Preview document (🔗 origineel)

---

36 765 Regels ter implementatie van Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333) (Wet weerbaarheid kritieke entiteiten)

Nr. 3 MEMORIE VAN TOELICHTING

ALGEMEEN DEEL

INHOUDSOPGAVE

1. Inleiding 3

2. De CER-richtlijn 3

2.1 Kern van de richtlijn 3

2.2 Belangrijkste onderdelen van de richtlijn 3

2.3 Verhouding tot de NIS2-richtlijn en de Cbw 5

2.4 Verhouding tot de DORA 7

3. Nationale context 7

4. Gemaakte implementatiekeuzes op hoofdlijnen 8

5. Hoofdlijnen van de Wwke 9

5.1 Sectorale risicobeoordeling 9

5.2 Aanwijzing kritieke entiteiten 10

5.3 Risicobeoordeling door kritieke entiteiten 12

5.4 Zorgplicht 12

5.5 Meldplicht 14

5.6 Centraal contactpunt 15

5.7 Bevoegde autoriteit 15

5.8 Ondersteuning aan kritieke entiteiten 16

5.9 Handhaving 16

5.9.1 Handhaving van verplichtingen uit Wwke en uitvoeringshandelingen 16

5.9.2 Bestuursrechtelijke handhaving 17

5.9.3 Handhavingsinstrumentarium 17

5.9.4 Bestuurlijke boete 18

5.9.5 Overtrederschap 19

5.9.6 Samenwerking toezichthoudende instanties 20

5.10 Toepassing in Caribisch deel van het Koninkrijk 20

5.11 Rechtsbescherming en vereisten aan besluiten 21

6. Verhouding tot hoger recht 21

6.1 Inleiding 21

6.2 Gegevensverwerkingen 22

6.3 EVRM 23

6.3.1 Inmenging door openbaar gezag in recht op respect voor de persoonlijke levenssfeer 23

6.3.2 Beperkende maatregel voorzien bij wet 23

6.3.3 Beperking moet legitiem doel dienen en noodzakelijk zijn 24

6.3.3.1 Dringende maatschappelijke behoefte 24

6.3.3.2 Proportionaliteit 24

6.3.3.3 Subsidiariteit 25

6.3.4 Conclusie 26

6.4 Avg 26

6.4.1 Rechtmatigheid, behoorlijkheid en transparantie 26

6.4.2 Doelbinding 27

6.4.3 Minimale gegevensverwerking 27

6.4.4 Juistheid 27

6.4.5 Opslagbeperking 27

6.4.6 Integriteit en vertrouwelijkheid 27

7. Verhouding tot nationale regelgeving 27

7.1 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties 28

7.2 Ministerie van Economische Zaken 28

7.3 Ministerie van Financiën 28

7.4 Ministerie van Infrastructuur en Waterstaat 28

7.5 Ministerie van Klimaat en Groene Groei 29

7.6 Ministerie van Landbouw, Visserij, Voedselzekerheid en Natuur 31

7.7 Ministerie van Volksgezondheid, Welzijn en Sport 31

7.8 Ministerie van Klimaat en Groene Groei, Ministerie van Infrastructuur en Waterstaat en Ministerie van Volksgezondheid, Welzijn en Sport 32

8. Gevolgen 33

8.1 Gevolgen voor burgers en bedrijven 33

8.1.1 Inleiding 33

8.1.2 Zorgplicht 33

8.1.3 Meldplicht 34

8.1.4 Toezichtlasten 35

8.1.5 Eenmalige kennisnamekosten 35

8.2 Gevolgen voor de uitvoering 35

8.3 Financiële gevolgen voor de overheid 36

8.4 Gegevensbeschermingseffectbeoordeling 37

9. Advies en consultatie 37

9.1 Inleiding 37

9.2 Advies AP 37

9.3 Advies ATR 38

9.4 Samenhang Wwke en Cbw 39

9.5 Verplichtingen 39

9.6 Handhaving 39

9.7 Overige opmerkingen 40

9.8 Advies Raad voor de rechtspraak 41

10. Overgangsrecht en inwerkingtreding 42

11. Transponeringstabel 42

1. Inleiding

Dit wetsvoorstel voor de Wet weerbaarheid kritieke entiteiten (hierna: Wwke) strekt tot de uitvoering van de Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad.¹ Deze richtlijn wordt hierna aangeduid als de CER-richtlijn, ontleend aan de woorden critical entities en resilience die voorkomen in de Engelstalige titel van de richtlijn. De lidstaten van de Europese Unie (hierna: lidstaten) moeten uiterlijk op 17 oktober 2024 aan de CER-richtlijn voldoen door deze richtlijn waar nodig in hun nationale regelgeving om te zetten. Aan het eind van het algemeen deel van deze memorie van toelichting is een transponeringstabel opgenomen.

2. De CER-richtlijn

2.1 Kern van de richtlijn

De CER-richtlijn volgt op de zogeheten ECI-richtlijn.² De ECI-richtlijn voorziet in een procedure voor het aanwijzen van Europese kritieke infrastructuren in de sectoren energie en vervoer, waarvan de ontwrichting of vernietiging aanzienlijke grensoverschrijdende gevolgen zou hebben voor ten minste twee lidstaten. De ECI-richtlijn is in 2019 geëvalueerd. Hieruit bleek dat beschermende maatregelen met betrekking tot louter individuele activa niet volstaan om alle verstoringen te voorkomen, door de steeds sterkere verwevenheid en grensoverschrijdende aard van activiteiten waarbij gebruik wordt gemaakt van kritieke infrastructuur. Het Europees Parlement en de Europese Raad hebben daarom besloten dat er een hernieuwde aanpak moet komen. Deze hernieuwde aanpak is uitgemond in de CER-richtlijn, die een minimumniveau introduceert waarmee de weerbaarheid van essentiële diensten in aangewezen sectoren tegen verschillende soorten risico’s en dreigingen wordt vergroot. Een essentiële dienst is een dienst die van cruciaal belang is voor de instandhouding van vitale maatschappelijke functies, economische activiteiten, de volksgezondheid en openbare veiligheid of het milieu.

Het doel van de CER-richtlijn is om, ter instandhouding van vitale maatschappelijke functies en de economische activiteiten in de Europese Unie (hierna: EU), de continuïteit van de levering van essentiële diensten binnen de EU zoveel mogelijk te borgen. Op deze manier wordt de werking van de interne markt verbeterd. De CER-richtlijn beoogt dit te bereiken door de verschillen weg te nemen die tussen lidstaten bestaan op het gebied van veiligheids- en beveiligingseisen die worden gesteld aan entiteiten die vitale maatschappelijke functies en economisch belangrijke activiteiten verrichten of diensten verlenen. Hiertoe worden in de CER-richtlijn geharmoniseerde voorschriften vastgesteld op het gebied van veiligheids- en beveiligingseisen waar aanbieders van essentiële diensten aan moeten voldoen. Deze aanbieders worden in de CER-richtlijn kritieke entiteiten genoemd. Verder wordt geregeld dat vanuit lidstaten op verschillende manieren ondersteuning moet worden geboden aan die kritieke entiteiten.³

2.2 Belangrijkste onderdelen van de richtlijn

Hierna wordt kort ingegaan op de belangrijkste onderdelen van de CER-richtlijn:

a. reikwijdte;

b. nationale risicobeoordeling;

c. aanwijzing kritieke entiteiten;

d. kritieke entiteiten van bijzonder Europees belang;

e. adviesmissies van de Europese Commissie;

f. risicobeoordeling door kritieke entiteiten;

g. verplichtingen;

h. toezicht en handhaving;

i. nationale strategie;

j. ondersteuning aan kritieke entiteiten;

k. aanwijzing centraal contactpunt en bevoegde autoriteiten;

l. samenwerking op nationaal, EU- en internationaal niveau.

a. reikwijdte

De CER-richtlijn is van toepassing op door de lidstaten aan te wijzen kritieke entiteiten binnen de in de bijlage van de CER-richtlijn genoemde sectoren. De sectoren betreffen: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, overheid, ruimtevaart en de productie, verwerking en distributie van levensmiddelen. Lidstaten kunnen op nationaal niveau aanvullende sectoren aanwijzen waarbinnen kritieke entiteiten aangewezen kunnen worden.

b. nationale risicobeoordeling

Lidstaten moeten een nationale risicobeoordeling uitvoeren om inzicht te krijgen in de risico’s die negatieve gevolgen kunnen hebben voor de verlening van essentiële diensten op hun grondgebied. Deze nationale risicobeoordeling richt zich in ieder geval op de door de Europese Commissie opgestelde (niet-limitatieve) lijst van essentiële diensten in de sectoren, genoemd in de bijlage van de CER-richtlijn. De resultaten van de risicobeoordeling moeten worden benut om kritieke entiteiten te identificeren en deze entiteiten te ondersteunen bij het uitvoeren van een eigen risicobeoordeling en het nemen van weerbaarheidsverhogende maatregelen.

c. aanwijzing kritieke entiteiten

Op grond van de CER-richtlijn moeten lidstaten beoordelen welke organisaties als kritieke entiteit worden aangewezen binnen de sectoren en subsectoren uit de bijlage van de CER-richtlijn, dan wel binnen de aanvullende geïdentificeerde sectoren en subsectoren. Daarbij wordt in ieder geval gekeken naar de mate waarin een organisatie een essentiële dienst verleent die onmisbaar is voor de uitvoering van maatschappelijke functies en economische activiteiten.

d. kritieke entiteiten van bijzonder Europees belang

Een kritieke entiteit is van bijzonder Europees belang als deze dezelfde of soortgelijke diensten verleent aan of in ten minste zes lidstaten. Het is aan de Europese Commissie om te beoordelen of sprake is van een dergelijke entiteit.

e. adviesmissies van de Europese Commissie

Ten aanzien van een kritieke entiteit van bijzonder Europees belang kan een zogeheten adviesmissie plaatsvinden. De Europese Commissie kan op verzoek van de lidstaat die een kritieke entiteit van bijzonder Europees belang heeft geïdentificeerd als kritieke entiteit, een adviesmissie organiseren ter beoordeling van de door die entiteit genomen weerbaarheidsverhogende maatregelen. De Europese Commissie kan dat ook doen op eigen initiatief of op verzoek van één of meer lidstaten waaraan of waarin de essentiële dienst wordt verleend, mits de lidstaat die een kritieke entiteit van bijzonder Europees belang heeft geïdentificeerd als een kritieke entiteit, hiermee instemt.

f. risicobeoordeling door kritieke entiteiten

Kritieke entiteiten moeten periodiek een risicobeoordeling uitvoeren. Deze risicobeoordeling is er op gericht om alle relevante risico’s in kaart te brengen die de dienstverlening van hun essentiële dienst(en) aanzienlijk kunnen verstoren.

g. verplichtingen

Naast de verplichting om een risicobeoordeling uit te voeren, bevat de CER-richtlijn ook andere verplichtingen voor kritieke entiteiten. Zo moeten zij, op basis van de eigen risicobeoordeling en de informatie uit de nationale risicobeoordeling, passende en evenredige technische, beveiligings- en organisatorische maatregelen nemen om voor hun weerbaarheid te zorgen (zorgplicht). Indien er desalniettemin toch een incident plaatsvindt dat de verlening van de essentiële dienst aanzienlijk verstoort of kan verstoren, dan moeten entiteiten dat melden bij de bevoegde autoriteit (meldplicht).

h. toezicht en handhaving

Er wordt toezicht gehouden op de naleving van de verplichtingen die volgen uit de CER-richtlijn voor kritieke entiteiten. De bevoegde autoriteit kan overgaan tot het opleggen van een sanctie.

i. nationale strategie

Voor een integrale aanpak van de weerbaarheid van kritieke entiteiten verplicht de CER-richtlijn dat elke lidstaat beschikt over een nationale strategie. Die strategie moet zoveel mogelijk aansluiten bij en gebruik maken van bestaande (nationale en sectorale) strategieën. De nationale strategie moet de strategische doelstellingen en concrete beleidsmaatregelen bevatten voor de sectoren die in de bijlage van de CER-richtlijn genoemd worden.

j. ondersteuning aan kritieke entiteiten

Op grond van de CER-richtlijn moeten lidstaten ondersteuning bieden aan kritieke entiteiten bij het versterken van hun weerbaarheid. Die ondersteuning kan bestaan uit het ontwikkelen van richtsnoeren en methodologieën, hulp bij de organisatie van oefeningen om de weerbaarheid van kritieke entiteiten te versterken en het verstrekken van advies en opleiding aan personeel van kritieke entiteiten.

k. aanwijzing centraal contactpunt en bevoegde autoriteiten

Elke lidstaat moet één centraal contactpunt en één of meer bevoegde autoriteiten aanwijzen. Het centrale contactpunt heeft een verbindingsfunctie in de samenwerking tussen de lidstaten en met de Europese Commissie. De CER-richtlijn bevat diverse taken voor de bevoegde autoriteit. Zo heeft zij taken in het kader van meldingen van incidenten, maar ook de taak om te zorgen voor het toezicht op en de handhaving van verplichtingen.

l. samenwerking op nationaal, EU- en internationaal niveau

De CER-richtlijn schrijft samenwerking op nationaal, EU- en internationaal niveau voor. Op nationaal niveau geldt dat wanneer de bevoegde autoriteiten en het centrale contactpunt binnen een lidstaat afzonderlijk bestaan, zij met elkaar moeten samenwerken. Verder bepaalt de CER-richtlijn dat lidstaten bij de uitvoering van de nationale risicobeoordeling onder meer rekening moeten houden met de mate waarin essentiële diensten afhankelijkheid kennen van entiteiten met een vestiging in een andere lidstaat of een derde land. Van lidstaten wordt daarom verwacht dat zij samenwerken en informatie uitwisselen met de bevoegde autoriteiten van andere lidstaten en derde landen. Daarnaast moeten lidstaten elkaar raadplegen om een consistente toepassing van de CER-richtlijn te borgen bij kritieke entiteiten met een grensoverschrijdend karakter. Voorts wordt de zogenaamde Groep voor de weerbaarheid van kritieke entiteiten (Critical Entities Resilience Group) opgericht om de Europese Commissie te ondersteunen en om de samenwerking tussen de lidstaten en de onderlinge informatie-uitwisseling te faciliteren.⁴

2.3 Verhouding tot de NIS2-richtlijn en de Cbw

Gelijktijdig met de CER-richtlijn is de Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 vastgesteld.⁵ Die richtlijn wordt hierna aangeduid als de NIS2-richtlijn. Voor de NIS2-richtlijn geldt dezelfde termijn waarbinnen de richtlijn moet zijn omgezet in nationale regelgeving als voor de CER-richtlijn. De NIS2-richtlijn wordt in Nederland geïmplementeerd in de Cyberbeveiligingswet (hierna: Cbw).

De Cbw heeft tot doel om een hoog gemeenschappelijk niveau van cyberbeveiliging in de EU te bereiken, teneinde de werking van de interne markt te verbeteren. De Cbw beoogt dit doel te bereiken door de verschillen weg te nemen die tussen lidstaten bestaan. Het gaat om verschillen op het gebied van cyberbeveiligingseisen die worden gesteld aan entiteiten die economisch belangrijke activiteiten of diensten verrichten. De Cbw bevat, ter implementatie van de NIS2-richtlijn, diverse verplichtingen voor essentiële entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen. Zo gelden voor essentiële entiteiten en belangrijke entiteiten onder meer een zorgplicht en een meldplicht.

Alle kritieke entiteiten in de zin van de Wwke zijn van rechtswege ook essentiële entiteit in de zin van de Cbw (zie artikel 8, eerste lid, onderdeel i, Cbw). Andersom geldt dat niet: een essentiële entiteit kwalificeert niet automatisch als kritieke entiteit, omdat kritieke entiteiten eerst als zodanig onder de Wwke moeten worden aangewezen.

De Cbw kent een benadering die alle gevaren omvat (all hazard) en heeft tot doel om netwerk- en informatiesystemen en de fysieke omgeving daarvan te beschermen tegen gebeurtenissen die de beveiliging van die systemen kunnen aantasten. Het gaat hierbij niet alleen om de enkele bescherming tegen gebeurtenissen met kwade wil, zoals digitale aanvallen, diefstal of ongeoorloofde fysieke toegang. Het gaat ook om de bescherming van die systemen tegen andersoortige gebeurtenissen, zoals natuurrampen. Om de risico’s voor netwerk- en informatiesystemen te beheersen moeten entiteiten maatregelen treffen voor zowel de digitale beveiliging van die systemen als voor de bescherming van de fysieke omgeving en componenten van die systemen, zoals gebouwen en ruimtes waar die systemen zich bevinden. Het kan voorkomen dat een incident of bijna-incident gevolgen heeft die zowel de netwerk- en informatiesystemen als andere fysieke aspecten van de essentiële dienstverlening raken. In dat geval gelden de verplichtingen van beide wetten. De Wwke beschrijft dan de verplichtingen van de kritieke entiteit en de respons van de bevoegde autoriteit daarop, die zich niet uitstrekt over de netwerk- en informatiesystemen of de fysieke omgeving daarvan. Op die systemen en de omgeving daarvan is de Cbw van toepassing.

Artikel 21 Cbw ziet op de zorgplicht voor essentiële entiteiten en belangrijke entiteiten. In artikel 21, derde lid, Cbw is geregeld dat de maatregelen die essentiële entiteiten en belangrijke entiteiten moeten nemen voor het beheersen van cyberbeveiligingsrisico’s, gebaseerd moeten zijn op een benadering die alle gevaren omvat en tot doel heeft netwerk- en informatiesystemen en de fysieke omgeving van die systemen te beschermen. Daarom moet in het kader van de zorgplicht uit de Cbw ook aandacht worden besteed aan de fysieke beveiliging en omgevingsbeveiliging van netwerk- en informatiesystemen, door maatregelen te nemen om dergelijke systemen te beschermen tegen systeemstoringen, menselijke fouten, kwaadwillige handelingen en natuurverschijnselen. Ten aanzien van de weerbaarheid van de fysieke omgeving van enkel netwerk- en informatiesystemen geldt dus de Cbw.

Het kan daarnaast voorkomen dat de verplichtingen uit zowel de Wwke als de Cbw gelden bij een incident of bijna-incident dat gevolgen heeft voor zowel de netwerk- en informatiesystemen en de fysieke omgeving daarvan, alsook andere fysieke omgevingen of fysieke aspecten die de essentiële dienstverlening raken. De Cbw beschrijft dan de verplichtingen van de entiteit ten aanzien van de netwerk- en informatiesystemen en de fysieke omgeving. Voor de overige (fysieke) aspecten die de essentiële dienstverlening raken is de Wwke van toepassing. Uiteraard geldt hierbij de uitzondering voor de kritieke entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur, zoals geregeld in artikel 23 Wwke.

Het uitgangspunt is dat beide wetten zoveel mogelijk op elkaar aansluiten (bijvoorbeeld wat betreft de zorgplicht en de meldplicht) en de bevoegde autoriteiten van de Wwke en de Cbw nauw samenwerken en informatie uitwisselen, zodat entiteiten niet met (dubbele) administratieve lasten te maken krijgen die verder gaan dan nodig is om de doelstellingen van de Wwke en de Cbw te verwezenlijken. Hierbij kan worden gedacht aan onderlinge afspraken om zodoende vlot en effectief samen te werken en dubbel werk waar mogelijk te voorkomen, bijvoorbeeld bij het toezien op de toepassing van de verplichtingen op grond van de Wwke die raken aan de Cbw. Ten behoeve van deze samenwerking wisselen de bevoegde autoriteiten de benodigde informatie uit, zoals de door een kritieke entiteit uitgevoerde risicobeoordeling en genomen maatregelen.

2.4 Verhouding tot de DORA

Het Unierecht over financiële diensten legt een groot aantal financiële entiteiten vergaande voorschriften op om alle risico’s waarmee zij te maken krijgen, waaronder operationele risico’s, te beheersen en de bedrijfscontinuïteit te waarborgen.⁶ Dat juridisch kader is aangevuld met de zogeheten Digital Operational Resilience Act (hierna: DORA).⁷ Deze verordening is van toepassing op de financiële sector.

De DORA regelt dat een groot aantal financiële entiteiten informatie- en communicatietechnologierisico’s moeten beheersen, waaronder die over de bescherming van fysieke ICT-infrastructuur. Aangezien de weerbaarheid van die entiteiten op die manier volledig is gedekt en de verplichtingen uit de DORA rechtstreeks van toepassing zijn, zijn artikel 11 en de hoofdstukken III, IV en VI van de CER-richtlijn niet van toepassing op de financiële entiteiten, bedoeld in artikel 8 CER-richtlijn. Daarom is ter implementatie van het voorgaande in de Wwke geregeld dat een aantal verplichtingen uit de Wwke niet van toepassing is op deze entiteiten. Het betreft de verplichting om een risicobeoordeling uit te voeren (artikel 14 Wwke), de zorgplicht (artikel 15 Wwke), de meldplicht (artikel 17 Wwke), de verplichting om een verbindingsfunctionaris aan te wijzen (artikel 19 Wwke), de verplichting om de bevoegde autoriteit te informeren over de verlening van essentiële diensten aan of in zes of meer lidstaten (artikel 20 Wwke) en de verplichting uit artikel 22 Wwke voor kritieke entiteiten van bijzonder Europees belang. Dat deze verplichtingen niet van toepassing zijn op de hiervoor bedoelde entiteiten heeft tot gevolg dat de artikelen 37 tot en met 40 Wwke, over handhaving, ten aanzien van die verplichtingen niet van toepassing zijn. De andere bepalingen uit de Wwke zijn wel van toepassing op de financiële entiteiten die als kritieke entiteit zijn geïdentificeerd en aangewezen in de zin van de Wwke. Zo is op hen wel artikel 10 Wwke, over de ondersteuning aan kritieke entiteiten, van toepassing.

3. Nationale context

Aanpak vitaal

De diensten die samen de vitale infrastructuur vormen, zijn het fundament waarop de Nederlandse samenleving draait. Uitval, verstoring of manipulatie van deze diensten kan grote gevolgen hebben voor het functioneren van de Nederlandse en Europese maatschappij en economie. In het uiterste geval kan verstoring zelfs een bedreiging vormen voor de nationale veiligheid.

Nederland kent al enige tijd de zogeheten Aanpak vitaal.⁸ Dit is beleid ter bescherming van de vitale infrastructuur. De overheid werkt binnen de Aanpak vitaal voortdurend samen met publieke en private organisaties, om de weerbaarheid van de vitale infrastructuur te versterken en te beschermen tegen bestaande en nieuwe bedreigingen en risico’s. De Wwke zal een integraal onderdeel vormen van de Aanpak vitaal, waarbij geldt dat een aantal aspecten van dit beleid wettelijk wordt verankerd. Meer specifiek geldt dat het onder dit beleid ontwikkelde vitaalinstrumentarium wordt ingezet bij het operationaliseren van een aantal verplichtingen uit de CER-richtlijn.

Het bestaand vitaalinstrumentarium

Het vitaalinstrumentarium is bestaand beleid binnen de Aanpak vitaal. Het beschermen en weerbaar maken van de (nationale) vitale infrastructuur kent een cyclische aanpak waarbij periodiek wordt beoordeeld of de zienswijze op en bescherming van de vitale infrastructuur moet worden herzien of aangescherpt (hierna: cyclus vitaal). In de cyclus vitaal worden de volgende instrumenten toegepast: vitaalbeoordeling, weerbaarheidsanalyse en actieprogramma.

De cyclus vitaal wordt voor ieder vitaal proces uitgevoerd door de vakminister. Dat gebeurt minimaal vierjaarlijks middels een herbeoordeling of tussentijds middels een quickscan (toetsing effectiviteit en waar nodig bijstellen van maatregelen) wanneer de vakminister of de Minister van Justitie en Veiligheid constateert dat een ontwikkeling, actualiteit of dreigingsbeeld daartoe aanleiding geeft. De vakministers zijn primair verantwoordelijk voor de juiste toepassing van het vitaalinstrumentarium in hun sector(en). De Minister van Justitie en Veiligheid is verantwoordelijk voor het actueel houden van de instrumenten.

Het instrumentarium speelt een belangrijke rol in de vertaling van de CER-richtlijn naar de Wwke, bijvoorbeeld omdat de analyses behulpzaam zijn om inzicht te krijgen in de risico’s waar entiteiten die onder de Wwke vallen zich tegen dienen te beschermen.

Het doel van de vitaalbeoordeling is om inzichtelijk te maken welke diensten zo essentieel zijn voor de Nederlandse samenleving, dat uitval, verstoring of manipulatie daarvan kan leiden tot ernstige maatschappelijke ontwrichting, ernstige economische schade of – in het uiterste geval – een bedreiging van de nationale veiligheid. Vervolgens worden binnen die diensten de entiteiten geïdentificeerd die van belang zijn voor het leveren van de dienst. De vakminister merkt deze entiteiten in het kader van staand beleid aan als zogenoemde vitale aanbieder. De aanmerking als vitale aanbieder zal een goede indicatie geven van het belang van die entiteit, maar de bevoegde autoriteit (vakminister) zal in het kader van artikel 6 Wwke tot een nieuwe beoordeling moeten komen van het al dan niet aanwijzen van de entiteit als kritieke entiteit onder de Wwke.

De weerbaarheidsanalyse dient als instrument om de weerbaarheid van vitale diensten in kaart te brengen en te beoordelen. De vakminister voert in samenwerking met de sector een weerbaarheidsanalyse uit voor alle vitale diensten die onder zijn verantwoordelijkheid vallen. De weerbaarheidsanalyse kent een benadering die is gericht op alle gevaren en risico’s (all hazard) en is daarmee in lijn met de Wwke. De input hiervoor is onder andere afkomstig van periodieke risico- en dreigingsanalyses, zoals de Rijksbrede Risicoanalyse Nationale Veiligheid. Ook sectorale analyses en beelden bieden input voor de weerbaarheidsanalyse. Binnen de Aanpak vitaal wordt aan de hand van de resultaten uit de weerbaarheidsanalyse door de vakminister, gezamenlijk met de sector, een actieprogramma opgesteld met daarin concrete actielijnen om de weerbaarheid te versterken.

4. Gemaakte implementatiekeuzes op hoofdlijnen

In de Wwke zijn op hoofdlijnen de hierna volgende implementatiekeuzes gemaakt.

1. Implementatie in één centrale wet: De CER-richtlijn wordt geïmplementeerd in één centrale wet (de Wet weerbaarheid kritieke entiteiten) en niet in sectorale wetten, zoals de Wet op het financieel toezicht. Eén van de redenen hiervoor is dat de CER-richtlijn onderwerpen bevat die alleen in de CER-richtlijn worden gereguleerd en daardoor niet in sectorale wetten zijn geregeld, zoals de risicobeoordeling specifiek op het terrein van alle relevante door de natuur en door de mens veroorzaakte risico’s die de verlening van een essentiële dienst kunnen verstoren, waaronder risico’s van sectoroverschrijdende of van grensoverschrijdende aard, natuurrampen en noodsituaties op het gebied van de volksgezondheid. Bovendien is de sectorale wetgeving in veel gevallen niet geheel soortgelijk aan de bepalingen hierover uit de CER-richtlijn. Het is wenselijk dat de verplichtingen uit de CER-richtlijn door de entiteiten uit de verschillende sectoren van de CER-richtlijn uniform worden toegepast.

2. Verantwoordelijkheid vakminister bij aanwijzing van entiteiten, medeverantwoordelijkheid Minister van Justitie en Veiligheid: De vakminister is verantwoordelijk voor de toepassing van de Wwke binnen de sectoren die onder zijn beleidsverantwoordelijkheid vallen. De Minister van Justitie en Veiligheid is medeverantwoordelijk vanuit zijn rol als coördinerend bewindspersoon voor de bescherming van de weerbaarheid in Nederland en medeverantwoordelijk voor de nationale veiligheid. De aanwijzing van entiteiten als kritieke entiteit geschiedt daarom door de vakminister, na overleg met de Minister van Justitie en Veiligheid (zie artikel 6 Wwke).

3. Aanwijzing Minister van Justitie en Veiligheid als het centrale contactpunt: De Minister van Justitie en Veiligheid is medeverantwoordelijk vanuit zijn rol als coördinerend bewindspersoon voor de bescherming van de weerbaarheid in Nederland en medeverantwoordelijk voor de nationale veiligheid. De Minister van Justitie en Veiligheid wordt daarom aangewezen als het centrale contactpunt voor Nederland (zie artikel 12 Wwke).

4. Sectorale risicobeoordeling door vakminister: Artikel 5 CER-richtlijn verplicht lidstaten tot het uitvoeren van een nationale risicobeoordeling (“lidstaat-risicobeoordeling”). In de Wwke is ervoor gekozen om deze nationale risicobeoordeling sectoraal uit te voeren. De verplichting wordt belegd bij de vakminister voor de sectoren en subsectoren die onder zijn beleidsverantwoordelijkheid vallen (zie artikel 9 Wwke). Die risicobeoordeling geschiedt na overleg met de Minister van Justitie en Veiligheid, vanwege zijn medeverantwoordelijkheid vanuit zijn rol als coördinerend bewindspersoon voor de bescherming van de weerbaarheid in Nederland en zijn medeverantwoordelijkheid voor de nationale veiligheid. Door de risicobeoordeling sectoraal uit te voeren en bij de vakminister te beleggen wordt onder meer geborgd dat de beoordeling wordt uitgevoerd met voldoende inzicht in sectorspecifieke eigenschappen en belangen.

5. Aanwijzing bevoegde autoriteit: In de Wwke is ervoor gekozen om de vakministers aan te wijzen als de bevoegde autoriteit voor de sectoren en subsectoren die onder hun beleidsverantwoordelijkheid vallen (zie artikel 8 Wwke). Door de vakminister aan te wijzen als de bevoegde autoriteit wordt onder meer geborgd dat de in de Wwke opgenomen taken van de bevoegde autoriteit worden uitgevoerd met voldoende inzicht in sectorspecifieke eigenschappen en belangen.

Voor de duidelijkheid van deze toelichting wordt gebruik gemaakt van de terminologie “toezichthoudende instantie” enerzijds, wanneer wordt gedoeld op de uitvoering van toezichtstaken van de bevoegde autoriteit, en “vakminister” anderzijds, wanneer wordt gedoeld op de andere taken van de bevoegde autoriteit. In de gevallen dat bij de praktische uitvoering van de Wwke pas duidelijk zal worden wie de taak gaat uitvoeren, wordt gebruik gemaakt van de terminologie “vakminister en/of toezichthoudende instantie”.

5. Hoofdlijnen van de Wwke

In dit hoofdstuk wordt een toelichting gegeven op de belangrijkste onderdelen van de Wwke. Daarbij wordt ook ingegaan op de beleidskeuzes die daar aan ten grondslag liggen.

5.1 Sectorale risicobeoordeling

Verplichting uitvoering risicobeoordeling door bevoegde autoriteit

Artikel 9 Wwke verplicht de bevoegde autoriteit (vakminister) tot het uitvoeren van een risicobeoordeling voor de betrokken sector en subsector. Het doel van de risicobeoordeling is om in kaart te brengen waar risico’s bestaan of kunnen bestaan die negatieve gevolgen kunnen hebben voor de verlening van essentiële diensten. De bevoegde autoriteit (vakminister) houdt met deze resultaten rekening bij het identificeren van kritieke entiteiten. Daarnaast geeft de informatie uit deze risicobeoordeling kritieke entiteiten richting en ondersteuning bij het uitvoeren van hun eigen risicobeoordeling en bij het voldoen aan de zorgplicht.

Lijst van essentiële diensten van de Europese Commissie

De basis voor de uitvoering van de sectorale risicobeoordeling is een door de Europese Commissie vastgestelde niet-limitatieve lijst van essentiële diensten.⁹ Lidstaten zijn verplicht om in ieder geval voor deze essentiële diensten een risicobeoordeling uit te voeren, maar kunnen dit ook doen voor andere essentiële diensten die niet worden genoemd maar door lidstaten nationaal worden aangewezen. Artikel 9, eerste lid, Wwke verplicht de bevoegde autoriteit (vakminister) om ook ten aanzien van de sectoren en subsectoren die op grond van artikel 7, eerste lid, Wwke aanvullend zijn aangewezen, een risicobeoordeling uit te voeren.

Verplichting van de vakminister

De verplichting tot het periodiek uitvoeren van een risicobeoordeling is in artikel 9 Wwke formeel belegd bij de bevoegde autoriteit en in de praktijk belegd bij de vakminister die beleidsverantwoordelijk is voor de betreffende sector of subsector. Deze verplichting wordt in Nederland dus sectoraal ingericht. Door de risicobeoordeling sectoraal uit te voeren en bij de vakminister te beleggen wordt onder meer geborgd dat de beoordeling wordt uitgevoerd met voldoende inzicht in sectorspecifieke eigenschappen en belangen.

Uitvoering risicobeoordeling

Bij het uitvoeren van de risicobeoordeling moet de vakminister alle relevante natuurlijke en door de mens veroorzaakte risico’s die tot een incident zouden kunnen leiden in aanmerking nemen, zoals ongevallen, natuurrampen en terroristische misdrijven. Verder houdt de vakminister in ieder geval rekening met de reeds bestaande risicoanalyses en dreigingsbeelden, zoals de Rijksbrede Risicoanalyse Nationale Veiligheid, het Cybersecuritybeeld Nederland (CSBN), het Dreigingsbeeld Statelijke Actoren (DBSA) en het Dreigingsbeeld Terrorisme Nederland (DTN).

De vakministers kunnen de risicobeoordeling uitvoeren door de toepassing van het bestaand vitaalinstrumentarium uit de Aanpak vitaal. Meer specifiek gaat het om de vitaalbeoordeling en de weerbaarheidsanalyse. Dit instrumentarium is toegelicht in hoofdstuk 3.

