De wereld verandert en het dreigingsbeeld verandert in hoog tempo mee. Het beveiligen van kritieke infrastructuren is belangrijker dan ooit. De recent uitgebrachte CER richtlijn, vanuit Europa, stelt nieuwe eisen aan de fysieke beveiliging (weerbaarheid) van deze infrastructuren. Maar wat betekent dit voor Nederland, en hoe wordt dit vertaald naar de Wet weerbaarheid kritieke entiteiten (Wwke)? Laten we dieper ingaan op deze onderwerpen.

Wat is de CER richtlijn?

De CER richtlijn is ontworpen om de weerbaarheid (beveiliging) van kritieke infrastructuren te versterken. Deze richtlijn richt zich op sectoren zoals: energie, vervoer, volksgezondheid, bankwezen, drinkwater en afvalwater. Het doel is om deze sectoren weerbaarder te maken tegen relevante dreigingen en hiermee de continuïteit van essentiële dienstverleningen te borgen.

Zorgplicht en meldplicht aangescherpt in nieuwe wetgeving

Het implementeren van CER richtlijn is een omvangrijk en complex traject dat zorgvuldig wordt doorlopen, omdat de impact groot is. Ten opzichte van bestaande wetgeving worden meer sectoren en meer organisaties betrokken (aangewezen) als essentiële en kritieke entiteiten. Bovendien wordt meer van die organisaties gevraagd.

Voor zowel de fysieke als digitale weerbaarheid geldt een zorgplicht. Organisaties moeten vanuit zorgvuldige risicobeoordeling effectieve beheersmaatregelen treffen. Ook komt er een meldplicht rond incidenten. Deze plichten gelden voor organisaties die diensten verlenen die belangrijk, essentieel of zelfs kritiek zijn voor het functioneren van de maatschappij of economie.

Uitdagingen voor kritieke entiteiten in Nederland

Nederland staat voor aanzienlijke uitdagingen bij de implementatie van de CER richtlijn en aanpalende nationale wetgeving. Hier zijn enkele van de belangrijkste uitdagingen die de verschillende sectoren kunnen ondervinden:

Complexiteit van infrastructuur: Veel kritieke infrastructuren zijn opgebouwd uit een combinatie van verouderde en moderne systemen. Het integreren van beveiligingsmaatregelen over deze diverse systemen heen kan ingewikkeld en kostbaar zijn. Versnippering van al dan niet gedateerde systemen heeft impact op beheersbaarheid en daarmee weerbaarheid van de organisatie.

Hybride dreiging en incidentrespons: Met de toename van geavanceerde (hybride) aanvallen is het cruciaal dat sectoren niet alleen in staat zijn om aanvallen te voorkomen, maar ook snel en effectief kunnen reageren op incidenten. Dit vereist voortdurende monitoring en een goed gecoördineerd incidentresponsplan.

Naleving en rapportage: De nieuwe richtlijnen brengen striktere nalevings- en rapportageverplichtingen met zich mee. Organisaties moeten aantonen dat ze voldoen aan de voorschriften en regelmatig verslag uitbrengen over hun beveiligingsstatus en incidenten.

Kosten en middelen: De implementatie van de CER-richtlijn kan aanzienlijke investeringen vergen in termen van technologie, personeel en training. Vooral kleinere organisaties kunnen moeite hebben om de benodigde middelen vrij te maken.

Koppeling met NIS2

Waar de CER-richtlijn zich richt op fysieke weerbaarheid concentreert de NIS2 richtlijn zich op digitale weerbaarheid en cyberbeveiliging binnen de EU-lidstaten. De NIS2 richtlijn breidt het bereik van de oorspronkelijke NIS-richtlijn uit door meer sectoren en soorten bedrijven op te nemen. De CER-richtlijn en NIS2 richtlijn zijn nauw met elkaar verbonden, omdat beide richtlijnen zijn ontworpen om de weerbaarheid van kritieke infrastructuren te versterken tegen dreigingen. Terwijl NIS2 zich richt op een bredere groep sectoren, zijn de CER-richtlijnen specifiek gericht op de beveiliging van infrastructuren die cruciaal zijn voor de nationale veiligheid en economische stabiliteit.

Conclusie
De invoering van de CER richtlijn brengt zowel uitdagingen als kansen met zich mee voor kritieke sectoren in Nederland. Hoewel de implementatie complex en kostbaar kan zijn, biedt het ook de mogelijkheid om de weerbaarheid van deze sectoren aanzienlijk te verbeteren. Door de nauwe koppeling met de NIS2 richtlijn ontstaat er een geïntegreerde aanpak die bijdraagt aan een veiliger, weerbaarder en veerkrachtiger Europa.
Het is duidelijk dat een proactieve en gecoördineerde inspanning nodig is om deze nieuwe eisen effectief te implementeren. Met de juiste strategieën en investeringen kan Nederland zich beter wapenen tegen de groeiende fysieke, digitale en hybride dreigingen, waardoor de continuïteit en veiligheid van kritieke diensten gewaarborgd blijft.

Tot slot

Specialisten van Security Adviesgroep zijn betrokken bij een initiatief van koepelorganisatie Stichting SERN – Stichting Security Expert Register Nederland. Zij werken mee aan een gezamenlijke reactie op de internetconsultatie rond de Wet weerbaarheid kritieke entiteiten (Wwke). Specialisten van Security Adviesgroep reageren daarin op persoonlijke titel. Dit doen zij vanuit de kennis en vaardigheden die Security Adviesgroep in de laatste twintig jaar heeft opgebouwd.

Organisaties kunnen en moeten zich nú voorbereiden op aangescherpte wet- en regelgeving. Dat kan bijvoorbeeld in de vorm van risicobeoordelingen, Security audits, awareness trainingen, review van procedures, review en (her)schrijven van technische specificaties, aanbesteding en implementatie van beheersmaatregelen volgens actuele standaarden, etc.  

Nieuwsgierig hoe Security Adviesgroep jouw organisatie met een 360 graden aanpak kan bijstaan? Neem contact met ons op om hier vrijblijvend van gedachten over te wisselen.