillen, worden de artikelen van die eerdere versie als volgt aangeduid: ([artikelnummer] oud).

9.2 Advies Autoriteit persoonsgegevens

De AP concludeert in haar advies dat, gelet op de vereisten uit de Avg, uit het wetsvoorstel niet blijkt welke persoonsgegevens uitgewisseld kunnen worden in het kader van de samenwerking tussen verschillende instanties dan wel dat een dwingende delegatiegrondslag ontbreekt om dit in nadere regelgeving te bepalen, terwijl dit wel noodzakelijk is. Het advies van de AP wordt op dit punt niet gevolgd. Het is voor de bevoegde autoriteit (toezichthoudende instantie) niet op voorhand duidelijk welke persoonsgegevens in het kader van toezicht en handhaving verwerkt zullen worden. Als op voorhand (in lagere regelgeving) bepaalde categorieën van persoonsgegevens limitatief worden opgesomd, kan dit de bevoegde autoriteit (toezichthoudende instantie) belemmeren in haar taakuitoefening.

Ten aanzien van bijzondere categorieën van persoonsgegevens wijst de AP op de noodzaak om bij amvb dwingend te bepalen welke categorieën van bijzondere persoonsgegevens verwerkt kunnen worden door de bevoegde autoriteit, als dat noodzakelijk is voor haar taakuitoefening als bedoeld in artikel 31a, tweede lid, Wwke. Naar aanleiding van dit advies is nader bezien of concreet kan worden vastgesteld welke categorieën van bijzondere persoonsgegevens verwerkt zouden kunnen worden. Dit was niet mogelijk. Daarom is artikel 31a Wwke komen te vervallen.

Ten aanzien van bewaartermijnen acht de AP het wenselijk dat dergelijke termijnen worden bepaald. Naar aanleiding van deze reactie is artikel 34 Wwke ingevoegd.

Ook adviseert de AP om te definiëren wat wordt verstaan onder vertrouwelijke gegevens als bedoeld in artikel 35 Wwke (32 oud), dan wel een grondslag op te nemen die dwingend voorschrijft om in gedelegeerde regelgeving te bepalen welke gegevens dit zijn. Dit advies wordt niet gevolgd. Door vertrouwelijke gegevens te definiëren is de kans aanzienlijk dat daarmee de CER-richtlijn onjuist of onvolledig wordt geïmplementeerd. De definitie zal immers een clausulering impliceren, terwijl de CER-richtlijn die clausulering niet bevat of beoogt. Wel is naar aanleiding van dit advies de artikelsgewijze toelichting op artikel 35 Wwke (32 oud), waarin de context en enkele voorbeelden van vertrouwelijke gegevens staan, op punten aangescherpt.

9.3 Advies Adviescollege toetsing regeldruk

Het ATR adviseert om het nut en de noodzaak in de memorie van toelichting beter te onderbouwen door te verduidelijken waar en in welke mate de bestaande wetgeving tekort schiet op het punt van toegenomen dreigingen. Naar aanleiding hiervan is hoofdstuk 4, punt 1 aangevuld.

Het ATR adviseert om in de memorie van toelichting te verduidelijken of, en zo ja, waar en waarom wordt gekozen voor zwaardere eisen dan de minimumeisen van de richtlijnen. De reactie hierop is als volgt. Er is niet gekozen voor zwaardere eisen dan de minimumeisen van de CER-richtlijn.

Het ATR adviseert om een MKB-toets uit te laten voeren voor de lagere regelgeving waarmee de verplichtingen nader worden uitgewerkt. Conform dit advies wordt een MKB-toets uitgevoerd op de amvb onder de Wwke.

Het ATR adviseert te waarborgen dat organisaties weten wat de verplichtingen precies inhouden en hoe die nageleefd moeten worden. In reactie hierop wordt erop gewezen dat er veel aandacht is voor de communicatie rondom de Wwke. Ook worden er handreikingen gepubliceerd die begeleiding kunnen bieden in het implementeren van de verschillende vereisten die de Wwke bevat.

Het ATR adviseert om een jaar na de inwerkingtreding van de Wwke een invoeringstoets uit te voeren. Naar aanleiding van dit advies is niet gekozen voor de uitvoering van een invoeringstoets een jaar na de inwerkingtreding van de Wwke (zoals het ATR adviseert), maar voor een evaluatiebepaling (artikel 42 Wwke) waarin is bepaald dat vier jaar na de inwerkingtreding van de Wwke een evaluatie van de Wwke moet zijn uitgevoerd. De reden hiervoor is als volgt. Entiteiten kunnen pas na de inwerkingtreding van de Wwke worden aangewezen als kritieke entiteit. Niet alle verplichtingen uit de Wwke zijn direct van toepassing na de aanwijzing. Zo geldt voor de zorgplicht en de meldplicht dat deze verplichtingen pas gelden vanaf 10 maanden na de aanwijzing als kritieke entiteit. Een invoeringstoets één jaar na de inwerkingtreding van de Wwke zal dan ook nog niet effectief zijn.

Het ATR adviseert om inzicht te geven in de orde van grootte van de regeldrukgevolgen van die zaken die nog bij amvb worden geregeld. De CER-richtlijn wordt geïmplementeerd in de Wwke en in de aan die wet onderliggende amvb. In de nota van toelichting bij de amvb wordt ingegaan op de regeldrukkosten.

Het ATR adviseert de beschrijving en de berekening van de regeldrukgevolgen aan te vullen met de nog ontbrekende elementen, conform de Rijksbrede methodiek. Naar aanleiding van dit advies is hoofdstuk 8 aangevuld met een indicatie van de toezichtslasten. Voor de berekeningen is gebruik gemaakt van de laatste versie van de Rijksbrede methodiek.

9.4 Samenhang Wet weerbaarheid kritieke entiteiten en Cyberbeveiligingswet

In de consultatiereacties van onder meer het Centraal Bureau Levensmiddelenhandel (hierna: CBL), Vereniging NLconnect, ProRail B.V., VodafoneZiggo, KPN B.V. en de Unie van Waterschappen is een vergelijking gemaakt tussen de Wwke en de Cbw. In die reacties is gewezen op diverse verschillen tussen beide wetten. Er wordt gevraagd waarom bepaalde zaken wel in de Cbw zijn geregeld maar niet in de Wwke, waarom gelijksoortige bepalingen uit de Wwke en Cbw anders zijn geformuleerd en waarom de regels uit beide wetten niet zijn geüniformeerd. De reactie hierop is als volgt. De Wwke strekt tot de implementatie van de CER-richtlijn en de Cbw strekt tot de implementatie van de NIS2-richtlijn. Deze richtlijnen vertonen op sommige punten gelijkenissen, maar zijn niet geheel identiek aan elkaar. Zo omvatten de richtlijnen weliswaar onderwerpen die in beide richtlijnen worden geregeld, zoals de zorgplicht en de meldplicht, maar waarvan de uitwerking in de richtlijnen niet geheel identiek is. Verder heeft de NIS2-richtlijn een bredere doelgroep dan de CER-richtlijn. Daarnaast omvatten de richtlijnen onderwerpen die in de ene richtlijn wel en in de andere richtlijn niet worden geregeld. Een voorbeeld hiervan is artikel 20 NIS2-richtlijn, over governance. Een dergelijke verplichting wordt niet voorgeschreven in de CER-richtlijn. Dit verklaart ook waarom er ter implementatie van de richtlijnen verschillende regelingen en formuleringen voorkomen in de wetten.

In enkele consultatiereacties, waaronder die van KPN B.V. en ProRail B.V., wordt gevraagd naar de verhouding tussen de Wwke en de Cbw en meer specifiek wanneer sprake is van een fysieke omgeving van een netwerk- en informatiesysteem als bedoeld in de Cbw en wanneer sprake is van een fysieke omgeving of de fysieke infrastructuur als bedoeld in de Wwke. Naar aanleiding van deze reacties is in paragraaf 2.3 verduidelijkt hoe de Wwke en de Cbw met elkaar samenhangen, met name ten aanzien van het aspect van fysieke beveiliging.

9.5 Verplichtingen

Sectorale uitwerking van verplichtingen in nadere regelgeving

Uit een aantal consultatiereacties, waaronder die van het Verbond van Nederlandse Ondernemingen - Nederlands Christelijk Werkgeversverbond (hierna: VNO-NCW), de Koninklijke Vereniging MKB-Nederland (hierna: MKB-Nederland), de Koninklijke Vereniging van de Nederlandse Chemische Industrie (hierna: VNCI), N.V. Nederlandse Spoorwegen (hierna: NS), Vewin en Netbeheer Nederland komt naar voren dat nadere regelgeving gewenst is ter uitwerking van de zorgplicht, waarbij de mogelijkheid wordt geboden om bij reeds geldende (sectorale) normen aan te sluiten. Bij het stellen van nadere regels zal hiermee rekening worden gehouden.

Nadere toelichting, waaronder op de meldplicht

Uit de consultatiereacties van onder andere Vattenfall, ProRail B.V. en Security Adviesgroep is naar voren gekomen dat een toelichting op de criteria voor het aanwijzen van aanvullende sectoren, genoemd in artikel 7 Wwke, gewenst is. Dit geldt ook voor een toelichting op de drempelwaarden, de afbakening van de meldplicht, de mogelijke aansluiting op andere meldplichten, het doel van de meldplicht en het gedetailleerd verslag, bedoeld in artikel 17, derde lid, Wwke. Naar aanleiding van deze reacties zijn de paragrafen 5.2 en 5.5 en de artikelsgewijze toelichting op artikel 7 Wwke aangevuld met aanvullende toelichtingen.

Ingangsdatum verplichtingen

In een aantal consultatiereacties, waaronder die van NS, is verzocht om de termijn waarbinnen een kritieke entiteit aan de verplichtingen uit de Wwke moet voldoen, bedoeld in artikel 6 CER-richtlijn, op te nemen in de Wwke. Naar aanleiding van deze reacties is artikel 15 Wwke ten aanzien van de zorgplicht en artikel 17 Wwke ten aanzien van de meldplicht aangevuld met een bepaling over wanneer de desbetreffende verplichtingen van toepassing zijn. In dat verband is tevens opgemerkt, onder meer door VNO-NCW, MKB-Nederland en VNCI, dat het aanwijzen van aanvullende sectoren en daarmee aanvullende kritieke entiteiten verder gaat dan de CER-richtlijn verplicht stelt en daarmee een nationale kop is. De reactie hierop is als volgt. In overweging 41 CER-richtlijn is opgenomen dat de lijst van essentiële diensten in de CER-richtlijn niet uitputtend is en dat lidstaten de lijst kunnen aanvullen met andere essentiële diensten op nationaal niveau, teneinde rekening te houden met nationale bijzonderheden bij de verlening van essentiële diensten. Gelet op het belang voor de nationale veiligheid acht de regering het wenselijk om voor deze mogelijkheid een grondslag op te nemen in de Wwke. Hierbij wordt opgemerkt dat indien door een vakminister aanvullende (sub)sectoren worden aangewezen, dit bij de Europese Commissie kenbaar zal worden gemaakt. Daarbij zal aandacht worden gevraagd voor het belang van een solide niveau van Europese harmonisatie en het al dan niet alsnog onderbrengen van de (sub)sectoren onder de CER-richtlijn.

9.6 Handhaving

Uit de consultatiereacties van onder andere VNO-NCW, MKB-Nederland, VNCI, NLconnect en KPN B.V. komt naar voren dat nadere toelichting gewenst is ten aanzien van overlappende sectoren met verschillende bevoegde autoriteiten en de verenigbaarheid van de taakuitoefening van de bevoegde autoriteit ten aanzien van bestuursrechtelijke handhaving en advisering aan kritieke entiteiten. Tevens zijn vragen gesteld over het handhavingsbeleid van de bevoegde autoriteit. Naar aanleiding van deze reacties is paragraaf 5.9 aangevuld.

In een consultatiereactie is verzocht om het wettelijk regelen van volgordelijkheid van handhavingsinstrumenten. De reactie hierop is als volgt. Het is aan de toezichthoudende instantie om te beoordelen welk handhavingsinstrument het meest passend en effectief is, met inachtneming van onder andere de beginselen van evenredigheid en proportionaliteit. Het regelen van een volgordelijkheid bij de inzet van handhavingsinstrumenten beperkt is niet mogelijk.

In de consultatiereacties van KPN B.V. en NLconnect is opgemerkt dat uit het ter consultatie gelegde wetsvoorstel en de memorie van toelichting onvoldoende blijkt dat de artikelen over handhaving niet van toepassing zijn ten aanzien van de verplichtingen waarvan kritieke entiteiten uit de sector digitale infrastructuur zijn uitgezonderd (waaronder de zorgplicht en de meldplicht). De reactie hierop is als volgt. Als een verplichting niet van toepassing is op een entiteit, dan kan vanzelfsprekend ten aanzien van die ‘verplichting’ niet worden toegezien op de naleving daarvan. De verplichting geldt immers niet voor de betrokken sector dan wel betrokken entiteit. Dit wetsvoorstel en de memorie van toelichting behoeven geen aanpassing op dit punt.

9.7 Overige opmerkingen

Nationaal aanvullend beleid

In een aantal consultatiereacties is gevraagd om – in aanvulling op de implementatie van de bepalingen uit de CER-richtlijn – aanvullende bepalingen in de Wwke op te nemen die relevant kunnen zijn voor de bescherming van fysieke infrastructuur. Er wordt bijvoorbeeld gevraagd om bepaalde artikelen uit de Cbw ook op te nemen in de Wwke. In reactie hierop wordt gewezen op het uitgangspunt dat de CER-richtlijn beleidsneutraal wordt geïmplementeerd. Dit betekent dat aanvullende nationale eisen of bepalingen, die niet volgen uit de CER-richtlijn, niet worden meegenomen in dit wetsvoorstel.

Reactietermijn bevoegde autoriteit bij meldingen

In een aantal consultatiereacties, waaronder die van VNO-NCW, MKB-Nederland en VNCI, is gevraagd waarom er geen termijn geldt voor het verstrekken van een ontvangstbevestiging van een melding en in dat verband relevante vervolginformatie aan een kritieke entiteit door de bevoegde autoriteit. De uitleg hierover is als volgt. Artikel 18, eerste lid, Wwke, bepaalt dat de bevoegde autoriteit zo spoedig mogelijk een ontvangstbevestiging en relevante informatie naar aanleiding van een melding aan kritieke entiteit verstrekt. Het betreft een implementatie van artikel 15, vierde lid, CER-richtlijn. Het stellen van een termijn zou de richtlijnbepaling doorkruisen.

Informatie-uitwisseling

In een aantal consultatiereacties, waaronder die van Netbeheer Nederland, NS, VNO-NCW, MKB-Nederland, CBL, ProRail B.V. en Vewin, is gevraagd hoe de vertrouwelijkheid van gemelde gegevens en van de lijst met kritieke entiteiten, bedoeld in artikel 11 Wwke, wordt geborgd. In reactie hierop wordt verwezen naar de toelichting in paragraaf 6.4.6.

Daarnaast is opgemerkt om bij de uitwisseling van persoonsgegevens te regelen dat het om ‘noodzakelijke gegevens’ moet gaan in plaats van ‘benodigde gegevens’, gelet op de eisen van proportionaliteit en subsidiariteit die de Avg aan de uitwisseling van persoonsgegevens stelt. Naar aanleiding van deze reactie is de term ‘benodigde gegevens’ die in diverse conceptartikelen voorkomt, vervangen door ‘noodzakelijke gegevens’.

Ondersteuning kritieke entiteiten

Artikel 10 CER-richtlijn biedt de mogelijkheid aan lidstaten om kritieke entiteiten financieel te ondersteunen. In de Wwke is van deze mogelijkheid geen gebruik gemaakt. In de consultatiereacties van onder meer VNO-NCW, MKB-Nederland, de Nederlandse Veiligheidsbranche, ProRail B.V., NS, Vewin en de Unie van Waterschappen is gevraagd om een onderbouwing van deze keuze.

Er is ervoor gekozen om geen specifiek kader voor financiële ondersteuning op te nemen, nu het iedere bevoegde autoriteit (vakminister) vrij staat om op basis van bestaande (sectorale) wettelijke kaders financiële ondersteuning toe te kennen ten laste van de eigen begroting. De Wwke staat daar niet aan in de weg.