De vitaalbeoordeling heeft als doel om essentiële diensten en kritieke entiteiten daarbinnen in kaart te brengen. De weerbaarheidsanalyse heeft als doel om de meest relevante dreigingen en risico’s voor de essentiële diensten in beeld te brengen en te analyseren hoe weerbaar deze diensten zijn. De vitaalbeoordeling en weerbaarheidsanalyse samen geven een beeld van de relevante risico’s voor de verlening van essentiële diensten en ondersteunen kritieke entiteiten bij het uitvoeren van hun risicobeoordeling. De huidige vitaalbeoordeling en de weerbaarheidsanalyse zullen waar nodig worden aangepast om beter aan te sluiten op de Wwke.

5.2 Aanwijzing kritieke entiteiten

Inleiding

De Wwke bevat diverse rechten en plichten voor zogeheten kritieke entiteiten. Een entiteit is pas een kritieke entiteit in de zin van de Wwke als deze entiteit als zodanig is aangewezen. De aanwijzing geschiedt door de vakminister, na overleg met de Minister van Justitie en Veiligheid.

Identificatie en aanwijzing van kritieke entiteiten

Entiteiten worden aangewezen als kritieke entiteit als zij voldoen aan de criteria in artikel 6, eerste lid, Wwke. Het gaat om de volgende criteria: de entiteit verleent één of meer essentiële diensten, de entiteit is actief op het grondgebied van Nederland, de kritieke infrastructuur van de entiteit bevindt zich op het grondgebied van Nederland en een incident zou aanzienlijke verstorende effecten hebben.

Bij de identificatie en aanwijzing van een kritieke entiteit moet de vakminister rekening houden met de nationale strategie, bedoeld in artikel 13 Wwke, en de resultaten van de sectorale risicobeoordeling, bedoeld in artikel 9 Wwke. In de nationale strategie staat een algemene beschrijving van het proces waarmee kritieke entiteiten, aanvullende sectoren, subsectoren en categorieën van entiteiten worden geïdentificeerd. De sectorale risicobeoordeling zal worden benut om te beoordelen welke entiteiten voldoen aan voornoemde criteria om als kritieke entiteit te worden aangewezen. De reeds bestaande vitaalbeoordeling zal gebruikt worden om dit onderdeel van de sectorale risicobeoordeling uit te voeren.

De invulling van de criteria om te beoordelen wat een aanzienlijk verstorend effect inhoudt (artikel 6, tweede lid, Wwke) kan per sector en subsector dermate verschillen dat het van belang is om de sectorspecifieke eigenschappen en belangen hierbij mee te wegen. De vakminister onderbouwt daarom bij de aanwijzing, al dan niet aan de hand van de vitaalbeoordeling, hoe de criteria zijn toegepast en hoe tot de identificatie van de kritieke entiteit is gekomen.

Indien uit de sectorale risicobeoordeling of tussentijdse evaluaties blijkt dat een kritieke entiteit niet meer voldoet aan de criteria om aangewezen te worden als kritieke entiteit, zal de vakminister de aanwijzing intrekken.

Gevolgen van de aanwijzing

De aanwijzing als kritieke entiteit heeft tot gevolg dat het bepaalde bij of krachtens de Wwke over kritieke entiteiten van toepassing is op de aangewezen entiteit. Het is echter niet zo dat alle verplichtingen uit de Wwke direct na de aanwijzing van toepassing zijn op de betrokken entiteit. Voor de zorgplicht en de meldplicht geldt dat deze verplichtingen tien maanden na de aanwijzing als kritieke entiteit van toepassing zijn op de aangewezen entiteit (zie de artikelen 15, vijfde lid, en 17, zevende lid, Wwke). Voor de verplichting om een risicobeoordeling uit te voeren geldt dat deze verplichting negen maanden na de aanwijzing als kritieke entiteit van toepassing is (zie artikel 14, derde lid, Wwke).

Kritieke entiteit is essentiële entiteit in de zin van de Cbw

Alle entiteiten die als kritieke entiteit in de zin van de Wwke zijn aangewezen, zijn van rechtswege essentiële entiteit in de zin van de Cbw. Dit is geregeld in artikel 8, eerste lid, onderdeel i, Cbw. Dit heeft tot gevolg dat vanaf de aanwijzing van een entiteit als kritieke entiteit, die daarmee tevens essentiële entiteit in de zin van de Cbw is, de rechten van en plichten voor essentiële entiteiten uit de Cbw van toepassing zijn op die kritieke entiteit.

Toepassingsbereik

Sommige entiteiten kunnen niet worden aangewezen als kritieke entiteit. Overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, zijn namelijk van rechtswege uitgesloten van het toepassingsbereik van de CER-richtlijn. Dit volgt uit artikel 1, zesde lid, CER-richtlijn. Deze overheidsinstanties vallen dus ook niet onder het toepassingsbereik van de Wwke.

In artikel 5 Wwke is ter implementatie van artikel 1, zesde lid, CER-richtlijn bepaald dat de Wwke niet van toepassing is op het Ministerie van Defensie, de Militaire Inlichtingen- en Veiligheidsdienst, de Algemene Inlichtingen- en Veiligheidsdienst, het openbaar ministerie, de politie en de veiligheidsregio’s. De Militaire Inlichtingen- en Veiligheidsdienst en de Algemene Inlichtingen- en Veiligheidsdienst zijn uitgezonderd van het toepassingsbereik van de Wwke, omdat zij uitsluitend actief zijn op het gebied van de nationale veiligheid. Dat valt niet onder de reikwijdte van het Unierecht en daarmee ook niet onder de reikwijdte van de CER-richtlijn. Deze diensten komen een bijzondere rechtspositie toe, anders dan de bijzondere opsporingsdiensten die hieronder aan de orde komen. Zo hebben zij een eigen wettelijk regime dat op hen van toepassing is – de Wet op de inlichtingen- en veiligheidsdiensten 2017 – en zijn aan de hoofden van de diensten zelfstandige bevoegdheden geattribueerd.

In artikel 5 Wwke is tevens voorzien in de grondslag om bij algemene maatregel van bestuur (hierna: amvb) andere overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, van die toepasselijkheid uit te zonderen (onderdeel f). Van deze grondslag zal gebruik worden gemaakt indien na de inwerkingtreding van de Wwke onverhoopt tot het inzicht wordt gekomen dat een overheidsinstantie ontbreekt in de opsomming van artikel 5 Wwke.

Aangezien de hiervoor genoemde overheidsinstanties zijn uitgesloten van het toepassingsbereik van de Wwke, kunnen zij dus ook niet worden aangewezen als kritieke entiteit in de zin van de Wwke en kunnen de verplichtingen uit de Wwke, zoals de zorgplicht, niet op hen van toepassing zijn.¹⁰ Dit neemt niet weg dat deze overheidsinstanties uiteraard worden geacht passende en evenredige technische, beveiligings- en organisatorische maatregelen te hebben genomen om voor hun weerbaarheid te zorgen.

Overheidsinstanties waarvan de activiteiten slechts zijdelings verband houden met nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving zijn niet uitgesloten van het toepassingsbereik van de CER-richtlijn en dus ook niet van het toepassingsbereik van de Wwke.

Voor de bijzondere opsporingsdiensten geldt dat zij ressorteren onder een minister, niet zijnde de Minister van Defensie (zie artikel 2 Wet op de bijzondere opsporingsdiensten). Voor deze diensten geldt dat zij onderdeel zijn van de betreffende ministeries (zie artikel 9, eerste lid, Wet op de bijzondere opsporingsdiensten). De ministeries waar de bijzondere opsporingsdiensten onder ressorteren voeren niet in hoofdzaak activiteiten uit op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten (artikel 1, zesde lid, CER-richtlijn in samenhang met overweging 11 van de CER-richtlijn). Als die ministeries op grond van de Wwke worden aangewezen als kritieke entiteit, heeft dat tot gevolg dat de verplichtingen uit de Wwke (waarvan sommige op grond van de Wwke een ingangsdatum hebben van enkele maanden na de aanwijzing) van toepassing zijn op deze ministeries en de onderliggende dienstonderdelen, waaronder dus ook de desbetreffende bijzondere opsporingsdiensten. De bijzondere opsporingsdiensten voeren activiteiten uit op het gebied van rechtshandhaving, zie de opsomming van hun taken in artikel 3 Wet op de bijzondere opsporingsdiensten. Indien de desbetreffende ministeries worden aangewezen als kritieke entiteit, zullen tegelijkertijd bij die aanwijzing de activiteiten die de bijzondere opsporingsdiensten uitvoeren, op grond van artikel 24 Wwke worden ontheven van de verplichtingen uit de artikelen 14, 15, 17, 19, 20 en 22 Wwke.

5.3 Risicobeoordeling door kritieke entiteiten

Kritieke entiteiten moeten een risicobeoordeling uitvoeren ten aanzien van alle relevante door de natuur en door de mens veroorzaakte risico’s die de verlening van hun essentiële dienst of diensten kunnen verstoren. Deze verplichting volgt uit artikel 12 CER-richtlijn en is geïmplementeerd in artikel 14 Wwke.

Artikel 14, eerste lid, Wwke bevat een opsomming van de risico’s die zij in ieder geval moeten beoordelen. Daarbij gaat het onder meer om risico’s van sectoroverschrijdende of van grensoverschrijdende aard, risico’s op ongevallen en risico’s op natuurrampen.

Een risicobeoordeling bestaat uit het proces om potentiële relevante dreigingen, kwetsbaarheden en gevaren die tot een incident kunnen leiden in kaart te brengen en te analyseren, en de impact die een incident zou kunnen hebben op de verstoring van een essentiële dienst in te schatten. Vervolgens moeten kritieke entiteiten indien nodig (aanvullende) maatregelen nemen in lijn met de risico’s waarmee zij geconfronteerd worden, om incidenten te voorkomen, te beperken of te beheersen, en om bescherming te bieden of bestand te zijn tegen, te reageren op of zich aan te passen aan en te herstellen van een incident.

Zoals reeds in paragraaf 2.3 is toegelicht, is het uitgangspunt dat de Wwke en de Cbw zoveel mogelijk op elkaar aansluiten, zodat entiteiten niet met (dubbele) administratieve lasten te maken krijgen die verder gaan dan nodig is om de doelstellingen van de Wwke en de Cbw te verwezenlijken. Hierbij kan in het kader van de risicobeoordeling worden gedacht aan het – waar mogelijk en effectief – simultaan uitvoeren van zowel de risicobeoordeling bedoeld onder de Wwke, als de risicobeoordeling bedoeld onder de Cbw.

5.4 Zorgplicht

Inleiding

Kritieke entiteiten moeten passende en evenredige technische, beveiligings- en organisatorische maatregelen nemen om voor hun weerbaarheid te zorgen. Dit doen zij op basis van de door de vakminister verstrekte relevante informatie over de risicobeoordeling en op basis van de resultaten van hun eigen risicobeoordeling. Deze verplichting, ook wel de zorgplicht genoemd, is opgenomen in artikel 15 Wwke. Uit artikel 4 Wwke volgt dat de zorgplicht niet ziet op de netwerk- en informatiesystemen van kritieke entiteiten en de fysieke componenten en omgevingen daarvan. Daar ziet de zorgplicht uit artikel 21 Cbw op. Zie paragraaf 2.3 voor een nadere toelichting hierop.

De weerbaarheid van een kritieke entiteit is het vermogen om een incident te voorkomen, te beperken of te beheersen, en om bescherming te bieden of bestand te zijn tegen, te reageren op of zich aan te passen aan en te herstellen van een incident. Hierbij gaat het om de bescherming van hun essentiële dienstverlening ten aanzien van alle dreigingen en gevaren die door mens en natuur veroorzaakt kunnen worden.

Passende en evenredige maatregelen

De maatregelen die kritieke entiteiten op grond van de Wwke moeten nemen, moeten passend en evenredig zijn in relatie tot de risico’s die zij hebben vastgesteld op basis van de eigen risicobeoordeling en tegen het licht van de door de vakminister uitgevoerde risicobeoordeling.

Bij de beoordeling of een maatregel of een combinatie van maatregelen passend is, wordt allereerst gekeken naar de effectiviteit. De maatregelen moeten één of meer van de volgende effecten bewerkstelligen: een incident voorkomen en als een incident zich toch voordoet, de gevolgen beperken door het incident te beheersen, zich aan te passen aan een incident of daarvan zo spoedig mogelijk te herstellen. In artikel 1 Wwke is een incident gedefinieerd als elke gebeurtenis die het verlenen van een essentiële dienst aanzienlijk verstoort of kan verstoren. De maatregelen moeten zijn afgestemd op de risico’s in relatie tot de entiteit en de specifieke context. Een passende maatregel kan dus per entiteit verschillen, onder meer door de specifieke kenmerken van de entiteit, de aard van de dienstverlening en de sector waarin de entiteit de dienst verleent.

Daarnaast geldt het vereiste van evenredigheid. Dit betekent dat een maatregel of coherente set van maatregelen in verhouding dient te staan tot het te beheersen risico. De entiteit dient daarbij naar behoren rekening te houden met de mate waarin zij aan risico’s is blootgesteld, evenals de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke en economische gevolgen. Ook de omvang van een entiteit kan een rol spelen bij de vraag of maatregelen evenredig zijn. Wat ook een rol kan spelen bij de evenredigheid van maatregelen, zijn de nadelige effecten of risico’s van maatregelen, zoals de verstoring van de continuïteit van de kritieke processen van een entiteit. De omvang van een entiteit of de hoogte van uitvoeringskosten kan van invloed zijn op de keuze van de te nemen maatregelen, zoals het nemen van minder ingrijpende maatregelen. Hierbij wordt benadrukt dat een beperkte financiële capaciteit of een beperkte omvang van een entiteit een entiteit niet kan ontslaan van de verplichting om de weerbaarheid op orde te hebben. De evenredigheid houdt daarnaast in dat een maatregel of coherente set van maatregelen het minst belastend is voor de entiteit om het risico te beheersen.

Als gevolg van de afweging of een maatregel passend en evenredig is, is er een bepaald niveau van risico dat aanvaardbaar is. Het volledig uitsluiten van risico’s en het creëren van volledige bescherming is niet mogelijk. Kritieke entiteiten worden daarom geacht maatregelen te nemen om risico’s te beheersen en de mogelijke gevolgen van restrisico’s zoveel mogelijk tot een minimum te beperken.
Het is in eerste instantie aan kritieke entiteiten zelf om vast te stellen welke maatregelen passend en evenredig zijn om de risico’s, waarmee zij geconfronteerd worden, te kunnen beheersen. Entiteiten hebben immers zelf – mede op basis van onder meer de door de vakminister uitgevoerde risicobeoordeling en de eigen risicobeoordeling – inzicht in risico’s die hun dienstverlening kunnen raken en hebben de meeste kennis van hun eigen systemen en processen. Hoe risicogebaseerd maatregelen te treffen kan onder andere worden afgeleid uit wat daarover beschreven staat in Europese en internationale standaarden of normen, evenals door gebruik te maken van de laatste stand van de techniek voor het treffen van technische maatregelen. Europese en internationale standaarden en normen kunnen een goede indicatie geven van hoe technische en organisatorische veiligheids- en beveiligingsmaatregelen te treffen. Het voldoen aan Europese of internationale standaarden betekent overigens in zichzelf niet dat een entiteit aan de zorgplicht van artikel 15 Wwke voldoet.

Technische, beveiligings- en organisatorische maatregelen

De technische, beveiligings- en organisatorische maatregelen die kritieke entiteiten op grond van de zorgplicht uit artikel 15 Wwke moeten nemen, zien zowel op de bescherming als op de beveiliging. Dit maakt dat, om te voldoen aan de zorgplicht, er sprake kan zijn van een combinatie van organisatorische, bouwkundige en elektronische maatregelen. Artikel 15, eerste lid, Wwke bevat een opsomming van de maatregelen die kritieke entiteiten in ieder geval moeten nemen.

Voor de concrete invulling van die maatregelen is ruimte voor een eigen afweging van kritieke entiteiten om te bepalen welke precieze maatregelen zij rederlijkwijs moeten nemen, onder meer op basis van de eigen risicobeoordeling en de afweging van de mate waarin een maatregel passend en evenredig is. De Europese Commissie zal, na raadpleging van de Groep voor de weerbaarheid van kritieke entiteiten (Critical Entities Resilience Group), niet-bindende richtsnoeren vaststellen die kunnen helpen bij het nader bepalen van geschikte technische, beveiligings- en organisatorische maatregelen.¹¹

5.5 Meldplicht

De meldplicht

Kritieke entiteiten moeten op grond van artikel 17 Wwke incidenten die de verlening van hun essentiële diensten aanzienlijk verstoren of kunnen verstoren zo spoedig mogelijk melden bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie), omdat deze diensten de vitale maatschappelijke functies en de economische activiteiten in Nederland en de EU in stand houden. Verstoring van een essentiële dienst kan de vitale maatschappelijke functies en de economische activiteiten negatief beïnvloeden. Daarom is de melding van incidenten die de verlening van een essentiële dienst aanzienlijk verstoren of kunnen verstoren, geboden.

De melding moet de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) in staat stellen om snel en adequaat te kunnen reageren op incidenten en om een volledig overzicht te krijgen van de impact, aard, oorzaak en mogelijke gevolgen van incidenten.

Een melding van een incident leidt niet tot een verhoogde aansprakelijkheid voor de kritieke entiteit. Dit volgt uit artikel 15, tweede lid, CER-richtlijn.

De fasen van een melding

De melding bestaat uit twee fasen, te weten een eerste melding en een gedetailleerd (eind)verslag. Kritieke entiteiten moeten zonder onnodige vertraging binnen 24 uur een eerste melding doen bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie), tenzij de kritieke entiteit hier operationeel niet toe in staat is.

Gegevens

De melding bevat alle op dat moment beschikbare informatie die de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) nodig heeft om te bepalen wat de aard, vermoedelijke oorzaak en mogelijke gevolgen van het incident zijn en of er grensoverschrijdende gevolgen zijn, en de bevoegde autoriteit (vakminister) in staat stelt snel en adequaat te kunnen reageren op het incident. Daarnaast bevat de melding de contactgegevens van de functionaris die verantwoordelijk is voor de melding. Het gaat hierbij in elk geval om een naam, telefoonnummer en e-mailadres van de contactpersoon van de kritieke entiteit.

De melding zal dus in elk geval persoonsgegevens bevatten. De verwachting is dat veel meldingen ook vertrouwelijke gegevens zullen bevatten. Vertrouwelijke gegevens zijn onder meer bedrijfsgeheimen, zoals informatie over de technische bedrijfsvoering van een entiteit dan wel een essentieel proces, het functioneren van systemen en (productie)processen, propriëtaire technieken en financiële gegevens. Ten aanzien van vertrouwelijke gegevens kan ook worden gedacht aan concrete informatie over de entiteit die door een dreiging of incident is getroffen, waarbij verdere verspreiding van die informatie tot gevolg heeft dat die entiteit daarvan nadeel ondervindt, bijvoorbeeld omdat de commerciële belangen van de entiteit daardoor worden geschaad. Vertrouwelijke gegevens kunnen noodzakelijk zijn voor de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) om te bepalen wat de aard, vermoedelijke oorzaak en mogelijke gevolgen van het incident zijn en of er grensoverschrijdende gevolgen zijn. Voor de goede orde wordt hierbij gewezen op artikel 34 Wwke, waarin waarborgen zijn opgenomen ten aanzien van de verstrekking van vertrouwelijke gegevens.

Drempelwaarden

Om te bepalen of een verstoring aanzienlijk is, zijn in artikel 17, derde lid, Wwke drie parameters opgenomen. Deze parameters betreffen het aantal door de verstoring getroffen gebruikers en hun aandeel daarin, de duur van de verstoring en het door de verstoring getroffen geografische gebied, rekening houdend met de vraag of het gebied geografisch geïsoleerd is. In artikel 17, vijfde lid, Wwke is bepaald dat bij of krachtens amvb de criteria worden vastgesteld op basis waarvan wordt bepaald of sprake is van een aanzienlijke verstoring als bedoeld in artikel 17, derde lid, Wwke, waarbij onderscheid kan worden gemaakt tussen sectoren, subsectoren, categorieën van entiteiten en entiteiten. Die criteria staan ook bekend als drempelwaarden. Drempelwaarden kunnen per sector, subsector, categorie van entiteiten of entiteit verschillen en kunnen bijvoorbeeld worden uitgedrukt in een bepaald bedrag aan financiële of economische schade, aantallen betrokken of getroffen personen, of de capaciteitsimpact op de levering van de essentiële dienst.

De hiervoor bedoelde drempelwaarden zullen worden vastgesteld na overleg met de betrokken sector. Door het overleg met de betrokken sector kan zoveel mogelijk maatwerk worden geleverd per sector, subsector, categorie van entiteiten of entiteit. Indien relevant kan zodoende ook rekening worden gehouden met andere sectorale meldplichten en de daarvoor geldende criteria, en de criteria die andere vakministers hebben vastgesteld voor sectoren die raakvlakken hebben met vitale processen van andere departementen.

5.6 Centraal contactpunt

Artikel 9, tweede lid, CER-richtlijn verplicht lidstaten tot het aanwijzen van een nationaal centraal contactpunt. De Minister van Justitie en Veiligheid is medeverantwoordelijk vanuit zijn rol als coördinerend bewindspersoon voor de bescherming van de weerbaarheid in Nederland en medeverantwoordelijk voor de nationale veiligheid. Deze minister wordt daarom voor Nederland aangewezen als het centrale contactpunt, bedoeld in de Wwke. Deze keuze sluit aan bij de gemaakte keuze in het kader van de implementatie van de NIS2-richtlijn. In de Cbw, waarin de NIS2-richtlijn wordt geïmplementeerd, wordt namelijk ook de Minister van Justitie en Veiligheid aangewezen als het centrale contactpunt, bedoeld in de Cbw.

Het centrale contactpunt heeft verschillende taken. Zo heeft het centrale contactpunt taken in het kader van meldingen van incidenten. Het centrale contactpunt moet de informatie die het van de bevoegde autoriteit (vakminister) heeft ontvangen over incidenten, die aanzienlijke gevolgen hebben of kunnen hebben voor kritieke entiteiten en voor de continuïteit van de verlening van essentiële diensten aan of in één of meer andere lidstaten, verstrekken aan de centrale contactpunten van andere lidstaten. Ook moet het centrale contactpunt de gegevens die zij van de bevoegde autoriteit (vakminister) heeft ontvangen over incidenten, die aanzienlijke gevolgen hebben of kunnen hebben voor de continuïteit van de verlening van essentiële diensten aan of in zes of meer lidstaten, doorzetten naar de Europese Commissie. Daarnaast heeft het centrale contactpunt ook taken die verband houden met de informatie die zij heeft ontvangen van een centraal contactpunt van een ander lidstaat over een aldaar gemeld incident dat mogelijk aanzienlijke gevolgen heeft of kan hebben voor kritieke entiteiten in Nederland. Als uit die gegevens blijkt dat dat incident aanzienlijke gevolgen heeft of kan hebben voor de continuïteit van een essentiële dienst in Nederland, dan moet het centrale contactpunt de betrokken bevoegde autoriteit (vakminister) en, indien van toepassing, de betrokken entiteit daarvan op de hoogte stellen. Ten slotte heeft het centrale contactpunt de taak om te zorgen voor sectoroverstijgende en doeltreffende samenwerking tussen de bevoegde autoriteiten binnen Nederland, zoals volgt uit artikel 9, eerste lid, CER-richtlijn. Dit sluit ook aan bij de huidige praktijk. Zo zit het Ministerie van Justitie en Veiligheid bijvoorbeeld verschillende stuur- en werkgroepen voor met betrekking tot de implementatie van de CER-richtlijn en bredere vitaal-vraagstukken. Een soortgelijke bepaling is ook opgenomen bij de taken van het centrale contactpunt onder de Cbw.

5.7 Bevoegde autoriteit

Aanwijzing vakminister als bevoegde autoriteit en uitvoering in de praktijk

In de Wwke is ervoor gekozen om de vakminister aan te wijzen als de bevoegde autoriteit voor de sectoren en subsectoren die onder zijn beleidsverantwoordelijkheid vallen. Door de vakminister aan te wijzen als de bevoegde autoriteit wordt onder meer geborgd dat de in de Wwke opgenomen taken van de bevoegde autoriteit worden uitgevoerd met voldoende inzicht in sectorspecifieke eigenschappen en belangen.

De bevoegde autoriteit heeft op grond van de Wwke diverse taken. Zo heeft zij onder meer taken in het kader van het aanwijzen van kritieke entiteiten en de meldingen van incidenten, maar ook de taak om te zorgen voor het toezicht op de naleving van verplichtingen. In de praktijk worden de toezichtstaken van de bevoegde autoriteit uitgevoerd door een ondergeschikt organisatieonderdeel of een niet-ondergeschikte organisatie dat met toezichtstaken is belast. De andere taken van de bevoegde autoriteit worden in de praktijk uitgevoerd door de vakminister.

Lijst van kritieke entiteiten
Op grond van artikel 11 Wwke moet de bevoegde autoriteit een lijst van kritieke entiteiten opstellen. Wanneer dat nodig is en in ieder geval om de vier jaar wordt deze lijst door de bevoegde autoriteit geëvalueerd en indien nodig geactualiseerd. In de praktijk worden deze verplichtingen uitgevoerd door de vakminister.

Taken na meldingen van incidenten

Nadat een kritieke entiteit op grond van de Wwke melding heeft gedaan van een incident, heeft de bevoegde autoriteit (vakminister) op grond van artikel 18 Wwke verschillende taken. Het gaat hierbij om het sturen van een ontvangstbevestiging, het verstrekken van relevante vervolginformatie aan de getroffen entiteit, het informeren van het centrale contactpunt (wanneer bepaalde ernstige incidenten hebben plaatsgevonden) en het waarschuwen van het publiek over het incident en de mogelijke gevolgen. De vakminister kan dat laatste alleen doen na raadpleging van de betrokken kritieke entiteit en als dat in het algemeen belang is.

5.8 Ondersteuning aan kritieke entiteiten

Artikel 10 Wwke verplicht, ter implementatie van artikel 10 CER-richtlijn, de bevoegde autoriteit (vakminister) om kritieke entiteiten te ondersteunen bij het vergroten van hun weerbaarheid en bij de naleving van de verplichtingen uit de Wwke. De bevoegde autoriteiten (vakministers) zijn primair verantwoordelijk voor het bieden van ondersteuning aan de kritieke entiteiten uit de onder hen vallende sectoren.

De ondersteuning zal in ieder geval bestaan uit het uitwisselen van informatie en beste praktijken tussen de overheid en kritieke entiteiten, en het faciliteren van het vrijwillig delen van informatie tussen kritieke entiteiten onderling, over aangelegenheden die onder de Wwke vallen.¹² De ondersteuning kan hierbij bestaan uit het aanbieden van relevante informatie(bronnen) aan de betreffende entiteiten, het ontwikkelen van richtsnoeren en methodologieën (bijvoorbeeld voor het doen van een risicobeoordeling), het verlenen van bijstand in het geval van crisis- of noodsituaties, het helpen bij de organisatie van oefeningen om de weerbaarheid van de kritieke entiteiten te testen en het verstrekken van advies en opleiding aan het personeel van kritieke entiteiten.

Bij de aanbieding van informatie gaat het allereerst om relevante informatie die kritieke entiteiten moet ondersteunen bij het uitvoeren van de eigen risicobeoordeling. Daarnaast kan informatie worden aangeboden ter ondersteuning van het nemen van weerbaarheidsverhogende maatregelen als bedoeld in artikel 15 Wwke. Vanuit de rijksoverheid worden hiertoe ook relevante informatiebronnen opgesteld, waaronder sectoroverstijgende documenten als de Rijksbrede Risicoanalyse Nationale Veiligheid en het Dreigingsbeeld Statelijke Actoren (DBSA). Deze documenten dragen eveneens bij aan het inzicht van kritieke entiteiten en de risico’s waarmee zij mogelijk geconfronteerd worden. Naast de cyclus vitaal gebeurt het uitwisselen van informatie bijvoorbeeld ook in overleggen tussen de betrokken vakministers en desbetreffende sectoren.

Ten behoeve van ondersteuning en bijstand in het geval van crisis- en noodsituaties zal zoveel mogelijk worden aangesloten bij bestaande internationale, nationale, regionale, departementale en operationele (crisis)structuren.

5.9 Handhaving

5.9.1 Handhaving van verplichtingen uit Wwke en uitvoeringshandelingen

De Wwke voorziet in de handhaving van de verplichtingen uit de Wwke die gelden voor kritieke entiteiten. De Wwke voorziet ook in de handhaving van het bepaalde in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat. Op deze wijze is geregeld dat bij deze rechtstreeks toepasselijke en verbindende handelingen op grond van de Wwke direct in toezicht en handhaving is voorzien.

De op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen regelen de vaststelling van de technische en methodologische specificaties met betrekking tot de toepassing van de in artikel 13, eerste lid, CER-richtlijn bedoelde maatregelen. De laatstgenoemde bepaling is geïmplementeerd in artikel 15 Wwke en gaat over de zorgplicht voor kritieke entiteiten. Nu de op grond van artikel 13, zesde lid, CER-richtlijn gestelde technische en methodologische specificaties moeten worden toegepast met betrekking tot de maatregelen die genomen moeten worden in het kader van de zorgplicht, brengt dit met zich dat de artikelen over handhaving, die specifiek zien op de zorgplicht uit de Wwke, ook zien op de handhaving van de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen.

5.9.2 Bestuursrechtelijke handhaving

De CER-richtlijn schrijft niet voor of de sanctionering van overtredingen van de verplichtingen die uit de CER-richtlijn voor kritieke entiteiten volgen bestuursrechtelijk of strafrechtelijk van aard moet zijn. In de Wwke is gekozen voor bestuursrechtelijke handhaving, die zowel reparatoir als punitief kan zijn (herstelsancties en bestraffende sancties). De handhaving heeft immers betrekking op kritieke entiteiten die op verschillende terreinen al te maken hebben met bestuursrechtelijke handhaving. De Wwke sluit aan bij de al bestaande bevoegdheden en instrumenten van de bestaande handhavende instanties. Daarnaast is omwille van een zo eenduidig en duidelijk mogelijk handhavingsregime voor kritieke entiteiten aansluiting gezocht bij de lijn van bestuursrechtelijke handhaving waarvoor is gekozen bij de implementatie van de NIS1-richtlijn¹³, de voorganger van de NIS2-richtlijn. Die lijn wordt voortgezet bij de implementatie van de NIS2-richtlijn.

Het toezicht op de naleving van het bepaalde bij of krachtens de Wwke en van het bepaalde in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen¹⁴ wordt opgedragen aan door de bevoegde autoriteit (vakminister) aangewezen ambtenaren, zie artikel 36 Wwke. Die aangewezen ambtenaren zijn toezichthouders in de zin van artikel 5:11 Algemene wet bestuursrecht (hierna: Awb). Dit zijn personen die bij of krachtens wettelijk voorschrift belast zijn met het houden van toezicht op de naleving van het bepaalde bij of krachtens enig wettelijk voorschrift. Daarmee beschikken zij over de bevoegdheden die titel 5.2 Awb aan hen toekent. Zo beschikken zij onder meer over de bevoegdheid om plaatsen te betreden, met uitzondering van woningen zonder toestemming van de bewoner (artikel 5:15, eerste lid, Awb), om identificatie van personen te vorderen (artikel 5:16a Awb) en om inzage te vorderen van zakelijke gegevens en bescheiden en daarvan kopieën te maken (artikel 5:17 Awb).

5.9.3 Handhavingsinstrumentarium

De Wwke voorziet, ter implementatie van hetgeen de CER-richtlijn hierover bepaalt, in instrumenten van de bevoegde autoriteit (toezichthoudende instantie) voor het toezicht op de naleving van het bepaalde bij of krachtens de Wwke en van het bepaalde in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen¹⁵. Het handhavingsinstrumentarium ten aanzien van kritieke entiteiten omvat het volgende:

• het verplichten van een audit;

• het opleggen van een aanwijzing;

• het opleggen van een last onder bestuursdwang; en

• het opleggen van een bestuurlijke boete.

In de volgende paragraaf wordt specifiek ingegaan op de bestuurlijke boete. In de artikelsgewijze toelichting op de artikelen 37, 38 en 39 Wwke wordt achtereenvolgens ingegaan op de audit, aanwijzing en last onder bestuursdwang.

5.9.4 Bestuurlijke boete

Inleiding

De Wwke voorziet in de bevoegdheid voor de bevoegde autoriteit (toezichthoudende instantie) om een bestuurlijke boete op te leggen aan kritieke entiteiten.

Boetemaximum overtreding zorgplicht en meldplicht

Voor de hoogte van de bestuurlijke boete schrijft de CER-richtlijn geen maximum voor. In de Wwke is gekozen voor de volgende maximale hoogte van een boete voor een overtreding van de zorgplicht of van de meldplicht door een kritieke entiteit: € 10.000.000,- of 2% van de totale wereldwijde jaaromzet als dat laatste leidt tot een hoger bedrag. Dit is geregeld in artikel 40, tweede lid, onderdeel a, Wwke. Het hiervoor genoemde maximum geldt ook voor een overtreding van het bepaalde in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat. De reden hiervoor is dat – zoals reeds toegelicht in paragraaf 5.9.1 – de op grond van artikel 13, zesde lid, CER-richtlijn gestelde technische en methodologische specificaties moeten worden toegepast met betrekking tot de maatregelen die genomen moeten worden in het kader van de zorgplicht.

Het hiervoor genoemde boetemaximum zorgt voor voldoende afschrikkende werking. Bovendien sluit het aan op de maximale hoogte van een op te leggen bestuurlijke boete bij een overtreding van de zorgplicht of de meldplicht uit de Cbw door een essentiële entiteit als bedoeld in de Cbw. De aansluiting op de Cbw zorgt in dit kader voor uniformiteit tussen de nationale wetten waarin de CER-richtlijn en de NIS2-richtlijn zijn geïmplementeerd. Gelet op de integraliteit en de samenhang tussen de NIS2-richtlijn en de CER-richtlijn is geen aanleiding gezien om op dit punt te differentiëren. Hierbij speelt ook mee dat kritieke entiteiten als bedoeld in de Wwke van rechtswege essentiële entiteiten zijn als bedoeld in de Cbw.