Kritieke entiteiten van bijzonder Europees belang

ProRail B.V. en Vattenfall vragen naar de uitvoering van een adviesmissie van de Europese Commissie als bedoeld in de artikelen 18 CER-richtlijn. Hierover kan het volgende worden toegelicht. Op dit moment wordt gewacht op de vaststelling van de uitvoeringshandeling van de Europese Commissie met daarin onder andere de procedurele regelingen voor verzoeken om adviesmissies te organiseren, voor de behandeling van dergelijke verzoeken, en voor de uitvoering van dergelijke missies als bedoeld in artikel 18, vierde lid, CER-richtlijn.

Dynamische verwijzing naar de CER-richtlijn

In een aantal consultatiereacties, waaronder die van ProRail B.V., wordt opgemerkt dat voor definities enkel naar de CER-richtlijn wordt verwezen, waardoor definities onvoldoende duidelijk zijn. De definities behoeven een inhoudelijke beschrijving en nadere toelichting. Naar aanleiding van deze reacties zijn in artikel 1 Wwke de definities van de begrippen uit de Wwke uitgeschreven, in plaats van een verwijzing naar de definities van die begrippen in de CER-richtlijn.

10. Overgangsrecht en inwerkingtreding

De Wwke voorziet niet in overgangsrecht.

Met betrekking tot de inwerkingtreding van de Wwke is in artikel 49 Wwke bepaald dat de Wwke in werking treedt op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld. Op grond van dit artikel kan worden gekozen voor een gefaseerde inwerkingtreding. Dit is denkbaar in het geval dat bepaalde onderdelen van de Wwke nog niet in werking kunnen treden, terwijl dat bij andere onderdelen van de Wwke wel het geval is. De verwachting is dat bij de inwerkingtreding van (onderdelen van) de Wwke een uitzondering wordt gemaakt op de vaste verandermomenten en de minimuminvoeringstermijn, omdat de Wwke ziet op de implementatie van een bindende EU-rechtshandeling.

11. Transponeringstabel

Bepaling uit de Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333)	Bepaling in Wwke of bestaande regeling	Omschrijving beleidsruimte	Toelichting
Artikel 1, eerste lid	–	–	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het een uitleg betreft van de inhoud van de richtlijn.
Artikel 1, tweede lid	Artikel 4 Wwke	–	–
Artikel 1, derde lid	Artikel 16 Wwke	–	–
Artikel 1, vierde lid	Artikel 35 Wwke	–	–
Artikel 1, vijfde lid	–	–	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het een uitleg betreft van hetgeen de richtlijn lidstaten nadrukkelijk niet belet.
Artikel 1, zesde lid	Artikel 5 Wwke	–	–
Artikel 1, zevende lid	Artikel 25, eerste lid, Wwke	Artikel 1, zevende lid, CER-richtlijn bepaalt dat lidstaten kunnen besluiten dat bepaalde bepalingen (over verplichtingen voor kritieke entiteiten) uit de CER-richtlijn geheel of gedeeltelijk niet van toepassing zijn op specifieke kritieke entiteiten die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving.	Artikel 25, eerste lid, Wwke voorziet in de bevoegdheid van Onze Minister die het aangaat tot het ontheffen van bepaalde kritieke entiteiten van bepaalde verplichtingen. Die bevoegdheid strekt tot de kritieke entiteiten en verplichtingen, bedoeld in artikel 1, zevende lid, CER-richtlijn.
Artikel 1, achtste lid	Artikel 36 Wwke	–	–
Artikel 1, negende lid	–	–	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het een uitleg betreft van waar de richtlijn geen afbreuk aan doet.
Artikel 2	Artikel 1 Wwke, voor zover de begrippen in de Wwke voorkomen	–	–
Artikel 3	–	De mogelijkheid om nationale bepalingen te treffen of te handhaven om het weerbaarheidsniveau van kritieke entiteiten te verhogen.	Er is geen gebruik gemaakt van deze mogelijkheid.
Artikel 4, eerste lid	De artikelen 13, eerste en vierde lid, en 46 Wwke	–	–
Artikel 4, tweede lid	Artikel 13, tweede, derde en vierde lid, Wwke	–	–
Artikel 4, derde lid	–	–	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid.
Artikel 5, eerste lid	De artikelen 6, derde lid, 9, eerste, vierde en vijfde lid, en 45 Wwke	–	–
Artikel 5, tweede lid	Artikel 9, tweede en derde lid, Wwke	–	–
Artikel 5, derde lid	Artikel 9, zesde lid, Wwke	–	–
Artikel 5, vierde lid	–	–	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid.
Artikel 5, vijfde lid	–	–	Deze bepaling is gericht op de Europese Commissie.
Artikel 6, eerste lid	Artikel 44 Wwke	–	–
Artikel 6, tweede lid	Artikel 6, eerste en derde lid, Wwke	–	–
Artikel 6, derde lid	De artikelen 6, vijfde lid, 11, 15, vijfde lid, en 17, zesde lid, Wwke	–	–
Artikel 6, vierde lid	Artikel 28, tweede lid, Wwke	–	–
Artikel 6, vijfde lid	De artikelen 6, zevende lid, en 11, tweede lid, Wwke	–	–
Artikel 6, zesde lid	–	–	Deze bepaling is gericht op de Europese Commissie.
Artikel 7, eerste lid	Artikel 6, tweede lid, Wwke	–	–
Artikel 7, tweede lid	–	–	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid.
Artikel 7, derde lid	–	–	Deze bepaling is gericht op de Europese Commissie.
Artikel 8	Artikel 24 Wwke	–	–
Artikel 9, eerste lid	De artikelen 8 en 26 Wwke	De mogelijkheid om meer dan één bevoegde autoriteit aan te wijzen of op te richten.	Er is gekozen voor de aanwijzing van de vakminister als de bevoegde autoriteit voor de sector waar hij verantwoordelijk voor is.
Artikel 9, tweede lid	Artikel 12 Wwke	De mogelijkheid om een centrale contactpunt aan te wijzen binnen een bevoegde autoriteit en om te bepalen dat het centrale contactpunt een verbindingsfunctie vervult in de samenwerking met de Europese Commissie en derde landen.	Er is geen gebruik gemaakt van de mogelijkheid om een centrale contactpunt aan te wijzen binnen een bevoegde autoriteit. Er is wel gebruik gemaakt van de mogelijkheid om te bepalen dat het centrale contactpunt een verbindingsfunctie vervult in de samenwerking met de Europese Commissie en derde landen.
Artikel 9, derde lid	–	–	De eerste volzin behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid. De tweede volzin betreft een mogelijkheid voor de bevoegde autoriteiten dat niet hoeft te worden geïmplementeerd in nationale wetgeving.
Artikel 9, vierde lid	De artikelen 8 tot en met 12, 18, 19, 22, 26 tot en met 32, en 37 tot en met 41 Wwke	–	Deze bepaling behoeft voor wat betreft de bevoegdheden wel implementatie in nationale wetgeving. De rest van de bepaling behoeft geen implementatie in nationale wetgeving, omdat dat ziet op feitelijke handelingen van de centrale overheid.
Artikel 9, vijfde lid	Artikel 29 Wwke	–	–
Artikel 9, zesde lid	Artikel 28, eerste lid, Wwke	–	–
Artikel 9, zevende lid	–	–	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid.
Artikel 9, achtste lid	–	–	Deze bepaling is gericht op de Europese Commissie.
Artikel 10, eerste lid	Artikel 10 Wwke	De lidstaten mogen zelf bepalen hoe zij de ondersteuning vormgeven. Ook kunnen zij besluiten om financiële middelen te verstrekken aan kritieke entiteiten.	–
Artikel 10, tweede lid	Artikel 10 Wwke	–	–
Artikel 10, derde lid	–	–	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid.
Artikel 11, eerste lid	–	–	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid.
Artikel 11, tweede lid	–	–	Deze bepaling ziet op een uitleg van het doel van het eerste lid.
Artikel 12, eerste lid	Artikel 14, eerste en derde lid, Wwke	–	–
Artikel 12, tweede lid	Artikel 14, eerste, tweede en vierde lid, Wwke	–	–
Artikel 13, eerste lid	Artikel 15, eerste en tweede lid, Wwke	–	–
Artikel 13, tweede lid	Artikel 15, derde lid, Wwke	–	–
Artikel 13, derde lid	Artikel 20 Wwke	–	–
Artikel 13, vierde lid	–	–	Deze bepaling is gericht op de Europese Commissie.
Artikel 13, vijfde lid	–	–	Deze bepaling is gericht op de Europese Commissie.
Artikel 13, zesde lid	–	–	Deze bepaling is gericht op de Europese Commissie.
Artikel 14, eerste, tweede en derde lid	Afdeling 5 van de Wet justitiële en strafvorderlijke gegevens en onderliggende regelgeving	–	–
Artikel 15, eerste lid	De artikelen 17, eerste, derde, vierde en vijfde lid, en 18, derde lid, Wwke	De lidstaten kunnen rekening houden met meer parameters dan in artikel 15, eerste lid, CER-richtlijn zijn gegeven om uit te maken of de verstoring aanzienlijk is.	Artikel 17, vijfde lid, Wwke biedt de mogelijkheid om bij of krachtens amvb nadere regels te stellen over aanvullende aspecten en drempelwaarden die in aanmerking worden genomen om te bepalen of een verstoring aanzienlijk is als bedoeld in artikel 17, derde lid, Wwke.
Artikel 15, tweede lid	Artikel 17, tweede lid, Wwke	–	–
Artikel 15, derde lid	De artikelen 18, vierde lid, en 19, eerste lid, Wwke	–	–
Artikel 15, vierde lid	Artikel 18, eerste en tweede lid, Wwke	–	–
Artikel 16	–	–	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op een aanmoediging.
Artikel 17, eerste lid	–	–	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op de gevallen waarin de Europese Commissie een entiteit beschouwd als een zogeheten kritieke entiteit van bijzonder Europees belang.
Artikel 17, tweede lid	De artikelen 21 en 22, eerste lid, Wwke	–	De laatste volzin van artikel 17, tweede lid, CER-richtlijn behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid.
Artikel 17, derde lid	Artikel 22, tweede lid, Wwke	–	–
Artikel 17, vierde lid	De artikelen 21 en 22 Wwke	–	–
Artikel 18, eerste lid	–	–	Deze bepaling is gericht op de Europese Commissie.
Artikel 18, tweede lid	–	–	Deze bepaling is gericht op de Europese Commissie.
Artikel 18, derde lid	–	–	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid.
Artikel 18, vierde lid	De artikelen 22, derde lid, en 23, tweede lid, Wwke (voor wat betreft de laatste volzin van artikel 18, vierde lid, CER-richtlijn)	–	Alleen de laatste volzin behoeft implementatie in nationale wetgeving. De eerste volzin is gericht op de adviesmissie. De tweede volzin ziet op een feitelijke handeling van de centrale overheid. De derde volzin is gericht op de Europese Commissie.
Artikel 18, vijfde lid	–	–	De eerste alinea ziet op de samenstelling van de adviesmissie. De tweede alinea is gericht op de Europese Commissie.
Artikel 18, zesde lid	–	–	Deze bepaling is gericht op de Europese Commissie.
Artikel 18, zevende lid	Artikel 23, eerste lid, Wwke	–	–
Artikel 18, achtste lid	–	–	–
Artikel 18, negende lid	–	–	Deze bepaling is gericht op de Europese Commissie.
Artikel 18, tiende lid	–	–	Deze bepaling behoeft geen implementatie in nationale wetgeving. Deze bepaling ziet immers deels op een feitelijke handeling van de centrale overheid en is voor het andere deel gericht op de Europese Commissie.
Artikel 19, eerste lid	–	–	Deze bepaling ziet op de oprichting van de Groep voor de weerbaarheid van kritieke entiteiten en de taken van deze groep.
Artikel 19, tweede lid	–	–	Deze bepaling ziet op de samenstelling van Groep voor de weerbaarheid van kritieke entiteiten.
Artikel 19, derde en vierde lid	–	–	Deze bepalingen zijn gericht op de Groep voor de weerbaarheid van kritieke entiteiten.
Artikel 19, vijfde lid	–	–	Deze bepaling is gericht op de Groep voor de weerbaarheid van kritieke entiteiten en de NIS2-samenwerkingsgroep.
Artikel 19, zesde lid	–	–	Deze bepaling betreft een bevoegdheid van de Europese Commissie.
Artikel 19, zevende lid	–	–	Deze bepaling is gericht op de Europese Commissie.
Artikel 20, eerste, tweede en derde lid	–	–	Deze bepalingen zijn gericht op de Europese Commissie.
Artikel 21, eerste lid	Titel 5.2 Awb (voor wat betreft onderdeel a) Artikel 38 Wwke (voor wat betreft onderdeel b)	–	–
Artikel 21, tweede lid	De artikelen 5:16, 5:17 en 5:20 Awb en artikel 38, eerste lid, onderdeel b, Wwke	–	Artikel 5:16 Awb verschaft aan toezichthouders een algemene bevoegdheid om inlichtingen te vorderen. De toezichthouder moet zijn vordering motiveren en daarbij de wettelijke grondslag noemen.1 Onderdeel van die motiveringsplicht is dat de toezichthouder motiveert waarom de gevorderde informatie noodzakelijk is voor het uitoefenen van de toezichthoudende taak.2 De vordering van de toezichthouder moet voldoende concreet zijn.3
Artikel 21, derde lid	De artikelen 39 en 40 Wwke	–	–
Artikel 21, vierde lid	Zie toelichting	–	Deze waarborgen zijn reeds aanwezig in het Nederlandse rechtsstelsel en zijn onder meer gecodificeerd in de Awb.
Artikel 21, vijfde lid	Artikel 28, eerste, derde en vierde lid, Wwke	–	–
Artikel 22	Artikel 41 Wwke	–	–
Artikel 23, eerste en tweede lid	–	–	Deze bepalingen betreffen bevoegdheden van de Europese Commissie.
Artikel 23, derde lid	–	–	Deze bepaling betreft een bevoegdheid van het Europees Parlement en de Europese Raad.
Artikel 23, vierde en vijfde lid	–	–	Deze bepalingen zijn gericht op de Europese Commissie.
Artikel 23, zesde lid	–	–	Deze bepaling ziet op de inwerkingtreding van een gedelegeerde handeling.
Artikel 24, eerste en tweede lid	–	–	Deze bepalingen zien op bijstand aan de Europese Commissie door een comité.
Artikel 25	–	–	Deze bepaling is gericht op de Europese Commissie.
Artikel 26, eerste lid	Zie toelichting	–	De CER-richtlijn wordt geïmplementeerd in de Wwke.
Artikel 26, tweede lid	–	–	Deze bepaling ziet op een feitelijke uitvoering.
Artikel 27	Zie toelichting	–	Deze bepaling vereist geen wijziging van bestaande wet- en regelgeving, omdat de in deze bepaling genoemde richtlijn niet is geïmplementeerd in wetgeving.4
Artikel 28	–	–	Deze bepaling ziet op de inwerkingtreding van de CER-richtlijn.
Artikel 29	–	–	Deze bepaling ziet op de adressaten van de CER-richtlijn.

X Noot

Kamerstukken II 2004/05, 29 708, nr. 7, p. 11.

X Noot

Zie ook ECLI:NL:RVS:2021:1674, rechtsoverweging 4.2: ‘Gelet op artikel 5:13 van de Awb maakt een toezichthouder slechts van zijn bevoegdheden gebruik voor zover dat redelijkerwijs voor de vervulling van zijn taak nodig is. De inspectie kan dus geen inzage vorderen van andere informatie dan die welke verband houden met de wettelijke voorschriften waarop het toezicht in het concrete geval betrekking heeft. Daarnaast moet zij motiveren waarom de gevraagde informatie noodzakelijk is voor het uitoefenen van het toezicht.’

X Noot

Zie ook ECLI:NL:RVS:2016:378, rechtsoverweging 2.5: ‘Zoals de Afdeling [bestuursrechtspraak van de Raad van State] eerder heeft overwogen (uitspraak van 2 mei 2012 in zaak nr. 201110374/1/V6), moeten uit het oogpunt van rechtszekerheid hoge eisen worden gesteld aan de kenbaarheid van een vordering tot het verlenen van medewerking.’

X Noot

⁴

Zie Stcrt. 2010, 20996.

ARTIKELSGEWIJZE TOELICHTING

Artikel 1 (begripsbepaling)

Definities uit artikel 2 CER-richtlijn

Artikel 1 Wwke bevat de definitie van begrippen uit de Wwke. De meeste definities in artikel 1 Wwke zijn identiek, dan wel inhoudelijk gelijk aan de definities in artikel 2 CER-richtlijn.

Definitie van entiteit

Bij de definitie van entiteit geldt het volgende. Artikel 2, onderdeel 1, CER-richtlijn definieert een kritieke entiteit als een publieke of particuliere entiteit die overeenkomstig artikel 6 CER-richtlijn door een lidstaat is geïdentificeerd als behorende tot één van de categorieën die zijn vermeld in de derde kolom van de tabel in de bijlage. De term ‘particuliere entiteiten’ is echter niet gangbaar in het Nederlandse rechtsstelsel. Veelal worden dergelijke entiteiten aangeduid als natuurlijke personen of rechtspersonen, zoals in de definitie van entiteit in de NIS2-richtlijn (artikel 6, onderdeel 38, NIS2-richtlijn). Met het oog op het aansluiten bij het huidige rechtsstelsel en tevens het zoveel als mogelijk uniform implementeren van de CER-richtlijn en de NIS2-richtlijn is ervoor gekozen om een definitie van entiteit te hanteren, waarin enerzijds publieke entiteiten onder vallen en anderzijds natuurlijke personen of rechtspersonen. De in artikel 1 Wwke opgenomen definitie van entiteit is identiek aan de definitie van entiteit uit artikel 1 Cbw.

Definitie van overheidsinstantie

De definitie van overheidsinstantie in artikel 1 Wwke is inhoudelijk gelijk aan de definitie hiervan in artikel 2, onderdeel 10, CER-richtlijn. Uit de definitie volgt dat in elk geval de rechterlijke macht, de centrale banken (in casu: De Nederlandsche Bank N.V.) en het parlement niet onder het begrip overheidsinstantie in de zin van de Wwke vallen.

Op grond van artikel 1 Wwke is een entiteit een overheidsinstantie als deze overeenkomstig het nationale recht als zodanig in een lidstaat is erkend en aan deze vier criteria voldoet:

a. zij is opgericht om te voorzien in behoeften van algemeen belang en heeft geen industrieel of commercieel karakter;
b. zij heeft rechtspersoonlijkheid of mag volgens de wet namens een andere entiteit met rechtspersoonlijkheid optreden;
c. zij wordt grotendeels gefinancierd door de staat, regionale autoriteiten of andere publiekrechtelijke organen, is onderworpen aan beheerstoezicht door die autoriteiten of organen, of heeft een bestuurs-, leidinggevend of toezichthoudend orgaan waarvan de leden voor meer dan de helft door de staat, regionale autoriteiten of andere publiekrechtelijke organen worden benoemd;
d. zij heeft de bevoegdheid om ten aanzien van natuurlijke of rechtspersonen administratieve of regelgevende besluiten te nemen die van invloed zijn op hun rechten op het grensoverschrijdende verkeer van personen, goederen, diensten of kapitaal.

Criterium a betreft het doel waartoe een entiteit is opgericht. Bij een krachtens publiekrecht ingestelde entiteit zal dit doel blijken uit de wet waarbij de entiteit is ingesteld en de geschiedenis van de totstandkoming van die wet. Bij een privaatrechtelijke entiteit zal het doel blijken uit de statuten. Er zijn geen limitatieve criteria om te bepalen of een entiteit is opgericht om te voorzien in behoeften van algemeen belang en dat het voorzien in die behoefte van algemeen belang geen industrieel en commercieel karakter heeft. Relevante aanknopingspunten zijn of een entiteit onder normale marktomstandigheden opereert, of deze bestuurd wordt op basis van criteria van rendement, doelmatigheid en rentabiliteit, of de entiteit winstoogmerk als hoofddoel heeft of deze zelf de eigen verliezen draagt. Dergelijke omstandigheden wijzen in de richting van een commercieel of industrieel karakter.

Criterium b vereist dat de entiteit zelf rechtspersoonlijkheid heeft of volgens de wet mag optreden namens een andere entiteit met rechtspersoonlijkheid. Ingevolge artikel 2:1, eerste lid, Burgerlijk Wetboek (hierna: BW) bezitten de Staat, de provincies, de gemeenten, de waterschappen, alsmede alle lichamen waaraan krachtens de Grondwet verordenende bevoegdheid is verleend, rechtspersoonlijkheid. Ook kan rechtspersoonlijkheid aan een entiteit zijn toegekend in de wet waarbij de entiteit is opgericht. Verenigingen, coöperaties, onderlinge waarborgmaatschappijen, naamloze vennootschappen, besloten vennootschappen met beperkte aansprakelijkheid en stichtingen bezitten rechtspersoonlijkheid ingevolge artikel 2:3 BW. Aan criterium b wordt ook voldaan indien de entiteit zelf geen rechtspersoonlijkheid heeft, maar wel mag optreden namens een andere entiteit met rechtspersoonlijkheid. Hierbij kan worden gedacht aan zelfstandige bestuursorganen die namens de Staat mogen optreden. Ook ministers mogen namens de Staat handelen.

Criterium c ziet op de vereiste betrokkenheid van de overheid bij de entiteit. Die betrokkenheid kan verschillende vormen aannemen. Allereerst wordt aan dit criterium voldaan indien de entiteit grotendeels door de Staat, regionale autoriteiten of andere publiekrechtelijke organen wordt gefinancierd. De entiteit moet dus in hoofdzaak, dat wil zeggen voor meer dan 50%, worden gefinancierd door de overheid. Op welke manier deze financiering wordt vormgegeven, is in dat verband niet bepalend.

In de tweede plaats wordt aan dit criterium voldaan indien de entiteit onderworpen is aan beheerstoezicht door de Staat, regionale autoriteiten of andere publiekrechtelijke organen. Dit is het geval indien er een zekere afhankelijkheid bestaat van de entiteit ten opzichte van die autoriteiten of organen en indien zij de beslissingen van de entiteit kunnen beïnvloeden. Van beheerstoezicht is niet al sprake bij reguliere controle door de overheid op de naleving van regelgeving.

In de derde plaats wordt aan het criterium voldaan indien de entiteit een bestuursorgaan, leidinggevend of toezichthoudend orgaan heeft waarvan de leden voor meer dan de helft door de Staat, regionale autoriteiten of andere publiekrechtelijke organen worden benoemd. Het begrip ‘bestuursorgaan’ moet niet worden gelezen als bestuursorgaan in de zin van artikel 1:1 Awb. Het gaat in dit kader om het bestuur van een organisatie.27 Door middel van het benoemen van meer dan de helft van de leden van de genoemde organen, heeft de benoemende overheidsinstantie invloed op de beslissingen die de entiteit neemt.

Criterium d vereist allereerst dat de entiteit de bevoegdheid heeft om ten aanzien van natuurlijke personen of rechtspersonen administratieve of regelgevende besluiten te nemen. Het nemen van administratieve of regelgevende besluiten betreft in de Nederlandse context het nemen van besluiten in de zin van artikel 1:3 Awb. Belangrijk daarbij is dat de beslissingen een publiekrechtelijke rechtshandeling moeten inhouden. De beslissingen moeten dus onder meer rechtsgevolg hebben. Concreet betekent dit dat entiteiten die uitsluitend adviezen uitbrengen of feitelijke handelingen verrichten, niet aan dit criterium voldoen. Een entiteit heeft niet slechts een bevoegdheid om besluiten te nemen in de zin van dit criterium indien een bevoegdheid aan die entiteit is geattribueerd of gedelegeerd, maar ook indien een bevoegdheid aan die entiteit is gemandateerd. Het tweede deel van criterium d vereist dat de door de entiteit genomen besluiten van invloed zijn op de rechten van natuurlijke personen of rechtspersonen op het grensoverschrijdende verkeer van personen, goederen, diensten of kapitaal. Deze passage moet ruim worden uitgelegd. In het overgrote deel van de gevallen zal hiervan sprake zijn, ook indien sprake is van bevoegdheden met een meer nationaal karakter of gericht op nationale aangelegenheden. Slechts indien een entiteit niet het EU-recht (dat is gerelateerd aan een van de vier vrijheden) ten uitvoer brengt of indien het is uitgesloten dat besluiten van de entiteit gevolgen hebben voor natuurlijke personen of rechtspersonen buiten de lidstaat, is niet aan het tweede deel van het criterium voldaan.

De sector overheid, genoemd in de bijlage van de Wwke, bestaat uit overheidsinstanties van de centrale overheid. Daaronder vallen in Nederland de ministeries en de daartoe behorende dienstonderdelen en zelfstandige bestuursorganen, voor zover zij kwalificeren als overheidsinstanties van de centrale overheid. Voor wat betreft zelfstandige bestuursorganen die vallen onder de Kaderwet zelfstandige bestuursorganen geldt dat deze behoren tot de centrale overheid. Artikel 1, onder a, Kaderwet zelfstandige bestuursorganen bepaalt immers dat een zelfstandig bestuursorgaan is: een bestuursorgaan van de centrale overheid dat bij de wet, krachtens de wet bij algemene maatregel van bestuur of krachtens de wet bij ministeriële regeling met openbaar gezag is bekleed, en dat niet hiërarchisch ondergeschikt is aan een minister. Uiteraard zal wel moeten zijn voldaan aan de overige vereisten van de definitie van het begrip overheidsintantie.

Zelfstandige bestuursorganen waarop de Kaderwet zelfstandige bestuursorganen niet van toepassing is, kunnen nog steeds onder het bereik van de Wwke vallen. Daarvoor zal moeten worden bezien of zij onderdeel zijn van de centrale overheid en of zij ook voor het overige voldoen aan de criteria uit de definitie van het begrip overheidsinstantie.

Overheidsinstanties op regionaal en lokaal niveau worden, onafhankelijk van de activiteiten die zij verrichten, niet aangewezen als (publieke) kritieke entiteit in de sector overheid. Dit neemt echter niet weg dat dergelijke overheidsinstanties op regionaal en lokaal niveau wel binnen een andere sector in de bijlage kunnen vallen en via die sector kunnen worden aangewezen als kritieke entiteit, waardoor de verplichtingen uit de Wwke via die route op hen van toepassing zijn.

Artikel 2 (doel van deze wet)

In artikel 2 Wwke is het doel van de Wwke omschreven. Hetgeen in artikel 2 Wwke is opgenomen, is ontleend aan artikel 1, eerste lid, en de overwegingen 1 tot en met 7 CER-richtlijn.

Artikel 3 (uitvoering uitvoeringshandelingen, gedelegeerde handelingen en richtsnoeren)

De CER-richtlijn bevat diverse grondslagen om uitvoeringshandelingen, gedelegeerde handelingen en richtsnoeren vast te stellen. Indien deze worden vastgesteld, is het mogelijk dat er in nationale wet- en regelgeving regels nodig zijn ter uitvoering daarvan. Artikel 3 Wwke bevat daarom een delegatiegrondslag om bij of krachtens amvb regels te kunnen stellen ter uitvoering van de op grond van de CER-richtlijn vastgestelde uitvoeringshandelingen, gedelegeerde handelingen en richtsnoeren. Dit betreft een facultatieve grondslag, omdat de mogelijkheid bestaat dat niet alle op grond van de CER-richtlijn vastgestelde uitvoeringshandelingen, gedelegeerde handelingen of richtsnoeren nopen tot het stellen van regels ter uitvoering daarvan.

Artikel 4 (netwerk- en informatiesystemen en de fysieke componenten en omgevingen daarvan)

In artikel 4 Wwke is geregeld dat de Wwke niet van toepassing is op aangelegenheden waarop de Cbw van toepassing is. Dit artikel betreft de implementatie van artikel 1, tweede lid, CER-richtlijn. Zie paragraaf 2.3 voor een toelichting hierop.

Artikel 5 (overheidsinstanties die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving)

Artikel 5 Wwke strekt tot de implementatie van artikel 1, zesde lid, CER-richtlijn. Overheidsinstanties die hoofdzakelijk activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving vallen niet onder het toepassingsbereik van de CER-richtlijn en worden daarom in artikel 5 Wwke uitgezonderd van het toepassingsbereik van de Wwke. Deze activiteiten vallen namelijk binnen de uitsluitende verantwoordelijkheid van lidstaten. Artikel 5 Wwke ziet alleen op overheidsinstanties die in hoofdzaak deze activiteiten uitvoeren. Overheidsinstanties die activiteiten verrichten die daar slechts zijdelings verband mee houden vallen wél onder het bereik van de Wwke.

In elk geval het Ministerie van Defensie en de politie vallen op grond van artikel 5 Wwke buiten het toepassingsbereik van de Wwke.

Artikel 5 Wwke sluit aan op artikel 5 Cbw, waarin een soortgelijke bepaling uit de NIS2-richtlijn (artikel 2, zevende lid, NIS2-richtlijn) is geïmplementeerd.

Artikel 6 (aanwijzing kritieke entiteit)

Artikel 6 Wwke gaat over de aanwijzing van een entiteit als kritieke entiteit.

Criteria voor aanwijzing als kritieke entiteit

Een entiteit wordt aangewezen als kritieke entiteit als zij voldoet aan alle criteria uit artikel 6, eerste en tweede lid, Wwke. Het gaat om de volgende criteria:

• De entiteit verleent één of meer essentiële diensten. Een essentiële dienst is een dienst die van cruciaal belang zijn voor de instandhouding van vitale maatschappelijke functies, economische activiteiten, de volksgezondheid en openbare veiligheid of het milieu (zie artikel 1 Wwke).
• De entiteit is actief in Nederland en haar kritieke infrastructuur bevindt zich in Nederland. Hiermee wordt bedoeld dat de entiteit en haar kritieke infrastructuur, geheel of gedeeltelijk, actief is op het grondgebied van Nederland (inclusief het luchtruim en de maritieme binnenwateren en territoriale zee) en dat de activiteiten van de entiteit noodzakelijk zijn om de betreffende essentiële dienst of diensten te verlenen.
• Een incident zou aanzienlijke verstorende effecten hebben op de verlening van de essentiële dienst(en) door deze entiteit of van andere essentiële diensten via cascade-effecten. Bij het bepalen of een verstorend effect aanzienlijk is, wordt rekening gehouden met de volgende criteria:
- a. het aantal gebruikers dat afhankelijk is van de door de betrokken entiteit verleende essentiële dienst;
- b. de mate waarin andere sectoren en subsectoren, genoemd in de bijlage van de Wwke, en, indien van toepassing, andere sectoren en subsectoren die zijn aangewezen op grond van artikel 7, eerste lid, Wwke afhankelijk zijn van de betrokken essentiële dienst;
- c. de ernst en duur van de gevolgen die incidenten kunnen hebben voor economische en maatschappelijke activiteiten, het milieu, de openbare veiligheid en beveiliging, of de volksgezondheid;
- d. het marktaandeel van de entiteit op de markt voor de betrokken essentiële dienst;
- e. het geografische gebied dat door een incident kan worden getroffen, met inbegrip van eventuele grensoverschrijdende gevolgen, rekening houdend met de kwetsbaarheid die samenhangt met de mate van isolatie van bepaalde soorten geografische gebieden, zoals insulaire regio’s, afgelegen regio’s of bergachtige gebieden;
- f. het belang van de entiteit om de essentiële dienst op een voldoende niveau te houden, rekening houdend met de beschikbare alternatieven voor het verlenen van die essentiële dienst.

Delegatiegrondslag

In artikel 6, vierde lid, Wwke is een delegatiegrondslag opgenomen die de vakminister, na overleg met de Minister van Justitie en Veiligheid, de mogelijkheid biedt om bij ministeriële regeling regels te stellen over de invulling van de aspecten die in aanmerking moeten worden genomen om te bepalen of een verstoring aanzienlijk is. Deze invulling kan per sector, subsector en categorie van entiteiten verschillen en kan bijvoorbeeld worden uitgedrukt in een bepaald bedrag aan financiële of economische schade, aantallen betrokken of getroffen personen, of de capaciteitsimpact op de levering van de essentiële dienst.

Aanwijzing door de vakminister

Het aanwijzen van kritieke entiteiten is de verantwoordelijkheid van de vakminister die verantwoordelijk is voor de sector waarbinnen een entiteit activiteiten verricht. De aanwijzing geschiedt bij regeling of besluit, na overleg met de Minister van Justitie en Veiligheid als coördinerend bewindspersoon. Bij de aanwijzing vermeldt de vakminister vanaf wanneer de kritieke entiteit dient te voldoen aan verplichtingen en om welke verplichtingen het gaat.