Boetemaximum overtreding medewerkingsplicht

Voor kritieke entiteiten geldt de verplichting uit artikel 5:20 Awb om aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden. Voor het boetemaximum van een bestuurlijke boete voor de overtreding van deze verplichting is gekozen voor het bedrag van € 1.000.000,-. De reden voor deze keuze is als volgt. Deze maximale hoogte zorgt ervoor dat de toezichthouder wegens overtreding van artikel 5:20 Awb een bestuurlijke boete kan opleggen die doeltreffend en afschrikkend is, en staat in verhouding tot de boetemaxima voor overtredingen van verplichtingen uit de Wwke. Dit boetemaximum (en dus niet een lager maximum) voorkomt dat een bestuurlijke boete kan worden opgelegd van slechts geringe hoogte, waardoor kritieke entiteiten bewust kiezen voor het accepteren van de boete en niet meewerken aan een vordering van de toezichthouder.

Er wordt niet aangesloten bij de maximale hoogte van de geldboete die op grond van het strafrecht kan worden opgelegd voor eenzelfde overtreding. Dat betreft een overtreding van artikel 184 Wetboek van Strafrecht (over het opzettelijk niet voldoen aan een bevel of vordering van een ambtenaar), waarvoor per 1 januari 2024 het bedrag van € 5.150,- geldt als maximum van de geldboete die voor een overtreding daarvan kan worden opgelegd. Deze hoogte is in het kader van de Wwke niet doeltreffend, niet afschrikkend en staat ook niet in verhouding tot de boetemaxima voor overtredingen van verplichtingen uit de Wwke.

Boetemaximum overtreding overige verplichtingen

Bij het bepalen van het maximum van een bestuurlijke boete voor de overtreding van andere verplichtingen uit de Wwke is ervoor gekozen om niet dezelfde hoogte te hanteren als bij de overtreding van de zorgplicht en de meldplicht. Dat is niet evenredig in verhouding tot de aard van die andere overtredingen. Daarom wordt ook in dit kader aangesloten bij de gekozen hoogte zoals die ook geldt in de Cbw. Dat betreft een voortzetting van de gekozen lijn in het kader van de implementatie van de NIS1-richtlijn (de voorganger van de NIS2-richtlijn) in nationale wet- en regelgeving. Hierbij is toegelicht dat een boetemaximum van € 1.000.000,- de sectorale toezichthoudende instantie die uit hoofde van bestaande wetgeving al bevoegd is om een bestuurlijke boete op te leggen, de ruimte biedt om bij de bepaling van de boetebedragen aan te sluiten bij de boetehoogtes die in die sector passend zijn.¹⁶

Motivering bestuurlijke boete en hoogte daarvan

Voor de goede orde wordt benadrukt dat het gaat om maximale hoogten van de op te leggen bestuurlijke boeten; de bevoegde autoriteit (toezichthoudende instantie) kan uiteraard ook besluiten tot het opleggen van een bestuurlijke boete van een lager bedrag.

De bevoegde autoriteit (toezichthoudende instantie) moet de beslissing om over te gaan tot het opleggen van een bestuurlijke boete en de hoogte daarvan afstemmen op de ernst van de overtreding en de mate waarin deze aan de overtreder kan worden verweten en daarbij zo nodig rekening houden met de omstandigheden waaronder de overtreding is gepleegd (artikel 5:46, tweede lid, Awb). Artikel 5:41 Awb bepaalt dat er geen bestuurlijke boete wordt opgelegd voor zover de overtreding niet aan de overtreder kan worden verweten. Artikel 3:4 Awb is onverkort van toepassing bij het opleggen van de bestuurlijke boete door de bevoegde autoriteit (toezichthoudende instantie).

Geen bestuurlijke boete

Een overtreding van de verplichting voor kritieke entiteiten van bijzonder Europees belang om rekening te houden met een advies van een adviesmissie van de Europese Commissie bij het treffen van weerbaarheidsverhogende maatregelen, opgenomen in artikel 22 Wwke, kan niet worden gesanctioneerd met een bestuurlijke boete. De reden hiervoor is dat het sanctioneren van deze verplichting met een bestuurlijke boete enkel evenredig wordt geacht indien de bevoegde autoriteit (toezichthoudende instantie), net als de Europese Commissie, zelf tot het oordeel komt dat door het niet rekening houden met het advies van een adviesmissie, de weerbaarheid in het kader van de zorgplicht in het geding komt. Een dergelijke beoordeling zal de bevoegde autoriteit (toezichthoudende instantie) maken bij het toezien op de naleving van de zorgplicht. In dat kader kan via deze route een bestuurlijke boete worden opgelegd. Wel kan de bevoegde autoriteit (toezichthoudende instantie) een last onder bestuursdwang of een last onder dwangsom opleggen als een kritieke entiteit niet heeft aangetoond dat met het advies rekening is gehouden. De kritieke entiteit moet dus in elk geval motiveren waarom het advies al dan niet is opgevolgd.

5.9.5 Overtrederschap

In artikel 5:1, eerste lid, Awb is bepaald dat in de Awb wordt verstaan onder een overtreding: een gedraging die in strijd is met het bepaalde bij of krachtens enig wettelijk voorschrift. In artikel 5:1, tweede lid, Awb is bepaald dat onder overtreder wordt verstaan: degene die de overtreding pleegt of medepleegt. Artikel 5:1, derde lid, Awb bepaalt dat overtredingen kunnen worden begaan door natuurlijke personen en rechtspersonen en dat artikel 51, tweede en derde lid, Wetboek van Strafrecht van overeenkomstige toepassing is. Artikel 51, tweede lid, Wetboek van Strafrecht bepaalt dat indien een strafbaar feit wordt begaan door een rechtspersoon, de strafvervolging kan worden ingesteld en de in de wet voorziene straffen en maatregelen kunnen worden uitgesproken tegen die rechtspersoon, dan wel tegen de opdrachtgever of feitelijk leidinggevende, dan wel tegen de hiervoor genoemden tezamen. In artikel 51, derde lid, Wetboek van Strafrecht wordt voor de toepassing van het tweede lid met de rechtspersonen gelijkgesteld: de vennootschap zonder rechtspersoonlijkheid, de maatschap, de rederij en het doelvermogen.

Door de schakelbepaling in artikel 5:1, derde lid, Awb is het mogelijk om in het geval dat een overtreding is gepleegd of medegepleegd door een rechtspersoon, een bestuurlijke boete of een last onder bestuursdwang of dwangsom op te leggen aan degenen die tot de door de rechtspersoon begane overtreding opdracht hebben gegeven of daaraan feitelijk leiding hebben gegeven. De bevoegde autoriteit (toezichthoudende instantie) kan bij een overtreding van een verplichting uit de Wwke dus handhavend optreden tegen de entiteit die de overtreding begaat, maar ook tegen degenen die worden aangemerkt als opdrachtgever van de door de entiteit begane overtreding en degenen die feitelijke leiding hebben gegeven aan de verboden gedraging.¹⁷ Dit kunnen zowel natuurlijke personen als rechtspersonen zijn. Bij dat laatste kan bijvoorbeeld gedacht worden aan een moedermaatschappij die als feitelijke leidinggevende of opdrachtgever kwalificeert voor een overtreding bij een dochteronderneming.

5.9.6 Samenwerking toezichthoudende instanties

In de Wwke wordt het toezicht vormgegeven langs de lijnen van de ministeriële verantwoordelijkheden voor de sectoren. Het is niet uit te sluiten dat een kritieke entiteit actief is binnen meerdere sectoren en daarmee mogelijk te maken krijgt met meerdere toezichthoudende instanties. Het is noodzakelijk dat deze instanties met elkaar samenwerken in het belang van doelmatig en doeltreffend toezicht op de Wwke.

Toezichthoudende instanties werken op grond van artikel 25 Wwke zoveel mogelijk samen bij het (onderling gecoördineerd) toezicht houden op kritieke entiteiten. Zij wisselen daartoe onderling alle daarvoor noodzakelijke gegevens uit, waaronder persoonsgegevens. Hierbij kan gedacht worden aan het onderling uitwisselen van toezichtsinformatie en -bevindingen. In het bijzonder in gevallen waarbij meerdere toezichthoudende instanties onder de Wwke toezicht houden op eenzelfde entiteit is het vanuit het belang van doeltreffend en doelmatig toezicht en het beperken van toezichtslasten gewezen om deze informatie uit te wisselen.

Om de doeltreffende en doelmatige uitvoering van de Wwke te borgen, moeten de toezichthoudende instanties onderling afspraken maken over gemeenschappelijke aangelegenheden. Hierbij wordt gedacht aan afspraken over samenloop van toezicht op eenzelfde entiteit, het voorkomen van onevenredige toezichtslasten en de uitwisseling van gegevens. Het heeft daarbij de voorkeur dat deze afspraken worden vastgelegd in een samenwerkafspraak of een vergelijkbaar instrument en dat deze wordt gepubliceerd. Dit zorgt voor transparantie over de gemaakte afspraken en maakt voor entiteiten die onder toezicht staan helder op welke wijze de toezichthoudende instanties invulling geven aan voorgenoemde aspecten.

5.10 Toepassing in Caribisch deel van het Koninkrijk

De CER-richtlijn is alleen van toepassing op Europees Nederland. De openbare lichamen Bonaire, Sint Eustatius en Saba (BES) hebben de zogeheten LGO-status (landen en gebieden overzee, artikel 299, derde lid, en bijlage II van het Verdrag tot oprichting van de Europese Economische Gemeenschap) en maken geen deel uit van de EU. Nu de CER-richtlijn wordt geïmplementeerd via een voor Europees Nederland geldende implementatiewet dient in het kader van het principe van comply or explain wel te worden bezien of en hoe de Wwke van toepassing moet worden verklaard voor Caribisch Nederland.

Hierna wordt toegelicht waarom er op dit moment nog geen wetgeving komt voor Caribisch Nederland vergelijkbaar met de Wwke. De onderwerpen die in de CER-richtlijn worden geregeld, zijn op dit moment nog niet uitvoerbaar in Caribisch Nederland voor onder meer de openbare lichamen. Er wordt op dit moment nog uitvoering gegeven aan een aantal randvoorwaarden voor het versterken van de weerbaarheid op de BES. In het kader van de Veiligheidsstrategie van het Koninkrijk wordt gewerkt aan het in kaart brengen welke processen op de BES mogelijk maatschappelijk ontwrichtende effecten hebben, zodat duidelijk is welke processen betere bescherming behoeven. Het is denkbaar dat vanuit de uitvoering van deze randvoorwaarden in de toekomst (sectorale) wetgeving voortvloeit waarmee de bescherming van bepaalde infrastructuur in Caribisch Nederland tegen fysieke risico’s wordt gewaarborgd.

5.11 Rechtsbescherming en vereisten aan besluiten

Besluiten in de zin van artikel 1:3 Awb

De Wwke voorziet in de grondslag voor diverse besluiten in de zin van artikel 1:3 Awb. Een voorbeeld van een dergelijk besluit is de aanwijzing, bij regeling of besluit, van een entiteit als kritieke entiteit. Een ander voorbeeld is een besluit van de bevoegde autoriteit (toezichthoudende instantie) inhoudende de oplegging van een bestuurlijke boete.

Awb en algemene beginselen van behoorlijk bestuur

Bij de voorbereiding van besluiten gelden de regels hierover in de Awb en de algemene beginselen van behoorlijk bestuur. Zo moet bij de voorbereiding van een besluit de nodige kennis worden vergaard over de relevante feiten en de af te wegen belangen (artikel 3:2 Awb). De bij het besluit betrokken belangen moeten worden afgewogen (artikel 3:4, eerste lid, Awb). Verder mogen de voor één of meer belanghebbenden nadelige gevolgen van het besluit niet onevenredig zijn in verhouding tot de met het besluit te dienen doelen (artikel 3:4, tweede lid, Awb). Het besluit moet berusten op een deugdelijke motivering (motiveringsbeginsel, artikel 3:46 Awb). Het voorgaande is een niet-limitatief overzicht van enkele regels uit de Awb.

Bestuursrechtelijke rechtsbescherming

Tegen de op grond van de Wwke genomen besluiten in de zin van artikel 1:3 Awb staat bestuursrechtelijke rechtsbescherming open. Belanghebbenden in de zin van artikel 1:2 Awb (zoals entiteiten die op grond van de Wwke een bestuurlijke boete opgelegd hebben gekregen) kunnen tegen die besluiten achtereenvolgens in bezwaar bij het bestuursorgaan dat het besluit heeft genomen en in beroep en hoger beroep bij de bestuursrechter.

Voorbeelden

Het voorgaande levert de volgende voorbeelden op (niet-limitatief):

• Als de bevoegde autoriteit (toezichthoudende instantie) overweegt om aan een kritieke entiteit een aanwijzing op te leggen, moet zij daarbij alle bij dat besluit relevante belangen afwegen. Als de bevoegde autoriteit (toezichthoudende instantie) na afweging toch overgaat tot het opleggen van een aanwijzing, kan de betrokken kritieke entiteit daartegen in bezwaar bij de bevoegde autoriteit en in beroep en hoger beroep bij de bestuursrechter.

• Als de bevoegde autoriteit (toezichthoudende instantie) overweegt om een last onder dwangsom op te leggen aan een kritieke entiteit, moet zij nagaan of de nadelige gevolgen van de last niet onevenredig zijn in verhouding tot de met het besluit te dienen doelen. Als wel sprake blijkt te zijn van onevenredigheid, moet de bevoegde autoriteit nagaan of een lichtere maatregel kan volstaan.

6. Verhouding tot hoger recht

6.1 Inleiding

De regels uit de Wwke kunnen raken aan de rechten en vrijheden die zijn vastgelegd in het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: EVRM), het Handvest van de grondrechten van de Europese Unie, het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR) en de Grondwet. De gevolgen die de Wwke met zich meebrengen vloeien voort uit de CER-richtlijn waarbij de afwegingen ten aanzien van deze vrijheden door de Europese wetgever zijn gemaakt. Gelet op het belang van deze rechten en vrijheden wordt in dit hoofdstuk (in paragraaf 6.3) ingegaan op het in artikel 8 EVRM opgenomen recht op eerbiediging van de persoonlijke levenssfeer. Ook wordt in dit hoofdstuk (in paragraaf 6.4) ingegaan op de verwerking van persoonsgegevens in het licht van de artikelen 5 (beginselen inzake verwerking van persoonsgegevens) en 6 (rechtmatigheid van de verwerking) Algemene verordening gegevensbescherming (hierna: Avg). Voordat die besprekingen plaatsvinden, volgt eerst in paragraaf 6.2 een overzicht van de gegevensverwerkingen door de bevoegde autoriteit en het centrale contactpunt.

6.2 Gegevensverwerkingen

Bevoegde autoriteit

Op grond van artikel 17 Wwke moeten kritieke entiteiten bepaalde incidenten melden bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie). Hierdoor krijgt de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) de beschikking over informatie die entiteiten verstrekken bij deze meldingen, waaronder persoonsgegevens. Meer concreet gaat het dan om de contactgegevens (zoals een e-mailadres en een telefoonnummer) van de medewerker die namens de entiteit een melding doet. Gelet op de aard van de incidenten die moeten worden gemeld (fysieke incidenten, zoals ongevallen en natuurrampen) gaat het naar verwachting niet om grote hoeveelheden persoonsgegevens die worden aangeboden bij meldingen door kritieke entiteiten.

De bevoegde autoriteit (vakminister en/of toezichthoudende instantie) verwerkt als gevolg van de Wwke ook via andere wegen (persoons)gegevens. Zo verwerkt zij contactgegevens van medewerkers van kritieke entiteiten die voor de bevoegde autoriteit (vakminister) als contactpersoon fungeren. Verder kan bij de aanwijzing van een entiteit als kritieke entiteit persoonsgegevensverwerking plaatsvinden. Meer concreet kan het dan gaan om contactgegevens van een medewerker van de aangewezen kritieke entiteit. Ook in het kader van het uitvoeren van een risicobeoordeling door de bevoegde autoriteit (vakminister) kan persoonsgegevensverwerking plaatsvinden. Artikel 9, zesde lid, Wwke bepaalt namelijk dat de bevoegde autoriteit (vakminister) relevante informatie uit de risicobeoordeling aan de kritieke entiteit in de betrokken sector moet verstrekken. Bij het delen van de resultaten van de risicobeoordeling door de bevoegde autoriteit (vakminister) worden naar verwachting persoonsgegevens verwerkt, in ieder geval de contactgegevens van de contactpersoon van de kritieke entiteit voor het delen van de resultaten van de risicobeoordeling, en mogelijk ook de contactgegevens van een ambtenaar van de bevoegde autoriteit (vakminister).

Verder volgt uit de artikelen 26 tot en met 28 Wwke dat de bevoegde autoriteiten samenwerken en gegevens uitwisselen met de bevoegde autoriteiten in de zin van de Cbw, het centrale contactpunt en andere nationale autoriteiten. Deze informatie kan voor zover noodzakelijk persoonsgegevens bevatten.

Daarnaast werken de bevoegde autoriteiten in de zin van de Wwke samen met de bevoegde autoriteiten van derde landen en kan er ook in dat kader informatie, waaronder persoonsgegevens, uitgewisseld worden (zie artikel 29 Wwke). Het zal dan voornamelijk gaan om contactgegevens van medewerkers. Daarvoor geldt dat naast de met artikel 29 Wwke vervatte grondslag voor het kunnen verstrekken van persoonsgegevens, die voor rechtmatige verwerking in elk geval wordt vereist, op grond van de Avg ook nog specifieke eisen van toepassing zijn voor verstrekkingen aan landen buiten de EU, waarvoor de Avg immers niet geldt. Voor die verstrekkingen zal er op basis hiervan sprake moeten zijn van een adequaatheidsbesluit van de Europese Commissie, waaruit blijkt dat het betreffende derde land een passend beschermingsniveau heeft, of van bijvoorbeeld een ander in artikel 46 Avg genoemd juridisch instrument (bijvoorbeeld een verdrag of anderszins afdwingbaar document) waaruit ten aanzien van het derde land blijkt van passende waarborgen. Mocht van beide geen sprake zijn, dan kan een doorgifte plaatsvinden in enkele in artikel 49 Avg genoemde situaties.

Centraal contactpunt

Op grond van de Wwke heeft het centrale contactpunt onder meer de taak om een verbindingsfunctie te vervullen met de centrale contactpunten van andere lidstaten en om samen te werken met de bevoegde autoriteiten van derde landen. In dat kader kan het centrale contactpunt gegevens ontvangen en verstrekken, waaronder persoonsgegevens. Zo ontvangt het centrale contactpunt informatie van de bevoegde autoriteit (vakminister en/of toezichthoudende instantie), die het centrale contactpunt moet doorzetten naar de centrale contactpunten van andere lidstaten. Die informatie kan bijvoorbeeld gaan over gemelde incidenten met (mogelijke) aanzienlijke gevolgen voor kritieke entiteiten en voor de continuïteit van de verlening van essentiële diensten aan of in één of meer andere lidstaten (zie artikel 18, vierde lid, Wwke).

Verder ontvangt het centrale contactpunt ook zulke gegevens van de centrale contactpunten van andere lidstaten. Als blijkt uit gegevens die het centrale contactpunt heeft ontvangen van een ander centraal contactpunt dat een daar gemeld incident aanzienlijke gevolgen heeft of kan hebben voor de kritieke entiteiten wordt de betrokken bevoegde autoriteit (vakminister) en kritieke entiteit daarvan op de hoogte gesteld (artikel 18, zesde lid, Wwke). Bij de uitoefening van deze taken worden gegevens, waaronder persoonsgegevens, verwerkt. De artikelen 26 en 31 Wwke bieden hiervoor de grondslagen. Meer concreet gaat het in elk geval om de contactgegevens van de medewerkers van de centrale contactpunten van andere lidstaten. Ook kan het gaan om de bij meldingen van incidenten bijgevoegde persoonsgegevens, zoals een naam, e-mailadres en telefoonnummer van de contactpersoon die de melding doet. Als het voor de samenwerking of taakuitoefening van het centrale contactpunt nodig is om informatie, waaronder persoonsgegevens, te verstrekken aan de Europese Commissie, dan is hiervoor een grondslag opgenomen in artikel 31 Wwke. Het zal dan voornamelijk gaan om het delen van contactgegevens van medewerkers.

Het centrale contactpunt kan ook met de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) informatie uitwisselen voor de doelmatige uitvoering van de taken uit hoofde van de Wwke. Die informatie kan ook bestaan uit persoonsgegevens. Artikel 26 Wwke biedt daarvoor een grondslag.

Over de verstrekking van persoonsgegevens aan de bevoegde autoriteiten van derde landen wordt het volgende opgemerkt. Naast een wettelijke grondslag voor het kunnen verstrekken van persoonsgegevens, die voor rechtmatige verwerking in elk geval wordt vereist, zijn op grond van de Avg ook nog specifieke eisen van toepassing voor verstrekkingen aan landen buiten de EU, waarvoor de Avg immers niet geldt. Voor die verstrekkingen zal er op basis hiervan sprake moeten zijn van een adequaatheidsbesluit van de Europese Commissie, waaruit blijkt dat het betreffende derde land een passend beschermingsniveau heeft, of van bijvoorbeeld een ander in artikel 46 Avg genoemd juridisch instrument (bijvoorbeeld een verdrag of anderszins afdwingbaar document) waaruit ten aanzien van het derde land blijkt van passende waarborgen. Mocht van beide geen sprake zijn, dan kan een doorgifte plaatsvinden in enkele in artikel 49 Avg genoemde situaties.

6.3 EVRM

6.3.1 Inmenging door openbaar gezag in recht op respect voor de persoonlijke levenssfeer

De verwerking van persoonsgegevens door de bevoegde autoriteit (vakminister en toezichthoudende instantie) en het centrale contactpunt is een inmenging door het openbaar gezag in het recht op respect voor de persoonlijke levenssfeer. Dit recht is niet alleen gecodificeerd in het EVRM (artikel 8), maar ook in de artikelen 10 van de Grondwet, 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR) en 7 van het Handvest van de grondrechten van de Europese Unie (Handvest). Artikel 8 van het Handvest ziet specifiek op het recht van een ieder op de bescherming van zijn persoonsgegevens.

Artikel 8, eerste lid, EVRM bepaalt dat eenieder recht heeft op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. Het tweede lid van dat artikel staat inmenging in dit recht alleen toe voor zover die inmenging bij wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen. Het noodzaakcriterium wordt in de jurisprudentie van het Europese Hof voor de rechten van de mens (hierna: EHRM) nader ingevuld met de vereisten van een dringende maatschappelijke behoefte, en specifiek proportionaliteit en subsidiariteit.¹⁸

6.3.2 Beperkende maatregel voorzien bij wet

In artikel 8, tweede lid, EVRM is bepaald dat inmenging in het recht op respect voor de persoonlijke levenssfeer alleen toegestaan is voor zover die inmenging bij wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen. In dit verband wordt opgemerkt dat in artikel 10 Grondwet is bepaald dat het recht op eerbiediging van de persoonlijke levenssfeer alleen kan worden beperkt bij of krachtens de wet. De Grondwet vereist dus een formeel-wettelijke grondslag. Het EVRM vereist niet zozeer een formeel-wettelijke grondslag, maar een voorziening bij wet.

Ten aanzien van de Grondwet wordt tevens opgemerkt dat in artikel 10, tweede lid, Grondwet is bepaald dat de wet regels stelt ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. De vastlegging van persoonsgegevens wordt in vergaande mate gereguleerd door het Unierecht, in het bijzonder door de Avg. In paragraaf 6.4 wordt dit wetsvoorstel getoetst aan de Avg.

De Wwke bevat specifieke wettelijke grondslagen voor de verwerking van persoonsgegevens door het centrale contactpunt en de bevoegde autoriteit (vakminister en toezichthoudende instantie). Zie de artikelen 25 tot en met 31 Wwke.

6.3.3 Beperking moet legitiem doel dienen en noodzakelijk zijn

Artikel 8, tweede lid, EVRM, bepaalt dat inmenging in het recht op respect voor het privéleven uitsluitend is toegestaan binnen de kaders van de expliciet en limitatief in dat lid opgesomde belangen: de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.

De verwerking van persoonsgegevens door de bevoegde autoriteit (vakminister en toezichthoudende instantie) en het centrale contactpunt dient ter uitvoering van hun taken uit de Wwke, die volgen uit de CER-richtlijn. Deze taken hebben tot doel om de weerbaarheid van kritieke entiteiten en het vermogen van die entiteiten om essentiële diensten te verlenen, te versterken, met het oog op het in stand houden van vitale maatschappelijke functies of economische activiteiten. Deze verwerkingen dienen dus onder meer de nationale veiligheid, de openbare veiligheid en het economisch welzijn van het land. Deze belangen zijn genoemd in artikel 8, tweede lid, EVRM.

De beperking dient bovendien noodzakelijk te zijn in een democratische samenleving. Het noodzaakcriterium wordt in de jurisprudentie van het EHRM nader ingevuld met de vereisten van een dringende maatschappelijke behoefte, proportionaliteit en subsidiariteit. Deze vereisten worden in de hierna volgende paragrafen nader behandeld. Staten moeten redenen aandragen die voldoende en relevant zijn en hebben daarbij een eigen beoordelingsruimte.

6.3.3.1 Dringende maatschappelijke behoefte

De dringende maatschappelijke behoefte van de verwerking van persoonsgegevens door de bevoegde autoriteit (vakminister en toezichthoudende instantie) en het centrale contactpunt is gelegen in de grote afhankelijkheid van de samenleving van essentiële diensten. Incidenten die de continuïteit van de verlening van essentiële diensten aantasten, kunnen een grote impact hebben op Nederland, maar ook daar buiten. Het waarborgen van de fysieke weerbaarheid van de entiteiten die deze essentiële diensten aanbieden is van groot belang voor het behoud van vitale maatschappelijke functies en het voorkomen van maatschappelijke ontwrichting. Door het verwerken van persoonsgegevens, zoals de verwerking door de bevoegde autoriteit (vakminister en toezichthoudende instantie) in het kader van incidenten die zorgen voor een aanzienlijke verstoring van de verlening van essentiële diensten, kan grote maatschappelijke ontwrichting worden voorkomen. Door de verwerking kan de bevoegde autoriteit (vakminister en toezichthoudende instantie) immers de melder van een incident voorzien van relevante vervolginformatie. Ook kan zij andere lidstaten informeren en het publiek waarschuwen.

Ook ten aanzien van de verwerking van persoonsgegevens door het centrale contactpunt geldt dat daarmee grote maatschappelijke ontwrichting binnen en buiten Nederland kan worden voorkomen. Het centrale contactpunt kan zonder persoonsgegevens immers niet de verbindingsfunctie met andere lidstaten en de Europese Commissie vervullen. Het niet vervullen van die functie kan enerzijds ervoor zorgen dat Nederland geen informatie meer ontvangt van incidenten in andere lidstaten, maar andersom ook dat Nederland andere lidstaten en de Europese Commissie niet kan waarschuwen voor incidenten, met alle gevolgen van dien.

6.3.3.2 Proportionaliteit

Bevoegde autoriteit

De bevoegde autoriteit (vakminister en toezichthoudende instantie) zal in het kader van de in de Wwke opgenomen taken persoonsgegevens verwerken, maar gelet op de aard ervan (doorgaans contactgegevens van melders), het doel waarvoor die gegevens worden verwerkt en de overige waarborgen waarmee deze gegevens zijn omkleed, is de inmenging in het recht op respect voor iemands privéleven beperkt. De betrokken gegevens worden door de bevoegde autoriteit (vakminister en toezichthoudende instantie) bovendien verwerkt met inachtneming van de Avg (zie paragraaf 6.4), onder intern toezicht van de functionaris gegevensbescherming en onder extern toezicht van de Autoriteit persoonsgegevens.

De bevoegde autoriteit (vakminister en toezichthoudende instantie) verwerkt slechts gegevens voor zover dat noodzakelijk is voor het uitvoeren van de in artikel 8 Wwke bedoelde taken. Dit is in lijn met het doelbindingsbeginsel, waar het EHRM aan toetst in zijn rechtspraak.¹⁹ Doelbinding is ook een vereiste op grond van artikel 5, eerste lid, onderdeel b, Avg.

Persoonsgegevens die de bevoegde autoriteit (vakminister en toezichthoudende instantie) verwerkt ten behoeve van haar taken worden bovendien niet langer bewaard dan noodzakelijk, in verband met het vereiste van opslagbeperking, waar het EHRM aan toetst in zijn rechtspraak²⁰, dat bovendien ook een vereiste is op grond van artikel 5, eerste lid, onderdeel e, Avg. De contactgegevens van de melder worden na de afhandeling van de melding van het incident vernietigd. Ook na enige tijd moet nog contact kunnen worden gezocht met de melder, bijvoorbeeld voor de opvolging na de melding alsmede voor ondersteuning door de bevoegde autoriteit (vakminister). De contactgegevens van de verbindingsfunctionaris die kritieke entiteiten aanwijzen als contactpunt voor de bevoegde autoriteiten (vakminister en toezichthoudende instantie) worden bewaard gedurende de tijd dat betreffende functionaris is aangesteld. De verbindingsfunctionaris is niet noodzakelijkerwijs de melder. Indien er sprake is van een wijziging van de verbindingsfunctionaris, worden de persoonsgegevens door de bevoegde autoriteit (vakminister en toezichthoudende instantie) vernietigd.

Centraal contactpunt

Het centrale contactpunt zal bij het uitoefenen van zijn taken persoonsgegevens verwerken. Daarbij kan het gaan om het ontvangen van persoonsgegevens. Meer specifiek kan het gaan om de persoonsgegevens die door de bevoegde autoriteit (vakminister of toezichthoudende instantie) aan het centrale contactpunt zijn gestuurd in het kader van een bij haar gedane melding van een incident. Daarnaast betreft het de ontvangst van gegevens, waaronder persoonsgegevens, van de centrale contactpunten van andere lidstaten, zoals de contactgegevens van de medewerkers van die contactpunten. Bij die ontvangen persoonsgegevens zal het centrale contactpunt telkens bekijken of het, met het oog op de taken van het centrale contactpunt uit de Wwke, nodig is die te bewaren, en zo ja, voor hoe lang. Dit is in lijn met het vereiste van opslagbeperking, waar het EHRM aan toetst in zijn rechtspraak.²¹ Dit is ook een vereiste op grond van artikel 5, eerste lid, onderdeel e, Avg.

Het kan ook gaan om het verstrekken van persoonsgegevens, namelijk bij het verstrekken van die gegevens aan de centrale contactpunten van andere lidstaten. Het centrale contactpunt zal telkens de afweging maken of het nodig is om persoonsgegevens mee te sturen. Dit is in lijn met het vereiste van minimale gegevensverwerking, waar het EHRM aan toetst in zijn rechtspraak.²² Het vereiste van minimale gegevensverwerking is ook een vereiste op grond van artikel 5, eerste lid, onderdeel c, Avg.

6.3.3.3 Subsidiariteit

Bevoegde autoriteit

De bevoegde autoriteit (vakminister en/of toezichthoudende instantie) kan haar taken uit de Wwke niet uitoefenen wanneer zij niet zou beschikken over de persoonsgegevens die deel uitmaken van meldingen van incidenten. De bevoegde autoriteit kan deze gegevens, zoals e-mailadressen en telefoonnummers van melders, niet op een andere wijze verkrijgen, terwijl deze informatie wel noodzakelijk is om gevolg te kunnen geven aan een melding. Het gaat dan bijvoorbeeld om het voorzien van de melder van relevante vervolginformatie, het informeren van het centrale contactpunt in het geval van grensoverschrijdende gevolgen, zodat andere lidstaten geïnformeerd kunnen worden over het incident, en het kunnen waarschuwen van het publiek.

Centraal contactpunt

Het centrale contactpunt kan de taken uit de Wwke niet uitvoeren zonder de verwerking van de persoonsgegevens die nodig zijn om contact te leggen met de centrale contactpunten van andere lidstaten. Dit geldt ook voor het doorsturen van meldingen van incidenten, inclusief de daarvan deel uitmakende persoonsgegevens, aan de centrale contactpunten van andere getroffen lidstaten.

6.3.4 Conclusie

De verwerking van persoonsgegevens door de bevoegde autoriteit (vakminister en toezichthoudende instantie) is een gerechtvaardigde beperking van de persoonlijke levenssfeer met het oog op het versterken van de weerbaarheid van kritieke entiteiten. De voorgestelde bevoegdheden zijn omkleed met voldoende waarborgen, zoals hierboven is uiteengezet.

6.4 Avg

De verwerking van persoonsgegevens door de bevoegde autoriteit (vakminister en toezichthoudende instantie) en het centrale contactpunt moet in overeenstemming zijn met de Avg, meer in het bijzonder de artikelen 5 (beginselen inzake verwerking van persoonsgegevens) en 6 (rechtmatigheid van de verwerking) Avg. In deze paragraaf volgt een toetsing aan deze artikelen uit de Avg. Deze elementen vertonen overlap met de rechtspraak van het EHRM.

6.4.1 Rechtmatigheid, behoorlijkheid en transparantie

In artikel 5, eerste lid, onderdeel a, Avg is bepaald dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.

Rechtmatigheid

Artikel 6, eerste lid, Avg moet worden beschouwd als de uitwerking en nadere invulling van het beginsel van rechtmatigheid, genoemd in artikel 5, eerste lid, onderdeel a, Avg. De eerstgenoemde bepaling richt zich tot de verwerkingsverantwoordelijke en geeft de voorwaarden voor de rechtmatigheid van een verwerking. Voor de verwerkingen van persoonsgegevens door de bevoegde autoriteit (vakminister en toezichthoudende instantie) en het centrale contactpunt kan de grondslag worden gevonden in artikel 6, eerste lid, onderdeel c, Avg. Die verwerkingen zijn immers noodzakelijk om te voldoen aan een wettelijke verplichting die op deze verwerkingsverantwoordelijken rust. Voorts kan ook de grondslag worden gevonden in artikel 6, eerste lid, onderdeel e, Avg, omdat deze verwerkingen noodzakelijk zijn voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.