Aanwijzing bij regeling of besluit

De aanwijzing betreft een besluit in de zin van artikel 1:3 Awb. Dit betekent dat de vakminister bij de aanwijzing moet voldoen aan de in de Awb gestelde eisen aan besluitvorming door bestuursorganen en dat tegen het aanwijzingsbesluit bestuursrechtelijke rechtsbescherming open staat. Dit geldt ook indien de vakminister ervoor kiest om een entiteit bij regeling aan te wijzen als kritieke entiteit. Ook dan gelden dus onverkort de hiervoor bedoelde eisen uit de Awb en bestuursrechtelijke rechtsbescherming.

Intrekking aanwijzing

Als een entiteit niet langer voldoet aan de voorwaarden om aangewezen te worden als kritieke entiteit, genoemd in artikel 6, eerste lid, Wwke, trekt de vakminister de aanwijzing in. Dit is geregeld in artikel 6, zevende lid, Wwke. De intrekking van de aanwijzing als kritieke entiteit heeft tot gevolg dat een entiteit niet meer onder het toepassingsbereik van de Wwke valt. De verplichtingen uit de Wwke voor kritieke entiteiten zijn dan dus ook niet meer van toepassing op de betrokken entiteit.

Artikel 7 (aanwijzing sector, subsector en categorie van entiteiten)

In aanvulling op de in de bijlage van de Wwke opgenomen sectoren, subsectoren en categorieën van entiteiten, kan de vakminister aanvullende sectoren, subsectoren en categorieën van entiteiten aanwijzen op grond van artikel 7 Wwke. Daarbinnen kunnen op grond van artikel 6, eerste lid, Wwke kritieke entiteiten worden aangewezen.

In de gevallen dat de Minister van Justitie en Veiligheid sectoren of subsectoren, die onder zijn beleidsverantwoordelijkheid vallen, op grond van artikel 7 Wwke aanwijst, treedt die minister op als ‘de Minister die het aangaat’ en niet als ‘Onze Minister’.

Voor de identificatie van sectoren, subsectoren en categorieën van entiteiten wordt rekening gehouden met de nationale strategie en de resultaten van de sectorale risicobeoordeling. Daarnaast is in artikel 7 Wwke aangesloten bij een aantal criteria uit artikel 6, tweede lid, Wwke voor de beoordeling of een verstorend effect aanzienlijk is. Deze criteria betreffen:

a. de mate waarin andere sectoren en subsectoren, genoemd in de bijlage van de Wwke, afhankelijk zijn van de essentiële dienst of diensten van entiteiten in de sector of subsector;
b. De ernst en duur van de gevolgen die incidenten in de sector of subsector kunnen hebben voor economische en maatschappelijke activiteiten, het milieu, de openbare veiligheid en beveiliging, of de volksgezondheid; en
c. het geografische gebied dat door een incident in de sector of subsector kan worden getroffen, met inbegrip van eventuele grensoverschrijdende gevolgen, rekening houdend met de kwetsbaarheid die samenhangt met de mate van isolatie van bepaalde soorten geografische gebieden, zoals insulaire regio’s of afgelegen regio’s.

Deze criteria komen ook voor in de sectorale risicobeoordeling, komen in praktijk overeen met de vitaalbeoordeling zoals beschreven in hoofdstuk 3 en sluiten hiermee aan op de huidige gangbare praktijk om vitale aanbieders te identificeren.

Artikel 8 (aanwijzing en taken bevoegde autoriteit)

Artikel 8 Wwke ziet op de aanwijzing en taken van de in artikel 9, eerste lid, CER-richtlijn bedoelde bevoegde autoriteiten. De vakministers zijn voor in elk geval de in artikel 8 Wwke genoemde sectoren en subsectoren en, indien van toepassing, aanvullende sectoren, subsectoren of categorieën van entiteiten, de bevoegde autoriteit voor alle in de Wwke genoemde taken van de bevoegde autoriteit. Paragraaf 5.7 gaat nader in op de taken van de bevoegde autoriteit.

Artikel 9 (risicobeoordeling door de bevoegde autoriteit)

Artikel 9 Wwke strekt tot de implementatie van artikel 5 CER-richtlijn en ziet op de verplichting voor de bevoegde autoriteit om een risicobeoordeling uit te voeren. Deze verplichting zal in de praktijk worden uitgevoerd door de vakministers. Paragraaf 5.1 gaat in op deze risicobeoordeling.

Alle relevante natuurlijke en door de mens veroorzaakte risico’s

In artikel 9, eerste lid, Wwke is bepaald dat de risicobeoordeling moet zien op alle relevante natuurlijke en door de mens veroorzaakte risico’s die tot een incident zouden kunnen leiden. De bevoegde autoriteit (vakminister) moet bij de risicobeoordeling ieder geval rekening houden met sectoroverschrijdende of grensoverschrijdende risico’s, ongevallen, natuurrampen, noodsituaties op het gebied van de volksgezondheid en hybride dreigingen of andere antagonistische dreigingen. Onder antagonistische dreigingen worden opzettelijke activiteiten verstaan die illegaal en vijandig zijn, zoals terroristische misdrijven, criminele infiltratie, diefstal en sabotage.

Aangezien de daadwerkelijke relevante risico’s afhankelijk zijn van een facet aan factoren die niet altijd op voorhand te bepalen zijn, waaronder het geopolitieke speelveld, de technologische ontwikkelingen en de verwevenheid van sectoren, zal aan de hand van de dan actuele en relevante informatie doorlopend moeten worden beoordeeld wat de risico’s zijn die in de risicobeoordeling moeten worden meegenomen en in welke mate. De bevoegde autoriteit (vakminister) moet daarbij in ieder geval rekening houden met de reeds bestaande nationale risicoanalyses en dreigingsbeelden, zoals de Rijksbrede Risicoanalyse Nationale Veiligheid, het Cybersecuritybeeld Nederland (CSBN), het Dreigingsbeeld Statelijke Actoren (DBSA) en het Dreigingsbeeld Terrorisme Nederland (DTN). Ook moet de bevoegde autoriteit (vakminister) rekening houden met de risicobeoordelingen en informatie afkomstig van de EU, waaronder in ieder geval de risicobeoordelingen, bedoeld in artikel 9, tweede lid, onderdeel a, Wwke.

Nationale en internationale samenwerking

De bevoegde autoriteit (vakminister) deelt de resultaten van de risicobeoordeling met de Minister van Justitie en Veiligheid in zijn hoedanigheid als het centrale contactpunt, waardoor aldaar een overkoepelend beeld ontstaat van de geïdentificeerde risico’s per sector en subsector. Een (geaggregeerd) overzicht van de relevante resultaten per sector en subsector wordt periodiek door de Minister van Justitie en Veiligheid in zijn hoedanigheid als het centrale contactpunt met de Europese Commissie gedeeld. Daarnaast zal het overkoepelend beeld worden meegenomen in actualisatie van de nationale strategie (die op grond van artikel 13 Wwke moet worden vastgesteld door de Minister van Justitie en Veiligheid), in de beleidsontwikkeling van de Aanpak vitaal en bij het eventueel ontwikkelen van sectoroverstijgende maatregelen ter verhoging van de weerbaarheid.

Frequentie

De bevoegde autoriteit (vakminister) moet de risicobeoordeling ten minste elke vier jaar uitvoeren (artikel 9, vijfde lid, Wwke). De risicobeoordeling kan ook eerder worden uitgevoerd als hiertoe aanleiding bestaat, bijvoorbeeld als gevolg van nationale of Europese actualiteiten, ontwikkelingen of dreigingen. Dit komt overeen met de reeds bestaande cyclus vitaal.

Verstrekking informatie uit risicobeoordeling aan kritieke entiteit

De bevoegde autoriteit (vakminister) moet relevante informatie uit haar risicobeoordeling verstrekken aan de kritieke entiteit in de betrokken sector (artikel 9, zesde lid, Wwke). Dit is van belang, omdat de kritieke entiteit rekening moet houden met die risicobeoordeling bij het te verrichten van de eigen risicobeoordeling en het voldoen aan de zorgplicht. Hierbij geldt uiteraard dat de vertrouwelijkheid van de uit te wisselen informatie in acht moet worden genomen.

Artikel 10 (ondersteuning aan kritieke entiteiten)

Artikel 10 Wwke betreft de implementatie van artikel 10 CER-richtlijn. In de laatstgenoemde bepaling worden lidstaten verplicht om kritieke entiteiten te ondersteunen bij het vergroten van hun weerbaarheid en bij de naleving van de verplichtingen die volgen uit de CER-richtlijn. Paragraaf 5.8 gaat in op deze ondersteuning.

Artikel 10, derde lid, Wwke biedt de grondslag om in lagere regelgeving (sectorspecifieke) regels te stellen over de samenwerking en ondersteuning.

Artikel 11 (lijst van kritieke entiteiten)

Artikel 11 Wwke betreft de implementatie van artikel 6, derde en vijfde lid, CER-richtlijn en ziet op het opstellen van een lijst van geïdentificeerde kritieke entiteiten. In de Wwke wordt dit geïmplementeerd als een verplichting van de bevoegde autoriteit (vakminister) om de lijst op te stellen. Er is ervoor gekozen om deze verplichting te beleggen bij de bevoegde autoriteit (vakminister), omdat zij beschikt over de benodigde informatie vanwege de verantwoordelijkheid voor het identificeren en aanwijzen van kritieke entiteiten.

De identificatie van kritieke entiteiten en de evaluatie hiervan zal periodiek en ten minste elke vier jaar plaatsvinden, al dan niet in lijn met de sectorale risicobeoordeling en de nationale strategie die ook ten minste elke vier jaar worden uitgevoerd en opgesteld. De bevoegde autoriteit (vakminister) zal aan de hand van de evaluatie de lijst van kritieke entiteiten opstellen en waar nodig actualiseren, zoals wordt voorgeschreven in artikel 11, tweede lid, Wwke. Indien uit de evaluatie blijkt dat een kritieke entiteit niet meer voldoet aan de criteria om aangewezen te worden als kritieke entiteit, zal de bevoegde autoriteit (vakminister) de aanwijzing intrekken op grond van artikel 6, zevende lid, Wwke. De entiteit zal als gevolg van die intrekking niet meer onder het toepassingsbereik van de Wwke vallen.

Artikel 12 (aanwijzing en taken centrale contactpunt)

Artikel 9, tweede lid, CER-richtlijn verplicht lidstaten tot het aanwijzen van een nationaal centrale contactpunt en bevat een omschrijving van de taken van dat contactpunt. In artikel 12 Wwke wordt de Minister van Justitie en Veiligheid aangewezen als dat centrale contactpunt en zijn de hiervoor bedoelde taken opgenomen. Zie paragraaf 5.6 voor een toelichting op de keuze voor de Minister van Justitie en Veiligheid en een beschrijving van de taken van het centrale contactpunt.

Artikel 13 (strategie inzake de weerbaarheid van kritieke entiteiten)

Op grond van artikel 13 Wwke moet de Minister van Justitie en Veiligheid in overeenstemming met de vakministers een strategie vaststellen om de weerbaarheid van kritieke entiteiten te verbeteren. In artikel 13, tweede lid, Wwke is bepaald welke elementen de strategie ten minste moet bevatten. De hierin genoemde elementen zijn de elementen die worden genoemd in artikel 4, tweede lid, CER-richtlijn.

Voordat de Minister van Justitie en Veiligheid de strategie vaststelt of actualiseert, consulteert hij eerst in overeenstemming met de vakministers de relevante betrokken partijen, waaronder eventueel overheidspartijen. De Veiligheidsstrategie voor het Koninkrijk der Nederlanden beschrijft de acties en ambities van het kabinet voor de periode 2023–2029 en vormt de basis voor de strategie om de weerbaarheid van kritieke entiteiten te verbeteren.

Artikel 14 (risicobeoordeling door de kritieke entiteit)

Risicobeoordeling door de kritieke entiteit

Kritieke entiteiten moeten op grond van artikel 14, eerste lid, Wwke een risicobeoordeling uitvoeren op basis van de relevante informatie uit de risicobeoordeling van de bevoegde autoriteit (vakminister) en andere relevante informatiebronnen. Zij moeten in het kader daarvan alle relevante door de natuur en door de mens veroorzaakte risico’s die de verlening van hun essentiële dienst of diensten kunnen verstoren, beoordelen.

Een risico is in artikel 1 Wwke gedefinieerd als de mogelijkheid van verlies of verstoring als gevolg van een incident; dat wordt uitgedrukt als een combinatie van de omvang van een dergelijk verlies of een dergelijke verstoring en de waarschijnlijkheid dat het incident zich voordoet. Een risico wordt dus uitgedrukt als de waarschijnlijkheid dat een incident plaatsvindt en de impact die dit incident heeft.

Artikel 14, eerste lid, Wwke bevat een opsomming van de risico’s die kritieke entiteiten in ieder geval moeten beoordelen. Daarbij gaat het onder meer om risico’s van sectoroverschrijdende of van grensoverschrijdende aard, risico’s op ongevallen en risico’s op natuurrampen. Uit artikel 14, tweede lid, Wwke volgt dat kritieke entiteiten in de risicobeoordeling ook moeten meewegen, voor zover informatie hierover redelijkerwijs voorhanden is, in hoeverre andere in de Wwke genoemde sectoren afhankelijk zijn van de door de kritieke entiteit verleende essentiële dienst. Ook moeten zij meewegen in hoeverre zijzelf afhankelijk zijn van essentiële diensten van andere entiteiten in andere sectoren. Het kan hierbij ook gaan om afhankelijkheden buiten Nederland.

Bronnen

Artikel 14, eerste lid, Wwke bepaalt dat een kritieke entiteit haar risicobeoordeling moet uitvoeren op basis van de relevante informatie uit de risicobeoordeling van de bevoegde autoriteit (vakminister) en andere relevante informatiebronnen. Voor wat betreft dat laatste kan het gaan om openbare sectorale analyses, periodieke risicoanalyses voor de vitale infrastructuur of andersoortige periodieke dreigingsbeelden. Dit zijn in ieder geval de door de Minister van Justitie en Veiligheid opgestelde of aangeboden Rijksbrede Risicoanalyse Nationale Veiligheid en andere relevante periodieke risicoanalyses, zoals het Cybersecuritybeeld Nederland (CSBN), het Dreigingsbeeld Statelijke Actoren (DBSA) en het Dreigingsbeeld Terrorisme Nederland (DTN).

Frequentie

De risicobeoordeling moet periodiek worden uitgevoerd en herzien. In artikel 14, derde lid, Wwke is bepaald dat de eerste risicobeoordeling binnen negen maanden na de aanwijzing als kritieke entiteit moet worden uitgevoerd door die entiteit. Vervolgens moet de risicobeoordeling ten minste om de vier jaar opnieuw worden uitgevoerd, of eerder, wanneer daar aanleiding toe is. Die aanleiding kan er bijvoorbeeld zijn als gevolg van actualiteiten, ontwikkelingen of dreigingen. Deze inschatting wordt in eerste instantie gemaakt door de kritieke entiteit, maar ook de bevoegde autoriteit (vakminister en toezichthoudende instantie) kan van oordeel zijn dat er aanleiding is voor een eerdere uitvoering van de risicobeoordeling door de kritieke entiteit.

Nadere regels

Artikel 14, vijfde lid, Wwke bevat een delegatiegrondslag om in lagere regelgeving regels te kunnen stellen over de uitvoering en inhoud van de risicobeoordeling door kritieke entiteiten en de elementen die daarin van belang worden geacht. Hierbij kan worden gedacht aan specifieke dreigingen en risico’s die expliciet in aanmerking moeten worden genomen bij de toepassing van de risicobeoordeling door de kritieke entiteit. Dit kan bijvoorbeeld het geval zijn naar aanleiding van informatie die voortvloeit uit de risicobeoordeling van de bevoegde autoriteit (vakminister) of het actuele dreigingsbeeld.

Artikel 15 (zorgplicht)

Artikel 15 Wwke strekt tot de implementatie van artikel 13, eerste en tweede lid, CER-richtlijn en ziet op de zorgplicht voor kritieke entiteiten. Paragraaf 5.4 gaat in op deze verplichting.

Beschrijving van de maatregelen

In artikel 15, tweede lid, Wwke is bepaald dat kritieke entiteiten de maatregelen die zij op grond van artikel 15, eerste lid, Wwke moeten nemen, moeten beschrijven. Zij zijn vrij in de vorm van die beschrijving. Zo kan de beschrijving worden opgenomen in een (afzonderlijk) document, maar ook systemen of andere documentvormen zijn mogelijk. Verder kan het gaan om reeds opgestelde documenten of andersoortige beschrijvingen, zoals een veiligheidsplan, beveiligingsplan, risicobeheersplan, crisisplan of bedrijfscontinuïteitplannen in verband met andere (wettelijke) verplichtingen waarmee eveneens aan de voorschriften van artikel 15 Wwke wordt voldaan. Indien kritieke entiteiten reeds documenten hebben opgesteld of maatregelen hebben genomen op grond van verplichtingen die zijn vastgelegd in andere rechtshandelingen die van toepassing zijn op de maatregelen, mogen zij die documenten en maatregelen gebruiken om aan deze bepaling te voldoen.

Delegatiegrondslag

In artikel 15, vierde lid, Wwke is bepaald dat bij of krachtens amvb regels worden gesteld over de maatregelen die kritieke entiteiten in het kader van de zorgplicht moeten nemen. Deze delegatiegrondslag biedt de mogelijkheid om in een amvb te voorzien in een delegatiegrondslag om bij ministeriële regeling van de vakminister, indien nodig, sectorspecifieke regels te stellen over de maatregelen.

Met de delegatiegrondslag in artikel 15, vierde lid, Wwke kunnen ook waar nodig regels worden gesteld die nodig zijn ter implementatie van uitvoeringshandelingen van de Europese Commissie over technische en methodologische specificaties als bedoeld in artikel 13, zesde lid, CER-richtlijn.

Verder biedt de delegatiegrondslag de mogelijkheid om bij of krachtens amvb eventuele samenloop te regelen met andere EU-rechtshandelingen of internationale verdragen. Als de verplichtingen uit de CER-richtlijn van toepassing zijn naast die van een andere EU-rechtshandeling (omdat de uit die EU-rechtshandeling voortvloeiende verplichtingen niet ten minste gelijkwaardig zijn aan de uit de CER-richtlijn voortvloeiende verplichtingen) of van een internationaal verdrag, kan het nodig zijn om dubbele verplichtingen en complicaties in de uitvoering en het toezicht te vermijden. Door bij of krachtens amvb te duiden hoe alle relevante verplichtingen zich tot elkaar verhouden en deze waar mogelijk te integreren op uitvoeringsniveau, kan worden bijgedragen aan de rechtszekerheid en het beperken van de uitvoeringslasten.

Artikel 16 (sectorspecifieke rechtshandelingen van de Europese Unie)

Artikel 16 Wwke strekt tot de implementatie van artikel 1, derde lid, CER-richtlijn. In de laatstgenoemde bepaling is bepaald dat wanneer bepalingen van sectorspecifieke rechtshandelingen van de EU voorschrijven dat kritieke entiteiten maatregelen moeten nemen om hun weerbaarheid te vergroten, en wanneer die voorschriften door de lidstaten worden erkend als ten minste gelijkwaardig aan de in de CER-richtlijn overeenkomende verplichtingen, de desbetreffende bepalingen van de CER-richtlijn niet van toepassing zijn. Meer concreet gaat het hierbij om de zorgplicht. De andere verplichtingen uit de Wwke zijn dus wel van toepassing op die entiteiten. In artikel 16 Wwke is bepaald dat de erkenning van de (ten minste) gelijkwaardigheid van de maatregelen uit sectorspecifieke rechtshandelingen van de EU wordt belegd bij de vakminister.

Artikel 17 (meldplicht)

Artikel 17 Wwke strekt tot de implementatie van artikel 15, eerste lid, eerste alinea, en tweede lid, CER-richtlijn en ziet op de meldplicht voor kritieke entiteiten. Paragraaf 5.5 gaat in op deze verplichting.

Aanzienlijke verstoringen

Artikel 17, eerste lid, Wwke verplicht kritieke entiteiten om zonder onnodige vertraging een incident dat de verlening van haar essentiële dienst verstoort of kan verstoren te melden bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie). Om te bepalen of een verstoring aanzienlijk is, wordt in ieder geval rekening gehouden met de aspecten genoemd in artikel 17, derde lid, Wwke. Het gaat hierbij om het aantal getroffen gebruikers dat afhankelijk is van de door de betrokken entiteit verleende dienst, de duur van de verstoring en het door het incident getroffen geografische gebied.

Gedetailleerd verslag

Op grond van artikel 17, vierde lid, Wwke moet de kritieke entiteit binnen één maand na de eerste melding van het incident een gedetailleerd verslag indienen bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie). Het gedetailleerde verslag dient ter aanvulling op de eerste melding en geeft een vollediger beeld van het incident; over de impact, aard, oorzaak en de gevolgen ervan. Dit stelt de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) in staat om beter te beoordelen of en zo ja, op welke punten lering kan worden getrokken om toekomstige incidenten waar mogelijk te voorkomen of de gevolgen ervan te beperken.

Wijze waarop melding moet worden gedaan

Artikel 17, vijfde lid, Wwke bevat de grondslag om bij amvb nadere regels te stellen, onder meer over de wijze waarop een melding moet worden gedaan. Te denken valt aan eisen omtrent een elektronisch formulier.

Artikel 18 (taken bevoegde autoriteit na melding)

Artikel 18 Wwke bevat de taken van de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) na de ontvangst van een melding van een incident als bedoeld in artikel 17, eerste lid, Wwke. In artikel 18, eerste en tweede lid, Wwke is artikel 15, vierde lid, CER-richtlijn geïmplementeerd. In artikel 18, derde lid, Wwke is artikel 15, eerste lid, laatste zin, CER-richtlijn geïmplementeerd en in artikel 18, vierde lid, Wwke is artikel 15, derde lid, CER-richtlijn geïmplementeerd.

Artikel 18 Wwke ziet op de taken van de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) ten aanzien van de kritieke entiteit die melding heeft gedaan van een incident en het informeren van de Europese Commissie, andere lidstaten en het publiek. Het informeren van andere lidstaten geschiedt door de bevoegde autoriteit (vakminister) via het centrale contactpunt. In artikel 12 Wwke is de Minister van Justitie en Veiligheid aangewezen als het centrale contactpunt en het is dus aan deze minister om een bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) gemeld incident met – kort gezegd – aanzienlijke grensoverschrijdende gevolgen door te geven aan het centrale contactpunt van de andere lidstaat of lidstaten.

Het centrale contactpunt (Minister van Justitie en Veiligheid) heeft ook een rol bij incidenten, die aanzienlijke gevolgen hebben of kunnen hebben voor de continuïteit van de verlening van essentiële diensten aan of in zes of meer lidstaten. Op grond van artikel 18, derde lid, Wwke moet de bevoegde autoriteit (vakminister) zulke incidenten via het centrale contactpunt (Minister van Justitie en Veiligheid) melden aan de Europese Commissie. Aan het centrale contactpunt (Minister van Justitie en Veiligheid) dus de taak om in dat kader de gegevens over het incident, zodra het is ontvangen van de bevoegde autoriteit (vakminister), door te zetten naar de Europese Commissie. Er is, in aanvulling op hetgeen artikel 15, eerste lid, laatste volzin, CER-richtlijn voorschrijft, ervoor gekozen om deze kennisgeving via het centrale contactpunt (Minister van Justitie en Veiligheid) te laten lopen. Dit sluit immers aan bij de taak van het vervullen van een verbindingsfunctie van het centrale contactpunt met de Europese Commissie die volgt uit artikel 12, onderdeel a, Wwke.

De bevoegde autoriteit (vakminister) moet op grond van artikel 18, vierde lid, Wwke de centrale contactpunten van andere getroffen lidstaten informeren over incidenten, die aanzienlijke gevolgen hebben of kunnen hebben voor kritieke entiteiten en voor de continuïteit van de verlening van essentiële diensten aan of in één of meer andere lidstaten. De bevoegde autoriteit (vakminister) moet dit doen via het centrale contactpunt (Minister van Justitie en Veiligheid). Aan het centrale contactpunt (Minister van Justitie en Veiligheid) dus de taak om de informatie van de bevoegde autoriteit (vakminister) te ontvangen en te verstrekken aan de centrale contactpunten van andere lidstaten.

Artikel 19 (taken centrale contactpunt na melding)

Artikel 19 Wwke strekt tot de implementatie van een deel van artikel 15, derde lid, CER-richtlijn. Dit artikel gaat over de informatie die het centrale contactpunt heeft ontvangen over een incident dat aanzienlijke gevolgen heeft of kan hebben voor kritieke entiteiten en voor de continuïteit van de verlening van essentiële diensten aan of in één of meer lidstaten. Die informatie kan het centrale contactpunt hebben ontvangen van de bevoegde autoriteit of van het centrale contactpunt van een andere lidstaat. De Minister van Justitie en Veiligheid is in artikel 12 Wwke aangewezen als het centrale contactpunt voor Nederland.

Eerste lid

Op grond van artikel 19, eerste lid, Wwke moet het centrale contactpunt (Minister van Justitie en Veiligheid) zorgvuldig omgaan bij de ontvangst van de hiervoor bedoelde informatie en bij de verzending van deze informatie aan de centrale contactpunten van andere getroffen lidstaten.

Tweede lid

Naast het ontvangen van informatie en het verstrekken daarvan aan de centrale contactpunten van andere lidstaten of de Europese Commissie, kan het centrale contactpunt (Minister van Justitie en Veiligheid) ook informatie ontvangen van centrale contactpunten van andere lidstaten. Het kan daarbij gaan om informatie van een andere lidstaat over een gemeld incident dat mogelijk aanzienlijke gevolgen heeft of kan hebben voor kritieke entiteiten in Nederland. Als uit die gegevens blijkt dat dat incident aanzienlijke gevolgen heeft of kan hebben voor de continuïteit van een essentiële dienst in Nederland, dan moet het centrale contactpunt (Minister van Justitie en Veiligheid) op grond van artikel 19, tweede lid, Wwke de betrokken bevoegde autoriteit (vakminister) en, indien van toepassing, de betrokken entiteit daarvan op de hoogte stellen. Die informatie kan van belang zijn voor de bevoegde autoriteit (vakminister) voor het informeren van derden, waaronder andere entiteiten, zodat die derden op basis van de verstrekte informatie alert zijn op eventuele gevolgen of gelijksoortige incidenten en eventueel maatregelen kunnen treffen.

Artikel 20 (aanwijzing verbindingsfunctionaris)

Artikel 20 Wwke strekt tot de implementatie van artikel 13, derde lid, CER-richtlijn. Op grond van artikel 20 Wwke moet een kritieke entiteit een verbindingsfunctionaris of een gelijkwaardige functionaris aanwijzen als het contactpunt met de bevoegde autoriteiten. Gevolg hiervan is dat de bevoegde autoriteiten beschikken over een overzicht van functionarissen van kritieke entiteiten die vallen onder hun sectorale verantwoordelijkheid.

Artikel 21 (kennisgeving verlening essentiële diensten aan of in zes of meer lidstaten)

Sommige kritieke entiteiten verlenen essentiële diensten aan of in zes of meer lidstaten van de EU. Deze kritieke entiteiten moeten op grond van artikel 21 Wwke de bevoegde autoriteit (vakminister) daarover informeren. Daarbij moeten zij ook kenbaar maken om welke essentiële diensten en lidstaten het gaat. Dit artikel betreft de implementatie van artikel 17, tweede lid, eerste en tweede volzin, CER-richtlijn.

Artikel 22 (taken bevoegde autoriteit ten aanzien van kritieke entiteit van bijzonder Europees belang)

Eerste lid

In artikel 21 Wwke is bepaald dat een kritieke entiteit die essentiële diensten verleent aan of in zes of meer lidstaten hiervan een kennisgeving moet doen bij de bevoegde autoriteit (vakminister). Nadat die kennisgeving is gedaan, moet de bevoegde autoriteit (vakminister), via het centrale contactpunt (Minister van Justitie en Veiligheid), de Europese Commissie op de hoogte stellen van de identiteit van die kritieke entiteit en de gemelde essentiële diensten en lidstaten. Dit is bepaald in artikel 22, eerste lid, Wwke.

Het is vervolgens aan de Europese Commissie om te beslissen of sprake is van een zogeheten ‘kritieke entiteit van bijzonder Europees belang’ als bedoeld in artikel 17 CER-richtlijn. Daarbij raadpleegt de Europese Commissie de betrokken bevoegde autoriteit (vakminister), het centrale contactpunt, de bevoegde autoriteiten van andere betrokken lidstaten en de betrokken kritieke entiteit. Tijdens die raadplegingen deelt elke lidstaat de Europese Commissie mee of de diensten die de kritieke entiteit aan die lidstaat verleent, naar zijn oordeel essentiële diensten zijn.

Tweede lid

Wanneer de Europese Commissie tot het oordeel komt dat sprake is van een kritieke entiteit van bijzonder Europees belang, stelt zij de betrokken kritieke entiteit hiervan in kennis via de bevoegde autoriteit (vakminister). Omdat die kennisgeving via de bevoegde autoriteit (vakminister) loopt, is in artikel 22, tweede lid, Wwke bepaald dat de bevoegde autoriteit (vakminister) die kennisgeving zonder onnodige vertraging moet toezenden aan de betrokken kritieke entiteit. De bevoegde autoriteit (vakminister) stelt daarbij ook het centrale contactpunt in kennis van een dergelijk besluit van de Europese Commissie in het kader van de onderlinge samenwerking en informatie-uitwisseling.

Vanaf de datum van ontvangst van deze kennisgeving kan de Europese Commissie een zogenoemde adviesmissie organiseren.

Derde lid

Artikel 22, derde lid, Wwke strekt tot de implementatie van artikel 18, vierde lid, laatste volzin, CER-richtlijn. Artikel 22, derde lid, Wwke verplicht de bevoegde autoriteit (vakminister) om aan de Europese Commissie en de lidstaten waaraan of waarin een essentiële dienst wordt verleend, bepaalde informatie te verstrekken. Het gaat om informatie over de maatregelen die de bevoegde autoriteit (vakminister) heeft genomen naar aanleiding van het oordeel van de adviesmissie van de Europese Commissie over of een entiteit de verplichting tot het uitvoeren van een risicobeoordeling, de zorgplicht en de meldplicht nakomt en welke maatregelen kunnen worden genomen om de weerbaarheid van die kritieke entiteit te verbeteren.

Artikel 23 (verplichtingen kritieke entiteit van bijzonder Europees belang)

De verplichtingen uit artikel 23 Wwke zijn alleen van toepassing op kritieke entiteiten van bijzonder Europees belang en houden verband met adviesmissies van de Europese Commissie. In de CER-richtlijn is geregeld dat de Europese Commissie een adviesmissie kan organiseren. Deze missies hebben het doel om de weerbaarheidsverhogende maatregelen die deze entiteiten hebben genomen, te beoordelen.

Artikel 23, eerste lid, Wwke bevat, ter implementatie van artikel 18, zevende lid, CER-richtlijn, voor deze entiteiten de verplichting om aan de leden van de adviesmissie toegang te verlenen tot hun informatie, systemen en faciliteiten die betrekking hebben op de essentiële dienstverlening en die de adviesmissie nodig heeft voor de uitoefening van haar taken.

Artikel 23, tweede lid, Wwke bepaalt, ter implementatie van artikel 18, vierde lid, vierde alinea, CER-richtlijn, dat deze entiteiten bij het voldoen aan de zorgplicht, voor zover een adviesmissie heeft plaatsgevonden, rekening houden met het advies van de adviesmissie. Dit betekent ook dat de toezichthoudende instantie bij het toezicht op de naleving van de zorgplicht van artikel 15 Wwke het hiervoor bedoelde advies van de adviesmissie betrekt.

Artikel 24 (uitzondering sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur)

Artikel 24 Wwke strekt tot de implementatie van artikel 8 CER-richtlijn en regelt dat een aantal verplichtingen niet van toepassing zijn op kritieke entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur, genoemd in de bijlage van de Wwke. Het gaat om de volgende verplichtingen: de verplichting tot het uitvoeren van een risicobeoordeling, de zorgplicht, de meldplicht, de verplichting tot het aanwijzen van een verbindingsfunctionaris, de verplichting uit artikel 21 Wwke (over de kennisgeving over de verlening van essentiële diensten aan of in zes of meer lidstaten) en de verplichtingen die zijn neergelegd in artikel 23 Wwke (over kritieke entiteiten van bijzonder Europees belang).