Behoorlijkheid

Het vereiste van behoorlijkheid houdt in dat een betrokkene op de hoogte moet (kunnen) zijn van de verwerking van zijn persoonsgegevens, inclusief de wijze waarop deze gegevens worden verwerkt, verzameld, bewaard en gebruikt. Hierop zijn een aantal uitzonderingen, zie de artikelen 13 en 14 Avg.

De bevoegde autoriteit (vakminister en/of toezichthoudende instantie) zal – gelet op de meldplicht van kritieke entiteiten – de gegevens rechtstreeks van betrokkene zelf ontvangen. Dit geldt ook voor de gegevens van de medewerkers van de centrale contactpunten van andere lidstaten, die door deze contactpunten worden verzonden aan het Nederlandse centrale contactpunt (Minister van Justitie en Veiligheid). Daarmee zijn deze betrokkenen op de hoogte van de verwerking en wordt voldaan aan het beginsel van behoorlijkheid.

Transparantie

Transparantie kent verschillende vormen. Enerzijds houdt dit in dat het verwerkingsproces transparant is. Het proces van de verwerking van persoonsgegevens zal door het centrale contactpunt en de bevoegde autoriteit (vakminister en toezichthoudende instantie) in samenspraak met de functionaris gegevensbescherming worden ingericht. Daarmee wordt voldaan aan het element van transparantie.

6.4.2 Doelbinding

In artikel 5, eerste lid, onderdeel b, Avg is bepaald dat persoonsgegevens worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en vervolgens

niet verder op een met die doeleinden onverenigbare wijze mogen worden verwerkt. Dit betreft het zogeheten doelbindingsbeginsel.

De verwerking van persoonsgegevens in het kader van de Wwke geschiedt in het kader van de in de Wwke opgenomen doelen. De algemene doelen van de Wwke zijn opgenomen in artikel 2 Wwke. In de diverse artikelen in de Wwke waarin de grondslag is geregeld voor het centrale contactpunt en de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) om gegevens, waaronder persoonsgegevens, uit te wisselen zijn ook de doelen van die gegevensverwerking omschreven.

6.4.3 Minimale gegevensverwerking

In artikel 5, eerste lid, onderdeel c, Avg is bepaald dat persoonsgegevens toereikend moeten zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Voor de bespreking hiervan wordt verwezen naar paragraaf 6.3.3, waarin is ingegaan op de dringende maatschappelijke behoefte voor de verwerking van persoonsgegevens en de noodzaak van die verwerking.

6.4.4 Juistheid

In artikel 5, eerste lid, onderdeel d, Avg is bepaald dat persoonsgegevens juist moeten zijn en zo nodig moeten worden geactualiseerd. Ook is hierin bepaald dat alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.

De bevoegde autoriteit (vakminister en toezichthoudende instantie) en het centrale contactpunt moeten dus passende maatregelen nemen om de juistheid van de gegevens te borgen. Dit betekent dat er processen en procedures uitgewerkt moeten worden om fouten bij het verkrijgen van de gegevens te voorkomen en om de gegevens met enige regelmaat te controleren. Deze processen en procedures worden door de bevoegde autoriteit (vakminister en toezichthoudende instantie) en het centrale contactpunt in samenspraak met de functionaris gegevensbescherming opgesteld.

6.4.5 Opslagbeperking

In artikel 5, eerste lid, onderdeel e, Avg is bepaald dat persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt. In artikel 33 Wwke is bepaald dat bij of krachtens amvb regels worden gesteld over de bewaarperiode van persoonsgegevens.

6.4.6 Integriteit en vertrouwelijkheid

In artikel 5, eerste lid, onderdeel f, Avg is bepaald dat persoonsgegevens, door het nemen van passende technische of organisatorische maatregelen, op een dusdanige manier moeten worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd moeten zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. De Minister van Justitie en Veiligheid (als het centrale contactpunt) en de bevoegde autoriteit (vakminister en toezichthoudende instantie) hebben een passend beveiligingsbeleid om de integriteit en vertrouwelijkheid van de persoonsgegevens te borgen.

7. Verhouding tot nationale regelgeving

In deze paragraaf wordt beschreven welke verplichtingen er op grond van nationale wetgeving reeds gelden voor specifieke sectoren en wordt bezien hoe die verplichtingen zich verhouden tot de verplichtingen uit de Wwke. Daarbij wordt de wetgeving per ministerie bekeken.

7.1 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Voor de centrale overheid zijn er op dit moment verschillende voorschriften met betrekking tot de weerbaarheid. Het betreft vooral niet-wettelijke voorschriften, zoals het Normenkader beveiliging rijkskantoren 3.0 en de Baseline Informatiebeveiliging Overheid (BIO).

Voor archiefruimten en archiefbewaarplaatsen zijn eisen opgenomen in de Archiefwet 1995. In artikel 21, eerste lid, Archiefwet 1995 is bepaald dat bij of krachtens amvb regels worden gesteld met betrekking tot de duurzaamheid van door overheidsorganen op te maken archiefbescheiden, omtrent de bouw, verbouwing, inrichting en verandering van inrichting van archiefruimten en archiefbewaarplaatsen, alsmede omtrent de ingebruikneming van gebouwen of gedeelten van gebouwen als archiefruimte of archiefbewaarplaats. Artikel 13, eerste en tweede lid, Archiefbesluit 1995 verplichten de zorgdrager om zijn archiefruimten en -bewaarplaatsen zodanig te situeren, te bouwen, in te richten en te beveiligen dat ze toereikend beschermd worden tegen brand, inbraak en wateroverlast. Deze vereisten worden nader uitgewerkt in hoofdstuk 5 en 6 van de Archiefregeling. Deze vereisten hangen samen met de zorgplicht zoals die in de Wwke is opgenomen.

7.2 Ministerie van Economische Zaken

Op de entiteiten uit de sector energie, subsectoren elektriciteit en gas, is de Wet informatie-uitwisseling bovengrondse en ondergrondse netten en netwerken (hierna: WIBON) van toepassing. Aangezien alle risico’s die de dienstverlening kunnen verstoren tevens onderdeel zijn van de risicobeoordeling, bedoeld in de Wwke, door de kritieke entiteit is er sprake van overlap met de WIBON. De risico’s volgens de WIBON zullen naar verwachting onderdeel zijn van de risicobeoordeling door de kritieke entiteit op grond van de Wwke. De overlap wordt ondervangen wanneer een kritieke entiteit een document heeft opgesteld op grond van de WIBON, en dat document kan dienen ter voldoening aan de verplichting tot het uitvoeren van een risicobeoordeling (zie artikel 14, vierde lid, Wwke). Op deze manier worden de administratieve lasten voor kritieke entiteiten tot het minimale beperkt.

7.3 Ministerie van Financiën

De Wet op het financieel toezicht en de Pensioenwet, alsmede aan die wetten verwante regelgeving, beschrijven het toezicht op bijna de hele financiële sector in Nederland. Onderdeel hiervan is regelgeving inzake de bedrijfsvoering van onder toezicht staande ondernemingen. Het toezicht op de naleving van die regels is, afhankelijk van het type marktpartij, belegd bij hetzij de Autoriteit Financiële Markten, hetzij De Nederlandsche Bank N.V.

De DORA bevat additionele regels op het terrein van digitale weerbaarheid, maar is niet van toepassing op alle marktpartijen die actief zijn in de financiële sector.

De verplichtingen uit de Wwke gelden alleen voor marktpartijen die actief zijn in de financiële sector voor zover zij onder de Wwke worden aangewezen als kritieke entiteit. Hierbij geldt echter ook de in artikel 23 Wwke opgenomen uitzondering. Hierin is geregeld dat de artikelen 14, 15, 17, 19, 20 en 22 niet van toepassing zijn op kritieke entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur.

7.4 Ministerie van Infrastructuur en Waterstaat

Luchtvaart, scheepvaart, spoor en weg

Voor de vervoerssector (luchtvaart, scheepvaart, spoor en weg) is er geen sprake van botsing van bestaande wetgeving met de verplichtingen uit de Wwke.

Drinkwater

De zogeheten Drinkwaterrichtlijn²³ verplicht tot een all hazard-risicoanalyse en tot risicobeheer, (herstel)maatregelen, meldingen bij verstoringen en informatieplichten aan het publiek. Met de CER-richtlijn ontstaan zwaardere en meer uitgebreide verplichtingen voor kritieke entiteiten. Er is daarom aanleiding om de samenloop tussen beide richtlijnen te regelen. Dit zal geschieden bij amvb.

Naar de opvatting van de regering gaat de Drinkwaterrichtlijn niet voor op de CER-richtlijn (die in artikel 1, derde lid, een voorrangsbepaling voor sectorspecifieke EU-regels bevat ten aanzien van voorgeschreven maatregelen voor kritieke entiteiten om hun weerbaarheid te vergroten), omdat de Drinkwaterrichtlijn geen specifieke eisen kent voor fysieke beveiliging. De Drinkwaterrichtlijn heeft vooral betrekking op risico’s voor de drinkwaterkwaliteit en de beschikbaarheid van drinkwater in verband met risico’s in het watersysteem, klimaatverandering en dergelijke. De bepalingen over risicoanalyse en risicobeheer uit de Drinkwaterrichtlijn hebben weliswaar – zoals opgemerkt – een all hazard-karakter, maar omdat deze niet specifiek zien op fysieke beveiliging, kunnen zij niet als ten minste gelijkwaardig worden beschouwd aan de verplichtingen op grond van de CER-richtlijn, die zijn geïmplementeerd in de Wwke. De verplichtingen uit de CER-richtlijn, geïmplementeerd in de Wwke, zijn dus van toepassing naast die uit de Drinkwaterrichtlijn.

Afvalwater

Voor de sector afvalwater is er op dit moment geen wetgeving over een meldplicht, zorgplicht of risicobeoordeling ten aanzien van de fysieke veiligheid van toepassing. Er is voor wat betreft de verplichtingen uit de Wwke voor kritieke entiteiten dan ook geen sprake van botsing met bestaande verplichtingen.

Ruimtevaart/plaats- en tijdsbepaling

Voor wat betreft de sector ruimtevaart/plaats- en tijdsbepaling met behulp van satellieten vallen er geen entiteiten onder het toepassingsbereik van de Wwke.

7.5 Ministerie van Klimaat en Groene Groei

Elektriciteitswet 1998, Gaswet en Energiewet
Op de entiteiten uit de sector energie, subsectoren elektriciteit en gas, zijn de Elektriciteitswet 1998 en de Gaswet van toepassing. De Elektriciteitswet 1998 (artikel 16, eerste lid, onderdeel q) en de Gaswet (artikel 10, elfde lid) bevatten de taak voor netbeheerders om hun netten te beschermen tegen invloeden van buitenaf, waaronder fysieke invloeden inclusief weerbaarheid, van buitenaf. De zorgplicht die de Wwke regelt en de uitwerking daarvan bij amvb kunnen gezien worden als instructie aan de netbeheerders hoe zij op het gebied van fysieke invloeden inclusief weerbaarheid, van buitenaf invulling geven aan hun taak op grond van de Elektriciteitswet 1998 en de Gaswet. Een meldplicht op het punt van fysieke invloeden inclusief weerbaarheid, van buitenaf is niet geregeld in deze wetten. Er is dus geen sprake van botsende verplichtingen.

Met ingang van 1 januari 2026 treedt de Energiewet, met uitzondering van enkele artikelen, in werking.²⁴ Die wet strekt ter vervanging van de Elektriciteitswet 1998 en de Gaswet en voorziet in een hernieuwd regelgevend kader met betrekking tot de productie, het transport en de levering van elektriciteit en gas. Artikel 3.18 Energiewet bevat een nieuwe grondslag voor nadere regels ten behoeve van de bescherming van vitale processen. Dat artikel draagt bij aan het vergroten van de weerbaarheid ten behoeve van de te leveren essentiële dienst. Gedelegeerde regelgeving op grond van artikel 3.18 Energiewet bevat specifieke regels voor systeembeheerders en kan worden betrokken bij de invulling van de zorgplicht en de beoordeling of een kritieke entiteit aan de zorgplicht voldoet. Er is geen sprake van botsende verplichtingen. Wel kan het in de praktijk voorkomen dat tussen verschillende toezichthoudende instanties samenwerkingsafspraken moeten worden gemaakt.

Artikel 3.74 Energiewet behandelt kwaliteitsborging en calamiteitenplan van transmissie- en distributiesysteembeheerders. In de onderliggende amvb, het Energiebesluit, zijn in paragraaf 3.3.1 in concept nadere eisen gesteld aan het kwaliteitsborgingssysteem van de transmissie- en distributiesysteembeheerders. Risico’s voor de betrouwbaarheid worden in kaart gebracht inclusief kans en impact. De Wwke verplicht de bevoegde autoriteit (vakminister) een risicobeoordeling te maken en dit te communiceren met kritieke entiteiten. Transmissie- en distributiesysteembeheerders moeten als kritieke entiteit deze aangedragen risico’s meenemen in de risicobeoordeling die zij zelf moeten verrichten op grond van artikel 14 Wwke. Deze verplichting uit de Wwke is een aanvulling op het kwaliteitsplan in het Energiebesluit. Om dubbele lasten te voorkomen kunnen kritieke entiteiten de documenten die zij hebben opgesteld op grond van andere wet- en regelgeving, zoals de Energiewet zodra deze in werking is getreden, tevens gebruiken voor de uitvoering van de in artikel 14 Wwke opgenomen verplichting tot het uitvoeren van een risicobeoordeling, waarmee de administratieve lasten voor kritieke entiteiten tot het minimale worden beperkt.

Warmtewet
Op de entiteiten uit de sector energie, subsector stadsverwarming- en koeling, is de Warmtewet van toepassing. De Warmtewet is summier in het kader van de weerbaarheidsverplichting. Op basis van artikel 2, eerste lid, Warmtewet zijn warmteleveranciers gehouden tot zorg voor een betrouwbare levering. De zorgplicht in de Wwke kan worden gezien als instructie aan de warmteleveranciers hoe zij op het gebied van fysieke veiligheid invulling geven aan hun taak op grond van artikel 2, eerste lid, Warmtewet.

Wet collectieve warmtevoorziening
Het voorstel van wet houdende regels omtrent productie, transport en levering van warmte (Wet collectieve warmte) (hierna: Wcw) is bij koninklijke boodschap van 18 juni 2024 ingediend bij de Tweede Kamer.²⁵

Dit wetsvoorstel heeft als doel de belangen van verbruikers die zijn aangesloten op een collectieve warmtevoorziening zo goed mogelijk te waarborgen. Een betrouwbare warmtelevering vormt daarbij een belangrijk uitgangspunt. Onder betrouwbaarheid moet ook de veiligheid van het warmte(transport)net worden verstaan. Een ander belangrijk uitgangspunt van dit wetsvoorstel is het waarborgen van de leveringszekerheid van collectieve warmte. Het warmtebedrijf krijgt daarom de taak toegewezen om te zorgen voor voldoende bron- en transportcapaciteit om ruimten tot minimaal 20 °C te kunnen verwarmen bij een buitentemperatuur van -10 °C. Ook digitale weerbaarheid is onderdeel van deze taak.

De zorgplicht uit de Wwke kan worden gezien als een verdiepende instructie aan de beheerders van collectieve warmtevoorzieningen over hoe zij op het gebied van weerbaarheid invulling geven aan hun taak op grond van de toekomstige Wcw. Een meldplicht ten behoeve van de weerbaarheid is niet geregeld in de Wcw.

Voorts voorkomt het vereiste van een publiek meerderheidsbelang bij een collectieve warmtevoorziening (een systeem van meer dan 1500 verbruikers) ongewenste buitenlandse invloed op vitale warmte-infrastructuur.

Mijnbouwwet
Op grond van artikel 33 Mijnbouwwet rust er een zorgplicht op houders van een vergunning voor opsporing en winning van koolwaterstoffen, het opslaan van stoffen, het opsporen van CO₂-complexen en het opsporen en winnen van aardwarmte. Deze vergunninghouders zijn entiteiten die in sommige gevallen voldoen aan de beschrijving van kritieke entiteiten in de zin van de Wwke in de sector energie. Het gaat in dit verband om exploitanten van voorzieningen voor productie van olie, leveringsbedrijven van gas, aardgasbedrijven en opslagsysteembeheerders van gas.

De zorgplicht uit de Mijnbouwwet is gericht op domeinen zoals procesveiligheid en omgevingsveiligheid. De zorgplicht uit de Mijnbouwwet is vooral gericht op de veiligheid van de omgeving, het milieu en de medewerkers van een mijnbouwwerk. Zorg en toezicht op de veiligheid in de Mijnbouwwet is daarmee niet uitsluitend gericht op de continuïteit van de verlening van de essentiële dienst(en) door de kritieke entiteit en op bijvoorbeeld ongewenste intenties van actoren. Daarmee verschilt de doelstelling van de Wwke met die van de Mijnbouwwet, maar er is wel een overlap in de aandachtsgebieden tussen deze wetten.

Waar nodig kunnen verschillende toezichthoudende instanties het toezicht afstemmen om onnodige overlap of feitelijke dubbelingen te voorkomen. Om dubbele lasten te voorkomen kunnen kritieke entiteiten de documenten die zij hebben opgesteld op grond van andere wet- en regelgeving, tevens gebruiken voor de uitvoering van verplichtingen op grond van de Wwke, waarmee de administratieve lasten voor kritieke entiteiten tot het minimale worden beperkt.

7.6 Ministerie van Landbouw, Visserij, Voedselzekerheid en Natuur

Artikel 19 van de Verordening (EG) Nr. 178/2002,²⁶ over levensmiddelen, verplicht exploitanten van een levensmiddelenbedrijf melding te doen bij de bevoegde autoriteit (de Nederlandse Voedsel- en Warenautoriteit) als hij van mening is of redenen heeft om aan te nemen dat een levensmiddel dat hij ingevoerd, geproduceerd, verwerkt, vervaardigd of gedistribueerd heeft niet aan de voedselveiligheidsvoorschriften voldoet. Voor zover een hiervoor bedoelde exploitant is aangewezen als kritieke entiteit in de zin van de Wwke, geldt op die exploitant ook de meldplicht uit de Wwke. Hierbij wordt opgemerkt dat de meldplicht uit de Wwke ziet op een incident dat de verlening van de essentiële dienst van de kritieke entiteit aanzienlijk verstoort of kan verstoren, en dus niet op een melding in het kader van de voedselveiligheid, waar artikel 19 van de Verordening (EG) Nr. 178/2002 op ziet.

Artikel 5 van de Verordening (EG) Nr. 852/2004,²⁷ over levensmiddelenhygiëne, verplicht exploitanten van levensmiddelenbedrijven zorg te dragen voor de invoering, uitvoering en handhaving van één of meer permanente procedures die gebaseerd zijn op de HACCP-beginselen. HACCP staat voor Hazard Analysis and Critical Control Points en is een risico-inventarisatie voor voedingsmiddelen. In de praktijk kunnen entiteiten onder die verplichting al passende en evenredige technische, beveiligings- en organisatorische maatregelen ten behoeve van een aantal processen hebben genomen, die ook moeten worden genomen op grond van de Wwke (voor zover de hiervoor bedoelde exploitanten tevens zijn aangewezen als kritieke entiteit in de zin van de Wwke).

7.7 Ministerie van Volksgezondheid, Welzijn en Sport

Sector gezondheidszorg

Voor de sector gezondheidszorg bestaat geen wetgeving die direct ziet op het voorkomen, beperken of beheersen van fysieke incidenten, of om bescherming te bieden of bestand te zijn tegen, te reageren op of zich aan te passen aan en te herstellen van fysieke incidenten. Met de Wwke komt hier verandering in voor de aangewezen kritieke entiteiten in de sector gezondheidszorg. De Inspectie Gezondheidszorg en Jeugd (hierna: IGJ) ziet toe op de naleving van de verplichtingen uit de Wwke waar de kritieke entiteiten uit de sector gezondheidszorg aan dienen te voldoen.

In de sector gezondheidszorg zijn er wel diverse sectorspecifieke wetgeving die zien op de kwaliteit van diensten en producten (zorgplicht) en op het melden van incidenten of onvolkomenheden (meldplicht) aan de IGJ.

Zorgaanbieder

Op grond van de Wet kwaliteit, klachten en geschillen zorg geldt voor zorgaanbieders een verplichting om kwalitatief goede zorg te leveren en bij de IGJ melding te maken van calamiteiten die gerelateerd zijn aan de kwaliteit van zorg.

Geneesmiddelen

In de Geneesmiddelenwet is de definitie van een geneesmiddel vastgesteld en is opgenomen hoe een geneesmiddel mag worden geproduceerd en verhandeld. Onder een geneesmiddel worden ook medische isotopen gedefinieerd, namelijk een radiofarmaceuticum, generator van radionucliden, een kit met radionucliden tot radiofarmaceuticum en de uitgangsstof van radionucliden. Geneesmiddelen worden door de fabrikant slechts afgeleverd aan andere fabrikanten, groothandelaren en aan degenen die bevoegd zijn de desbetreffende geneesmiddelen ter hand te stellen. De IGJ houdt toezicht op naleving van deze wet.

De Geneesmiddelenwet bevat verplichtingen voor vergunninghouders rondom het aanleggen van kritische voorraden. Daarnaast dient een tekort van een geneesmiddel aan de IGJ gemeld te worden. Als de oorzaak van een tekort of onvolkomenheid een incident is dat de verlening van de essentiële dienst aanzienlijk verstoort of kan verstoren, moet dit zowel gemeld worden onder de Wwke als onder andere wetgeving met betrekking tot incidenten of tekorten. Hierdoor kan er voor de aangewezen kritieke entiteit sprake zijn van een dubbele meldplicht.

Onderzoek naar en de ontwikkeling van geneesmiddelen

In de sector gezondheidszorg, genoemd in de bijlage van de Wwke, betreft een categorie van entiteiten: entiteiten die zich bezig houden met het onderzoek naar en de ontwikkeling van geneesmiddelen, onder verwijzing naar Richtlijn 2001/83/EG²⁸. De laatstgenoemde richtlijn is in Nederland geïmplementeerd in de Wet medische wetenschappelijk onderzoek met mensen. De IGJ ziet toe op de naleving van het bepaalde bij of krachtens die wet.

Medische hulpmiddelen

Voor entiteiten die medische hulpmiddelen vervaardigen geldt op dit moment sectorspecifieke regelgeving die ziet op de kwaliteit en de werking van medische hulpmiddelen en het melden van incidenten. Dit is vastgelegd in de Verordening (EU) 2017/745²⁹, over medische hulpmiddelen. Deze verordening stelt eisen aan de marktdeelnemers (fabrikanten, distributeurs, importeurs, Europees gemachtigden, aangemelde instanties en zorginstellingen die zelf hulpmiddelen maken). Meldingen van incidenten met medische hulpmiddelen dienen door een fabrikant gemeld te worden bij de IGJ. De verordening bevat ook verplichtingen voor marktdeelnemers rondom schaarste en het melden daarvan aan het Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG). In het kader van de Wwke gaat het specifiek over de entiteiten die medische hulpmiddelen vervaardigen in het kader van noodsituaties.

7.8 Ministerie van Klimaat en Groene Groei, Ministerie van Infrastructuur en Waterstaat en Ministerie van Volksgezondheid, Welzijn en Sport

Voor entiteiten die opereren binnen de sectoren energie (subsector elektriciteit) en/of gezondheidszorg, zoals gedefinieerd in de Wwke, kan het zijn dat zij ook diensten leveren die onder internationale regelgeving op het gebied van nucleaire veiligheid, beveiliging en stralingsbescherming vallen. Voorbeelden van deze regelgeving zijn het Verdrag inzake de fysieke beveiliging van kernmateriaal³⁰, de Richtlijn 2014/87/Euratom³¹ en het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie (EURATOM)³². Deze entiteiten, ook wel nucleaire installaties genoemd, vallen onder het toezicht van de Autoriteit Nucleaire Veiligheid en Stralingsbescherming (hierna: ANVS), die dit toezicht in onafhankelijkheid uitvoert. De Minister van Infrastructuur en Waterstaat is hiervoor beleidsverantwoordelijk.

Wanneer een nucleaire installatie onder de Wwke wordt aangemerkt als kritieke entiteit binnen de sector energie en/of gezondheidszorg, is er een goede balans nodig tussen verschillende ministeriële verantwoordelijkheden. Aan de ene kant is er de verantwoordelijkheid van het Ministerie van Klimaat en Groene Groei voor de leveringszekerheid van elektriciteit. Aan de andere kant is er de verantwoordelijkheid van het Ministerie van Infrastructuur en Waterstaat voor de veiligheid van nucleaire installaties.

Gezien het zwaarwegende belang van stralingsveiligheid bij nucleaire installaties, heeft de verantwoordelijkheid van de Minister van Infrastructuur en Waterstaat, ondersteund door de inzet van de ANVS, prioriteit boven andere belangen, zoals de continuïteit van de elektriciteitsvoorziening of de productie van medische hulpmiddelen. De ANVS vervult een leidende rol in het toezicht op nucleaire installaties. Toezichthoudende instanties binnen de Wwke moeten daarom ruimte hebben om te vertrouwen op de beoordelingen van de ANVS en deze als afdoende te beschouwen voor het toezicht op de naleving van de zorgplicht door kritieke entiteiten onder de Wwke, voor zover het gaat om nucleaire veiligheid.

Indien nodig moeten toezichthoudende instanties ook de mogelijkheid hebben om in hun toezicht gebruik te maken van standaarden en eisen die voortvloeien uit de kernenergiewetgeving. Dit geldt ook in de situatie waarin de Minister van Infrastructuur en Waterstaat, op basis van artikel 7 Wwke, een risicobeoordeling uitvoert en één of meerdere kritieke entiteiten binnen de nucleaire sector vaststelt.

8. Gevolgen

8.1 Gevolgen voor burgers en bedrijven

8.1.1 Inleiding

De Wwke bevat verplichtingen voor entiteiten die zijn aangewezen als kritieke entiteit. Deze entiteiten krijgen te maken met een stijging van de regeldruk. De door de Wwke veroorzaakte regeldruk bestaat uit een stijging van administratieve lasten en inhoudelijke nalevingskosten voor deze entiteiten. Momenteel is de schatting dat de Wwke van toepassing zal zijn op 500 entiteiten. Overheidsinstanties zijn hierbij niet meegerekend, want zij vallen niet onder de regeldruktoets.

Een deel van de entiteiten die onder het toepassingsbereik van de Wwke vallen zijn nu al beleidsmatig aangemerkt als vitale aanbieder in de zin van de Wet beveiliging netwerk- en informatiesystemen (hierna: Wbni). De inschatting is dat de stijging van de regeldruk die uit de Wwke voortvloeit voor deze organisaties beperkter is dan voor organisaties die nog niet onder het reeds bestaande vitaalstelsel vallen. Bestaande (beleids)afspraken voor vitale aanbieders, gericht op risicomanagement en bedrijfscontinuïteit, zullen namelijk gedeeltelijk overeenkomen met de verplichtingen die voortvloeien uit de Wwke. Er zal echter ook voor deze organisaties sprake zijn van een intensivering van de bestaande praktijken.

De Wwke heeft geen gevolgen voor de regeldruk voor burgers, evenmin voor organisaties die niet als kritieke entiteit worden aangemerkt. De gevolgen van het eventueel wegvallen van kritieke entiteiten zullen wel zeer groot zijn voor burgers die veelal afhankelijk zijn van de vitale processen die kritieke entiteiten beheren.

In de volgende paragrafen wordt ingegaan op de regeldruk van de zorgplicht en de meldplicht, de toezichtlasten en de eenmalige kennisnamekosten.

8.1.2 Zorgplicht

Op grond van artikel 15 Wwke moeten kritieke entiteiten passende en evenredige technische, beveiligings- en organisatorische maatregelen nemen om voor hun weerbaarheid te zorgen. Ook zonder deze wettelijke verplichting hebben kritieke entiteiten veelal al de nodige beveiligingsmaatregelen getroffen, die kunnen bestaan uit een combinatie van technische, operationele en organisatorische maatregelen. Dit is immers cruciaal voor de continuïteit van hun bedrijfsvoering. Een deel van deze entiteiten heeft dus reeds de nodige investeringen gedaan op het gebied van de veiligheid en beveiliging om zodoende verstoringen van de continuïteit te voorkomen, zo snel mogelijk van verstoringen te herstellen en mogelijk grote schadeposten als gevolg van verstoringen zoveel mogelijk te mitigeren.

De maatregelen die kritieke entiteiten in ieder geval moeten nemen in het kader van de zorgplicht zijn opgenomen in artikel 15, eerste lid, Wwke. Bij amvb zullen regels worden gesteld ter nadere invulling van de maatregelen die kritieke entiteiten in het kader van de zorgplicht moeten nemen. Om die reden zal in die amvb eveneens worden ingegaan op de nalevingskosten die voortvloeien uit de uitwerking van de zorgplicht. Dit zal afhankelijk zijn van de mate waarin de maatregelen overeenkomen met de maatregelen die kritieke entiteiten al hebben genomen. Bij het nader invullen van de maatregelen zal nadrukkelijk rekening worden gehouden met bestaande normenkaders en richtsnoeren.

Kritieke entiteiten die reeds passende en evenredige maatregelen hebben genomen, zullen naar verwachting weinig tot geen inhoudelijke nalevingskosten ervaren. Kritieke entiteiten die deze maatregelen (deels) nog niet hebben genomen, kunnen een aanzienlijke regeldruk ervaren bij het implementeren van de zorgplichtmaatregelen. Deze ervaren regeldruk zal echter, voortvloeiende het doel van de Wwke, in verhouding staan tot de ervaren lasten van eventuele incidenten die met deze maatregelen voorkomen hadden kunnen worden.

8.1.3 Meldplicht

Op grond van artikel 17 Wwke moeten kritieke entiteiten incidenten die de verlening van hun essentiële dienst aanzienlijk verstoren of kunnen verstoren, melden bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie). De meldplicht is een informatieverplichting en daarmee een administratieve last.

Per sector kan nadere invulling worden gegeven aan de parameters die bepalen wanneer incidenten meldplichtig zijn. Daarmee beïnvloeden deze parameters ook de regeldruk voor entiteiten. Naar verwachting zal de meldplicht niet leiden tot een groot aantal meldingen door entiteiten, omdat alleen incidenten die de essentiële dienstverlening verstoren of kunnen verstoren dienen te worden gemeld. Momenteel is de schatting dat de Wwke van toepassing zal zijn op 500 entiteiten.

Het uitgangspunt is dat het meldportaal op een lastenluwe manier wordt ingericht. In dat kader wordt er naar gestreefd het meldportaal technisch zó in te richten, dat het verspreiden van de benodigde informatie maar één handeling vergt, hetgeen de administratieve lasten reduceert. De inrichting van het meldportaal wordt in overleg met betrokken departementen, toezichthoudende instanties en de sectoren nader uitgewerkt. Tot die tijd zal het doen van een melding bestaan uit de handelingen die hieronder worden toegelicht.

Voor het verrichten van een melding zal het veelal gaan om de volgende handelingen. Nadat de kritieke entiteit kennis heeft genomen van het incident dat gemeld moet worden, zal een schriftelijke en eventueel telefonische melding moeten worden gedaan. Ook moet informatie, bedoeld in artikel 17, tweede lid, Wwke worden verzameld en worden verstrekt aan de bevoegde autoriteit (vakminister en/of toezichthoudende instantie). Een maand na de melding moet een gedetailleerd verslag worden uitgebracht.

De tijd die het kritieke entiteiten zal kosten om een melding en vervolghandelingen te doen onder de meldplicht zal verschillen per incident en zal onder andere afhankelijk zijn van de ernst en complexiteit van het incident. De meldplicht geldt alleen voor incidenten die de essentiële dienstverlening verstoren of kunnen verstoren. Omdat dat gaat om incidenten met (potentieel) grootschalige gevolgen wordt ingeschat dat de melding en vervolghandelingen gemiddeld 300 minuten kosten per incident. Dit omvat 260 minuten voor het doen van de melding (inclusief het opstellen van een gedetailleerd verslag) en 40 minuten voor extra handelingen op het verzoek van de bevoegde autoriteit (vakminister en/of toezichthoudende instantie). Als uurtarief wordt € 54 gehanteerd, een gangbaar tarief voor theoretisch opgeleide kenniswerkers.³³

Op dit moment wordt geschat dat jaarlijks 5% van de kritieke entiteiten een melding moet doen. Dit percentage is gebaseerd op het aantal gedane meldingen op grond van de Wbni (10%). Dit percentage is ten opzichte van het aantal gedane meldingen op grond van de Wbni verlaagd voor de Wwke, omdat veel meldingen naar verwachting ook een digitale component zullen hebben en dus onder de meldplicht van de Cbw zullen worden gedaan. Bij 25 (500 entiteiten × 5%) meldingen per jaar komt dit neer op structurele jaarlijkse regeldrukkosten van (25 × (300 minuten / 60 x € 54) =) € 6.750.

8.1.4 Toezichtlasten

Op de naleving van het bepaalde bij of krachtens de Wwke en het bepaalde in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen³⁴ wordt toegezien door de toezichthoudende instantie. Dit levert regeldruk op in de vorm van toezichtlasten.