Artikel 25 (ontheffing van verplichtingen)

Artikel 25, eerste lid, Wwke strekt tot de implementatie van artikel 1, zevende lid, CER-richtlijn. Artikel 1, zevende lid, CER-richtlijn biedt lidstaten de mogelijkheid om entiteiten die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, of die uitsluitend diensten verlenen aan overheidsinstanties die in hoofdzaak zulke activiteiten uitvoeren, met betrekking tot die activiteiten of diensten te ontheffen van bepaalde verplichtingen. Het gaat om de volgende verplichtingen: de verplichting tot het uitvoeren van een risicobeoordeling, de zorgplicht, de meldplicht, de verplichting tot het aanwijzen van een verbindingsfunctionaris, de verplichting uit artikel 21 Wwke (over de kennisgeving over de verlening van essentiële diensten aan of in zes of meer lidstaten) en de verplichtingen die zijn neergelegd in artikel 23 Wwke (over kritieke entiteiten van bijzonder Europees belang).

In artikel 25, eerste lid, Wwke is de bevoegdheid om de hiervoor bedoelde entiteiten te ontheffen van de hiervoor genoemde verplichtingen belegd bij de vakminister. De vakminister kan in overeenstemming met de Minister van Justitie en Veiligheid overgaan tot de ontheffing. Op basis van een risico-afweging bereiken zij overeenstemming over de ontheffing en de bijbehorende voorwaarden voordat ontheffing wordt verleend. De vakminister informeert de betrokken kritieke entiteit over de bijbehorende voorwaarden en informeert ook de toezichthoudende instantie.

Artikel 25, tweede lid, Wwke voorziet in de bevoegdheid om een kritieke entiteit die niet behoort tot een in de bijlage van de Wwke genoemde sector te ontheffen van de hiervoor genoemde verplichtingen. Hierbij gaat het concreet om kritieke entiteiten in de op grond van artikel 7, eerste lid, Wwke aangewezen sectoren. De vakminister kan in overeenstemming met de Minister van Justitie en Veiligheid overgaan tot de ontheffing. Op basis van een risico-afweging bereiken zij overeenstemming over de ontheffing en de bijbehorende voorwaarden voordat ontheffing wordt verleend. Hierbij zal worden getoetst of de weerbaarheid van de kritieke entiteiten en de door hen geleverde essentiële dienst(en) voldoende geborgd zijn door andere geldende wet- en regelgeving, zoals de Cbw. De vakminister informeert de betrokken kritieke entiteiten over de bijbehorende voorwaarden en informeert ook de toezichthoudende instantie.

Voor de goede orde wordt hierbij opgemerkt dat een ontheffing van een verplichting betekent dat die desbetreffende verplichting niet van toepassing is op de entiteit. Er kan dan ook geen toezicht worden gehouden op de naleving van die ‘verplichting’, omdat de verplichting niet geldt.

Artikel 26 (samenwerking en informatie-uitwisseling tussen bevoegde autoriteiten)

Artikel 26 Wwke strekt tot de implementatie van artikel 9, eerste lid, derde alinea, CER-richtlijn en verplicht de bevoegde autoriteiten tot samenwerking voor het doeltreffend en doelmatig kunnen uitvoeren van hun taken. Gedacht wordt aan onderlinge afspraken om zodoende vlot en effectief samen te werken en dubbel werk waar mogelijk te voorkomen, bijvoorbeeld bij het toezien op de toepassing van de verplichtingen op grond van de Wwke die raken aan andere bestaande sectorale regelingen. Ten behoeve van deze samenwerking wisselen de bevoegde autoriteiten de benodigde informatie uit, zoals de door een kritieke entiteit genomen maatregelen.

Artikel 27 (samenwerking en informatie-uitwisseling tussen het centrale contactpunt en bevoegde autoriteiten)

Artikel 27 Wwke strekt tot de implementatie van artikel 9, eerste lid, derde alinea, CER-richtlijn. Om te garanderen dat het centrale contactpunt en de bevoegde autoriteiten hun taken uit de Wwke doeltreffend en doelmatig kunnen uitvoeren, moeten zij met elkaar samenwerken en relevante informatie kunnen uitwisselen.

Artikel 28 (samenwerking en informatie-uitwisseling tussen bevoegde autoriteiten en bevoegde autoriteiten Cyberbeveiligingswet)

Artikel 28 Wwke gaat over de samenwerking en informatie-uitwisseling tussen de bevoegde autoriteit van de Wwke en de bevoegde autoriteit van de Cbw.

Eerste lid

Artikel 28, eerste lid, Wwke strekt tot de implementatie van de artikelen 9, zesde lid, en 21, vijfde lid, CER-richtlijn en gaat onder meer over het uitwisselen van informatie over cyberbeveiligingsrisico’s die negatieve gevolgen hebben voor kritieke entiteiten.

Tweede lid

Artikel 28, tweede lid, Wwke strekt tot de implementatie van artikel 6, vierde lid, CER-richtlijn en ziet op de verplichting voor de bevoegde autoriteit van de Wwke om de bevoegde autoriteit van de Cbw in kennis te stellen van de aanwijzing van een entiteit als kritieke entiteit. Op grond van artikel 8, eerste lid, onderdeel i, Cbw zijn kritieke entiteiten als bedoeld in de Wwke namelijk tevens van rechtswege essentiële entiteit als bedoeld in de Cbw. Andersom is dat overigens niet het geval, omdat entiteiten eerst moeten worden aangewezen als kritieke entiteit.

Derde lid

Artikel 28, derde lid, Wwke strekt tot de implementatie van artikel 21, vijfde lid, CER-richtlijn.

Vierde lid

Artikel 28, vierde lid, Wwke strekt tot de implementatie van artikel 21, vijfde lid, CER-richtlijn, evenals artikel 32, negende lid, NIS2-richtlijn. In artikel 32, negende lid, NIS2-richtlijn is bepaald dat de bevoegde autoriteiten uit hoofde van de CER-richtlijn de bevoegde autoriteiten uit hoofde van de NIS2-richtlijn kunnen verzoeken om hun toezichts- en handhavingsbevoegdheden uit te oefenen ten aanzien van een entiteit die is aangemerkt als kritieke entiteit. Ter implementatie hiervan is in artikel 28, vierde lid, Wwke geregeld dat de bevoegde autoriteit (toezichthoudende instantie) in de zin van de Wwke de bevoegde autoriteit (toezichthoudende instantie) als bedoeld in de Cbw kan verzoeken om toezicht te houden op de naleving van de verplichtingen uit de Cbw door kritieke entiteiten. Nu kritieke entiteiten op grond van de NIS2-richtlijn per definitie kwalificeren als essentiële entiteit kan de bevoegde autoriteit (toezichthoudende instantie) als bedoeld in de Wwke ten aanzien van alle aangewezen kritieke entiteiten een dergelijk verzoek doen. Het zal in de praktijk veelal voorkomen dat de bevoegde autoriteit (toezichthoudende instantie) als bedoeld in de Wwke dezelfde autoriteit is als die uit de Cbw. In dat geval is een dergelijk verzoek niet nodig.

Artikel 29 (overleg, samenwerking en informatie-uitwisseling tussen bevoegde autoriteiten en andere nationale autoriteiten)

Artikel 29 Wwke strekt tot de implementatie van artikel 9, vijfde lid, CER-richtlijn. Die richtlijnbepaling bevat de verplichting voor lidstaten om ervoor te zorgen dat de bevoegde autoriteit overlegt en samenwerkt met andere betrokken nationale autoriteiten, waaronder autoriteiten die belast zijn met civiele bescherming, rechtshandhaving en de bescherming van persoonsgegevens en met kritieke entiteiten en betrokken belanghebbende partijen. Artikel 29 Wwke biedt de grondslag om in dat kader persoonsgegevens uit te wisselen.

Deze samenwerking bestaat vooral uit informatie-uitwisseling tussen bevoegde autoriteiten en andere nationale autoriteiten met betrekking tot dreigingen, risico’s en incidenten die negatieve gevolgen kunnen hebben. Wanneer een bevoegde autoriteit bijvoorbeeld het vermoeden heeft van mogelijke gevolgen voor belangen van de nationale veiligheid, de openbare veiligheid of defensie, consulteert en/of informeert de betreffende bevoegde autoriteit de departementen die beleidsmatig verantwoordelijk zijn voor deze domeinen en, waar relevant, andere betrokken bevoegde autoriteiten en de inlichtingen- en veiligheidsdiensten, om de eventuele gevolgen zo volledig mogelijk in kaart te brengen en betreffende autoriteiten op de hoogte te stellen. De bevoegde autoriteit blijft eindverantwoordelijk voor de betreffende taken in de zin van de Wwke.

Artikel 30 (samenwerking en informatieverstrekking bevoegde autoriteiten en die van andere lidstaten en derde landen)

Op grond van artikel 5, tweede lid, CER-richtlijn moeten lidstaten bij het uitvoeren van een risicobeoordeling samenwerken met bevoegde autoriteiten van andere lidstaten en van derde landen, naargelang het geval. In Nederland is deze taak belegd bij de bevoegde autoriteit (artikel 9, derde lid, Wwke). Artikel 30 Wwke biedt de grondslag om in dat kader informatie, waaronder persoonsgegevens, uit te wisselen.

Artikel 31 (informatie-uitwisseling bevoegde autoriteiten en kritieke entiteiten)

Artikel 31 Wwke biedt de grondslag voor de verwerking van persoonsgegevens bij zowel het ontvangen als verzenden van informatie door de bevoegde autoriteiten aan kritieke entiteiten. Van het ontvangen van persoonsgegevens van een contactpersoon van een kritieke entiteit zal sprake zijn bij het doen van een melding als bedoeld in artikel 17 Wwke door een kritieke entiteit. Ook zal een bevoegde autoriteit mogelijk persoonsgegevens van een contactpersoon van een entiteit ontvangen ten behoeve van de aanwijzing van een entiteit als kritieke entiteit (artikel 6, eerste lid, Wwke). Van de verwerking van persoonsgegevens door de bevoegde autoriteit bij het verzenden van informatie aan kritieke entiteiten kan sprake zijn bij het verstrekken van relevante informatie uit de nationale risicobeoordeling (artikel 9, zesde lid, Wwke). Het zal dan in deze gevallen ook gaan om persoonsgegevens van contactpersonen bij de kritieke entiteit of een ambtenaar van de bevoegde autoriteit.

Artikel 32 (informatieverstrekking door het centrale contactpunt)

Artikel 32 Wwke biedt de grondslag voor de verwerking van persoonsgegevens door het centrale contactpunt als zij informatie van centrale contactpunten van andere lidstaten ontvangt en deze moeten doorzenden aan kritieke entiteiten op grond van artikel 19, tweede lid, Wwke. Daarnaast biedt artikel 32 Wwke de grondslag voor het verstrekken van informatie aan centrale contactpunten van andere lidstaten op grond van artikel 18, vierde lid, Wwke en het kunnen informeren van de Europese Commissie op grond van artikel 12, onderdeel b, Wwke in samenhang met artikel 18, derde lid, Wwke en de Groep voor de weerbaarheid van kritieke entiteiten op grond van artikel 12, onderdeel b, Wwke in samenhang met artikel 19 CER-richtlijn. In dat laatste geval kan bijvoorbeeld worden gedacht aan het verwerken van contactgegevens van medewerkers in het kader van het aanmelden voor bijeenkomsten van genoemde groep. Tot slot biedt artikel 32 Wwke de grondslag om informatie uit te wisselen met de bevoegde autoriteiten van derde landen. Dit in het kader van de samenwerking met deze autoriteiten (artikel 12, onderdeel c, Wwke).

Artikel 33 (verwerkingsverantwoordelijkheid)

Artikel 33 Wwke regelt de verwerkingsverantwoordelijkheid.

Artikel 34 (bewaring van gegevens)

Artikel 34 Wwke schrijft voor dat bij of krachtens amvb regels worden gesteld over de bewaring van persoonsgegevens die ter uitvoering van de Wwke worden verwerkt.

Artikel 35 (vertrouwelijke gegevens)

Artikel 35 Wwke gaat over de uitwisseling van vertrouwelijke gegevens en voorziet in de waarborgen voor die gegevensuitwisseling. Deze waarborgen vloeien voort uit artikel 1, vierde lid, CER-richtlijn. In de praktijk zal het met name gaan om vertrouwelijke gegevens waarover de bevoegde autoriteit beschikt in het kader van de meldplicht.

Onder vertrouwelijke gegevens worden in beginsel die gegevens verstaan die door entiteiten vertrouwelijk aan de bevoegde autoriteit zijn verstrekt. Daaronder vallen in ieder geval bedrijfsgeheimen. Bij bedrijfsgeheimen kan worden gedacht aan informatie over de technische bedrijfsvoering van een entiteit dan wel een essentieel proces, het functioneren van systemen en (productie)processen, propriëtaire technieken, maar ook aan technologische informatie zoals beveiligingsmethoden en -strategieën of risicoanalyses.

Ten aanzien van vertrouwelijke gegevens kan ook worden gedacht aan concrete informatie over de entiteit die door een dreiging of incident is getroffen, waarbij verdere verspreiding van die informatie tot gevolg heeft dat die entiteit daarvan nadeel ondervindt, bijvoorbeeld omdat de commerciële belangen van de entiteit daardoor worden geschaad. Hierbij valt onder meer te denken aan klanten die de samenwerking met de entiteit afbreken en het bekend worden van informatie bij concurrenten, waar zij – ten nadele van de entiteit – hun voordeel mee kunnen doen.

Vertrouwelijke gegevens kunnen ook gegevens betreffen die krachtens Unie- of nationale voorschriften vertrouwelijk zijn. Hierbij wordt in elk geval gedacht aan bedrijfs- en fabricagegegevens die entiteiten vertrouwelijk aan de overheid zijn meegedeeld. In artikel 5.1, eerste lid, onderdeel c, Wet open overheid (hierna: Woo) is bepaald dat het openbaar maken van deze gegevens ingevolge die wet achterwege moet blijven. In relatie tot de Wwke kan hierbij worden gedacht aan gegevens die door een entiteit in het kader van de meldplicht van de Wwke aan de overheid zijn verstrekt en daarbij zijn aangemerkt als vertrouwelijke bedrijfs- of fabricagegegevens, zoals de kring van afnemers van een essentiële dienst, leveranciers of financiële gegevens. Overigens ligt het voor de hand dat de hierboven bedoelde bedrijfsgeheimen veelal ook vertrouwelijk aan de overheid verstrekte bedrijfs- en fabricagegegevens zijn, maar dat is niet per definitie het geval.

Deze bijzondere openbaarheidsregel geldt echter niet voor milieu-informatie. De Woo kent aparte regels voor milieu-informatie, omdat dit voortvloeit uit het Verdrag van Aarhus28 en Richtlijn 2003/4/EG29. Voor de definitie van milieu-informatie wordt in de Woo verwezen naar artikel 19.1a Wet milieubeheer. Zo geldt dat als er sprake is van een zwaarwegend belang, waaronder het belang van het milieu valt, dan mag een bestuursorgaan informatie actief openbaar maken, ook al zijn één of meer uitzonderingen op de openbaarmaking van toepassing (artikel 3.4 Woo). Voor de relatieve weigeringsgrond economische of financiële belangen van de Staat, andere publiekrechtelijke lichamen of bestuursorganen geldt dat in het geval van milieu-informatie enkel een beroep op deze grond kan worden gedaan als de informatie een vertrouwelijk karakter heeft (artikel 5.1, tweede lid, onderdeel b, Woo). Als relatieve weigeringsgrond is daarnaast opgenomen dat het belang van openbaarmaking van de desbetreffende informatie moet kunnen worden afgewogen tegenover het belang van het milieu waar de informatie op ziet (artikel 5.1, tweede lid, onderdeel g, Woo). Hoewel als hoofdregel geldt dat persoonlijke beleidsopvattingen niet (dan wel in niet-herleidbare vorm) openbaar worden gemaakt, geldt met betrekking tot milieu-informatie dat de openbaarmaking van de persoonlijke beleidsopvatting moet worden afgewogen tegen het belang van de openbaarmaking van de milieu-informatie (artikel 5.2, vierde lid, Woo). Tenslotte wordt in dit verband opgemerkt dat milieu-informatie die betrekking heeft op emissies (schadelijke stoffen) in het milieu altijd openbaar gemaakt moet worden (artikel 5.1, zevende lid, Woo).

Artikel 36 (verstrekking van gegevens in relatie tot nationale veiligheid, openbare veiligheid en defensie)

In artikel 36 Wwke is artikel 1, achtste lid, CER-richtlijn geïmplementeerd. In artikel 36 Wwke is bepaald dat de Wwke geen betrekking heeft op de verstrekking van informatie waarvan de bekendmaking strijdig is met de wezenlijke belangen van nationale veiligheid, openbare veiligheid of defensie. Het gaat hierbij in elk geval om overheidsinformatie welke is gerubriceerd op grond van het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie 2013 (VIRBI 2013). Gerubriceerde informatie zal dus niet worden uitgewisseld in het kader van de Wwke. Te denken valt bijvoorbeeld aan inlichtingenberichten.

Artikel 37 (toezichthouders)

Artikel 37 Wwke ziet op de aanwijzing van natuurlijke personen die zijn belast met het toezicht op de naleving van het bepaalde bij of krachtens de Wwke. Deze natuurlijke personen beschikken na de aanwijzing over de bevoegdheden uit titel 5.2 Awb en de toezichtsbevoegdheden in de Wwke.

Artikel 38 (audit)

Artikel 38 Wwke strekt tot de implementatie van artikel 21, eerste lid, onderdeel b, CER-richtlijn en ziet op de bevoegdheid van de toezichthoudende instantie om een audit op te leggen aan een kritieke entiteit.

Een audit door een onafhankelijke en gekwalificeerde auditor onderzoekt de opzet, het bestaan en de werking van de door de kritieke entiteit genomen maatregelen voor het verhogen van haar weerbaarheid. Het verschaft daarmee aanvullend en onafhankelijk beeld van de effectieve uitvoering van de maatregelen die de entiteit genomen heeft om de weerbaarheid te borgen en biedt derhalve inzichten voor de bevoegde autoriteit (toezichthoudende instantie) om te kunnen controleren in welke mate de kritieke entiteit in kwestie heeft voldaan aan de verplichtingen uit de Wwke. Ook biedt een audit de bevoegde autoriteit (toezichthoudende instantie) meer inzicht in welke mate de entiteit ‘in control’ is ten aanzien van het nemen van adequate maatregelen om haar weerbaarheid te verhogen. De audit kan betrekking hebben op de gehele entiteit of specifieke processen binnen de entiteit, zolang dit verband houdt met de verplichtingen uit de Wwke, met name de zorgplicht.

De kritieke entiteit selecteert de auditor en het is aan de kritieke entiteit om aan te tonen dat de auditor in kwestie onafhankelijk en gekwalificeerd is. Hierbij is het uitgangspunt dat zoveel mogelijk wordt aangesloten bij de sectorale kaders en/of praktijk omtrent, waar mogelijk vergelijkbare, audits.

Artikel 39 (aanwijzing)

Artikel 39 Wwke voorziet in de mogelijkheid voor de bevoegde autoriteit (toezichthoudende instantie) om aan een kritieke entiteit een aanwijzing op te leggen om binnen een daarbij gestelde redelijke termijn de daarin omschreven handelingen te verrichten of de daarin omschreven maatregelen te nemen ter naleving van het bepaalde bij of krachtens de Wwke. Daarmee is artikel 21, derde lid, CER-richtlijn geïmplementeerd.

De aanwijzing heeft een juridisch bindend karakter en is een beschikking in de zin van artikel 1:3 Awb waar bezwaar, beroep en hoger beroep tegen open staat. Een aanwijzing is een enkele last tot het verrichten van bepaalde handelingen, bedoeld in artikel 5:2, tweede lid, Awb en geen bestuurlijke sanctie. De aanwijzing wordt toegepast om te kunnen voldoen aan een wettelijke verplichting of norm. Daarmee wordt voor de entiteit die een aanwijzing krijgt opgelegd duidelijk waaraan moet worden voldaan en wat zij moet doen om aan die verplichting of norm te voldoen. Als niet aan de wettelijke verplichting of norm voldaan wordt, kan de bevoegde autoriteit (toezichthoudende instantie) vervolgens handhaven met bijvoorbeeld een last onder dwangsom of een bestuurlijke boete.

Artikel 40 (last onder bestuursdwang)

Artikel 22 CER-richtlijn verplicht lidstaten tot het toepassen van sancties op overtredingen van nationale verplichtingen ter uitvoering van de CER-richtlijn en daarnaast dat die sancties doeltreffend, evenredig en afschrikwekkend moeten zijn. Ter uitvoering van deze richtlijnbepaling is de bevoegde autoriteit (toezichthoudende instantie) bevoegd tot het opleggen van een last onder bestuursdwang op grond van artikel 40 Wwke. Er zijn situaties denkbaar waarin zij tot het oordeel komt dat deze herstelsanctie de meest passende maatregel betreft, bijvoorbeeld omdat het niet voldoen aan een last onder dwangsom enkel het gevolg heeft dat de dwangsom wordt verbeurd maar de overtreding door de overtreder niet ongedaan kan worden gemaakt. Zo is de situatie denkbaar waarin als gevolg van de overtreding van de zorgplicht de continuïteit van de dienstverlening in het geding is en er daardoor aanzienlijke gevolgen zijn voor dienstverlening van de entiteit, met mogelijk maatschappelijke ontwrichting tot gevolg. Een last onder bestuursdwang waarbij de bevoegde autoriteit (toezichthoudende instantie) zelf zorgt voor herstel, kan dan ervoor zorgen dat deze aanzienlijke negatieve gevolgen worden beperkt of voorkomen.

Op grond van artikel 5:32, eerste lid, Awb is de bevoegde autoriteit (toezichthoudende instantie) bevoegd om in plaats van een last onder bestuursdwang een last onder dwangsom op te leggen. Nu artikel 22 CER-richtlijn niet limitatief voorschrijft welke sancties een lidstaat moet toepassen, maar enkel voorschrijft dat sancties moeten worden toegepast op overtredingen van nationale verplichtingen ter uitvoering van de CER-richtlijn en dat die sancties doeltreffend, evenredig en afschrikkend, past ook de bevoegdheid tot het opleggen van een last onder dwangsom binnen de kaders van de CER-richtlijn.

Artikel 41 (bestuurlijke boete)

Artikel 41 Wwke ziet op de bevoegdheid van de bevoegde autoriteit (toezichthoudende instantie) tot het opleggen van een bestuurlijke boete aan een kritieke entiteit en betreft de implementatie van artikel 22 CER-richtlijn. In paragraaf 5.9.3 wordt ingegaan op de bestuurlijke boete.

Artikel 42 (evaluatie)

In artikel 42 Wwke is bepaald dat de doeltreffendheid en effectiviteit van de Wwke uiterlijk vier jaar na de inwerkingtreding van de Wwke wordt geëvalueerd. Er is gekozen voor een termijn van vier jaar, zodat bij de evaluatie van de Wwke de uitkomsten van de evaluatie van de Europese Commissie van de CER-richtlijn kan worden betrokken. De CER-richtlijn schrijft voor dat het rapport van de laatstgenoemde evaluatie van de Europese Commissie uiterlijk op 16 juni 2029 moet worden ingediend.

Artikel 43 (wijzigingen van bindende rechtshandelingen van de Europese Unie)

Artikel 43 Wwke ziet op de toepassing van de bepalingen uit bindende rechtshandelingen van de EU, waarnaar in de Wwke wordt verwezen. Met name in de bijlage van de Wwke wordt veelvuldig verwezen naar zulke rechtshandelingen.

Artikel 44 (eerste aanwijzingen kritieke entiteiten)

Artikel 44 Wwke strekt tot de implementatie van artikel 6, eerste lid, CER-richtlijn. Artikel 44 Wwke ziet op de aanwijzing van entiteiten uit de bijlage van de Wwke en dus niet op entiteiten uit de op grond van artikel 7, eerste lid, Wwke aangewezen sectoren en subsectoren.

Artikel 45 (eerste risicobeoordeling door de bevoegde autoriteit)

Artikel 45 Wwke strekt tot de implementatie van artikel 5, eerste lid, CER-richtlijn.

Artikel 46 (eerste strategie inzake de weerbaarheid van kritieke entiteiten)

Artikel 46 Wwke strekt tot de implementatie van artikel 4, eerste lid, CER-richtlijn.

Artikel 47 (wijziging Algemene wet bestuursrecht)

Artikel 47 Wwke voorziet in een bijzondere bevoegdheidsregeling voor een aantal sectoren.

Voor de volgende sectoren wordt de rechtbank Rotterdam aangewezen als bevoegde rechtbank voor beroep in eerste instantie: energie, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, digitale infrastructuur en productie, verwerking en distributie van levensmiddelen. Dit geldt ook voor de subsector spoor.

Voor de volgende sectoren wordt het College van Beroep voor het bedrijfsleven aangewezen als hoger beroepsinstantie: energie, bankwezen, infrastructuur voor de financiële markt, digitale infrastructuur en productie, verwerking en distributie van levensmiddelen. Dit geldt ook voor de subsector spoor.

De reden voor deze bijzondere bevoegdheidsregeling is als volgt. Het is aannemelijk dat besluiten op grond van de Wwke in veel gevallen in samenhang met besluiten op grond van betrokken sectorale wet- en regelgeving zullen worden genomen. In die gevallen is het niet wenselijk dat voor besluiten op grond van sectorale wetten een bijzondere bestuursrechter bevoegd is, terwijl voor besluiten op grond van de Wwke de gewone bevoegdheidsregeling zou gelden. Voorts zal in het algemeen een goed oordeel over besluiten op grond van de Wwke niet gevormd kunnen worden zonder inzicht in de betrokken sector. Indien voor die sector een bijzondere bestuursrechter bevoegd is verklaard, zal die rechter inhoudelijke deskundigheid hebben opgebouwd ten aanzien van die sector. Het ligt dan voor de hand die rechter ook te laten oordelen over besluiten ten aanzien van die sector op grond van de Wwke.

Deze bijzondere bevoegdheidsregeling en de motivering daarvan sluit aan op de regeling die is getroffen voor de besluiten die op grond van de Cbw zijn genomen.

Artikel 48 (wijziging Wet open overheid)

Artikel 1, vierde lid, CER-richtlijn is een met artikel 2, dertiende lid, NIS2-richtlijn vergelijkbare bepaling. Deze bepaling is ook vergelijkbaar met artikel 1, vijfde lid, NIS1-richtlijn.30 Dit is de voorganger van de NIS2-richtlijn, die in 2018 is geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (hierna: Wbni). Artikel 1, vijfde lid, NIS1-richtlijn is geïmplementeerd in artikel 20 Wbni. Artikel 20 Wbni bevat een bijzondere openbaarheidsregeling voor vertrouwelijke (en daar nog: herleidbare) gegevens, waarbij wordt afgeweken van de Wet openbaarheid van bestuur (de voorloper van de wet open overheid). Voor de implementatie van artikel 1, vierde lid, CER-richtlijn wordt een bepaling opgenomen die overeenkomt met artikel 20 Wbni en eveneens aansluit bij de implementatie van artikel 2, dertiende lid, NIS2-richtlijn in de Cbw.

Met artikel 35, tweede lid, Wwke en de toevoeging van artikel 35 Wwke aan de bijlage bij de Woo wordt buiten twijfel gesteld dat de Woo niet van toepassing is op vertrouwelijke gegevens. Deze afwijking geldt voor ieder bestuursorgaan dat dergelijke vertrouwelijke gegevens onder zich heeft.

Artikel 49 (inwerkingtreding)

Artikel 49 Wwke bepaalt dat de Wwke in werking treedt op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld. Op grond van dit artikel kan worden gekozen voor een gefaseerde inwerkingtreding. Dit is denkbaar in het geval dat bepaalde onderdelen van de Wwke nog niet in werking kunnen treden, terwijl dat bij andere onderdelen van de Wwke wel het geval is. De verwachting is dat bij de inwerkingtreding van (onderdelen van) de Wwke een uitzondering wordt gemaakt op de vaste verandermomenten en de minimuminvoeringstermijn, omdat de Wwke ziet op de implementatie van een bindende EU-rechtshandeling.

Artikel 50 (citeertitel)

Artikel 50 Wwke bepaalt dat de citeertitel van deze wet luidt: Wet weerbaarheid kritieke entiteiten.

Bijlage

De bijlage bij de Wwke correspondeert met die uit de CER-richtlijn.

De Minister van Justitie en Veiligheid,

X Noot

Voorgesteld artikel 2 Wwke.

X Noot

Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333).

X Noot

Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie (PbEU 2022, L 333). De afkorting NIS is afkomstig van de aanduiding van de vorige richtlijn ten aanzien van netwerk- en informatiesystemen.

X Noot

⁴

Voorgesteld artikel 4 Wwke; voorgesteld artikel 21, derde lid, Cbw.

X Noot

⁵

Zie tevens voorgesteld artikel 1 Wwke.

X Noot

⁶

Voorgesteld artikel 6 Wwke.

X Noot

⁷

Voorgesteld artikel 15 Wwke.

X Noot

⁸

Voorgesteld artikel 15, vierde lid, Wwke; memorie van toelichting, algemeen deel, paragraaf 8.1.2, ‘Zorgplicht’, waar de eigen verantwoordelijkheid voor het vaststellen van de maatregelen ter uitwerking van de zorgplicht wordt onderstreept.

X Noot

⁹

Voorgesteld artikel 17 Wwke.

X Noot

¹⁰

Voorgesteld artikel 14 Wwke.

X Noot

¹¹

Artikel 1, zesde lid, van de CER-richtlijn.

X Noot

¹²

Voorgesteld artikel 5 Wwke.

X Noot

¹³

Memorie van toelichting, algemeen deel, paragraaf 5.2, ‘Aanwijzing kritieke entiteiten’, onder ‘Toepassingsbereik’.

X Noot

¹⁴

Voorgesteld artikel 25 Wwke.

X Noot

¹⁵

Memorie van toelichting, algemeen deel, paragraaf 5.2, ‘Aanwijzing kritieke entiteiten’.

X Noot

¹⁶

Aanwijzing 2.19, toelichting, van de Aanwijzingen voor de regelgeving.

X Noot

¹⁷

Voorgesteld artikel 8 Wwke.

X Noot

¹⁸

Voorgesteld artikel 10, tweede lid, Wwke.

X Noot

¹⁹

Voorgesteld artikel 13 Wwke.

X Noot

²⁰

Zie bijvoorbeeld voorgestelde artikelen 6 en 25 Wwke.

X Noot

²¹

Voorgesteld artikel 6, eerste lid, Wwke.

X Noot

²²

Vergelijk voorgesteld artikel 14, aanhef en onder b, Cbw.

X Noot

²³

Artikel 9, eerste lid, van de CER-richtlijn.

X Noot

²⁴

Zie artikelen 6, eerste en vierde lid, 7, eerste lid, 10, tweede lid, en 16 (‘na overleg met’) en artikel 25, eerste en tweede lid, Wwke (‘in overeenstemming met’).

X Noot

²⁵

Voorgesteld artikel 8 Wwke.

X Noot

²⁶

Voorgestelde artikelen 8, derde lid, 37 tot en met 41, Wwke.

X Noot

²⁷

Kerncentrales zullen worden aangewezen als kritieke entiteit in de zin van de Wwke, omdat zij elektriciteit produceren en daarnaast ook medische isotopen leveren (zie het voorstel voor de Wwke, bijlage, sector ‘Energie’ en sector ‘Gezondheidszorg’).

X Noot

²⁸

Artikelen 3, derde lid, onderdeel b, 58 en 59 van de Kernenergiewet.

X Noot

²⁹

Kamerstukken II 2014/15, 34 219, nr. 3, p. 4–5, nader uitgewerkt in p. 5–17.

X Noot

³⁰

Voorbeelden van andere zbo’s zijn de Autoriteit Consument en Markt (Kamerstukken II 2011/12, 33 186, nr. 3, p. 6), de Dienst Wegverkeer RDW, en de Autoriteit online Terroristisch en Kinderpornografisch Materiaal (Kamerstukken II 2021/22, 36 138, nr. 3, p. 15). De ACM houdt mede toezicht op veiligheid, bijvoorbeeld artikel 15, eerste lid, van de Elektriciteitswet 1998.