Om een indicatie te schetsen van mogelijke toezichtslasten wordt hieronder een aannemelijke minimumvariant uitgewerkt. Een reguliere audit zal ten minste eens in de vier jaar uitgevoerd worden. Bij deze berekeningen wordt gebruikgemaakt van de standaard tijdsbestedingen en uurtarieven uit het Handboek Meting Regeldrukkosten (versie 2023). In dit geval kan uitgegaan worden van een gemiddelde audit van complex moeilijkheidsniveau door een toezichthoudende instantie. Hiervoor wordt standaard 540 minuten gerekend. Uitgaande van een uurtarief van € 54 komt dit uit op een minimale toezichtlast van (€ 54 × (540 minuten / 60) = ) € 486,- per vier jaar per kritieke entiteit. Uitgaande van een inspectiecyclus van vier jaar (125 entiteiten per jaar) zou dit jaarlijks op een totaal van € 60.750,- uitkomen. Als kritieke entiteiten reeds passende weerbaarheidsmaatregelen hebben genomen zal dit het meest voorkomende scenario zijn.

Ook kan er extra informatie opgevraagd worden door de toezichthoudende instantie als bewijs van uitvoering van beveiligingsbeleid. Hiervoor wordt 120 minuten gerekend. Ook kan er van een entiteit gevraagd worden om naar aanleiding van een inspectie aanpassingen te doen. Hiervoor wordt standaard 480 minuten gerekend. Uitgaande van een uurtarief van € 54 komt dit uit op een mogelijke toezichtslast van (€ 54 × ((540 + 120 + 480 minuten) / 60) = ) € 1.026,- per entiteit.

De toezichthoudende instantie kan een kritieke entiteit daarnaast verplichten om een audit uit te voeren door een onafhankelijke deskundige, op basis van risicobeoordelingen of andere risicogerelateerde informatie, om inzicht te krijgen in de effectiviteit van genomen beheersmaatregelen. In dit geval staat het een kritieke entiteit vrij om zelf de auditor te selecteren. Het is daarom niet op voorhand mogelijk om een inschatting van de toezichtslasten op dit aspect te maken, dit is onder andere sterk afhankelijk van de sector waarin de kritieke entiteit opereert en de scope van de audit.

8.1.5 Eenmalige kennisnamekosten

Alle kritieke entiteiten zullen eenmalig tijd moeten besteden aan het verdiepen in en kennisnemen van de Wwke. Entiteiten zullen hier naar schatting 16 uur (2 werkdagen) voor nodig hebben. Uitgaande van een uurtarief van € 54 komt dit uit op (16 × € 54 =) € 864,- per kritieke entiteit aan eenmalige kennisnamekosten. Vermenigvuldigd met het aantal betrokken organisaties (500) komt dit uit op een totaal van € 432.000,-.

8.2 Gevolgen voor de uitvoering

Een versie van dit wetsvoorstel is voorgelegd aan de IGJ, de Rijksinspectie Digitale Infrastructuur, het Staatstoezicht op de Mijnen, de Inspectie Leefomgeving en Transport, de Rijksdienst voor het Wegverkeer en de Nederlandse Voedsel- en Warenautoriteit. De reacties van deze organisaties en instanties zijn in samenhang bezien en beoordeeld. Daarbij zijn geen noemenswaardige aspecten naar voren gekomen die dit wetsvoorstel in de weg staan. In algemene zin is helder wat de opgedragen taak is, zijn de organisaties voldoende toegerust voor een doeltreffende uitvoering en is het de verwachting dat de Wwke effectief is uit te voeren.

8.3 Financiële gevolgen voor de overheid

Een belangrijk deel van de verplichtingen uit de Wwke is in lijn met het bestaande beleid ter bescherming van de vitale infrastructuur (de Aanpak vitaal). Wel wordt extra inspanning gevraagd ten aanzien van het takenpakket. De Wwke leidt daarom naar verwachting tot geringe extra financiële uitgaven voor de overheid. De belangrijkste taken voor de rijksoverheid houden verband met de verplichtingen om een nationale strategie te ontwikkelen, om sectorale risicobeoordelingen uit te voeren, om kritieke entiteiten te identificeren en aan te wijzen, om deze entiteiten te ondersteunen en om het toezicht in te richten. Het vervullen van deze verplichtingen zal veelal een intensivering zijn van het huidige beleid ter bescherming van de vitale infrastructuur zoals ook beschreven in hoofdstuk 3. Dit zal apparaatskosten met zich meebrengen.

De kosten vallen grotendeels neer bij de verantwoordelijke departementen. Zij hebben op basis van hun sectorverantwoordelijkheid een coördinerende rol richting kritieke entiteiten om samenwerking, informatiedeling, de identificatie van risico’s en de handhaving van de voorschriften van de Wwke te bevorderen. Hier zijn consequenties aan verbonden met betrekking tot capaciteit en middelen, zowel voor de departementen als de sectorale toezichthoudende instanties. Wegens variatie in sectorale omvang en diepgang, wisselende specificiteit van complementaire sectorale wetgeving en uiteenlopende kosten voor capaciteitsvergroting verschillen de budgettaire gevolgen sterk per departement.

Conform de regels van de budgetdiscipline dienen de budgettaire gevolgen te worden ingepast op de begrotingen van de verantwoordelijke departementen. In onderstaande tabel zijn de budgettaire gevolgen geraamd zoals verwerkt in de Miljoenennota 2025. Gezien de nauwe samenhang met en gelijktijdige implementatie van de NIS2-richtlijn zijn onder meer de beleidscapaciteit en ondersteuning van de Cbw en Wwke binnen de departementen nauw met elkaar verweven. De kosten die worden ingeregeld zijn daarom vaak niet uitsluitend voor één van de wetten. Daarom zijn de financiële gevolgen van de Wwke gezamenlijk in beeld gebracht met de Cbw. De genoemde bedragen hieronder zijn daarom inclusief de budgettaire gevolgen horende bij de Cbw.

Tabel 1: budgettaire gevolgen per departement

(in mln. €)	2024	2025	2026	2027	2028	Structureel
Economische Zaken en Klimaat	7,30
Economische Zaken		9,30	12,33	12,39	12,91	12,91
Klimaat en Groene Groei		7,02	9,84	9,78	9,26	9,26
Infrastructuur en Waterstaat	0,00	11,90	13,40	15,00	16,50	18,00
Volksgezondheid, Welzijn en Sport	5,07	8,11	8,11	8,04	8,04	8,04
Binnenlandse Zaken en Koninkrijksrelaties	2,54	7,06	7,26	7,46	7,56	7,56
Onderwijs, Cultuur en Wetenschap	2,14	2,30	4,09	4,09	4,09	3,59
Landbouw, Visserij, Voedselzekerheid en Natuur	0,70	5,10	5,80	6,80	6,80	6,80
Justitie en Veiligheid	3,64	6,37	9,00	10,68	13,92	15,17
Financiën	0,00	1,20	1,30	1,40	1,50	1,50
Totaal	21,39	58,36	71,13	75,64	80,58	82,83

De kosten voor het Ministerie van Infrastructuur en Waterstaat zijn in de Miljoenennota 2025 binnen de begroting opgenomen.

Voor het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties geldt dat de kosten van de Cbw en van de Binnenlandse Zaken en Koninkrijksrelaties-gerelateerde kosten voor de Wwke worden gedekt binnen de beleidsartikelen 6 en 7 van de begroting van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties als onderdeel van hoofdstuk 7 van de Rijksbegroting.

Voor het Ministerie van Onderwijs, Cultuur en Wetenschap geldt dat de budgettaire gevolgen voor de rol van het CSIRT en het inrichten van het toezicht reeds zijn verwerkt in de Voorjaarsnota 2025. Deze kosten zijn opgenomen in tabel 1. Er wordt nader onderzocht welke financiële implicaties er zijn verbonden aan de uitvoering van de Cbw wanneer de Minister van Onderwijs, Cultuur en Wetenschap gebruik maakt van de bevoegdheid om hbo- en wo-instellingen via een aanwijzing onder de reikwijdte van de Cbw te brengen.

Daarnaast voert de Minister van Justitie en Veiligheid de sectoroverstijgende regie op de uitvoering van de Wwke. De Minister van Justitie en Veiligheid is verantwoordelijk voor het opstellen van de nationale strategie en de werkzaamheden die voortkomen uit de aanwijzing als het centrale contactpunt. Ook voor deze taken geldt dat ze grotendeels al onderdeel uitmaken van het bestaande nationale beleid. De minimale extra belasting wordt opgevangen binnen de huidige formatie en de lopende begroting van het Ministerie van Justitie en Veiligheid.

Hierbij dient opgemerkt te worden dat de ingeschatte apparaatsuitgaven voor de uitvoering van de Wwke gebaseerd zijn op het op dit moment verwachte aantal kritieke entiteiten dat onder het toepassingsbereik van de Wwke komt te vallen. Op basis hiervan hebben de verantwoordelijke departementen een raming opgenomen in hun begrotingen. Naar gelang de implementatie van de Wwke vordert kunnen meer betrouwbare ramingen worden gemaakt en bijstellingen nodig blijken te zijn. Bijvoorbeeld door voorgestelde wijzingen vanuit de consultatie op de amvb onder de Wwke of een uitvoeringstoets. Tot slot kunnen ook overheidsorganisaties of -onderdelen als kritieke entiteit worden aangewezen. In dat geval krijgen zij te maken met de regeldrukkosten zoals beschreven in paragraaf 8.1.

8.4 Gegevensbeschermingseffectbeoordeling

Zoals vereist door artikel 35 Avg is bij de voorbereiding van dit wetsvoorstel een Gegevensbeschermingseffectbeoordeling, ook wel data privacy impact assessment (hierna: DPIA), uitgevoerd. De verwerkingsverantwoordelijke voert vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Uit de Avg volgt overigens dat het uitvoeren van een DPIA een voortdurend proces is, dat niet stopt na de voorbereiding van een voorstel. De DPIA bestaat uit verschillende onderdelen: een beschrijving van de voorgenomen gegevensverwerkingen en verwerkingsdoeleinden (onderdeel A), de beoordeling van de onder A verzamelde informatie aan het juridische kader (onderdeel B), de risico’s voor betrokkenen (onderdeel C) en de beoogde maatregelen om die risico’s aan te pakken (onderdeel D). Op basis van het wetsvoorstel zijn de risico’s met betrekking tot gegevensverwerking onderzocht. Hieruit blijken slechts lage risico’s voorzien voor betrokkenen. De resultaten van de DPIA zijn verwerkt in hoofdstuk 6.

9. Advies en consultatie

9.1 Inleiding

Een eerdere versie van dit wetsvoorstel is voor advies voorgelegd aan de Autoriteit persoonsgegevens (hierna: AP) en het Adviescollege toetsing regeldruk (hierna: ATR), opengesteld voor consultatie op www.internetconsultatie.nl en voor commentaar toegezonden aan belangenorganisaties en entiteiten. Hieronder volgt een globale bespreking van de adviezen en reacties.

Waar de nummers van de besproken artikelen verschillen, worden de artikelen van die eerdere versie als volgt aangeduid: ([artikelnummer] oud).

9.2 Advies AP

De AP concludeert in haar advies dat, gelet op de vereisten uit de Avg, uit het wetsvoorstel niet blijkt welke persoonsgegevens uitgewisseld kunnen worden in het kader van de samenwerking tussen verschillende instanties dan wel dat een dwingende delegatiegrondslag ontbreekt om dit in nadere regelgeving te bepalen, terwijl dit wel noodzakelijk is. Het advies van de AP wordt op dit punt niet gevolgd. Het is niet op voorhand duidelijk welke persoonsgegevens in het kader van de uitoefening van de taken uit de Wwke verwerkt zullen worden. Als op voorhand (bijvoorbeeld in lagere regelgeving) bepaalde categorieën van persoonsgegevens limitatief worden opgesomd, kan dit de verschillende instanties belemmeren in hun taakuitoefening.

Ten aanzien van bijzondere categorieën van persoonsgegevens wijst de AP op de noodzaak om bij amvb dwingend te bepalen welke categorieën van bijzondere persoonsgegevens verwerkt kunnen worden door de bevoegde autoriteit, als dat noodzakelijk is voor haar taakuitoefening als bedoeld in artikel 31a, tweede lid, Wwke (oud). Naar aanleiding van dit advies is nader bezien of concreet kan worden vastgesteld welke categorieën van bijzondere persoonsgegevens verwerkt zouden kunnen worden door de bevoegde autoriteit. Dit was niet mogelijk. Daarom is artikel 31a Wwke (oud) komen te vervallen en daarmee dus de grondslag voor de bevoegde autoriteit om bijzondere categorieën van persoonsgegevens te verwerken.

Ten aanzien van bewaartermijnen acht de AP het wenselijk dat dergelijke termijnen worden bepaald. Naar aanleiding van deze reactie is artikel 33 Wwke ingevoegd.

Ook adviseert de AP om te definiëren wat wordt verstaan onder vertrouwelijke gegevens als bedoeld in artikel 34 Wwke (32 oud), dan wel een grondslag op te nemen die dwingend voorschrijft om in gedelegeerde regelgeving te bepalen welke gegevens dit zijn. Dit advies wordt niet gevolgd. Door vertrouwelijke gegevens te definiëren is de kans aanzienlijk dat daarmee de CER-richtlijn onjuist of onvolledig wordt geïmplementeerd. De definitie zal immers een clausulering impliceren, terwijl de CER-richtlijn die clausulering niet bevat of beoogt. Wel is naar aanleiding van dit advies de artikelsgewijze toelichting op artikel 34 Wwke (32 oud), waarin de context en enkele voorbeelden van vertrouwelijke gegevens staan, op punten aangescherpt.

9.3 Advies ATR

Het ATR adviseert om het nut en de noodzaak in de memorie van toelichting beter te onderbouwen door te verduidelijken waar en in welke mate de bestaande wetgeving tekort schiet op het punt van toegenomen dreigingen. Naar aanleiding hiervan is hoofdstuk 4, punt 1 aangevuld.

Het ATR adviseert om in de memorie van toelichting te verduidelijken of, en zo ja, waar en waarom wordt gekozen voor zwaardere eisen dan de minimumeisen van de CER-richtlijn. De reactie hierop is als volgt. Er is niet gekozen voor zwaardere eisen dan de minimumeisen van de CER-richtlijn.

Het ATR adviseert om een mkb-toets uit te laten voeren voor de lagere regelgeving waarmee de verplichtingen nader worden uitgewerkt. Conform dit advies wordt een mkb-toets uitgevoerd op de amvb onder de Wwke.

Het ATR adviseert te waarborgen dat organisaties weten wat de verplichtingen precies inhouden en hoe die nageleefd moeten worden. In reactie hierop wordt erop gewezen dat er veel aandacht is voor de communicatie rondom de Wwke. Ook worden er handreikingen gepubliceerd die begeleiding kunnen bieden in het implementeren van de verschillende vereisten die de Wwke bevat.

Het ATR adviseert om één jaar na de inwerkingtreding van de Wwke een invoeringstoets uit te voeren. Naar aanleiding van dit advies is niet gekozen voor de uitvoering van een invoeringstoets één jaar na de inwerkingtreding van de Wwke (zoals het ATR adviseert), maar voor een evaluatiebepaling (artikel 41 Wwke) waarin is bepaald dat vier jaar na de inwerkingtreding van de Wwke een evaluatie van de Wwke moet zijn uitgevoerd. De reden hiervoor is als volgt. Entiteiten kunnen pas na de inwerkingtreding van de Wwke worden aangewezen als kritieke entiteit. Niet alle verplichtingen uit de Wwke zijn direct van toepassing na de aanwijzing. Zo geldt voor de zorgplicht en de meldplicht dat deze verplichtingen pas gelden vanaf 10 maanden na de aanwijzing als kritieke entiteit. Een invoeringstoets één jaar na de inwerkingtreding van de Wwke zal dan ook nog niet effectief zijn.

Het ATR adviseert om inzicht te geven in de orde van grootte van de regeldrukgevolgen van die zaken die nog bij amvb worden geregeld. De CER-richtlijn wordt geïmplementeerd in de Wwke en in de aan die wet onderliggende amvb. In de nota van toelichting op de amvb wordt ingegaan op de regeldrukkosten.

Het ATR adviseert de beschrijving en de berekening van de regeldrukgevolgen aan te vullen met de nog ontbrekende elementen, conform de Rijksbrede methodiek. Naar aanleiding van dit advies is hoofdstuk 8 aangevuld met een indicatie van de toezichtslasten. Bij de berekeningen is gebruik gemaakt van de laatste versie van de Rijksbrede methodiek.

9.4 Samenhang Wwke en Cbw

In de consultatiereacties van onder meer het Centraal Bureau Levensmiddelenhandel (hierna: CBL), Vereniging NLconnect, ProRail B.V., VodafoneZiggo, KPN B.V. en de Unie van Waterschappen is een vergelijking gemaakt tussen de Wwke en de Cbw. In die reacties is gewezen op diverse verschillen tussen beide wetten. Er wordt gevraagd waarom bepaalde zaken wel in de Cbw zijn geregeld maar niet in de Wwke, waarom gelijksoortige bepalingen uit de Wwke en Cbw anders zijn geformuleerd en waarom de regels uit beide wetten niet zijn geüniformeerd. De reactie hierop is als volgt. De Wwke strekt tot de implementatie van de CER-richtlijn en de Cbw strekt tot de implementatie van de NIS2-richtlijn. Deze richtlijnen vertonen op sommige punten gelijkenissen, maar zijn niet geheel identiek aan elkaar. Zo omvatten de richtlijnen weliswaar onderwerpen die in beide richtlijnen worden geregeld, zoals de zorgplicht en de meldplicht, maar waarvan de uitwerking in de richtlijnen niet geheel identiek is. Verder heeft de NIS2-richtlijn een bredere doelgroep dan de CER-richtlijn. Daarnaast omvatten de richtlijnen onderwerpen die in de ene richtlijn wel en in de andere richtlijn niet worden geregeld. Een voorbeeld hiervan is artikel 20 NIS2-richtlijn, over governance. Een dergelijke verplichting wordt niet voorgeschreven in de CER-richtlijn. Dit verklaart ook waarom er ter implementatie van de richtlijnen verschillende regelingen en formuleringen voorkomen in de wetten.

In enkele consultatiereacties, waaronder die van KPN B.V. en ProRail B.V., wordt gevraagd naar de verhouding tussen de Wwke en de Cbw en meer specifiek wanneer sprake is van een fysieke omgeving van een netwerk- en informatiesysteem als bedoeld in de Cbw en wanneer sprake is van een fysieke omgeving of de fysieke infrastructuur als bedoeld in de Wwke. Naar aanleiding van deze reacties is in paragraaf 2.3 verduidelijkt hoe de Wwke en de Cbw met elkaar samenhangen, met name ten aanzien van het aspect van fysieke beveiliging.

9.5 Verplichtingen

Sectorale uitwerking van verplichtingen in nadere regelgeving

Uit een aantal consultatiereacties, waaronder die van het Verbond van Nederlandse Ondernemingen - Nederlands Christelijk Werkgeversverbond (hierna: VNO-NCW), de Koninklijke Vereniging MKB-Nederland (hierna: MKB-Nederland), de Koninklijke Vereniging van de Nederlandse Chemische Industrie (hierna: VNCI), N.V. Nederlandse Spoorwegen (hierna: NS), Vewin en Netbeheer Nederland, komt naar voren dat nadere regelgeving gewenst is ter uitwerking van de zorgplicht, waarbij de mogelijkheid wordt geboden om bij reeds geldende (sectorale) normen aan te sluiten. Bij het stellen van nadere regels zal hiermee rekening worden gehouden.

Nadere toelichting, waaronder op de meldplicht

Uit de consultatiereacties van onder andere Vattenfall, ProRail B.V. en Security Adviesgroep is naar voren gekomen dat een toelichting op de criteria voor het aanwijzen van aanvullende sectoren, genoemd in artikel 7 Wwke, gewenst is. Dit geldt ook voor een toelichting op de drempelwaarden, de afbakening van de meldplicht, de mogelijke aansluiting op andere meldplichten, het doel van de meldplicht en het gedetailleerd verslag, bedoeld in artikel 17, vierde lid, Wwke. Naar aanleiding van deze reacties zijn de paragrafen 5.2 en 5.5 en de artikelsgewijze toelichting op artikel 7 Wwke aangevuld met aanvullende toelichtingen.

Ingangsdatum verplichtingen

In een aantal consultatiereacties, waaronder die van NS, is verzocht om de termijn waarbinnen een kritieke entiteit aan de verplichtingen uit de Wwke moet voldoen, op te nemen in de Wwke. Naar aanleiding van deze reacties is artikel 15 Wwke ten aanzien van de zorgplicht en artikel 17 Wwke ten aanzien van de meldplicht aangevuld met een bepaling over wanneer de desbetreffende verplichtingen van toepassing zijn.

9.6 Handhaving

Uit de consultatiereacties van onder andere VNO-NCW, MKB-Nederland, VNCI, Vereniging NLconnect en KPN B.V. komt naar voren dat nadere toelichting gewenst is ten aanzien van overlappende sectoren met verschillende bevoegde autoriteiten en de verenigbaarheid van de taakuitoefening van de bevoegde autoriteit ten aanzien van bestuursrechtelijke handhaving en advisering aan kritieke entiteiten. Tevens zijn vragen gesteld over het handhavingsbeleid van de bevoegde autoriteit. Naar aanleiding van deze reacties is paragraaf 5.9 aangevuld.

In een consultatiereactie is verzocht om het wettelijk regelen van volgordelijkheid van handhavingsinstrumenten. De reactie hierop is als volgt. Het is aan de toezichthoudende instantie om te beoordelen welk handhavingsinstrument het meest passend en effectief is, met inachtneming van onder andere de beginselen van evenredigheid en proportionaliteit. Het regelen van een volgordelijkheid bij de inzet van handhavingsinstrumenten is niet mogelijk.

In de consultatiereacties van KPN B.V. en Vereniging NLconnect is opgemerkt dat uit het ter consultatie gelegde wetsvoorstel en de memorie van toelichting onvoldoende blijkt dat de artikelen over handhaving niet van toepassing zijn ten aanzien van de verplichtingen waarvan kritieke entiteiten uit de sector digitale infrastructuur zijn uitgezonderd (waaronder de zorgplicht en de meldplicht). De reactie hierop is als volgt. Als een verplichting niet van toepassing is op een entiteit, dan kan vanzelfsprekend ten aanzien van die “verplichting” niet worden toegezien op de naleving daarvan. De verplichting geldt immers niet voor de betrokken sector dan wel betrokken entiteit. Dit wetsvoorstel en de memorie van toelichting behoeven geen aanpassing op dit punt.

9.7 Overige opmerkingen

Aanwijzing aanvullende sectoren

Onder meer door VNO-NCW, MKB-Nederland en VNCI is opgemerkt dat het aanwijzen van aanvullende sectoren en daarmee aanvullende kritieke entiteiten verder gaat dan de CER-richtlijn verplicht stelt en daarmee een nationale kop is. De reactie hierop is als volgt. In overweging 41 van de CER-richtlijn is opgenomen dat de lijst van essentiële diensten in de CER-richtlijn niet uitputtend is en dat lidstaten de lijst kunnen aanvullen met andere essentiële diensten op nationaal niveau, teneinde rekening te houden met nationale bijzonderheden bij de verlening van essentiële diensten. Gelet op het belang voor de nationale veiligheid acht de regering het wenselijk om voor deze mogelijkheid een grondslag op te nemen in de Wwke. Hierbij wordt opgemerkt dat indien door een vakminister aanvullende (sub)sectoren worden aangewezen, dit bij de Europese Commissie kenbaar zal worden gemaakt. Daarbij zal aandacht worden gevraagd voor het belang van een solide niveau van Europese harmonisatie en het al dan niet alsnog onderbrengen van de (sub)sectoren onder de CER-richtlijn.

Nationaal aanvullend beleid

In een aantal consultatiereacties is gevraagd om – in aanvulling op de implementatie van de bepalingen uit de CER-richtlijn – aanvullende bepalingen in de Wwke op te nemen die relevant kunnen zijn voor de bescherming van fysieke infrastructuur. Er wordt bijvoorbeeld gevraagd om bepaalde artikelen uit de Cbw ook op te nemen in de Wwke. In reactie hierop wordt gewezen op het uitgangspunt dat de CER-richtlijn beleidsneutraal wordt geïmplementeerd. Dit betekent dat aanvullende nationale eisen of bepalingen, die niet volgen uit de CER-richtlijn, niet worden meegenomen in dit wetsvoorstel.

Reactietermijn bevoegde autoriteit bij meldingen

In een aantal consultatiereacties, waaronder die van VNO-NCW, MKB-Nederland en VNCI, is gevraagd waarom er geen termijn geldt voor het verstrekken van een ontvangstbevestiging van een melding en in dat verband relevante vervolginformatie aan een kritieke entiteit door de bevoegde autoriteit. De uitleg hierover is als volgt. Artikel 18, eerste lid, Wwke, bepaalt dat de bevoegde autoriteit zo spoedig mogelijk een ontvangstbevestiging en relevante informatie naar aanleiding van een melding verstrekt aan de kritieke entiteit die de melding heeft gedaan. Het betreft een implementatie van artikel 15, vierde lid, CER-richtlijn. Het stellen van een termijn zou de richtlijnbepaling doorkruisen.

Informatie-uitwisseling

In een aantal consultatiereacties, waaronder die van Netbeheer Nederland, NS, VNO-NCW, MKB-Nederland, CBL, ProRail B.V. en Vewin, is gevraagd hoe de vertrouwelijkheid van gemelde gegevens en van de lijst met kritieke entiteiten, bedoeld in artikel 11 Wwke, wordt geborgd. In reactie hierop wordt verwezen naar de toelichting in paragraaf 6.4.6.
Daarnaast is opgemerkt om bij de uitwisseling van persoonsgegevens te regelen dat het om “noodzakelijke gegevens” moet gaan in plaats van “benodigde gegevens”, gelet op de eisen van proportionaliteit en subsidiariteit die de Avg aan de uitwisseling van persoonsgegevens stelt. Naar aanleiding van deze reactie is de term “benodigde gegevens”, die in diverse conceptartikelen voorkomt, vervangen door “noodzakelijke gegevens”.

Ondersteuning kritieke entiteiten

Artikel 10 CER-richtlijn biedt de mogelijkheid aan lidstaten om kritieke entiteiten financieel te ondersteunen. In de Wwke is van deze mogelijkheid geen gebruik gemaakt. In de consultatiereacties van onder meer VNO-NCW, MKB-Nederland, de Nederlandse Veiligheidsbranche, ProRail B.V., NS, Vewin en de Unie van Waterschappen is gevraagd om een onderbouwing van deze keuze.

Er is ervoor gekozen om geen specifiek kader voor financiële ondersteuning op te nemen, nu het iedere bevoegde autoriteit (vakminister) vrij staat om op basis van bestaande (sectorale) wettelijke kaders financiële ondersteuning toe te kennen ten laste van de eigen begroting. De Wwke staat daar niet aan in de weg.

Kritieke entiteiten van bijzonder Europees belang

ProRail B.V. en Vattenfall vragen naar de uitvoering van een adviesmissie van de Europese Commissie als bedoeld in artikel 18 CER-richtlijn. Hierover kan het volgende worden toegelicht. Op dit moment wordt gewacht op de vaststelling van de uitvoeringshandeling van de Europese Commissie met daarin onder andere de procedurele regelingen voor verzoeken om adviesmissies te organiseren, voor de behandeling van dergelijke verzoeken, en voor de uitvoering van dergelijke missies als bedoeld in artikel 18, vierde lid, CER-richtlijn.

Dynamische verwijzing naar de CER-richtlijn

In een aantal consultatiereacties, waaronder die van ProRail B.V., wordt opgemerkt dat voor definities enkel naar de CER-richtlijn wordt verwezen, waardoor definities onvoldoende duidelijk zijn. Naar aanleiding van deze reacties zijn in artikel 1 Wwke de definities van de begrippen uit de Wwke uitgeschreven, in plaats van een verwijzing naar de definities van die begrippen in de CER-richtlijn.

9.8 Advies Raad voor de rechtspraak

Dit wetsvoorstel is na de in paragraaf 9.1 bedoelde adviesaanvragen en consultatie voor advies voorgelegd aan de Raad voor de rechtspraak.

De Raad voor de rechtspraak heeft geen inhoudelijke opmerkingen over het wetsvoorstel.

Ten aanzien van de rechtsbescherming adviseert de Raad voor de rechtspraak als volgt. Voor de beoordeling van de keuze om beroepszaken in eerste aanleg bij de rechtbank Rotterdam te concentreren, voor zover het een besluit betreft dat betrekking heeft op een kritieke entiteit in voormelde sectoren, zoekt de Raad voor de rechtspraak aansluiting bij haar Toetsingskader wettelijke concentratie dat is vastgesteld op 21 september 2011. Hieruit volgt volgens de Raad voor de rechtspraak dat concentratie in dit geval mogelijk is als er specifieke deskundigheid is vereist voor de behandeling van de beroepszaken en het gaat om een beperkt aantal zaken per jaar. In haar advies merkt de Raad voor de rechtspraak op dat zij zich wat betreft de eis van specifieke deskundigheid kan vinden in de toelichting zoals die bij artikel 46 Wwke (47 oud) gegeven wordt.

Hierbij plaatst de Raad voor de rechtspraak echter als kanttekening dat niet duidelijk is waarom de sector gezondheidszorg bij de rechtbank Rotterdam is geconcentreerd. De Raad voor de rechtspraak wijst er op dat tegen besluiten op grond van de Wet kwaliteit, klachten en geschillen zorg inmiddels bij alle rechtbanken beroep kan worden ingesteld. Voorts wijst zij er op dat de Wet geneesmiddelenprijzen en de Wet marktordening gezondheidszorg, waarvoor de rechtbank Rotterdam wel de enig bevoegde rechtbank is, niet worden genoemd in de memorie van toelichting en dat het College van Beroep voor het bedrijfsleven bovendien voor deze twee wetten de hoger beroepsinstantie is, terwijl het College van Beroep voor het bedrijfsleven in het wetsvoorstel geen bijzondere bevoegdheid voor de sector gezondheidszorg krijgt. De Raad voor de rechtspraak adviseert daarom voor de sector gezondheidszorg geen concentratiebepaling op te nemen. Dit advies wordt opgevolgd. Naar aanleiding van dit advies is artikel 46, eerste lid, Wwke (47, eerste lid, oud) gewijzigd, zodat de concentratiebepaling niet geldt voor besluiten die betrekking hebben op kritieke entiteiten in de sector gezondheidszorg.

10. Overgangsrecht en inwerkingtreding

De Wwke voorziet niet in overgangsrecht.

Met betrekking tot de inwerkingtreding van de Wwke is in artikel 48 Wwke bepaald dat de Wwke in werking treedt op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld. Op grond van dit artikel kan worden gekozen voor een gefaseerde inwerkingtreding. Dit is denkbaar in het geval dat bepaalde onderdelen van de Wwke nog niet in werking kunnen treden, terwijl dat bij andere onderdelen van de Wwke wel het geval is. De verwachting is dat bij de inwerkingtreding van (onderdelen van) de Wwke een uitzondering wordt gemaakt op de vaste verandermomenten en de minimuminvoeringstermijn, omdat de Wwke ziet op de implementatie van een bindende EU-rechtshandeling.

11. Transponeringstabel

Bepaling uit de Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333)	Bepaling in Wwke of bestaande regeling	Omschrijving beleidsruimte	Toelichting
Artikel 1, eerste lid	-	-	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het een uitleg betreft van de inhoud van de richtlijn.
Artikel 1, tweede lid	Artikel 4 Wwke	-	-
Artikel 1, derde lid	Artikel 16 Wwke	-	-
Artikel 1, vierde lid	Artikel 34 Wwke	-	-
Artikel 1, vijfde lid	-	-	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het een uitleg betreft van hetgeen de richtlijn lidstaten nadrukkelijk niet belet.
Artikel 1, zesde lid	Artikel 5 Wwke	-	-
Artikel 1, zevende lid	Artikel 24, eerste lid, Wwke	Artikel 1, zevende lid, CER-richtlijn bepaalt dat lidstaten kunnen besluiten dat bepaalde bepalingen (over verplichtingen voor kritieke entiteiten) uit de CER-richtlijn geheel of gedeeltelijk niet van toepassing zijn op specifieke kritieke entiteiten die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving.	Artikel 24, eerste lid, Wwke voorziet in de bevoegdheid van de vakminister tot het ontheffen van bepaalde kritieke entiteiten van bepaalde verplichtingen. Die bevoegdheid strekt tot de kritieke entiteiten en verplichtingen, bedoeld in artikel 1, zevende lid, CER-richtlijn.
Artikel 1, achtste lid	Artikel 35 Wwke	-	-
Artikel 1, negende lid	-	-	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het een uitleg betreft van waar de richtlijn geen afbreuk aan doet.
Artikel 2	Artikel 1 Wwke, voor zover de begrippen in de Wwke voorkomen	-	-
Artikel 3	-	De mogelijkheid om – vanwege minimumharmonisatie – nationale bepalingen te treffen of te handhaven om het weerbaarheidsniveau van kritieke entiteiten te verhogen.	Er is geen gebruik gemaakt van deze mogelijkheid.
Artikel 4, eerste lid	De artikelen 13, eerste en vierde lid, en 45 Wwke	-	-
Artikel 4, tweede lid	Artikel 13, tweede, derde en vierde lid, Wwke	-	-
Artikel 4, derde lid	-	-	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid.
Artikel 5, eerste lid	De artikelen 6, derde lid, 9, eerste, vierde en vijfde lid, en 44 Wwke	-	-
Artikel 5, tweede lid	Artikel 9, tweede en derde lid, Wwke	-	-
Artikel 5, derde lid	Artikel 9, zesde lid, Wwke	-	-
Artikel 5, vierde lid	-	-	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid.
Artikel 5, vijfde lid	-	-	Deze bepaling is gericht aan de Europese Commissie.
Artikel 6, eerste lid	Artikel 43 Wwke	-	-
Artikel 6, tweede lid	Artikel 6, eerste en derde lid, Wwke	-	-
Artikel 6, derde lid	De artikelen 6, vijfde lid, 11, 15, vijfde lid, en 17, zevende lid, Wwke	-	-
Artikel 6, vierde lid	Artikel 27, tweede lid, Wwke	-	-
Artikel 6, vijfde lid	De artikelen 6, zevende lid, en 11, tweede lid, Wwke	-	-
Artikel 6, zesde lid	-	-	Deze bepaling is gericht aan de Europese Commissie.
Artikel 7, eerste lid	Artikel 6, tweede lid, Wwke	-	-
Artikel 7, tweede lid	-	-	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid.
Artikel 7, derde lid	-	-	Deze bepaling is gericht aan de Europese Commissie.
Artikel 8	Artikel 23 Wwke	-	-
Artikel 9, eerste lid	De artikelen 8 en 25 Wwke	De mogelijkheid om meer dan één bevoegde autoriteit aan te wijzen of op te richten.	Er is gekozen voor de aanwijzing van de vakminister als de bevoegde autoriteit voor de sector waar hij verantwoordelijk voor is.
Artikel 9, tweede lid	Artikel 12 Wwke	De mogelijkheid om een centraal contactpunt aan te wijzen binnen een bevoegde autoriteit en om te bepalen dat het centrale contactpunt een verbindingsfunctie vervult in de samenwerking met de Europese Commissie en derde landen.	Er is geen gebruik gemaakt van de mogelijkheid om een centraal contactpunt aan te wijzen binnen een bevoegde autoriteit. Er is wel gebruik gemaakt van de mogelijkheid om te bepalen dat het centrale contactpunt een verbindingsfunctie vervult in de samenwerking met de Europese Commissie en derde landen.
Artikel 9, derde lid	-	-	De eerste volzin behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid. De tweede volzin betreft een mogelijkheid voor de bevoegde autoriteiten dat niet hoeft te worden geïmplementeerd in nationale wetgeving.
Artikel 9, vierde lid	De artikelen 8 tot en met 12, 18, 21, 25 tot en met 31, en 36 tot en met 40 Wwke	-	Deze bepaling behoeft voor wat betreft de bevoegdheden wel implementatie in nationale wetgeving. De rest van de bepaling behoeft geen implementatie in nationale wetgeving, omdat dat ziet op feitelijke handelingen van de centrale overheid.
Artikel 9, vijfde lid	Artikel 28 Wwke	-	-
Artikel 9, zesde lid	Artikel 27, eerste lid, Wwke	-	-
Artikel 9, zevende lid	-	-	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid.
Artikel 9, achtste lid	-	-	Deze bepaling is gericht aan de Europese Commissie.
Artikel 10, eerste lid	Artikel 10 Wwke	De lidstaten mogen zelf bepalen hoe zij de ondersteuning vormgeven.	-
Artikel 10, tweede lid	Artikel 10 Wwke	-	-
Artikel 10, derde lid	-	-	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid.
Artikel 11, eerste lid	-	-	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid.
Artikel 11, tweede lid	-	-	Deze bepaling ziet op een uitleg van het doel van het eerste lid.
Artikel 12, eerste lid	Artikel 14, eerste en derde lid, Wwke	-	-
Artikel 12, tweede lid	Artikel 14, eerste, tweede en vierde lid, Wwke	-	-
Artikel 13, eerste lid	Artikel 15, eerste en tweede lid, Wwke	-	-
Artikel 13, tweede lid	Artikel 15, derde lid, Wwke	-	-
Artikel 13, derde lid	Artikel 19 Wwke	-	-
Artikel 13, vierde lid	-	-	Deze bepaling is gericht aan de Europese Commissie.
Artikel 13, vijfde lid	-	-	Deze bepaling is gericht aan de Europese Commissie.
Artikel 13, zesde lid	-	-	Deze bepaling is gericht aan de Europese Commissie.
Artikel 14, eerste, tweede en derde lid	Reeds geïmplementeerd in de Wet veiligheidsonderzoeken en afdeling 5 van de Wet justitiële en strafvorderlijke gegevens en onderliggende regelgeving	-	In het onderzoek in het kader van de aanvraag om afgifte van de verklaring omtrent het gedrag als bedoeld in artikel 28 Wet justitiële en strafvorderlijke gegevens wordt ook het Europees Strafregisterinformatiesysteem geraadpleegd.
Artikel 15, eerste lid	De artikelen 17, eerste, derde, vierde en vijfde lid, en 18, derde lid, Wwke	De lidstaten kunnen rekening houden met meer parameters dan in artikel 15, eerste lid, CER-richtlijn zijn gegeven om uit te maken of de verstoring aanzienlijk is.	In artikel 17, vijfde lid, Wwke is bepaald dat bij of krachtens amvb de criteria worden vastgesteld op basis waarvan wordt bepaald of een verstoring aanzienlijk is als bedoeld in artikel 17, derde lid, Wwke.
Artikel 15, tweede lid	Artikel 17, tweede lid, Wwke	-	-
Artikel 15, derde lid	Artikel 18, vierde en vijfde lid, Wwke	-	-
Artikel 15, vierde lid	Artikel 18, eerste en tweede lid, Wwke	-	-
Artikel 16	-	-	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op een aanmoediging.
Artikel 17, eerste lid	-	-	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op de gevallen waarin de Europese Commissie een entiteit beschouwt als een zogeheten kritieke entiteit van bijzonder Europees belang.
Artikel 17, tweede lid	De artikelen 20 en 21, eerste lid, Wwke	-	De laatste volzin van artikel 17, tweede lid, CER-richtlijn behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid.
Artikel 17, derde lid	Artikel 21, tweede lid, Wwke	-	-
Artikel 17, vierde lid	De artikelen 20 en 21 Wwke	-	-
Artikel 18, eerste lid	-	-	Deze bepaling is gericht aan de Europese Commissie.
Artikel 18, tweede lid	-	-	Deze bepaling is gericht aan de Europese Commissie.
Artikel 18, derde lid	-	-	Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale overheid.
Artikel 18, vierde lid	De artikelen 21, derde lid, en 22 Wwke (voor wat betreft de laatste volzin van artikel 18, vierde lid, CER-richtlijn)	-	Alleen de laatste volzin behoeft implementatie in nationale wetgeving. De eerste volzin is gericht op de adviesmissie. De tweede volzin ziet op een feitelijke handeling van de centrale overheid. De derde volzin is gericht aan de Europese Commissie.
Artikel 18, vijfde lid	-	-	De eerste alinea ziet op de samenstelling van de adviesmissie. De tweede alinea is gericht aan de Europese Commissie.
Artikel 18, zesde lid	-	-	Deze bepaling is gericht aan de Europese Commissie.
Artikel 18, zevende lid	Reeds geïmplementeerd in artikel 5:15, derde lid, Awb	-	-
Artikel 18, achtste lid	-	-	-
Artikel 18, negende lid	-	-	Deze bepaling is gericht aan de Europese Commissie.
Artikel 18, tiende lid	-	-	Deze bepaling behoeft geen implementatie in nationale wetgeving. Deze bepaling ziet immers deels op een feitelijke handeling van de centrale overheid en is voor het andere deel gericht aan de Europese Commissie.
Artikel 19, eerste lid	-	-	Deze bepaling ziet op de oprichting van de Groep voor de weerbaarheid van kritieke entiteiten en de taken van deze groep.
Artikel 19, tweede lid	-	-	Deze bepaling ziet op de samenstelling van Groep voor de weerbaarheid van kritieke entiteiten.
Artikel 19, derde en vierde lid	-	-	Deze bepalingen zijn gericht aan de Groep voor de weerbaarheid van kritieke entiteiten.
Artikel 19, vijfde lid	-	-	Deze bepaling is gericht aan de Groep voor de weerbaarheid van kritieke entiteiten en de NIS2-samenwerkingsgroep.
Artikel 19, zesde lid	-	-	Deze bepaling betreft een bevoegdheid van de Europese Commissie.
Artikel 19, zevende lid	-	-	Deze bepaling is gericht aan de Europese Commissie.
Artikel 20, eerste, tweede en derde lid	-	-	Deze bepalingen zijn gericht aan de Europese Commissie.
Artikel 21, eerste lid	Reeds geïmplementeerd in titel 5.2 Awb (voor wat betreft onderdeel a), voorts artikel 37 Wwke (voor wat betreft onderdeel b)	-	-
Artikel 21, tweede lid	Reeds geïmplementeerd in de artikelen 5:16, 5:17 en 5:20 Awb, voorts artikel 37, eerste lid, onderdeel b, Wwke	-	Artikel 5:16 Awb verschaft aan toezichthouders een algemene bevoegdheid om inlichtingen te vorderen. De toezichthouder moet zijn vordering motiveren en daarbij de wettelijke grondslag noemen.35 Onderdeel van die motiveringsplicht is dat de toezichthouder motiveert waarom de gevorderde informatie noodzakelijk is voor het uitoefenen van de toezichthoudende taak.36 De vordering van de toezichthouder moet voldoende concreet zijn.37
Artikel 21, derde lid	De artikelen 38 en 39 Wwke, voorts artikel 5:32, eerste lid, Awb	-	Op grond van artikel 5:32, eerste lid, Awb is een bestuursorgaan dat bevoegd is een last onder bestuursdwang op te leggen, bevoegd om in plaats daarvan een last onder dwangsom op te leggen.
Artikel 21, vierde lid	Zie toelichting	-	Deze waarborgen zijn reeds aanwezig in het Nederlandse rechtsstelsel en zijn onder meer gecodificeerd in de Awb.
Artikel 21, vijfde lid	Artikel 27, eerste, derde en vijfde lid, Wwke	-	-
Artikel 22	Artikel 40 Wwke	-	-
Artikel 23, eerste en tweede lid	-	-	Deze bepalingen betreffen bevoegdheden van de Europese Commissie.
Artikel 23, derde lid	-	-	Deze bepaling betreft een bevoegdheid van het Europees Parlement en de Europese Raad.
Artikel 23, vierde en vijfde lid	-	-	Deze bepalingen zijn gericht aan de Europese Commissie.
Artikel 23, zesde lid	-	-	Deze bepaling ziet op de inwerkingtreding van een gedelegeerde handeling.
Artikel 24, eerste en tweede lid	-	-	Deze bepalingen zien op bijstand aan de Europese Commissie door een comité.
Artikel 25	-	-	Deze bepaling is gericht aan de Europese Commissie.
Artikel 26, eerste lid	Zie toelichting	-	De CER-richtlijn wordt geïmplementeerd in de Wwke.
Artikel 26, tweede lid	-	-	Deze bepaling ziet op een feitelijke handeling.
Artikel 27	Zie toelichting	-	Deze bepaling vereist geen wijziging van bestaande wet- en regelgeving, omdat de in deze bepaling genoemde richtlijn niet is geïmplementeerd in wetgeving.38
Artikel 28	-	-	Deze bepaling ziet op de inwerkingtreding van de CER-richtlijn.
Artikel 29	-	-	Deze bepaling ziet op de adressaten van de CER-richtlijn.

ARTIKELSGEWIJZE TOELICHTING

Artikel 1 (begripsbepaling)

Definities uit artikel 2 CER-richtlijn

Artikel 1 Wwke bevat de definitie van begrippen uit de Wwke. De meeste definities in artikel 1 Wwke zijn identiek, dan wel inhoudelijk gelijk aan de definities in artikel 2 CER-richtlijn.

Definitie van entiteit

Bij de definitie van entiteit geldt het volgende. Artikel 2, onderdeel 1, CER-richtlijn definieert een kritieke entiteit als een publieke of particuliere entiteit die overeenkomstig artikel 6 CER-richtlijn door een lidstaat is geïdentificeerd als behorende tot één van de categorieën die zijn vermeld in de derde kolom van de tabel in de bijlage. De term “particuliere entiteiten” is echter niet gangbaar in het Nederlandse rechtsstelsel. Veelal worden dergelijke entiteiten aangeduid als natuurlijke personen of rechtspersonen, zoals in de definitie van entiteit in de NIS2-richtlijn (artikel 6, onderdeel 38, NIS2-richtlijn). Met het oog op het aansluiten bij het huidige rechtsstelsel en tevens het zoveel als mogelijk uniform implementeren van de CER-richtlijn en de NIS2-richtlijn is ervoor gekozen om een definitie van entiteit te hanteren, waar enerzijds publieke entiteiten onder vallen en anderzijds natuurlijke personen of rechtspersonen. De in artikel 1 Wwke opgenomen definitie van entiteit is identiek aan de definitie van entiteit uit artikel 1 Cbw.

Definitie van overheidsinstantie

De definitie van overheidsinstantie in artikel 1 Wwke is inhoudelijk gelijk aan de definitie hiervan in artikel 2, onderdeel 10, CER-richtlijn. Op grond van artikel 1 Wwke is een entiteit een overheidsinstantie als deze overeenkomstig het nationale recht als zodanig in een lidstaat is erkend en aan deze vier criteria voldoet:

1. zij is opgericht om te voorzien in behoeften van algemeen belang en heeft geen industrieel of commercieel karakter;

2. zij heeft rechtspersoonlijkheid of mag volgens de wet namens een andere entiteit met rechtspersoonlijkheid optreden;

3. zij wordt grotendeels gefinancierd door de staat, regionale autoriteiten of andere publiekrechtelijke organen, is onderworpen aan beheerstoezicht door die autoriteiten of organen, of heeft een bestuurs-, leidinggevend of toezichthoudend orgaan waarvan de leden voor meer dan de helft door de staat, regionale autoriteiten of andere publiekrechtelijke organen worden benoemd; en

4. zij heeft de bevoegdheid om ten aanzien van natuurlijke of rechtspersonen administratieve of regelgevende besluiten te nemen die van invloed zijn op hun rechten op het grensoverschrijdende verkeer van personen, goederen, diensten of kapitaal.

De criteria

Criterium a betreft het doel waartoe een entiteit is opgericht. Bij een krachtens publiekrecht ingestelde entiteit zal dit doel blijken uit de wet waarbij de entiteit is ingesteld en de geschiedenis van de totstandkoming van die wet. Bij een privaatrechtelijke entiteit zal het doel blijken uit de statuten. Er zijn geen limitatieve criteria om te bepalen of een entiteit is opgericht om te voorzien in behoeften van algemeen belang en dat het voorzien in die behoefte van algemeen belang geen industrieel of commercieel karakter heeft. Relevante aanknopingspunten zijn of een entiteit onder normale marktomstandigheden opereert, of deze bestuurd wordt op basis van criteria van rendement, doelmatigheid en rentabiliteit, of de entiteit winstoogmerk als hoofddoel heeft en of deze zelf de eigen verliezen draagt. Dergelijke omstandigheden wijzen in de richting van een commercieel of industrieel karakter.

Criterium b vereist dat de entiteit zelf rechtspersoonlijkheid heeft of volgens de wet mag optreden namens een andere entiteit met rechtspersoonlijkheid. Ingevolge artikel 2:1, eerste lid, Burgerlijk Wetboek (hierna: BW) bezitten de Staat, de provincies, de gemeenten, de waterschappen, alsmede alle lichamen waaraan krachtens de Grondwet verordenende bevoegdheid is verleend, rechtspersoonlijkheid. Ook kan rechtspersoonlijkheid aan een entiteit zijn toegekend in de wet waarbij de entiteit is opgericht. Verenigingen, coöperaties, onderlinge waarborgmaatschappijen, naamloze vennootschappen, besloten vennootschappen met beperkte aansprakelijkheid en stichtingen bezitten rechtspersoonlijkheid ingevolge artikel 2:3 BW. Aan criterium b wordt ook voldaan indien de entiteit zelf geen rechtspersoonlijkheid heeft, maar wel mag optreden namens een andere entiteit met rechtspersoonlijkheid. Hierbij kan worden gedacht aan zelfstandige bestuursorganen die namens de Staat mogen optreden. Ook ministers mogen namens de Staat handelen.

Criterium c ziet op de vereiste betrokkenheid van de overheid bij de entiteit. Die betrokkenheid kan verschillende vormen aannemen. Allereerst wordt aan dit criterium voldaan indien de entiteit grotendeels door de Staat, regionale autoriteiten of andere publiekrechtelijke organen wordt gefinancierd. De entiteit moet dus in hoofdzaak, dat wil zeggen voor meer dan 50%, worden gefinancierd door de overheid. Op welke manier deze financiering wordt vormgegeven, is in dat verband niet bepalend. In de tweede plaats wordt aan dit criterium voldaan indien de entiteit onderworpen is aan beheerstoezicht door de Staat, regionale autoriteiten of andere publiekrechtelijke organen. Dit is het geval indien er een zekere afhankelijkheid bestaat van de entiteit ten opzichte van die autoriteiten of organen en indien zij de beslissingen van de entiteit kunnen beïnvloeden. Van beheerstoezicht is niet al sprake bij reguliere controle door de overheid op de naleving van regelgeving. In de derde plaats wordt aan het criterium voldaan indien de entiteit een bestuursorgaan, leidinggevend orgaan of toezichthoudend orgaan heeft waarvan de leden voor meer dan de helft door de Staat, regionale autoriteiten of andere publiekrechtelijke organen worden benoemd. Het begrip “bestuursorgaan” moet niet worden gelezen als bestuursorgaan in de zin van artikel 1:1 Awb. Het gaat in dit kader om het bestuur van een organisatie.³⁹ Door middel van het benoemen van meer dan de helft van de leden van de genoemde organen, heeft de benoemende overheidsinstantie invloed op de beslissingen die de entiteit neemt.

Criterium d vereist allereerst dat de entiteit de bevoegdheid heeft om ten aanzien van natuurlijke personen of rechtspersonen administratieve of regelgevende besluiten te nemen. Het nemen van administratieve of regelgevende besluiten betreft in de Nederlandse context het nemen van besluiten in de zin van artikel 1:3 Awb. Belangrijk daarbij is dat de beslissingen een publiekrechtelijke rechtshandeling moeten inhouden. De beslissingen moeten dus onder meer rechtsgevolg hebben. Concreet betekent dit dat entiteiten die uitsluitend adviezen uitbrengen of feitelijke handelingen verrichten, niet aan dit criterium voldoen. Een entiteit heeft niet slechts een bevoegdheid om besluiten te nemen in de zin van dit criterium indien een bevoegdheid aan die entiteit is geattribueerd of gedelegeerd, maar ook indien een bevoegdheid aan die entiteit is gemandateerd. Het tweede deel van criterium d vereist dat de door de entiteit genomen besluiten van invloed zijn op de rechten van natuurlijke personen of rechtspersonen op het grensoverschrijdende verkeer van personen, goederen, diensten of kapitaal. Deze passage moet ruim worden uitgelegd. In het overgrote deel van de gevallen zal hiervan sprake zijn, ook indien sprake is van bevoegdheden met een meer nationaal karakter of gericht op nationale aangelegenheden. Slechts indien een entiteit niet het Unierecht (dat is gerelateerd aan één van de vier vrijheden) ten uitvoer brengt of indien het is uitgesloten dat besluiten van de entiteit gevolgen hebben voor natuurlijke personen of rechtspersonen buiten de lidstaat, is niet aan het tweede deel van het criterium voldaan.

De sector overheid

De sector overheid, genoemd in de bijlage van de Wwke, bestaat uit overheidsinstanties van de centrale overheid. Daaronder vallen in Nederland de ministeries en de daartoe behorende dienstonderdelen en zelfstandige bestuursorganen, voor zover zij kwalificeren als overheidsinstanties van de centrale overheid. Voor wat betreft zelfstandige bestuursorganen die vallen onder de Kaderwet zelfstandige bestuursorganen geldt dat deze behoren tot de centrale overheid. Artikel 1, onderdeel a, Kaderwet zelfstandige bestuursorganen bepaalt immers dat een zelfstandig bestuursorgaan is: een bestuursorgaan van de centrale overheid dat bij de wet, krachtens de wet bij algemene maatregel van bestuur of krachtens de wet bij ministeriële regeling met openbaar gezag is bekleed, en dat niet hiërarchisch ondergeschikt is aan een minister. Uiteraard zal wel moeten zijn voldaan aan de overige vereisten van de definitie van het begrip overheidsinstantie.

Zelfstandige bestuursorganen waarop de Kaderwet zelfstandige bestuursorganen niet van toepassing is, kunnen nog steeds onder het bereik van de Wwke vallen. Daarvoor zal moeten worden bezien of zij onderdeel zijn van de centrale overheid en of zij ook voor het overige voldoen aan de criteria uit de definitie van het begrip overheidsinstantie.

Overheidsinstanties op regionaal en lokaal niveau worden, onafhankelijk van de activiteiten die zij verrichten, niet aangewezen als (publieke) kritieke entiteit in de sector overheid. Dit neemt echter niet weg dat dergelijke overheidsinstanties op regionaal en lokaal niveau wel binnen een andere sector uit de bijlage van de Wwke kunnen vallen en via die sector kunnen worden aangewezen als kritieke entiteit, waardoor de verplichtingen uit de Wwke via die route op hen van toepassing zijn.

Artikel 2 (doel van deze wet)

In artikel 2 Wwke is het doel van de Wwke omschreven. Hetgeen in artikel 2 Wwke is opgenomen, is ontleend aan artikel 1, eerste lid, en de overwegingen 1 tot en met 8 van de CER-richtlijn.

Artikel 3 (uitvoering uitvoeringshandelingen, gedelegeerde handelingen en richtsnoeren)

De CER-richtlijn bevat diverse grondslagen om uitvoeringshandelingen, gedelegeerde handelingen en richtsnoeren vast te stellen. Indien deze worden vastgesteld, is het mogelijk dat er in nationale wet- en regelgeving regels nodig zijn ter uitvoering daarvan. Artikel 3 Wwke bevat daarom een delegatiegrondslag om bij of krachtens amvb regels te kunnen stellen ter uitvoering van de op grond van de CER-richtlijn vastgestelde uitvoeringshandelingen, gedelegeerde handelingen en richtsnoeren. Dit betreft een facultatieve grondslag, omdat de mogelijkheid bestaat dat niet alle op grond van de CER-richtlijn vastgestelde uitvoeringshandelingen, gedelegeerde handelingen of richtsnoeren nopen tot het stellen van regels ter uitvoering daarvan.

Artikel 4 (netwerk- en informatiesystemen en de fysieke componenten en omgevingen daarvan)

In artikel 4 Wwke is geregeld dat de Wwke niet van toepassing is op aangelegenheden waarop de Cbw van toepassing is. Dit artikel betreft de implementatie van artikel 1, tweede lid, CER-richtlijn. Paragraaf 2.3 gaat in op hoe de Wwke en de Cbw zich tot elkaar verhouden.

Artikel 5 (overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving)

Artikel 5 Wwke strekt tot de implementatie van artikel 1, zesde lid, CER-richtlijn. Overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving vallen niet onder het toepassingsbereik van de CER-richtlijn en worden daarom in artikel 5 Wwke uitgezonderd van het toepassingsbereik van de Wwke. Deze activiteiten vallen namelijk binnen de uitsluitende verantwoordelijkheid van lidstaten. Artikel 5 Wwke ziet alleen op overheidsinstanties die in hoofdzaak deze activiteiten uitvoeren. Overheidsinstanties die activiteiten verrichten die daar slechts zijdelings verband mee houden vallen wél onder het bereik van de Wwke.

Artikel 5 Wwke sluit aan op artikel 5, eerste lid, Cbw, waarin een soortgelijke bepaling uit de NIS2-richtlijn (artikel 2, zevende lid, NIS2-richtlijn) is geïmplementeerd.

Artikel 6 (aanwijzing kritieke entiteit)

Artikel 6 Wwke gaat over de aanwijzing van een entiteit als kritieke entiteit.

Criteria voor aanwijzing als kritieke entiteit

Een entiteit wordt aangewezen als kritieke entiteit als zij voldoet aan alle criteria uit artikel 6, eerste en tweede lid, Wwke. Het gaat om de volgende criteria:

• De entiteit verleent één of meer essentiële diensten. Een essentiële dienst is een dienst die van cruciaal belang is voor de instandhouding van vitale maatschappelijke functies, economische activiteiten, de volksgezondheid en openbare veiligheid of het milieu (zie artikel 1 Wwke).

• De entiteit is actief in Nederland en haar kritieke infrastructuur bevindt zich in Nederland. Hiermee wordt bedoeld dat de entiteit en haar kritieke infrastructuur, geheel of gedeeltelijk, actief is op het grondgebied van Nederland (inclusief het luchtruim en de maritieme binnenwateren en territoriale zee) en dat de activiteiten van de entiteit noodzakelijk zijn om de betreffende essentiële dienst of diensten te verlenen.

• Een incident zou aanzienlijke verstorende effecten hebben op de verlening van de essentiële dienst(en) door deze entiteit of van andere essentiële diensten via cascade-effecten. Bij het bepalen of een verstorend effect aanzienlijk is, wordt rekening gehouden met de volgende criteria:

1. het aantal gebruikers dat afhankelijk is van de door de betrokken entiteit verleende essentiële dienst;

2. de mate waarin andere sectoren en subsectoren, genoemd in de bijlage van de Wwke, en, indien van toepassing, andere sectoren en subsectoren die zijn aangewezen op grond van artikel 7, eerste lid, Wwke afhankelijk zijn van de betrokken essentiële dienst;

3. de ernst en duur van de gevolgen die incidenten kunnen hebben voor economische en maatschappelijke activiteiten, het milieu, de openbare veiligheid en beveiliging, of de volksgezondheid;

4. het marktaandeel van de entiteit op de markt voor de betrokken essentiële dienst;

5. het geografische gebied dat door een incident kan worden getroffen, met inbegrip van eventuele grensoverschrijdende gevolgen, rekening houdend met de kwetsbaarheid die samenhangt met de mate van isolatie van bepaalde soorten geografische gebieden, zoals insulaire regio’s, afgelegen regio’s of bergachtige gebieden;

6. het belang van de entiteit om de essentiële dienst op een voldoende niveau te houden, rekening houdend met de beschikbare alternatieven voor het verlenen van die essentiële dienst.

Delegatiegrondslag

In artikel 6, vierde lid, Wwke is een delegatiegrondslag opgenomen die de vakminister, na overleg met de Minister van Justitie en Veiligheid, de mogelijkheid biedt om bij ministeriële regeling regels te stellen over de invulling van de aspecten die in aanmerking moeten worden genomen om te bepalen of een verstoring aanzienlijk is als bedoeld in artikel 6, tweede lid, Wwke. Deze invulling kan per sector, subsector en categorie van entiteiten verschillen en kan bijvoorbeeld worden uitgedrukt in een bepaald bedrag aan financiële of economische schade, aantallen betrokken of getroffen personen, of de capaciteitsimpact op de levering van de essentiële dienst.

Aanwijzing door de vakminister

Het aanwijzen van kritieke entiteiten is de verantwoordelijkheid van de vakminister die verantwoordelijk is voor de sector waarbinnen een entiteit activiteiten verricht. De aanwijzing geschiedt bij regeling of besluit, na overleg met de Minister van Justitie en Veiligheid als coördinerend bewindspersoon. Bij de aanwijzing vermeldt de vakminister vanaf wanneer de kritieke entiteit dient te voldoen aan verplichtingen en om welke verplichtingen het gaat.

Aanwijzing bij regeling of besluit

De aanwijzing betreft een besluit in de zin van artikel 1:3 Awb. Dit betekent dat de vakminister bij de aanwijzing moet voldoen aan de in de Awb gestelde eisen aan besluitvorming door bestuursorganen en dat tegen het aanwijzingsbesluit bestuursrechtelijke rechtsbescherming open staat. Dit geldt ook indien de vakminister ervoor kiest om een entiteit bij regeling aan te wijzen als kritieke entiteit. Ook dan gelden dus onverkort de hiervoor bedoelde eisen uit de Awb en bestuursrechtelijke rechtsbescherming.

Intrekking aanwijzing

Als een entiteit niet langer voldoet aan de voorwaarden om aangewezen te worden als kritieke entiteit, genoemd in artikel 6, eerste lid, Wwke, trekt de vakminister de aanwijzing in. Dit is geregeld in artikel 6, zevende lid, Wwke. De intrekking van de aanwijzing als kritieke entiteit heeft tot gevolg dat de verplichtingen uit de Wwke die gelden voor kritieke entiteiten dan niet meer van toepassing zijn op de betrokken entiteit, aangezien de entiteit na de intrekking immers geen kritieke entiteit in de zin van de Wwke meer is.

Artikel 7 (aanwijzing sector, subsector en categorie van entiteiten)

In overweging 41 van de CER-richtlijn is opgenomen dat de lijst van essentiële diensten in de CER-richtlijn niet uitputtend is en dat lidstaten de lijst kunnen aanvullen met andere essentiële diensten op nationaal niveau, teneinde rekening te houden met nationale bijzonderheden bij de verlening van essentiële diensten. Gelet op het belang voor de nationale veiligheid is het wenselijk om voor deze mogelijkheid een grondslag op te nemen in de Wwke. Dit is geregeld in artikel 7 Wwke. Op grond van artikel 7 Wwke kan de vakminister, in aanvulling op de in de bijlage van de Wwke opgenomen sectoren, subsectoren en categorieën van entiteiten, aanvullende sectoren, subsectoren en categorieën van entiteiten aanwijzen, na overleg met de Minister van Justitie en Veiligheid als coördinerend bewindspersoon. Daarbinnen kunnen op grond van artikel 6, eerste lid, Wwke kritieke entiteiten worden aangewezen.

Hierbij wordt opgemerkt dat indien door een vakminister aanvullende (sub)sectoren worden aangewezen, dit bij de Europese Commissie kenbaar zal worden gemaakt. Daarbij zal aandacht worden gevraagd voor het belang van een solide niveau van Europese harmonisatie en het al dan niet alsnog onderbrengen van de (sub)sectoren onder de CER-richtlijn.

In de gevallen dat de Minister van Justitie en Veiligheid op grond van artikel 7 Wwke sectoren of subsectoren die onder zijn beleidsverantwoordelijkheid vallen aanwijst, treedt die minister op als “Onze Minister die het aangaat” en niet als “Onze Minister”.

Bij de identificatie van sectoren, subsectoren en categorieën van entiteiten wordt rekening gehouden met de nationale strategie (artikel 13 Wwke) en de resultaten van de sectorale risicobeoordeling (artikel 9 Wwke). Daarnaast is in artikel 7 Wwke aangesloten bij een aantal criteria uit artikel 6, tweede lid, Wwke voor de beoordeling of een verstorend effect aanzienlijk is. Deze criteria betreffen:

1. de mate waarin andere sectoren en subsectoren, genoemd in de bijlage van de Wwke, afhankelijk zijn van de essentiële dienst of diensten van entiteiten in de sector of subsector;

2. de ernst en duur van de gevolgen die incidenten in de sector of subsector kunnen hebben voor economische en maatschappelijke activiteiten, het milieu, de openbare veiligheid en beveiliging, of de volksgezondheid; en

3. het geografische gebied dat door een incident in de sector of subsector kan worden getroffen, met inbegrip van eventuele grensoverschrijdende gevolgen, rekening houdend met de kwetsbaarheid die samenhangt met de mate van isolatie van bepaalde soorten geografische gebieden, zoals insulaire regio’s, afgelegen regio’s of bergachtige gebieden.

Deze criteria komen ook voor in de sectorale risicobeoordeling, komen in praktijk overeen met de vitaalbeoordeling zoals beschreven in hoofdstuk 3 en sluiten hiermee aan op de huidige gangbare praktijk om vitale aanbieders te identificeren.

Artikel 8 (aanwijzing en taken bevoegde autoriteit)

Artikel 8 Wwke ziet op de aanwijzing en taken van de in artikel 9, eerste lid, CER-richtlijn bedoelde bevoegde autoriteit. De vakministers worden in artikel 8, eerste en tweede lid, Wwke aangewezen als bevoegde autoriteit voor de kritieke entiteiten in de sectoren en subsectoren die zijn opgenomen in de bijlage van de Wwke en voor de kritieke entiteiten in de sectoren die op grond van artikel 7, eerste lid, Wwke zijn aangewezen. De taken van de bevoegde autoriteit zijn opgenomen in artikel 8, derde lid, Wwke. Paragraaf 5.7 gaat nader in op de taken van de bevoegde autoriteit.

Artikel 9 (risicobeoordeling door de bevoegde autoriteit)

Artikel 9 Wwke strekt tot de implementatie van artikel 5 CER-richtlijn en ziet op de verplichting voor de bevoegde autoriteit om een risicobeoordeling uit te voeren. Deze verplichting zal in de praktijk worden uitgevoerd door de vakministers, na overleg met de Minister van Justitie en Veiligheid als coördinerend bewindspersoon. Paragraaf 5.1 gaat ook in op deze risicobeoordeling.

Alle relevante natuurlijke en door de mens veroorzaakte risico’s

In artikel 9, eerste lid, Wwke is bepaald dat de risicobeoordeling moet zien op alle relevante natuurlijke en door de mens veroorzaakte risico’s die tot een incident zouden kunnen leiden. De bevoegde autoriteit (vakminister) moet bij de risicobeoordeling ieder geval rekening houden met sectoroverschrijdende of grensoverschrijdende risico’s, ongevallen, natuurrampen, noodsituaties op het gebied van de volksgezondheid en hybride dreigingen of andere antagonistische dreigingen. Onder antagonistische dreigingen worden opzettelijke activiteiten verstaan die illegaal en vijandig zijn, zoals terroristische misdrijven, criminele infiltratie, diefstal en sabotage.

Aangezien de daadwerkelijke relevante risico’s afhankelijk zijn van een facet aan factoren die niet altijd op voorhand te bepalen zijn, waaronder het geopolitieke speelveld, de technologische ontwikkelingen en de verwevenheid van sectoren, zal aan de hand van de dan actuele en relevante informatie doorlopend moeten worden beoordeeld wat de risico’s zijn die in de risicobeoordeling moeten worden meegenomen en in welke mate. De bevoegde autoriteit (vakminister) moet daarbij in ieder geval rekening houden met de reeds bestaande nationale risicoanalyses en dreigingsbeelden, zoals de Rijksbrede Risicoanalyse Nationale Veiligheid, het Cybersecuritybeeld Nederland (CSBN), het Dreigingsbeeld Statelijke Actoren (DBSA) en het Dreigingsbeeld Terrorisme Nederland (DTN). Ook moet de bevoegde autoriteit (vakminister) rekening houden met de risicobeoordelingen en informatie afkomstig van de EU, waaronder in ieder geval de risicobeoordelingen, bedoeld in artikel 9, tweede lid, onderdeel a, Wwke.