X Noot

³¹

Voor de ANVS wordt dit besproken in de toelichting bij de Wwke, algemeen deel, paragraaf 7.8, ‘Ministerie van Klimaat en Groene Groei, Ministerie van Infrastructuur en Waterstaat en Ministerie van Volksgezondheid, Welzijn en Sport’.

X Noot

³²

Voorgesteld artikel 6, eerste lid, Wwke en de daarbij behorende bijlage.

X Noot

³³

Voorgesteld artikel 8 Wwke.

X Noot

³⁴

Voorgesteld artikel 35 Wwke.

X Noot

³⁵

Aanwijzing 2.46 van de Aanwijzingen voor de regelgeving.

X Noot

³⁶

Artikel 5.1, eerste lid, onderdelen b, c en d, en tweede lid, onderdelen e en f, Woo.

X Noot

³⁷

Artikel 1, vierde lid, van de CER-richtlijn.

X Noot

³⁸

Voorgesteld artikel 24 Wwke.

X Noot

³⁹

Artikel 6, derde lid, eerste alinea, laatste volzin, en artikel 8, van de CER-richtlijn.

X Noot

⁴⁰

Memorie van toelichting, artikelsgewijze toelichting op artikel 7 Wwke.

X Noot

⁴¹

Voorgesteld artikel 7, eerste lid, Wwke.

X Noot

Voorgesteld artikel 2 Wwke.

X Noot

⁴

Voorgesteld artikel 4 Wwke; voorgesteld artikel 21, derde lid, Cbw.

X Noot

⁵

Zie tevens voorgesteld artikel 1 Wwke.

X Noot

⁶

Voorgesteld artikel 6 Wwke.

X Noot

⁷

Voorgesteld artikel 15 Wwke.

X Noot

⁸

X Noot

⁹

Voorgesteld artikel 17 Wwke.

X Noot

¹⁰

Voorgesteld artikel 14 Wwke.

X Noot

¹¹

Artikel 1, zesde lid, van de CER-richtlijn.

X Noot

¹²

Voorgesteld artikel 5 Wwke.

X Noot

¹³

Memorie van toelichting, algemeen deel, paragraaf 5.2, ‘Aanwijzing kritieke entiteiten’, onder ‘Toepassingsbereik’.

X Noot

¹⁴

Voorgesteld artikel 25 Wwke.

X Noot

¹⁵

Memorie van toelichting, algemeen deel, paragraaf 5.2, ‘Aanwijzing kritieke entiteiten’.

X Noot

¹⁶

Aanwijzing 2.19, toelichting, van de Aanwijzingen voor de regelgeving.

X Noot

¹⁷

Voorgesteld artikel 8 Wwke.

X Noot

¹⁸

Voorgesteld artikel 10, tweede lid, Wwke.

X Noot

¹⁹

Voorgesteld artikel 13 Wwke.

X Noot

²⁰

Zie bijvoorbeeld voorgestelde artikelen 6 en 25 Wwke.

X Noot

²¹

Voorgesteld artikel 6, eerste lid, Wwke.

X Noot

²²

Vergelijk voorgesteld artikel 14, aanhef en onder b, Cbw.

X Noot

²³

Artikel 9, eerste lid, van de CER-richtlijn.

X Noot

²⁴

Zie artikelen 6, eerste en vierde lid, 7, eerste lid, 10, tweede lid, en 16 (‘na overleg met’) en artikel 25, eerste en tweede lid, Wwke (‘in overeenstemming met’).

X Noot

²⁵

Voorgesteld artikel 8 Wwke.

X Noot

²⁶

Voorgestelde artikelen 8, derde lid, 37 tot en met 41, Wwke.

X Noot

²⁷

X Noot

²⁸

Artikelen 3, derde lid, onderdeel b, 58 en 59 van de Kernenergiewet.

X Noot

²⁹

Kamerstukken II 2014/15, 34 219, nr. 3, p. 4–5, nader uitgewerkt in p. 5–17.

X Noot

³⁰

Voorbeelden van andere zbo’s zijn de Autoriteit Consument en Markt (Kamerstukken II 2011/12, 33 186, nr. 3, p. 6), de Dienst Wegverkeer RDW, en de Autoriteit online Terroristisch en Kinderpornografisch Materiaal (Kamerstukken II 2021/22, 36 138, nr. 3, p. 15). De ACM houdt mede toezicht op veiligheid, bijvoorbeeld artikel 15, eerste lid, van de Elektriciteitswet 1998.

X Noot

³¹

X Noot

³²

Voorgesteld artikel 6, eerste lid, Wwke en de daarbij behorende bijlage.

X Noot

³³

Voorgesteld artikel 8 Wwke.

X Noot

³⁴

Voorgesteld artikel 35 Wwke.

X Noot

³⁵

Aanwijzing 2.46 van de Aanwijzingen voor de regelgeving.

X Noot

³⁶

Artikel 5.1, eerste lid, onderdelen b, c en d, en tweede lid, onderdelen e en f, Woo.

X Noot

³⁷

Artikel 1, vierde lid, van de CER-richtlijn.

X Noot

³⁸

Voorgesteld artikel 24 Wwke.

X Noot

³⁹

Artikel 6, derde lid, eerste alinea, laatste volzin, en artikel 8, van de CER-richtlijn.

X Noot

⁴⁰

Memorie van toelichting, artikelsgewijze toelichting op artikel 7 Wwke.

X Noot

⁴¹

Voorgesteld artikel 7, eerste lid, Wwke.

X Noot

PbEU 2022, L333.

X Noot

Richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren (PbEU 2008, L 345).

X Noot

Artikel 1, eerste lid, en de overwegingen 1 tot en met 7, CER-richtlijn.

X Noot

⁴

Deze groep bestaat uit vertegenwoordigers van de lidstaten en de Europese Commissie. Waar nodig worden experts uitgenodigd om aan te sluiten.

X Noot

⁵

PbEU 2022, L 333.

X Noot

⁶

Onder dit recht vallen onder andere Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad van 4 juli 2012 betreffende otc-derivaten, centrale tegenpartijen en transactieregisters (PbEU 2012, L 201), Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad van 26 juni 2013 betreffende prudentiële vereisten voor kredietinstellingen en tot wijziging van Verordening (EU) nr. 648/2012 (PbEU 2013, L 176) en Verordening (EU) nr. 600/2014 van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten in financiële instrumenten en tot wijziging van Verordening (EU) nr. 648/2012 (PbEU 2014, L 173).

X Noot

⁷

PbEU 2022, L 333.

X Noot

⁸

Zie https://www.nctv.nl/onderwerpen/vitale-infrastructuur.

X Noot

⁹

Gedelegeerde verordening (EU) 2023/2450 van de Europese Commissie van 25 juli 2023 tot aanvulling van Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad door de vaststelling van een lijst van essentiële diensten (PbEU 2023, 2450).

X Noot

¹⁰

Artikel 10 CER-richtlijn verplicht de lidstaten tot het faciliteren van het vrijwillig delen van informatie tussen kritieke entiteiten onderling. Dit betreft een feitelijke handeling. Deze vorm van ondersteuning is derhalve niet opgenomen in artikel 10 Wwke.

X Noot

¹¹

Kamerstukken II 2017/18, 34 883, nr. 3, p. 14.

X Noot

¹²

EHRM 25 februari 1997, ECLI:CE:ECHR:1997:0225JUD002200993 (Z./Finland), punt 94.

X Noot

¹³

Zie bijvoorbeeld EHRM 26 januari 2017, ECLI:CE:ECHR:2017:0126JUD004278806 (Surikov/Oekraine).

X Noot

¹⁴

Zie bijvoorbeeld EHRM 4 december 2008, ECLI:CE:ECHR:2008:1204JUD003056204 (S. en Marper/Verenigd Koninkrijk).

X Noot

¹⁵

Zie bijvoorbeeld EHRM 4 december 2008, ECLI:CE:ECHR:2008:1204JUD003056204 (S. en Marper/Verenigd Koninkrijk).

X Noot

¹⁶

Zie bijvoorbeeld EHRM 6 november 2018, ECLI:CE:ECHR:2018:1106JUD002552713 (Vicent Del Campo/Spanje).

X Noot

¹⁷

Richtlijn (EU) 2020/2184 van het Europees Parlement en de Raad van 16 december 2020 betreffende de kwaliteit van voor menselijke consumptie bestemd water (PbEU 2020, L 435).

X Noot

¹⁸

Kamerstukken I 2023/24, 36 378, A.

X Noot

¹⁹

Verordening (EG) Nr. 178/2002 van het Europees Parlement en de Raad van 28 januari 2002 tot vaststelling van de algemene beginselen en voorschriften van de levensmiddelenwetgeving, tot oprichting van een Europese Autoriteit voor voedselveiligheid en tot vaststelling van procedures voor voedselveiligheidsaangelegenheden (PbEU 2002, L 31).

X Noot

²⁰

Verordening (EG) Nr. 852/2004 van het Europees Parlement en de Raad van 29 april 2004 inzake levensmiddelenhygiëne (PbEU 2004, L 139).

X Noot

²¹

Richtlijn 2001/83/EG van het Europees Parlement en de Raad van 6 november 2001 tot vaststelling van een communautair wetboek betreffende geneesmiddelen voor menselijk gebruik (PbEU 2001, L 311).

X Noot

²²

Verordening (EU) 2017/745 van het Europees Parlement en de Raad van 5 april 2017 betreffende medische hulpmiddelen, tot wijziging van Richtlijn 2001/83/EG, Verordening (EG) nr. 178/2002 en Verordening (EG) nr. 1223/2009, en tot intrekking van Richtlijnen 90/385/EEG en 93/42/EEG van de Raad (PbEU 2017, L 117).

X Noot

²³

Het op 3 maart 1980 te Wenen/New York tot stand gekomen Verdrag inzake de fysieke beveiliging van kernmateriaal (Trb. 1980, 166).

X Noot

²⁴

Richtlijn 2014/87/Euratom van de Raad van 8 juli 2014 houdende wijziging van Richtlijn 2009/71/Euratom tot vaststelling van een communautair kader voor de nucleaire veiligheid van kerninstallaties (PbEU 2014, L 219).

X Noot

²⁵

Het op 25 maart 1957 te Rome tot stand gekomen Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie (EURATOM) (Trb. 1957, 92).

X Noot

²⁶

Handboek Meting Regeldrukkosten, versie 2.1 (2023), p. 14.

X Noot

²⁷

In de Engelse versie van de NIS2-richtlijn wordt gesproken over ‘administrative board’.

X Noot

²⁸

Verdrag betreffende toegang tot informatie, inspraak bij besluitvorming en toegang tot de rechter inzake milieuaangelegenheden (Trb. 2001, 73).

X Noot

²⁹

Richtlijn 2003/4/EG van het Europees Parlement en de Raad van 28 januari 2003 inzake de toegang van het publiek tot milieu-informatie en tot intrekking van Richtlijn 90/313/EEG van de Raad (PbEU 2003, L 41).

X Noot

³⁰

Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194). Voor deze richtlijn worden verschillende afkortingen gebruikt. Naast de afkorting NIS1-richtlijn (naar de Engelse benaming van deze richtlijn) wordt de richtlijn in Nederland soms ook wel aangeduid als de NIB-richtlijn of NIB1-richtlijn, waarbij voor die afkorting gebruik is gemaakt van de Nederlandse benaming van de richtlijn.

Berichten over uw Buurt

Dienstverlening

Beleid & regelgeving

Contactgegevens overheden

Inhoudsopgave

Extra informatie

Gerelateerd

Publicaties over kamerdossier

Geconsolideerde regelgeving

Geconsolideerde regelgeving

Publicaties referendum

Nader Rapport

1. Achtergrond en inhoud voorstel Wet weerbaarheid kritieke entiteiten

a. Implementatie CER-richtlijn, fysieke weerbaarheid en samenhang met NIS2 richtlijn

b. Hoofdlijnen voorstel Wwke

2. Afbakening van de reikwijdte

3. Coördinerende taak minister van Justitie en Veiligheid

4. Handhaving van bijzondere wetten door zelfstandige bestuursorganen

5. Toezicht en handhaving ten aanzien van de sector overheid

6. Uitzonderingen op de Wet open overheid

a. Afwijken van een algemene wet

b. Verduidelijking van de tekst

7. Overige opmerkingen

a. Verplichtingen voor kritieke entiteiten in bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur

b. Aanwijzing van (sub)sectoren

Advies Raad van State

1. Achtergrond en inhoud voorstel Wet weerbaarheid kritieke entiteiten

a. Implementatie CER-richtlijn, fysieke weerbaarheid en samenhang met NIS2-richtlijn

b. Hoofdlijnen voorstel Wwke

2. Afbakening van de reikwijdte

3. Coördinerende taak minister van Justitie en Veiligheid

4. Handhaving van bijzondere wetten door zelfstandige bestuursorganen

5. Toezicht en handhaving ten aanzien van de sector overheid

6. Uitzonderingen op de Wet open overheid

a. Afwijken van een algemene wet

b. Verduidelijking van de tekst

7. Overige opmerkingen

a. Verplichtingen voor kritieke entiteiten in bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur

b. Aanwijzing van (sub)sectoren

HOOFDSTUK 1. BEGRIPSBEPALING

Artikel 1 (begripsbepaling)

HOOFDSTUK 2. ALGEMEEN

Artikel 2 (doel van deze wet)

Artikel 3 (uitvoering uitvoeringshandelingen, gedelegeerde handelingen en richtsnoeren)

HOOFDSTUK 3. TOEPASSINGSBEREIK

Artikel 4 (netwerk- en informatiesystemen en de fysieke componenten en omgevingen daarvan)

Artikel 5 (overheidsinstanties die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving)

HOOFDSTUK 4. KRITIEKE ENTITEITEN

Artikel 6 (aanwijzing kritieke entiteit)

Artikel 7 (aanwijzing sector, subsector en categorie van entiteiten)

HOOFDSTUK 5. AANWIJZING EN TAKEN BEVOEGDE AUTORITEIT

Artikel 8 (aanwijzing en taken bevoegde autoriteit)

Artikel 9 (risicobeoordeling door de bevoegde autoriteit)

Artikel 10 (ondersteuning aan kritieke entiteiten)

Artikel 11 (lijst van kritieke entiteiten)

HOOFDSTUK 6. AANWIJZING EN TAKEN CENTRALE CONTACTPUNT

Artikel 12 (aanwijzing en taken centrale contactpunt)

HOOFDSTUK 7. STRATEGIE INZAKE DE WEERBAARHEID VAN KRITIEKE ENTITEITEN

Artikel 13 (strategie inzake de weerbaarheid van kritieke entiteiten)

HOOFDSTUK 8. RISICOBEOORDELING DOOR DE KRITIEKE ENTITEIT

Artikel 14 (risicobeoordeling door de kritieke entiteit)

HOOFDSTUK 9. ZORGPLICHT

Artikel 15 (zorgplicht)

Artikel 16 (sectorspecifieke rechtshandelingen van de Europese Unie)

HOOFDSTUK 10. MELDING VAN INCIDENTEN

Artikel 17 (meldplicht)

Artikel 18 (taken bevoegde autoriteit na melding)

Artikel 19 (taken centrale contactpunt na melding)

HOOFDSTUK 11. OVERIGE VERPLICHTINGEN VAN KRITIEKE ENTITEITEN

Artikel 20 (aanwijzing verbindingsfunctionaris)

Artikel 21 (kennisgeving verlening essentiële diensten aan of in zes of meer lidstaten)

HOOFDSTUK 12. KRITIEKE ENTITEITEN VAN BIJZONDER EUROPEES BELANG

Artikel 22 (taken bevoegde autoriteit ten aanzien van kritieke entiteit van bijzonder Europees belang)

Artikel 23 (verplichtingen kritieke entiteit van bijzonder Europees belang)

HOOFDSTUK 13. TOEPASSINGSBEREIK EN ONTHEFFING VAN VERPLICHTINGEN

Artikel 24 (uitzondering sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur)

Artikel 25 (ontheffing van verplichtingen)

HOOFDSTUK 14. SAMENWERKING EN INFORMATIE-UITWISSELING

Artikel 26 (samenwerking en informatie-uitwisseling tussen bevoegde autoriteiten)

Artikel 27 (samenwerking en informatie-uitwisseling tussen het centrale contactpunt en bevoegde autoriteiten)