Nationale en internationale samenwerking

De bevoegde autoriteit (vakminister) deelt de resultaten van de risicobeoordeling met de Minister van Justitie en Veiligheid in zijn hoedanigheid als het centrale contactpunt, waardoor aldaar een overkoepelend beeld ontstaat van de geïdentificeerde risico’s per sector en subsector. Een (geaggregeerd) overzicht van de relevante resultaten per sector en subsector wordt periodiek door de Minister van Justitie en Veiligheid in zijn hoedanigheid als het centrale contactpunt met de Europese Commissie gedeeld. Daarnaast zal het overkoepelend beeld worden meegenomen in de actualisatie van de nationale strategie (die op grond van artikel 13 Wwke moet worden vastgesteld door de Minister van Justitie en Veiligheid), in de beleidsontwikkeling van de Aanpak vitaal en bij het eventueel ontwikkelen van sectoroverstijgende maatregelen ter verhoging van de weerbaarheid.

Frequentie

De bevoegde autoriteit (vakminister) moet de risicobeoordeling ten minste elke vier jaar uitvoeren (artikel 9, vijfde lid, Wwke). De risicobeoordeling kan ook eerder worden uitgevoerd als hiertoe aanleiding bestaat, bijvoorbeeld als gevolg van nationale of Europese actualiteiten, ontwikkelingen of dreigingen. Dit komt overeen met de reeds bestaande cyclus vitaal.

Verstrekking informatie uit risicobeoordeling aan kritieke entiteit

De bevoegde autoriteit (vakminister) moet relevante informatie uit haar risicobeoordeling verstrekken aan de kritieke entiteit in de betrokken sector (artikel 9, zesde lid, Wwke). Dit is van belang, omdat de kritieke entiteit rekening moet houden met die risicobeoordeling bij het uitvoeren van de eigen risicobeoordeling en het voldoen aan de zorgplicht. Hierbij geldt uiteraard dat de vertrouwelijkheid van de uit te wisselen informatie in acht moet worden genomen.

Artikel 10 (ondersteuning aan kritieke entiteiten)

Artikel 10 Wwke betreft de implementatie van artikel 10 CER-richtlijn. In de laatstgenoemde bepaling worden lidstaten verplicht om kritieke entiteiten te ondersteunen bij het vergroten van hun weerbaarheid en bij de naleving van de verplichtingen die volgen uit de CER-richtlijn. Paragraaf 5.8 gaat in op deze ondersteuning.

Artikel 10, derde lid, Wwke voorziet in de grondslag om in lagere regelgeving (sectorspecifieke) regels te stellen over de samenwerking en ondersteuning.

Artikel 11 (lijst van kritieke entiteiten)

Artikel 11 Wwke betreft de implementatie van artikel 6, derde en vijfde lid, CER-richtlijn en ziet op het opstellen van een lijst van geïdentificeerde kritieke entiteiten. In de Wwke wordt dit geïmplementeerd als een verplichting van de bevoegde autoriteit (vakminister) om de lijst op te stellen. Er is ervoor gekozen om deze verplichting te beleggen bij de bevoegde autoriteit (vakminister), omdat zij beschikt over de benodigde informatie vanwege de verantwoordelijkheid voor het identificeren en aanwijzen van kritieke entiteiten.

De identificatie van kritieke entiteiten en de evaluatie hiervan zal periodiek en ten minste elke vier jaar plaatsvinden, al dan niet in lijn met de sectorale risicobeoordeling en de nationale strategie die ook ten minste elke vier jaar worden uitgevoerd en opgesteld. De bevoegde autoriteit (vakminister) zal aan de hand van de evaluatie de lijst van kritieke entiteiten waar nodig actualiseren, zoals wordt voorgeschreven in artikel 11, tweede lid, Wwke. Indien uit de evaluatie blijkt dat een kritieke entiteit niet meer voldoet aan de criteria om aangewezen te worden als kritieke entiteit, zal de bevoegde autoriteit (vakminister) de aanwijzing intrekken op grond van artikel 6, zevende lid, Wwke.

Artikel 12 (aanwijzing en taken centraal contactpunt)

Artikel 9, tweede lid, CER-richtlijn verplicht lidstaten tot het aanwijzen van een nationaal centraal contactpunt en bevat een omschrijving van de taken van dat contactpunt. In artikel 12 Wwke wordt de Minister van Justitie en Veiligheid aangewezen als dat centrale contactpunt en zijn de hiervoor bedoelde taken opgenomen. Zie paragraaf 5.6 voor een toelichting op de keuze voor de Minister van Justitie en Veiligheid en een beschrijving van de taken van het centrale contactpunt.

Artikel 13 (strategie inzake de weerbaarheid van kritieke entiteiten)

Op grond van artikel 13 Wwke moet de Minister van Justitie en Veiligheid in overeenstemming met de vakministers een strategie vaststellen om de weerbaarheid van kritieke entiteiten te verbeteren. In artikel 13, tweede lid, Wwke is bepaald welke elementen de strategie ten minste moet bevatten. De hierin genoemde elementen zijn de elementen die worden genoemd in artikel 4, tweede lid, CER-richtlijn.

Voordat de Minister van Justitie en Veiligheid de strategie vaststelt of actualiseert, consulteert hij eerst in overeenstemming met de vakministers de relevante betrokken partijen, waaronder eventueel overheidspartijen. De Veiligheidsstrategie voor het Koninkrijk der Nederlanden beschrijft de acties en ambities van het kabinet voor de periode 2023-2029 en vormt de basis voor de strategie om de weerbaarheid van kritieke entiteiten te verbeteren.

Artikel 14 (risicobeoordeling door de kritieke entiteit)

Risicobeoordeling door de kritieke entiteit

Kritieke entiteiten moeten op grond van artikel 14, eerste lid, Wwke een risicobeoordeling uitvoeren op basis van de relevante informatie uit de risicobeoordeling van de bevoegde autoriteit (vakminister) en andere relevante informatiebronnen. Zij moeten in het kader daarvan alle relevante door de natuur en door de mens veroorzaakte risico’s die de verlening van hun essentiële dienst of diensten kunnen verstoren, beoordelen.

Een risico is in artikel 1 Wwke gedefinieerd als de mogelijkheid van verlies of verstoring als gevolg van een incident; dat wordt uitgedrukt als een combinatie van de omvang van een dergelijk verlies of een dergelijke verstoring en de waarschijnlijkheid dat het incident zich voordoet. Een risico wordt dus uitgedrukt als de waarschijnlijkheid dat een incident plaatsvindt en de impact die dit incident heeft.

Artikel 14, eerste lid, Wwke bevat een opsomming van de risico’s die kritieke entiteiten in ieder geval moeten beoordelen. Daarbij gaat het onder meer om risico’s van sectoroverschrijdende of van grensoverschrijdende aard, risico’s op ongevallen en risico’s op natuurrampen. Uit artikel 14, tweede lid, Wwke volgt dat kritieke entiteiten in de risicobeoordeling ook moeten meewegen, voor zover informatie hierover redelijkerwijs voorhanden is, in hoeverre andere in de Wwke genoemde sectoren afhankelijk zijn van de door de kritieke entiteit verleende essentiële dienst. Ook moeten zij meewegen in hoeverre zij zelf afhankelijk zijn van essentiële diensten van andere entiteiten in andere sectoren. Het kan hierbij ook gaan om afhankelijkheden buiten Nederland.

Bronnen

Artikel 14, eerste lid, Wwke bepaalt dat een kritieke entiteit haar risicobeoordeling moet uitvoeren op basis van de relevante informatie uit de risicobeoordeling van de bevoegde autoriteit (vakminister) en andere relevante informatiebronnen. Voor wat betreft dat laatste kan het gaan om openbare sectorale analyses, periodieke risicoanalyses voor de vitale infrastructuur of andersoortige periodieke dreigingsbeelden. Dit zijn in ieder geval de door de Minister van Justitie en Veiligheid opgestelde of aangeboden Rijksbrede Risicoanalyse Nationale Veiligheid en andere relevante periodieke risicoanalyses, zoals het Cybersecuritybeeld Nederland (CSBN), het Dreigingsbeeld Statelijke Actoren (DBSA) en het Dreigingsbeeld Terrorisme Nederland (DTN).

Hierbij geldt dat niet alle informatie over afhankelijkheden openbaar en toegankelijk is. De risicobeoordeling van andere kritieke entiteiten zijn immers vertrouwelijk en kunnen bedrijfsgevoelige gegevens bevatten. De kritieke entiteit kan dus alleen gebruik maken van redelijkerwijs toegankelijke informatie, zoals openbare bronnen, informatie verkregen uit hiervoor expliciet overeengekomen samenwerking met andere kritieke entiteiten en/of vertrouwelijke informatieproducten van de bevoegde autoriteit en/of andere overheidsinstanties.

Frequentie

De risicobeoordeling moet periodiek worden uitgevoerd en herzien. In artikel 14, derde lid, Wwke is bepaald dat de eerste risicobeoordeling binnen negen maanden na de aanwijzing als kritieke entiteit moet worden uitgevoerd door die entiteit. Vervolgens moet de risicobeoordeling ten minste om de vier jaar opnieuw worden uitgevoerd, of eerder, wanneer daartoe aanleiding is. Die aanleiding kan er bijvoorbeeld zijn als gevolg van actualiteiten, ontwikkelingen of dreigingen. Deze inschatting wordt in eerste instantie gemaakt door de kritieke entiteit, maar ook de bevoegde autoriteit (vakminister en toezichthoudende instantie) kan van oordeel zijn dat er aanleiding is voor een eerdere uitvoering van de risicobeoordeling door de kritieke entiteit.

Nadere regels

Artikel 14, vijfde lid, Wwke bevat een delegatiegrondslag om in lagere regelgeving regels te kunnen stellen over de uitvoering en inhoud van de risicobeoordeling door kritieke entiteiten en de elementen die daarin van belang worden geacht. Hierbij kan worden gedacht aan specifieke dreigingen en risico’s die expliciet in aanmerking moeten worden genomen bij de toepassing van de risicobeoordeling door de kritieke entiteit. Dit kan bijvoorbeeld het geval zijn naar aanleiding van informatie die voortvloeit uit de risicobeoordeling van de bevoegde autoriteit (vakminister) of het actuele dreigingsbeeld.

Artikel 15 (zorgplicht)

Artikel 15 Wwke strekt tot de implementatie van artikel 13, eerste en tweede lid, CER-richtlijn en ziet op de zorgplicht voor kritieke entiteiten. Paragraaf 5.4 gaat in op deze verplichting.

Beschrijving van de maatregelen

In artikel 15, derde lid, Wwke is bepaald dat kritieke entiteiten de maatregelen die zij op grond van artikel 15, eerste lid, Wwke moeten nemen, moeten beschrijven. Zij zijn vrij in de vorm van die beschrijving. Zo kan de beschrijving worden opgenomen in een (afzonderlijk) document, maar ook systemen of andere documentvormen zijn mogelijk. Verder kan het gaan om reeds opgestelde documenten of andersoortige beschrijvingen, zoals een veiligheidsplan, beveiligingsplan, risicobeheersplan, crisisplan of bedrijfscontinuïteitplan in verband met andere (wettelijke) verplichtingen waarmee eveneens aan de voorschriften van artikel 15 Wwke wordt voldaan. Indien kritieke entiteiten reeds documenten hebben opgesteld of maatregelen hebben genomen op grond van verplichtingen die zijn vastgelegd in andere rechtshandelingen, mogen zij die documenten en maatregelen gebruiken om aan deze bepaling te voldoen.

Delegatiegrondslag

In artikel 15, vierde lid, Wwke is bepaald dat bij of krachtens amvb regels worden gesteld over de maatregelen die kritieke entiteiten in het kader van de zorgplicht moeten nemen en dat eisen kunnen worden gesteld aan entiteiten met betrekking tot die maatregelen. Deze delegatiegrondslag biedt de mogelijkheid om in een amvb te voorzien in een delegatiegrondslag om bij ministeriële regeling van de vakminister, indien nodig, (sector)specifieke regels te stellen over de maatregelen of (sector)specifieke eisen te stellen aan entiteiten met betrekking tot die maatregelen.

Met de delegatiegrondslag in artikel 15, vierde lid, Wwke kunnen ook waar nodig regels worden gesteld die nodig zijn ter implementatie van uitvoeringshandelingen van de Europese Commissie over technische en methodologische specificaties als bedoeld in artikel 13, zesde lid, CER-richtlijn.

Verder biedt de delegatiegrondslag de mogelijkheid om bij of krachtens amvb eventuele samenloop te regelen met andere EU-rechtshandelingen of internationale verdragen. Als de verplichtingen uit de CER-richtlijn van toepassing zijn naast die van een andere EU-rechtshandeling (omdat de uit die EU-rechtshandeling voortvloeiende verplichtingen niet ten minste gelijkwaardig zijn aan de uit de CER-richtlijn voortvloeiende verplichtingen) of van een internationaal verdrag, kan het nodig zijn om dubbele verplichtingen en complicaties in de uitvoering en het toezicht te vermijden. Door bij of krachtens amvb te duiden hoe alle relevante verplichtingen zich tot elkaar verhouden en deze waar mogelijk te integreren op uitvoeringsniveau, kan worden bijgedragen aan de rechtszekerheid en het beperken van de uitvoeringslasten.

Artikel 16 (sectorspecifieke rechtshandelingen van de Europese Unie)

Artikel 16 Wwke strekt tot de implementatie van artikel 1, derde lid, CER-richtlijn. In de laatstgenoemde bepaling is bepaald dat wanneer bepalingen van sectorspecifieke rechtshandelingen van de EU voorschrijven dat kritieke entiteiten maatregelen moeten nemen om hun weerbaarheid te vergroten, en wanneer die voorschriften door de lidstaten worden erkend als ten minste gelijkwaardig aan de in de CER-richtlijn overeenkomende verplichtingen, de desbetreffende bepalingen van de CER-richtlijn niet van toepassing zijn. Meer concreet gaat het hierbij om de zorgplicht. De andere verplichtingen uit de Wwke zijn dus wel van toepassing op die entiteiten. In artikel 16 Wwke is bepaald dat de erkenning van de (ten minste) gelijkwaardigheid van de maatregelen uit sectorspecifieke rechtshandelingen van de EU wordt belegd bij de vakminister.

Artikel 17 (meldplicht)

Artikel 17 Wwke strekt tot de implementatie van artikel 15, eerste lid, eerste alinea, en tweede lid, CER-richtlijn en ziet op de meldplicht voor kritieke entiteiten. Paragraaf 5.5 gaat in op deze verplichting.

Aanzienlijke verstoringen

Artikel 17, eerste lid, Wwke verplicht kritieke entiteiten om zonder onnodige vertraging incidenten, die de verlening van hun essentiële diensten verstoren of kunnen verstoren, te melden bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie). Om te bepalen of een verstoring aanzienlijk is, neemt de kritieke entiteit in elk geval de aspecten genoemd in artikel 17, derde lid, Wwke in aanmerking. Die aspecten betreffen: het aantal door de verstoring getroffen gebruikers en hun aandeel daarin, de duur van de verstoring en het door het incident getroffen geografische gebied. In artikel 17, vijfde lid, Wwke is bepaald dat bij of krachtens amvb de criteria worden vastgesteld op basis waarvan wordt bepaald of een verstoring aanzienlijk is als bedoeld in artikel 17, derde lid, Wwke. Die criteria staan ook bekend als drempelwaarden. Drempelwaarden kunnen per sector, subsector of categorie van entiteiten verschillen en kunnen bijvoorbeeld worden uitgedrukt in een bepaald bedrag aan financiële of economische schade, aantallen betrokken of getroffen personen, of de capaciteitsimpact op de levering van de essentiële dienst.

Gedetailleerd verslag

Op grond van artikel 17, vierde lid, Wwke moet de kritieke entiteit binnen één maand na de eerste melding van het incident een gedetailleerd verslag indienen bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie). Het gedetailleerde verslag dient ter aanvulling op de eerste melding en geeft een vollediger beeld van het incident; over de impact, aard, oorzaak en de gevolgen ervan. Dit stelt de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) in staat om beter te beoordelen of en zo ja, op welke punten lering kan worden getrokken om toekomstige incidenten waar mogelijk te voorkomen of de gevolgen ervan te beperken.

Wijze waarop melding moet worden gedaan

Artikel 17, vijfde lid, Wwke bevat de grondslag om bij of krachtens amvb nadere regels te stellen, onder meer over de wijze waarop een melding moet worden gedaan. Te denken valt aan eisen omtrent een elektronisch formulier.

Artikel 18 (taken bevoegde autoriteit en centraal contactpunt na melding)

Artikel 18 Wwke strekt tot de implementatie van artikel 15, derde en vierde lid, en de laatste zin van het eerste lid, CER-richtlijn.

Artikel 18, eerste en tweede lid, Wwke zien op de taken van de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) ten aanzien van de kritieke entiteit die melding heeft gedaan van een incident en het informeren van het publiek over dat incident.

Artikel 18, derde lid, Wwke ziet op het informeren van de Europese Commissie over incidenten met – kort gezegd – aanzienlijke grensoverschrijdende gevolgen, die bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) zijn gemeld. Dat geschiedt middels het centrale contactpunt. In artikel 12 Wwke is de Minister van Justitie en Veiligheid aangewezen als het centrale contactpunt en het is aan deze minister om de gegevens over het incident, zodra het is ontvangen van de bevoegde autoriteit, door te zetten naar de Europese Commissie. Er is, in aanvulling op hetgeen artikel 15, eerste lid, laatste volzin, CER-richtlijn voorschrijft, ervoor gekozen om deze kennisgeving via het centrale contactpunt (Minister van Justitie en Veiligheid) te laten lopen. Dit sluit immers aan bij de taak van het vervullen van een verbindingsfunctie van het centrale contactpunt met de Europese Commissie die volgt uit artikel 12, onderdeel a, Wwke.

Incidenten die aanzienlijke gevolgen hebben of kunnen hebben voor kritieke entiteiten en voor de continuïteit van de verlening van essentiële diensten aan of in één of meer andere lidstaten moeten ook bekend worden gemaakt aan de lidstaten die daardoor worden getroffen. Daarom regelt artikel 18, vierde lid, Wwke dat wanneer zulke incidenten worden gemeld bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie), zij het centrale contactpunt (Minister van Justitie en Veiligheid) daarover moet informeren. Het is vervolgens de taak van het centrale contactpunt (Minister van Justitie en Veiligheid) om de centrale contactpunten van de getroffen lidstaten te informeren over dat incident.

Op grond van artikel 18, vijfde lid, Wwke moet het centrale contactpunt (Minister van Justitie en Veiligheid) zorgvuldig omgaan bij de ontvangst van de hiervoor bedoelde informatie en bij de verzending van deze informatie aan de centrale contactpunten van andere getroffen lidstaten.

Naast het ontvangen van informatie van de bevoegde autoriteit en het verstrekken daarvan aan de centrale contactpunten van andere lidstaten of de Europese Commissie, kan het centrale contactpunt (Minister van Justitie en Veiligheid) ook informatie ontvangen van centrale contactpunten van andere lidstaten. Het kan daarbij gaan om informatie van een andere lidstaat over een gemeld incident dat mogelijk aanzienlijke gevolgen heeft of kan hebben voor kritieke entiteiten in Nederland. Als uit die gegevens blijkt dat dat incident aanzienlijke gevolgen heeft of kan hebben voor de continuïteit van een essentiële dienst in Nederland, dan moet het centrale contactpunt (Minister van Justitie en Veiligheid) op grond van artikel 18, zesde lid, Wwke de betrokken bevoegde autoriteit (vakminister) en, indien van toepassing, de betrokken entiteit daarvan op de hoogte stellen. Die informatie kan van belang zijn voor de bevoegde autoriteit (vakminister) voor het informeren van derden, waaronder andere entiteiten, zodat die derden op basis van de verstrekte informatie alert zijn op eventuele gevolgen of gelijksoortige incidenten en eventueel maatregelen kunnen treffen.

Artikel 19 (aanwijzing verbindingsfunctionaris)

Artikel 19 Wwke strekt tot de implementatie van artikel 13, derde lid, CER-richtlijn. Op grond van artikel 19 Wwke moet een kritieke entiteit een verbindingsfunctionaris of een gelijkwaardige functionaris aanwijzen als het contactpunt met de bevoegde autoriteiten. Gevolg hiervan is dat de bevoegde autoriteiten beschikken over een overzicht van functionarissen van kritieke entiteiten die vallen onder hun sectorale verantwoordelijkheid.

Artikel 20 (kennisgeving verlening essentiële diensten aan of in zes of meer lidstaten)

Sommige kritieke entiteiten verlenen essentiële diensten aan of in zes of meer lidstaten. Deze kritieke entiteiten moeten op grond van artikel 20 Wwke de bevoegde autoriteit (vakminister) daarover informeren. Daarbij moeten zij ook kenbaar maken om welke essentiële diensten en lidstaten het gaat. Dit artikel betreft de implementatie van artikel 17, tweede lid, eerste en tweede volzin, CER-richtlijn.

Artikel 21 (taken bevoegde autoriteit en centraal contactpunt ten aanzien van kritieke entiteit van bijzonder Europees belang)

Eerste lid

In artikel 20 Wwke is bepaald dat een kritieke entiteit die essentiële diensten verleent aan of in zes of meer lidstaten hiervan een kennisgeving moet doen bij de bevoegde autoriteit (vakminister). Nadat die kennisgeving is gedaan, moet de bevoegde autoriteit (vakminister) het centrale contactpunt (Minister van Justitie en Veiligheid) op de hoogte stellen van de identiteit van die kritieke entiteit en de gemelde essentiële diensten en lidstaten. Vervolgens moet het centrale contactpunt (Minister van Justitie en Veiligheid) de Europese Commissie daarvan op de hoogte stellen. Dit is bepaald in artikel 21, eerste lid, Wwke.

Het is vervolgens aan de Europese Commissie om te beslissen of sprake is van een zogeheten “kritieke entiteit van bijzonder Europees belang” als bedoeld in artikel 17, eerste lid, CER-richtlijn. Daarbij raadpleegt de Europese Commissie de betrokken bevoegde autoriteit (vakminister), het centrale contactpunt (Minister van Justitie en Veiligheid), de bevoegde autoriteiten van andere betrokken lidstaten en de betrokken kritieke entiteit. Tijdens die raadplegingen deelt elke lidstaat de Europese Commissie mee of de diensten die de kritieke entiteit aan die lidstaat verleent, naar zijn oordeel essentiële diensten zijn. Zie artikel 17, tweede lid, CER-richtlijn.

Tweede lid

Wanneer de Europese Commissie tot het oordeel komt dat sprake is van een kritieke entiteit van bijzonder Europees belang, stelt zij de betrokken kritieke entiteit hiervan in kennis via de bevoegde autoriteit (vakminister). Omdat die kennisgeving via de bevoegde autoriteit (vakminister) loopt, is in artikel 21, tweede lid, Wwke bepaald dat de bevoegde autoriteit (vakminister) die kennisgeving zonder onnodige vertraging moet toezenden aan de betrokken kritieke entiteit. Vanaf de datum van ontvangst van deze kennisgeving kan de Europese Commissie een zogenoemde adviesmissie organiseren.

Derde lid

Artikel 21, derde lid, Wwke strekt tot de implementatie van artikel 18, vierde lid, laatste volzin, CER-richtlijn. Artikel 21, derde lid, Wwke verplicht de bevoegde autoriteit (vakminister) om aan de Europese Commissie en de lidstaten waaraan of waarin een essentiële dienst wordt verleend, bepaalde informatie te verstrekken. Het gaat om informatie over de maatregelen die de bevoegde autoriteit (vakminister) heeft genomen naar aanleiding van het oordeel van de adviesmissie van de Europese Commissie over of een entiteit de verplichting tot het uitvoeren van een risicobeoordeling, de zorgplicht en de meldplicht nakomt en welke maatregelen kunnen worden genomen om de weerbaarheid van die kritieke entiteit te verbeteren.

Artikel 22 (verplichting kritieke entiteit van bijzonder Europees belang)

De verplichting uit artikel 22 Wwke is alleen van toepassing op kritieke entiteiten van bijzonder Europees belang en houdt verband met adviesmissies van de Europese Commissie. In de CER-richtlijn is geregeld dat de Europese Commissie een adviesmissie kan organiseren. Deze missies hebben het doel om de weerbaarheidsverhogende maatregelen die deze entiteiten hebben genomen, te beoordelen.

Artikel 22 Wwke bepaalt, ter implementatie van artikel 18, vierde lid, vierde alinea, CER-richtlijn, dat deze entiteiten bij het voldoen aan de zorgplicht, voor zover een adviesmissie heeft plaatsgevonden, rekening houden met het advies van de adviesmissie. Dit betekent ook dat de toezichthoudende instantie bij het toezicht op de naleving van de zorgplicht van artikel 15 Wwke het advies van de adviesmissie betrekt.

Artikel 23 (uitzondering sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur)

Artikel 23 Wwke strekt tot de implementatie van artikel 8 CER-richtlijn en regelt dat een aantal verplichtingen niet van toepassing zijn op kritieke entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur, genoemd in de bijlage van de Wwke. Het gaat om de volgende verplichtingen: de verplichting tot het uitvoeren van een risicobeoordeling, de zorgplicht, de meldplicht, de verplichting tot het aanwijzen van een verbindingsfunctionaris, de verplichting uit artikel 20 Wwke (over de kennisgeving over de verlening van essentiële diensten aan of in zes of meer lidstaten) en de verplichting die is neergelegd in artikel 22 Wwke (over kritieke entiteiten van bijzonder Europees belang).

Artikel 24 (ontheffing van verplichtingen)

Artikel 24, eerste lid, Wwke strekt tot de implementatie van artikel 1, zevende lid, CER-richtlijn. Artikel 1, zevende lid, CER-richtlijn biedt lidstaten de mogelijkheid om entiteiten die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, of die uitsluitend diensten verlenen aan overheidsinstanties die in hoofdzaak zulke activiteiten uitvoeren, met betrekking tot die activiteiten of diensten te ontheffen van bepaalde verplichtingen. Het gaat om de volgende verplichtingen: de verplichting tot het uitvoeren van een risicobeoordeling, de zorgplicht, de meldplicht, de verplichting tot het aanwijzen van een verbindingsfunctionaris, de verplichting uit artikel 20 Wwke (over de kennisgeving over de verlening van essentiële diensten aan of in zes of meer lidstaten) en de verplichting die is neergelegd in artikel 22 Wwke (over kritieke entiteiten van bijzonder Europees belang).

In artikel 24, eerste lid, Wwke is de bevoegdheid om de hiervoor bedoelde entiteiten te ontheffen van de hiervoor genoemde verplichtingen belegd bij de vakminister. De vakminister kan in overeenstemming met de Minister van Justitie en Veiligheid overgaan tot de ontheffing. Op basis van een risico-afweging bereiken zij overeenstemming over de ontheffing en de bijbehorende voorwaarden voordat ontheffing wordt verleend. De vakminister informeert de betrokken kritieke entiteit over de bijbehorende voorwaarden en informeert ook de toezichthoudende instantie.

Artikel 24, tweede lid, Wwke voorziet in de bevoegdheid om een kritieke entiteit die niet behoort tot een in de bijlage van de Wwke genoemde sector te ontheffen van de hiervoor genoemde verplichtingen. Hierbij gaat het concreet om kritieke entiteiten in de op grond van artikel 7, eerste lid, Wwke aangewezen sectoren. De vakminister kan in overeenstemming met de Minister van Justitie en Veiligheid overgaan tot de ontheffing. Op basis van een risico-afweging bereiken zij overeenstemming over de ontheffing en de bijbehorende voorwaarden voordat ontheffing wordt verleend. Hierbij zal worden getoetst of de weerbaarheid van de kritieke entiteiten en de door hen geleverde essentiële dienst(en) voldoende geborgd is door andere geldende wet- en regelgeving, zoals de Cbw. De vakminister informeert de betrokken kritieke entiteiten over de bijbehorende voorwaarden en informeert ook de toezichthoudende instantie.

Voor de goede orde wordt hierbij opgemerkt dat een ontheffing van een verplichting betekent dat die desbetreffende verplichting niet van toepassing is op de entiteit. Er kan dan ook geen toezicht worden gehouden op de naleving van die “verplichting”, omdat de verplichting niet geldt.

Artikel 25 (samenwerking en gegevensuitwisseling tussen bevoegde autoriteiten)

Artikel 25 Wwke strekt tot de implementatie van artikel 9, eerste lid, derde alinea, CER-richtlijn en verplicht de bevoegde autoriteiten tot samenwerking voor het doeltreffend en doelmatig kunnen uitvoeren van hun taken. Gedacht wordt aan onderlinge afspraken om zodoende vlot en effectief samen te werken en dubbel werk waar mogelijk te voorkomen, bijvoorbeeld bij het toezien op de toepassing van de verplichtingen op grond van de Wwke die raken aan andere bestaande sectorale regelingen. Ten behoeve van deze samenwerking wisselen de bevoegde autoriteiten de noodzakelijke gegevens uit, zoals de door een kritieke entiteit genomen maatregelen.

Artikel 26 (samenwerking en gegevensuitwisseling tussen het centrale contactpunt en bevoegde autoriteiten)

Artikel 26 Wwke strekt tot de implementatie van artikel 9, eerste lid, derde alinea, CER-richtlijn. Om te garanderen dat het centrale contactpunt en de bevoegde autoriteiten hun taken uit de Wwke doeltreffend en doelmatig kunnen uitvoeren, moeten zij met elkaar samenwerken en alle daarvoor noodzakelijke gegevens kunnen uitwisselen.

Artikel 27 (samenwerking en gegevensuitwisseling tussen bevoegde autoriteiten van deze wet en bevoegde autoriteiten Cyberbeveiligingswet)

Artikel 27 Wwke gaat over de samenwerking en gegevensuitwisseling tussen de bevoegde autoriteit van de Wwke en de bevoegde autoriteit van de Cbw.

Eerste lid

Artikel 27, eerste lid, Wwke strekt tot de implementatie van de artikelen 9, zesde lid, en 21, vijfde lid, CER-richtlijn en gaat onder meer over het uitwisselen van informatie over cyberbeveiligingsrisico’s die negatieve gevolgen hebben voor kritieke entiteiten.

Tweede lid

Artikel 27, tweede lid, Wwke strekt tot de implementatie van artikel 6, vierde lid, CER-richtlijn en ziet op de verplichting voor de bevoegde autoriteit van de Wwke om de bevoegde autoriteit van de Cbw in kennis te stellen van de aanwijzing van een entiteit als kritieke entiteit. Op grond van artikel 8, eerste lid, onderdeel i, Cbw zijn kritieke entiteiten als bedoeld in de Wwke namelijk tevens van rechtswege essentiële entiteit als bedoeld in de Cbw. Andersom is dat overigens niet het geval, omdat entiteiten eerst moeten worden aangewezen als kritieke entiteit.

Derde lid

Artikel 27, derde lid, Wwke strekt tot de implementatie van artikel 21, vijfde lid, CER-richtlijn.

Vierde lid

Artikel 27, vierde lid, Wwke houdt verband met uitvoeringshandelingen die kunnen worden vastgesteld op grond van artikel 13, zesde lid, CER-richtlijn. Die uitvoeringshandelingen regelen de vaststelling van de technische en methodologische specificaties met betrekking tot de toepassing van de in artikel 13, eerste lid, CER-richtlijn bedoelde maatregelen. De laatstgenoemde bepaling is geïmplementeerd in artikel 15 Wwke en gaat over de zorgplicht voor kritieke entiteiten. Nu de hiervoor bedoelde technische en methodologische specificaties moeten worden toegepast met betrekking tot de maatregelen die genomen moeten worden in het kader van de zorgplicht, brengt dit met zich dat artikel 27, derde lid, Wwke, dat ziet op onder meer de naleving van de zorgplicht, van overeenkomstige toepassing moet zijn op het bepaalde in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen.

Vijfde lid

Artikel 27, vijfde lid, Wwke strekt tot de implementatie van artikel 21, vijfde lid, CER-richtlijn, evenals artikel 32, negende lid, NIS2-richtlijn. In artikel 32, negende lid, NIS2-richtlijn is bepaald dat de bevoegde autoriteiten uit hoofde van de CER-richtlijn de bevoegde autoriteiten uit hoofde van de NIS2-richtlijn kunnen verzoeken om hun toezichts- en handhavingsbevoegdheden uit te oefenen om ervoor te zorgen dat een entiteit die op grond van de CER-richtlijn als kritieke entiteit wordt aangemerkt, voldoet aan de NIS2-richtlijn. Ter implementatie hiervan is in artikel 27, vijfde lid, Wwke geregeld dat de bevoegde autoriteit (toezichthoudende instantie) in de zin van de Wwke de bevoegde autoriteit in de zin van de Cbw kan verzoeken om toezicht te houden op de naleving van de verplichtingen uit de Cbw door kritieke entiteiten. Nu kritieke entiteiten op grond van de NIS2-richtlijn per definitie kwalificeren als essentiële entiteit in de zin van de Cbw kan de bevoegde autoriteit (toezichthoudende instantie) in de zin van de Wwke, ten aanzien van alle aangewezen kritieke entiteiten een dergelijk verzoek doen. Het zal in de praktijk veelal voorkomen dat de bevoegde autoriteit (toezichthoudende instantie) in de zin van de Wwke dezelfde autoriteit is als die in de zin van de Cbw. In dat geval is een dergelijk verzoek vanzelfsprekend niet nodig.

Zesde lid

Het zesde lid van artikel 27 Wwke strekt net als het vijfde lid van dit artikel tot de implementatie van artikel 21, vijfde lid, CER-richtlijn en artikel 32, negende lid, NIS2-richtlijn. In artikel 32, negende lid, NIS2-richtlijn is bepaald dat de bevoegde autoriteiten uit hoofde van de CER-richtlijn de bevoegde autoriteiten uit hoofde van de NIS2-richtlijn kunnen verzoeken om hun toezichts- en handhavingsbevoegdheden uit te oefenen om ervoor te zorgen dat een entiteit die op grond van de CER-richtlijn als kritieke entiteit wordt aangemerkt, voldoet aan de NIS2-richtlijn. Het voldoen aan de NIS2-richtlijn omvat óók het voldoen aan het bepaalde in de op grond van de artikelen 21, vijfde lid, en 23, elfde lid, van de NIS2-richtlijn vastgestelde uitvoeringshandelingen en de op grond van artikel 24, tweede lid, van de NIS2-richtlijn vastgestelde gedelegeerde handelingen. Artikel 27, zesde lid, Wwke regelt dat de bevoegde autoriteit (toezichthoudende instantie) in de zin van de Wwke ook ten aanzien van het voldoen aan die uitvoeringshandelingen en gedelegeerde handelingen een hiervoor bedoeld verzoek kan doen aan de bevoegde autoriteit in de zin van de Cbw.⁴⁰

Artikel 28 (overleg, samenwerking en gegevensuitwisseling tussen bevoegde autoriteiten en andere nationale autoriteiten, kritieke entiteiten en betrokken belanghebbende partijen)

Artikel 28 Wwke strekt tot de implementatie van artikel 9, vijfde lid, CER-richtlijn. Die richtlijnbepaling bevat de verplichting voor lidstaten om ervoor te zorgen dat de bevoegde autoriteit overlegt en samenwerkt met andere betrokken nationale autoriteiten, waaronder autoriteiten die belast zijn met civiele bescherming, rechtshandhaving en de bescherming van persoonsgegevens, met kritieke entiteiten en met betrokken belanghebbende partijen. Artikel 28 Wwke biedt de grondslag om in dat kader persoonsgegevens uit te wisselen.

Deze samenwerking bestaat vooral uit gegevensuitwisseling tussen bevoegde autoriteiten en andere nationale autoriteiten met betrekking tot dreigingen, risico’s en incidenten die negatieve gevolgen kunnen hebben. Wanneer een bevoegde autoriteit bijvoorbeeld het vermoeden heeft van mogelijke gevolgen voor belangen van de nationale veiligheid, de openbare veiligheid of defensie, consulteert en informeert de betreffende bevoegde autoriteit de departementen die beleidsmatig verantwoordelijk zijn voor deze domeinen en, waar relevant, andere betrokken bevoegde autoriteiten en de inlichtingen- en veiligheidsdiensten, om de eventuele gevolgen zo volledig mogelijk in kaart te brengen. De bevoegde autoriteit blijft eindverantwoordelijk voor de betreffende taken in de zin van de Wwke.

Artikel 29 (samenwerking en gegevensverstrekking bevoegde autoriteiten en die van andere lidstaten en derde landen)

Op grond van artikel 5, tweede lid, CER-richtlijn moeten lidstaten bij het uitvoeren van een risicobeoordeling samenwerken met bevoegde autoriteiten van andere lidstaten en van derde landen, naargelang het geval. In Nederland is deze taak belegd bij de bevoegde autoriteit (vakminister), zie artikel 9, derde lid, Wwke. Artikel 30 Wwke biedt de grondslag om in dat kader gegevens, waaronder persoonsgegevens, uit te wisselen.

Artikel 30 (gegevensuitwisseling bevoegde autoriteiten en kritieke entiteiten)

Artikel 30 Wwke biedt de grondslag voor de verwerking van gegevens, waaronder persoonsgegevens, door de bevoegde autoriteit bij zowel het ontvangen van gegevens van kritieke entiteiten, als het verstrekken van gegevens aan kritieke entiteiten. Van het ontvangen van persoonsgegevens van een contactpersoon van een kritieke entiteit zal sprake zijn wanneer een kritieke entiteit een melding van een incident doet als bedoeld in artikel 17 Wwke. Ook zal de bevoegde autoriteit mogelijk persoonsgegevens van een contactpersoon van een entiteit ontvangen ten behoeve van de aanwijzing van een entiteit als kritieke entiteit (artikel 6, eerste lid, Wwke). Van de verwerking van persoonsgegevens door de bevoegde autoriteit bij het verzenden van informatie aan kritieke entiteiten kan sprake zijn bij het verstrekken van relevante informatie uit de risicobeoordeling op grond van artikel 9, zesde lid, Wwke. Het zal dan in deze gevallen ook gaan om persoonsgegevens van contactpersonen van de kritieke entiteit of een ambtenaar van de bevoegde autoriteit.

Artikel 31 (gegevensverstrekking door het centrale contactpunt)

Artikel 31 Wwke biedt de grondslag voor de verwerking van gegevens, waaronder persoonsgegevens, door het centrale contactpunt als het informatie van centrale contactpunten van andere lidstaten ontvangt en deze moet doorzenden aan kritieke entiteiten op grond van artikel 18, zesde lid, Wwke. Daarnaast biedt artikel 31 Wwke de grondslag voor het verstrekken van informatie aan de centrale contactpunten van andere lidstaten op grond van artikel 18, vierde lid, Wwke en het kunnen informeren van de Europese Commissie op grond van artikel 12, onderdeel b, Wwke in samenhang met artikel 18, derde lid, Wwke en de Groep voor de weerbaarheid van kritieke entiteiten op grond van artikel 12, onderdeel b, Wwke in samenhang met artikel 19 CER-richtlijn. In dat laatste geval kan bijvoorbeeld worden gedacht aan het verwerken van contactgegevens van medewerkers in het kader van het aanmelden voor bijeenkomsten van genoemde groep. Tot slot biedt artikel 31 Wwke de grondslag om informatie uit te wisselen met de bevoegde autoriteiten van derde landen, in het kader van de samenwerking met deze autoriteiten (artikel 12, onderdeel c, Wwke).

Artikel 32 (verwerkingsverantwoordelijkheid)

Artikel 32 Wwke regelt de verwerkingsverantwoordelijkheid.

Artikel 33 (bewaring van persoonsgegevens)

Artikel 33 Wwke schrijft voor dat bij of krachtens amvb regels worden gesteld over de bewaring van persoonsgegevens die ter uitvoering van de Wwke worden verwerkt.

Artikel 34 (vertrouwelijke gegevens)

Artikel 34, eerste lid, Wwke gaat over de uitwisseling van vertrouwelijke gegevens en voorziet in de waarborgen voor die gegevensuitwisseling. Deze waarborgen vloeien voort uit artikel 1, vierde lid, CER-richtlijn. In de praktijk zal het met name gaan om vertrouwelijke gegevens waarover de bevoegde autoriteit beschikt in het kader van de meldplicht.

Onder vertrouwelijke gegevens worden in beginsel die gegevens verstaan die door entiteiten vertrouwelijk aan de bevoegde autoriteit zijn verstrekt. Daaronder vallen in ieder geval bedrijfsgeheimen. Bij bedrijfsgeheimen kan worden gedacht aan informatie over de technische bedrijfsvoering van een entiteit dan wel een essentieel proces, het functioneren van systemen en (productie)processen en propriëtaire technieken. Er kan ook worden gedacht aan technologische informatie zoals beveiligingsmethoden, beveiligingsstrategieën en risicoanalyses.

Ten aanzien van vertrouwelijke gegevens kan ook worden gedacht aan concrete informatie over de entiteit die door een dreiging of incident is getroffen, waarbij verdere verspreiding van die informatie tot gevolg heeft dat die entiteit daarvan nadeel ondervindt, bijvoorbeeld omdat de commerciële belangen van de entiteit daardoor worden geschaad. Hierbij valt onder meer te denken aan klanten die de samenwerking met de entiteit afbreken en het bekend worden van informatie bij concurrenten, waar zij – ten nadele van de entiteit – hun voordeel mee kunnen doen.

Vertrouwelijke gegevens kunnen ook gegevens betreffen die krachtens Unie- of nationale voorschriften als vertrouwelijk zijn gekenmerkt. Hierbij wordt in elk geval gedacht aan bedrijfs- en fabricagegegevens die door entiteiten vertrouwelijk aan de overheid zijn meegedeeld als bedoeld in artikel 5.1, eerste lid, onderdeel c, Wet open overheid (hierna: Woo). In relatie tot de Wwke kan hierbij worden gedacht aan gegevens die door een entiteit in het kader van de meldplicht van de Wwke aan de overheid zijn verstrekt en daarbij zijn aangemerkt als vertrouwelijke bedrijfs- of fabricagegegevens, zoals de kring van afnemers van een essentiële dienst, leveranciers of financiële gegevens. Overigens ligt het voor de hand dat de eerder genoemde bedrijfsgeheimen veelal ook vertrouwelijk aan de overheid verstrekte bedrijfs- en fabricagegegevens zijn, maar dat hoeft niet per definitie het geval te zijn.

De bevoegde autoriteit (vakminister en toezichthoudende instantie) en de Minister van Justitie en Veiligheid (als het centrale contactpunt en voor wat betreft de andere taken uit de Wwke waarmee hij is belast) kunnen in het kader van de uitoefening van hun taken uit de Wwke vertrouwelijke informatie aan derden verstrekken, doch uitsluitend onder de voorwaarden van de onderdelen a tot en met d van artikel 34, eerste lid, Wwke.

Onderdeel a beschrijft dat de verstrekking noodzakelijk moet zijn ter uitvoering van de taken uit de Wwke van de bevoegde autoriteit, het centrale contactpunt en de Minister van Justitie en Veiligheid. Onder taak wordt hierbij zowel gedoeld op expliciete taakomschrijvingen in de Wwke, als op het nakomen van verplichtingen uit de Wwke en het uitoefenen van bevoegdheden in relatie tot die taken en verplichtingen van de hiervoor genoemde instanties. Zo kan het bijvoorbeeld gaan om de taken van de bevoegde autoriteit, genoemd in artikel 8, derde lid, Wwke, maar kan het ook gaan om de taken die strekken tot het uitvoering geven aan de verplichtingen uit de Wwke voor deze instanties, zoals samenwerking en gegevensuitwisseling op grond van de artikelen 25 tot en met 31 Wwke. Ook kan het gaan om de uitoefening van bevoegdheden, zoals die in het kader van het toezicht op de naleving van de verplichtingen uit de Wwke.

Onderdeel b beschrijft dat de verstrekking beperkt blijft tot die vertrouwelijke gegevens die relevant zijn voor de ontvangende partij en dat de verstrekking evenredig moet zijn aan het doel van die verstrekking. Onderdeel c beschrijft dat de vertrouwelijkheid van de verstrekte vertrouwelijke gegevens gewaarborgd dient te worden en onderdeel d beschrijft dat de veiligheids- en commerciële belangen van de betrokken entiteit worden beschermd.

Artikel 34, tweede lid, Wwke regelt dat de Woo niet van toepassing is op vertrouwelijke gegevens als bedoeld in artikel 34, eerste lid, Wwke. Er is aanleiding gezien om dit expliciet in de Wwke te regelen, omdat het van groot belang is dat de vertrouwelijkheid van gegevens die bijvoorbeeld door kritieke entiteiten als zodanig aan de bevoegde autoriteit (vakminister en toezichthoudende instantie) worden verstrekt zo veel mogelijk wordt gewaarborgd. Voor de bevoegde autoriteit (toezichthoudende instantie) geldt dat zij ter uitvoering van haar toezichtsactiviteiten komt te beschikken over vertrouwelijke informatie over de stand van de weerbaarheid van kritieke entiteiten, evenals incidenten bij deze entiteiten. De vertrouwelijkheid van gegevens moet zo veel mogelijk worden geborgd om reputatieschade, benadeling van de concurrentiepositie en openbaarmaking van kwetsbaarheden te voorkomen. Artikel 34, tweede lid, Wwke biedt kritieke entiteiten op voorhand de zekerheid dat deze vertrouwelijke gegevens niet openbaar kunnen worden gemaakt door de bevoegde autoriteit op grond van de Woo. Hiermee is gekozen voor een gelijkluidend regime als voor de Cbw, aangezien de Cbw en Wwke nauw met elkaar verbonden zijn en de betreffende bevoegde autoriteiten onder de Cbw en Wwke nauw met elkaar dienen samen te werken en in dat kader informatie met elkaar uitwisselen. Het ligt daarmee niet in de rede om hiervoor een ander regime te hanteren.

Deze uitzondering op de toepasselijkheid van de Woo voor vertrouwelijke gegevens als bedoeld in artikel 34, eerste lid, Wwke geldt ook als deze gegevens bij een ander overheidsorgaan berusten na verstrekking door de bevoegde autoriteit of de Minister van Justitie en Veiligheid (als het centrale contactpunt en voor wat betreft de andere taken uit de Wwke waarmee hij is belast). In lijn met het bepaalde in artikel 20, zevende lid, Wbni geldt deze uitzondering niet voor milieu-informatie. De Woo kent aparte regels voor milieu-informatie, omdat dit voortvloeit uit het Verdrag van Aarhus⁴¹ en Richtlijn 2003/4/EG⁴². Voor de definitie van milieu-informatie wordt in de Woo verwezen naar artikel 19.1a Wet milieubeheer. Zo geldt dat als er sprake is van een zwaarwegend belang, waaronder het belang van het milieu valt, dat dan een bestuursorgaan informatie actief openbaar mag maken, ook al zijn één of meer uitzonderingen op de openbaarmaking van toepassing (artikel 3.4 Woo). Voor de relatieve weigeringsgrond economische of financiële belangen van de Staat, andere publiekrechtelijke lichamen of bestuursorganen geldt dat in het geval van milieu-informatie enkel een beroep op deze grond kan worden gedaan als de informatie een vertrouwelijk karakter heeft (artikel 5.1, tweede lid, onderdeel b, Woo). Als relatieve weigeringsgrond is daarnaast opgenomen dat het belang van openbaarmaking van de desbetreffende informatie moet kunnen worden afgewogen tegenover het belang van het milieu waar de informatie op ziet (artikel 5.1, tweede lid, onderdeel g, Woo). Hoewel als hoofdregel geldt dat persoonlijke beleidsopvattingen niet (dan wel in niet-herleidbare vorm) openbaar worden gemaakt, geldt met betrekking tot milieu-informatie dat de openbaarmaking van de persoonlijke beleidsopvatting moet worden afgewogen tegen het belang van de openbaarmaking van de milieu-informatie (artikel 5.2, vierde lid, Woo). Tenslotte wordt in dit verband opgemerkt dat milieu-informatie die betrekking heeft op emissies (schadelijke stoffen) in het milieu altijd openbaar gemaakt moet worden (artikel 5.1, zevende lid, Woo).

Artikel 35 (verstrekking van gegevens in relatie tot nationale veiligheid, openbare veiligheid en defensie)

In artikel 35 Wwke is artikel 1, achtste lid, CER-richtlijn geïmplementeerd. In artikel 35 Wwke is bepaald dat de Wwke geen betrekking heeft op de verstrekking van informatie waarvan de bekendmaking strijdig is met de wezenlijke belangen van nationale veiligheid, openbare veiligheid of defensie. Het gaat hierbij in elk geval om overheidsinformatie welke is gerubriceerd op grond van het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie 2013 (VIRBI 2013). Gerubriceerde informatie zal dus niet worden uitgewisseld in het kader van de Wwke. Te denken valt bijvoorbeeld aan inlichtingenberichten van de inlichtingen- en veiligheidsdiensten.

Artikel 36 (toezichthouders)

Artikel 36 Wwke ziet op de aanwijzing van natuurlijke personen die zijn belast met het toezicht op de naleving van het bepaalde bij of krachtens de Wwke en het bepaalde in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat. Deze natuurlijke personen beschikken na de aanwijzing over de bevoegdheden uit titel 5.2 Awb en de toezichtsbevoegdheden uit de Wwke.

Artikel 37 (audit)

Artikel 37 Wwke strekt tot de implementatie van artikel 21, eerste lid, onderdeel b, CER-richtlijn en ziet op de bevoegdheid van de toezichthoudende instantie om een audit op te leggen aan een kritieke entiteit.

Bij een audit onderzoekt een onafhankelijke en gekwalificeerde deskundige de opzet en werking van de door de kritieke entiteit genomen maatregelen voor het verhogen van haar weerbaarheid. De audit verschaft daarmee aanvullend en onafhankelijk beeld van de effectieve uitvoering van de maatregelen die de entiteit genomen heeft om de weerbaarheid te borgen en biedt derhalve inzichten voor de bevoegde autoriteit (toezichthoudende instantie) om te kunnen controleren in welke mate de kritieke entiteit in kwestie heeft voldaan aan de verplichtingen uit de Wwke.⁴³ Ook biedt een audit de bevoegde autoriteit (toezichthoudende instantie) meer inzicht in welke mate de entiteit in control is ten aanzien van het nemen van adequate maatregelen om haar weerbaarheid te verhogen. De audit kan betrekking hebben op de gehele entiteit of specifieke processen binnen de entiteit, zolang dit verband houdt met de verplichtingen uit de Wwke, met name de zorgplicht.⁴⁴

De kritieke entiteit selecteert de auditor en het is aan de kritieke entiteit om aan te tonen dat de auditor in kwestie onafhankelijk en gekwalificeerd is. Hierbij is het uitgangspunt dat zoveel mogelijk wordt aangesloten bij de sectorale kaders en de praktijk omtrent, waar mogelijk vergelijkbare, audits.

Artikel 38 (aanwijzing)

Artikel 38 Wwke voorziet – ter implementatie van artikel 21, derde lid, CER-richtlijn – in de mogelijkheid voor de bevoegde autoriteit (toezichthoudende instantie) om aan een kritieke entiteit een aanwijzing op te leggen om binnen een daarbij gestelde redelijke termijn de daarin omschreven handelingen te verrichten of de daarin omschreven maatregelen te nemen. Zulks ter naleving van het bepaalde bij of krachtens de Wwke en het bepaalde in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover daarin is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat.

De aanwijzing heeft een juridisch bindend karakter en is een beschikking in de zin van artikel 1:3 Awb waar bezwaar, beroep en hoger beroep tegen open staat. Een aanwijzing is een enkele last tot het verrichten van bepaalde handelingen, bedoeld in artikel 5:2, tweede lid, Awb en geen bestuurlijke sanctie. De aanwijzing wordt toegepast om te kunnen voldoen aan een wettelijke verplichting of norm. Daarmee wordt voor de entiteit die een aanwijzing krijgt opgelegd duidelijk waaraan moet worden voldaan en wat zij moet doen om aan die verplichting of norm te voldoen. Als niet aan de wettelijke verplichting of norm voldaan wordt, kan de bevoegde autoriteit (toezichthoudende instantie) vervolgens handhaven met bijvoorbeeld een last onder dwangsom of een bestuurlijke boete.

Artikel 39 (last onder bestuursdwang)

Artikel 22 CER-richtlijn verplicht lidstaten tot het toepassen van sancties op overtredingen van nationale verplichtingen ter uitvoering van de CER-richtlijn en bepaalt dat die sancties doeltreffend, evenredig en afschrikwekkend moeten zijn. Ter uitvoering van deze richtlijnbepaling is in artikel 39 Wwke geregeld dat de bevoegde autoriteit (toezichthoudende instantie) bevoegd is tot het opleggen van een last onder bestuursdwang. Er zijn situaties denkbaar waarin zij tot het oordeel komt dat deze herstelsanctie de meest passende maatregel betreft, bijvoorbeeld omdat het niet voldoen aan een last onder dwangsom enkel het gevolg heeft dat de dwangsom wordt verbeurd maar de overtreding door de overtreder niet ongedaan maakt. Zo is de situatie denkbaar waarin als gevolg van de overtreding van de zorgplicht de continuïteit van de dienstverlening in het geding is en er daardoor aanzienlijke gevolgen zijn voor dienstverlening van de entiteit, met mogelijk maatschappelijke ontwrichting tot gevolg. Een last onder bestuursdwang waarbij de bevoegde autoriteit (toezichthoudende instantie) zelf zorgt voor herstel, kan dan ervoor zorgen dat deze aanzienlijke negatieve gevolgen worden beperkt of voorkomen.

Op grond van artikel 5:32, eerste lid, Awb is de bevoegde autoriteit (toezichthoudende instantie) bevoegd om in plaats van een last onder bestuursdwang een last onder dwangsom op te leggen. Nu artikel 22 CER-richtlijn niet limitatief voorschrijft welke sancties een lidstaat moet toepassen, maar enkel voorschrijft dat sancties moeten worden toegepast op overtredingen van nationale verplichtingen ter uitvoering van de CER-richtlijn en dat die sancties doeltreffend, evenredig en afschrikkend moeten zijn, past ook de bevoegdheid tot het opleggen van een last onder dwangsom binnen de kaders van de CER-richtlijn.

Artikel 40 (bestuurlijke boete)

Artikel 40 Wwke ziet op de bevoegdheid van de bevoegde autoriteit (toezichthoudende instantie) tot het opleggen van een bestuurlijke boete aan een kritieke entiteit en betreft de implementatie van artikel 22 CER-richtlijn. In paragraaf 5.9.4 wordt ingegaan op de bestuurlijke boete.

Artikel 41 (evaluatie)

In artikel 41 Wwke is bepaald dat de doeltreffendheid en effectiviteit van de Wwke uiterlijk vier jaar na de inwerkingtreding van de Wwke wordt geëvalueerd. Er is gekozen voor een termijn van vier jaar, zodat bij de evaluatie van de Wwke de uitkomsten van de evaluatie van de CER-richtlijn door de Europese Commissie kunnen worden betrokken. De CER-richtlijn schrijft voor dat het rapport van de evaluatie door de Europese Commissie uiterlijk op 16 juni 2029 moet worden ingediend.

Artikel 42 (wijzigingen van bindende rechtshandelingen van de Europese Unie)

Artikel 42 Wwke ziet op de toepassing van de bepalingen uit bindende rechtshandelingen van de EU, waarnaar in de Wwke wordt verwezen. Met name in de bijlage van de Wwke wordt veelvuldig verwezen naar zulke rechtshandelingen.

Artikel 43 (eerste aanwijzingen kritieke entiteiten)

Artikel 43 Wwke strekt tot de implementatie van artikel 6, eerste lid, CER-richtlijn. Artikel 43 Wwke ziet op de aanwijzing van entiteiten uit de bijlage van de Wwke en dus niet op entiteiten uit de op grond van artikel 7, eerste lid, Wwke aangewezen sectoren en subsectoren.

Artikel 44 (eerste risicobeoordeling door de bevoegde autoriteit)

Artikel 44 Wwke strekt tot de implementatie van artikel 5, eerste lid, CER-richtlijn.

Artikel 45 (eerste strategie inzake de weerbaarheid van kritieke entiteiten)

Artikel 45 Wwke strekt tot de implementatie van artikel 4, eerste lid, CER-richtlijn.

Artikel 46 (wijziging Algemene wet bestuursrecht)

Artikel 46 Wwke voorziet in een bijzondere bevoegdheidsregeling voor een aantal sectoren.

Voor de volgende sectoren wordt de rechtbank Rotterdam aangewezen als bevoegde rechtbank voor beroep in eerste instantie en wordt het College van Beroep voor het bedrijfsleven aangewezen als hoger beroepsinstantie: energie, bankwezen, infrastructuur voor de financiële markt, digitale infrastructuur en productie, verwerking en distributie van levensmiddelen. Dit geldt ook voor de subsector spoor.

De reden voor deze bijzondere bevoegdheidsregeling is als volgt. Het is aannemelijk dat besluiten op grond van de Wwke in veel gevallen in samenhang met besluiten op grond van betrokken sectorale wet- en regelgeving zullen worden genomen. In die gevallen is het niet wenselijk dat voor besluiten op grond van sectorale wetten een bijzondere bestuursrechter bevoegd is, terwijl voor besluiten op grond van de Wwke de gewone bevoegdheidsregeling zou gelden. Voorts zal in het algemeen een goed oordeel over besluiten op grond van de Wwke niet gevormd kunnen worden zonder inzicht in de betrokken sector. Indien voor die sector een bijzondere bestuursrechter bevoegd is verklaard, zal die rechter inhoudelijke deskundigheid hebben opgebouwd ten aanzien van die sector. Het ligt dan voor de hand die rechter ook te laten oordelen over besluiten ten aanzien van die sector op grond van de Wwke.

Deze bijzondere bevoegdheidsregeling en de motivering daarvan sluit aan op de regeling die is getroffen voor de besluiten die op grond van de Cbw zijn genomen.

Artikel 47 (wijziging Wet open overheid)

Artikel 34, tweede lid, Wwke regelt dat de Woo niet van toepassing is op vertrouwelijke gegevens als bedoeld in artikel 34, eerste lid, Wwke. Met de in artikel 47 Wwke geregelde toevoeging van artikel 34 Wwke aan de bijlage bij de Woo wordt buiten twijfel gesteld dat de Woo niet van toepassing is op de hiervoor bedoelde vertrouwelijke gegevens.

Artikel 48 (inwerkingtreding)

Artikel 48 Wwke bepaalt dat de Wwke in werking treedt op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld. Op grond van dit artikel kan worden gekozen voor een gefaseerde inwerkingtreding. Dit is denkbaar in het geval dat bepaalde onderdelen van de Wwke nog niet in werking kunnen treden, terwijl dat bij andere onderdelen van de Wwke wel het geval is. De verwachting is dat bij de inwerkingtreding van (onderdelen van) de Wwke een uitzondering wordt gemaakt op de vaste verandermomenten en de minimuminvoeringstermijn, omdat de Wwke ziet op de implementatie van een bindende EU-rechtshandeling.

Artikel 49 (citeertitel)

Artikel 49 Wwke bepaalt dat de citeertitel van deze wet luidt: Wet weerbaarheid kritieke entiteiten.

Bijlage

De bijlage bij de Wwke correspondeert met die uit de CER-richtlijn.

De Minister van Justitie en Veiligheid,

D.M. van Weel

---

1. PbEU 2022, L 333.↩︎

2. Richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren (PbEU 2008, L 345).↩︎

3. Artikel 1, eerste lid, en de overwegingen 1 tot en met 8 van de CER-richtlijn.↩︎

4. Deze groep bestaat uit vertegenwoordigers van de lidstaten en de Europese Commissie. Waar nodig worden experts uitgenodigd om aan te sluiten.↩︎

5. PbEU 2022, L 333.↩︎

6. Onder dit recht vallen onder andere Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad van 4 juli 2012 betreffende otc-derivaten, centrale tegenpartijen en transactieregisters (PbEU 2012, L 201), Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad van 26 juni 2013 betreffende prudentiële vereisten voor kredietinstellingen en tot wijziging van Verordening (EU) nr. 648/2012 (PbEU 2013, L 176) en Verordening (EU) nr. 600/2014 van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten in financiële instrumenten en tot wijziging van Verordening (EU) nr. 648/2012 (PbEU 2014, L 173).↩︎

7. Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (PbEU 2022, L 333).↩︎

8. Zie https://www.nctv.nl/onderwerpen/vitale-infrastructuur.↩︎

9. Gedelegeerde Verordening (EU) 2023/2450 van de Europese Commissie van 25 juli 2023 tot aanvulling van Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad door de vaststelling van een lijst van essentiële diensten (PbEU L 2023/2450).↩︎

10. Al zouden de veiligheidsregio’s op basis van artikel 5 Wwke niet zijn uitgezonderd van het toepassingsbereik van de Wwke, dan nog zouden zij niet kunnen worden aangewezen als kritieke entiteit. Op grond van artikel 6, eerste lid, Wwke kunnen alleen entiteiten in een sector als bedoeld in de bijlage van de Wwke of een sector als bedoeld in artikel 7, eerste lid, Wwke worden aangewezen als kritieke entiteit. Uit de bijlage van de Wwke volgt dat de sector overheid alleen ziet op overheidsinstanties die behoren tot de centrale overheid. In Nederland behoren de veiligheidsregio’s niet tot de centrale overheid, maar tot de decentrale overheid.↩︎

11. Artikel 13, vijfde lid, CER-richtlijn.↩︎

12. Artikel 10, derde lid, CER-richtlijn verplicht de lidstaten tot het faciliteren van het vrijwillig delen van informatie tussen kritieke entiteiten onderling. Dit betreft een feitelijke handeling. Deze vorm van ondersteuning is derhalve niet opgenomen in artikel 10 Wwke.↩︎

13. Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194). Voor deze richtlijn worden verschillende afkortingen gebruikt. Naast de afkorting NIS1-richtlijn (naar de Engelse benaming van deze richtlijn) wordt de richtlijn in Nederland soms ook wel aangeduid als de NIB-richtlijn of NIB1-richtlijn, waarbij voor die afkorting gebruik is gemaakt van de Nederlandse benaming van de richtlijn.↩︎

14. Voor zover daarin is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat.↩︎

15. Voor zover daarin is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat.↩︎

16. Kamerstukken II 2017/18, 34883, nr. 3, p. 14.↩︎

17. Dit geldt ook voor een overtreding van het bepaalde in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover daarin is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat.↩︎

18. EHRM 25 februari 1997, ECLI:CE:ECHR:1997:0225JUD002200993 (Z./Finland), punt 94.↩︎

19. Zie bijvoorbeeld EHRM 26 januari 2017, ECLI:CE:ECHR:2017:0126JUD004278806 (Surikov/Oekraïne).↩︎

20. Zie bijvoorbeeld EHRM 4 december 2008, ECLI:CE:ECHR:2008:1204JUD003056204 (S. en Marper/Verenigd Koninkrijk).↩︎

21. Zie bijvoorbeeld EHRM 4 december 2008, ECLI:CE:ECHR:2008:1204JUD003056204 (S. en Marper/Verenigd Koninkrijk).↩︎

22. Zie bijvoorbeeld EHRM 6 november 2018, ECLI:CE:ECHR:2018:1106JUD002552713 (Vicent Del Campo/Spanje).↩︎

23. Richtlijn (EU) 2020/2184 van het Europees Parlement en de Raad van 16 december 2020 betreffende de kwaliteit van voor menselijke consumptie bestemd water (PbEU 2020, L 435).↩︎

24. Kamerstukken 36378.↩︎

25. Kamerstukken 36576.↩︎

26. Verordening (EG) Nr. 178/2002 van het Europees Parlement en de Raad van 28 januari 2002 tot vaststelling van de algemene beginselen en voorschriften van de levensmiddelenwetgeving, tot oprichting van een Europese Autoriteit voor voedselveiligheid en tot vaststelling van procedures voor voedselveiligheidsaangelegenheden (PbEU 2002, L 31).↩︎

27. Verordening (EG) Nr. 852/2004 van het Europees Parlement en de Raad van 29 april 2004 inzake levensmiddelenhygiëne (PbEU 2004, L 139).↩︎

28. Richtlijn 2001/83/EG van het Europees Parlement en de Raad van 6 november 2001 tot vaststelling van een communautair wetboek betreffende geneesmiddelen voor menselijk gebruik (PbEU 2001, L 311).↩︎

29. Verordening (EU) 2017/745 van het Europees Parlement en de Raad van 5 april 2017 betreffende medische hulpmiddelen, tot wijziging van Richtlijn 2001/83/EG, Verordening (EG) nr. 178/2002 en Verordening (EG) nr. 1223/2009, en tot intrekking van Richtlijnen 90/385/EEG en 93/42/EEG van de Raad (PbEU 2017, L 117).↩︎

30. Het op 3 maart 1980 te Wenen/New York tot stand gekomen Verdrag inzake de fysieke beveiliging van kernmateriaal (Trb. 1980, 166).↩︎

31. Richtlijn 2014/87/Euratom van de Raad van 8 juli 2014 houdende wijziging van Richtlijn 2009/71/Euratom tot vaststelling van een communautair kader voor de nucleaire veiligheid van kerninstallaties (PbEU 2014, L 219).↩︎

32. Het op 25 maart 1957 te Rome tot stand gekomen Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie (EURATOM) (Trb. 1957, 92).↩︎

33. Handboek Meting Regeldrukkosten, versie 2.1 (2023), p. 14.↩︎

34. Voor zover daarin is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat.↩︎

35. Kamerstukken II 2004/05, 29708, nr. 7, p. 11.↩︎

36. Zie ook ABRvS 28 juli 2021, ECLI:NL:RVS:2021:1674, rechtsoverweging 4.2: “Gelet op artikel 5:13 van de Awb maakt een toezichthouder slechts van zijn bevoegdheden gebruik voor zover dat redelijkerwijs voor de vervulling van zijn taak nodig is. De inspectie kan dus geen inzage vorderen van andere informatie dan die welke verband houden met de wettelijke voorschriften waarop het toezicht in het concrete geval betrekking heeft. Daarnaast moet zij motiveren waarom de gevraagde informatie noodzakelijk is voor het uitoefenen van het toezicht.”↩︎

37. Zie ook ABRvS 17 februari 2016, ECLI:NL:RVS:2016:378, rechtsoverweging 2.5: “Zoals de Afdeling [bestuursrechtspraak van de Raad van State] eerder heeft overwogen (uitspraak van 2 mei 2012 in zaak nr. 201110374/1/V6), moeten uit het oogpunt van rechtszekerheid hoge eisen worden gesteld aan de kenbaarheid van een vordering tot het verlenen van medewerking.”↩︎

38. Zie Stcrt. 2010, 20996.↩︎

39. In de Engelse versie van de CER-richtlijn wordt gesproken over “administrative board”.↩︎

40. Voor zover daarin is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat.↩︎

41. Verdrag betreffende toegang tot informatie, inspraak bij besluitvorming en toegang tot de rechter inzake milieuaangelegenheden (Trb. 2001, 73).↩︎

42. Richtlijn 2003/4/EG van het Europees Parlement en de Raad van 28 januari 2003 inzake de toegang van het publiek tot milieu-informatie en tot intrekking van Richtlijn 90/313/EEG van de Raad (PbEU 2003, L 41).↩︎

43. Dit geldt ook voor het bepaalde in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover daarin is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat.↩︎

44. Dit geldt ook voor het bepaalde in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover daarin is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat.↩︎